Till statsrådet Thomas Bodström

Genom beslut den 21 februari 2002 bemyndigade regeringen statsrådet Britta Lejon att tillkalla en särskild utredare med uppgift att se över personuppgiftslagen.

Den 14 mars 2002 förordnades chefsjuristen Sören Öman att vara särskild utredare.

Till experter förordnades från och med den 1 april 2002 hovrättsassessorn Clara Ahlqvist, advokaten Tom Ekelund, hovrättsrådet Ingela Halvorsen, chefsjuristen Leif Lindgren, juristen Ulla Lönnqvist Endre, regeringsrådet Mats Melin, advokaten Claes Månsson, bolagsjuristen Kerstin Osterman, professorn Peter Seipel, departementssekreteraren Pernilla Skantze, jur.kand. Nicklas Skår, juristen Marie-Louise Ulfward och förbundsjuristen Staffan Wikell. Pernilla Skantze entledigades per den 1 september 2002.

Utredningen har antagit namnet Personuppgiftslagsutredningen. Clara Ahlqvist har författat avsnitt 6. Datainspektionen har bi-

dragit med avsnitt 5.3.

Claes Månsson och Nicklas Skår har avgett särskilt yttrande. Utredningen överlämnar härmed betänkandet Översyn av per-

sonuppgiftslagen (SOU 2004:6). Uppdraget är därmed slutfört.

Stockholm i januari 2004

Sören Öman

Innehållsförteckning

1.1Förslag till lag om ändring i personuppgiftslagen

1.2Förslag till lag om ändring i sekretesslagen

3.2Personlig integritet vid automatiserad behandling

6

8

9

10

Sammanfattning

Hanteringen av personuppgifter som inte ingår i personregister underlättas

Personuppgiftslagsutredningen har haft i uppdrag att göra en översyn av personuppgiftslagen. Syftet har varit att undersöka om det trots gällande EG-direktiv om personuppgifter går att införa regler mot missbruk av personuppgifter i stället för regler om hanteringen av sådana uppgifter.

Utredningen anser att det är möjligt i fråga om behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud och bild. Det ställningstagandet har gjorts efter en noggrann analys av undantagsmöjligheterna i EG-direktivet i belysning av den utveckling som skett sedan personuppgiftslagen trädde i kraft 1998, bl.a. EG-domstolens motivering i domen i det svenska s.k. konfirmandlärarmålet.

Utredningen föreslår ett undantag från de allra flesta hanteringsreglerna i personuppgiftslagen för behandling av sådana personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter, dvs. i praktiken personregister och personuppgiftsanknutna databaser.

Utredningens förslag innebär i korthet att hanteringsreglerna i personuppgiftslagen inte skall tillämpas på bl.a. sådan vardaglig hantering som produktion av löpande text i ordbehandlingsprogram, publicering av löpande text på Internet, användning av ljud- och bildupptagningar och korrespondens med e-post under förutsättning att materialet inte skall infogas i en databas med en personuppgiftsanknuten struktur såsom ett ärendehanteringssystem.

Den som i sin dator vill hantera personuppgifter i löpande text, t.ex. enkla meddelanden eller kortare och längre texter, eller i ljud och bild eller i e-post behöver således normalt inte bry sig om hanteringsreglerna i personuppgiftslagen. Det är bara om han eller hon vill infoga materialet i någon form av databas som det behövs ytterligare överväganden. Har databasen en personuppgiftsanknuten struktur, där just personuppgifter har markerats som sådana, måste hanteringsreglerna tillämpas.

Den föreslagna, nya regleringen har i praktiken betydelse bara vid automatiserad behandling som sker med hjälp av datorer.

Den behandling som undantas från hanteringsreglerna skall enligt förslaget i stället regleras av en enkel regel till skydd mot missbruk av personuppgifterna. Behandlingen av personuppgifter får nämligen inte utföras om den innebär ett otillbörligt intrång i den personliga integriteten. För att underlätta tillämpningen har utredningen i sina kommentarer sammanfattat några enkla och självklara riktlinjer som bör följas:

•Behandla inte personuppgifter för otillbörliga syften, såsom förföljelse eller skandalisering

•Samla inte utan godtagbara skäl en stor mängd uppgifter om en person

•Rätta personuppgifter som visar sig vara felaktiga eller missvisande

•Förtala eller förolämpa inte någon annan

•Bryt inte mot tystnadsplikt

Den registrerade skall vidare liksom i dag ha rätt att på begäran få ett s.k. registerutdrag med bl.a. de personuppgifter som behandlas. Ett generellt undantag föreslås emellertid för den händelse det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats att lämna ett registerutdrag, t.ex. därför att det är svårt att hitta uppgifter om en viss person i löpande text och ljud- och bildupptagningar.

Den som bryter mot reglerna till skydd mot missbruk av personuppgifter kan enligt förslaget få betala skadestånd till den registrerade. Förslaget innebär vidare att Datainspektionen skall se till att reglerna följs.

12

Skyldigheten att lämna registerutdrag blir mindre betungande

Om en personuppgiftsansvarig har väldigt många register, en större mängd ostrukturerat material eller material på många olika ställen, t.ex. i hundratals persondatorer, kan det vara omöjligt eller väldigt betungande att söka fram alla uppgifter om en person som begär ett s.k. registerutdrag. Utredningen föreslår därför att det uttryckligen anges att information enligt 26 § personuppgiftslagen, i form av ett s.k. registerutdrag, inte behöver lämnas i den utsträckning detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Det krävs dock som regel att den sökande först tillfrågas om sådana upplysningar som kan underlätta sökandet efter personuppgifterna.

Syftet med den föreslagna ändringen är inte att inskränka det som faktiskt tillämpas i dag utan snarast att verklighetsanpassa lagtexten.

Regeringen och myndigheter får föreskriva sådana undantag från personuppgiftslagen som är tillåtna enligt EG-direktivet

Enligt EG-direktivet är det tillåtet för medlemsstaterna att föreskriva undantag från vissa bestämmelser i EG-direktivet när det är nödvändigt med hänsyn till fullgörandet av vissa uppräknade viktiga samhälls- och myndighetsfunktioner eller med hänsyn till skyddet av fri- och rättigheter. Någon motsvarande undantagsbestämmelse finns inte i dag i personuppgiftslagen. Utredningen föreslår att undantagsmöjligheterna utnyttjas genom att regeringen och den myndighet som regeringen bestämmer uttryckligen bemyndigas att meddela föreskrifter och beslut i enskilda fall om sådana undantag som är tillåtna enligt EG-direktivet.

Bara grovt oaktsamma förfaranden skall vara straffbara

I dag kan en person dömas till böter eller fängelse om han eller hon uppsåtligen eller av oaktsamhet bryter mot personuppgiftslagen i fyra uppräknade fall. Utredningen föreslår en avkriminalisering som innebär att, förutom uppsåtliga förfaranden, bara grovt oaktsamma förfaranden skall vara straffbara. Utredningen har inte funnit anledning att i övrigt föreslå en avkriminalisering.

13

Det förtydligas hur myndighetsbeslut överklagas

Redan i dag kan vissa myndighetsbeslut enligt personuppgiftslagen överklagas enligt allmänna bestämmelser om överklagande. Utredningen föreslår att det direkt i personuppgiftslagen tas in bestämmelser om i vilka fall och hur en myndighets beslut enligt lagen överklagas. Särskilda bestämmelser om hur beslut av domstolar överklagas skall dock enligt förslaget tas in i de registerlagar som reglerar domstolarnas behandling av personuppgifter.

Personuppgiftslagens förhållande till offentlighetsprincipen och sekretesslagen förtydligas

I syfte att förtydliga föreslår utredningen en uttrycklig regel om att de generella bestämmelserna i personuppgiftslagen inte inskränker myndigheternas skyldighet enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen att på begäran söka efter, sammanställa och lämna ut personuppgifter. Utredningen föreslår vidare att även andra organ än myndigheter som har skyldigheter enligt offentlighetsprincipen, t.ex. kommunala bolag, skall omfattas av de undantag med hänsyn till offentlighetsprincipen som finns i personuppgiftslagen.

Enligt 7 kap. 16 § sekretesslagen gäller sekretess för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Utredningen har haft i uppdrag att förtydliga bestämmelsen men inte att föreslå att den skall ändras i sak eller upphävas. Utredningen föreslår att bestämmelsen förtydligas enligt följande.

Sekretess skall gälla för en personuppgift om det finns skäl att anta att uppgiften efter ett utlämnande kommer att behandlas i strid med personuppgiftslagen. Därmed förtydligas bl.a. att myndigheten måste ha något skäl – t.ex. att uppgifter om väldigt många människor begärs utlämnade – för att ställa frågor om den tilltänkta användningen av uppgifterna.

Sekretess skall också gälla för en personuppgift om myndighetens utlämnande av uppgiften står i strid med bestämmelsen om överföring av personuppgifter till tredje land i 33 § personuppgiftslagen. Det skall dock inte medföra sekretess för uppgifter i allmänt register som enligt lag eller förordning är avsett att ge allmänheten information, t.ex. fastighetsregistret. Dessa bestämmelser kommer i praktiken bara att vara aktuella i det undantagsfallet att en myn-

14

dighet enligt offentlighetsprincipen är skyldig att sända en personuppgift till utlandet.

Övriga frågor

Utredningen har haft i uppdrag att se över möjligheten till undantag för sådan behandling av personuppgifter inom den privata sfären som faller utanför EG-rätten och därmed inte omfattas av EG- direktivet. Utredningen konstaterar att det undantag för rent privat behandling av personuppgifter som är tillåtet enligt EG-direktivet redan har utnyttjats fullt ut och att det inte finns skäl för att göra ytterligare undantag från personuppgiftslagen.

I dag finns det i personuppgiftslagen ett förbud för andra än myndigheter, dvs. enskilda, att behandla personuppgifter om lagöverträdelser m.m., men undantag kan föreskrivas i andra författningar eller i beslut i enstaka fall. Utredningen har haft i uppdrag att analysera om konkreta undantag bör tas in direkt i personuppgiftslagen. Utredningen har kommit fram till att de möjligheter till undantag genom generella föreskrifter i andra författningar och genom beslut i enstaka fall som redan finns är tillräckliga och att några bestämmelser om undantag från förbudet för enskilda att behandla personuppgifter om lagöverträdelser således inte bör föras in direkt i personuppgiftslagen.

Det föreslås inga ändringar i personuppgiftslagen med anledning av EG-domstolens dom med tolkningsbesked i det svenska s.k. konfirmandlärarmålet om publicering av personuppgifter på Internet.

______________

De föreslagna lagändringarna kan i praktiken träda i kraft tidigast den 1 juli 2005.

15

1 Författningsförslag

1.1Förslag till lag om ändring i personuppgiftslagen (1998:204)

Härigenom föreskrivs i fråga om personuppgiftslagen (1998:204) dels att 8, 26 och 49 §§ skall ha följande lydelse,

dels att det i lagen skall införas fyra nya paragrafer, 5 a, 26 a och 42 a och 52 §§, samt närmast före 5 a och 42 a §§ nya rubriker av följande lydelse.

Personuppgifter som inte ingår i personregister

5 a § Bestämmelserna i 9, 10, 13, 21, 23, 24, 28, 33 och 42 §§ skall inte tillämpas på behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter. Sådan behandling får utföras bara om den inte innebär ett otillbörligt intrång i den personliga integriteten.

melserna innebär inte heller en sådan begränsning av en myndighets befogenhet att göra en sammanställning tillgänglig som avses i 2 kap. 3 § tredje stycket tryckfrihetsförordningen.

Bestämmelserna hindrar inte heller att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelsen i 9 § fjärde stycket gäller inte för en myndighets användning av personuppgifter i allmänna handlingar.

Vid tillämpningen av denna paragraf jämställs med myndighet ett annat organ i den utsträckning som anges i 1 kap. 8 och 9 §§ sekretesslagen (1980:100).

26 § Den personuppgiftsansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om

a)vilka uppgifter om den sökande som behandlas,

b)varifrån dessa uppgifter har hämtats,

c)ändamålen med behandlingen, och

d)till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.

En ansökan enligt första stycket skall göras skriftligen hos den

personuppgiftsansvarige och vara undertecknad av den sökande själv. Information enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes.

18

Information enligt första stycket behöver inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.

26 a § Information enligt 26 § behöver inte lämnas i den utsträckning detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Information enligt 26 § behöver inte heller lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.

Bemyndigande att meddela undantag

42 a § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från 9, 23–26 och 28 §§ samt 29 § andra stycket och 42 § om det är nödvändigt med hänsyn till

a)statens säkerhet,

b)försvaret,

c)allmän säkerhet,

d)åtal eller förebyggande, undersökning eller avslöjande av brott eller av överträdelse av etiska regler,

19

______________

Denna lag träder i kraft den […]. Föreskrifterna i 52 § skall dock inte tillämpas i fråga om överklagande av beslut som har meddelats före ikraftträdandet.

21

1.2Förslag till lag om ändring i sekretesslagen (1980:100)

Härigenom föreskrivs1 att 7 kap. 16 § sekretesslagen (1980:100) skall ha följande lydelse.

giftslagen skall dock inte medföra sekretess för uppgifter i allmänt register som enligt lag eller förordning är avsett att ge allmänheten information.

______________

Denna lag träder i kraft den […].

1Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046).

2Senaste lydelse SFS 1998:205.

22

2Utredningsarbetet och betänkandet

2.1Utredningsarbetet

Utredningens utredningsdirektiv (dir. 2002:31) finns som bilaga 1. Utredningen har enligt tilläggsdirektiv (dir. 2003:53 och 2003:164) fått förlängd utredningstid för att kunna beakta EG-domstolens dom i det s.k. konfirmandlärarmålet. Domen meddelades den 6 november 2003.

Utredningen har haft 10 sammanträden, varav ett internatsammanträde under två dagar. Vid sammanträdena har utkast till texter till betänkandet gåtts igenom och diskuterats.

Utredningen har haft en hemsida på Internet.1

Den särskilde utredaren har samrått med Offentlighets- och sekretesskommittén (Ju 1999:06) och haft informationsutbyte med Underrättelsedatautredningen (Fö 2002:01). Det uppdrag om samråd med den kommitté som får i uppdrag att göra en bred kartläggning avseende skyddet för den personliga integriteten i det moderna samhället som anges i utredningsdirektiven har inte kunnat fullgöras, eftersom den nämnda kommittén inte tillsatts ännu.

Utredaren har under hand berett Landsorganisationen i Sverige (LO), Tjänstemännens Centralorganisation (TCO), Sveriges Akademikers Centralorganisation (SACO), Tidningsutgivarna och Riksarkivet tillfälle att komma in med synpunkter på utkast till texter.

Utredaren har haft kontakter med företrädare för de politiska partier som är representerade i riksdagen och därvid informerat om de förslag som utredningen övervägt och inhämtat partiernas syn-

1 http://www.sou.gov.se/pulutredningen/.

punkter. Utredaren har bl.a. informerat om huvuddragen i förslagen vid ett sammanträde med riksdagens konstitutionsutskott.

Utredaren, som varit placerad på Justitiedepartementets grundlagsenhet och bl.a. verkat inom EU för att EG-direktivet om personuppgifter2 skall ändras, har under utredningstiden följt eller deltagit i viktigare delar av det löpande arbetet med författningar och internationella kontakter och överenskommelser rörande skydd för personuppgifter. Utredaren har haft kontakter med företrädare för EG-kommissionen.

Utredaren har också, bl.a. via Datainspektionens expert i utredningen, hållit sig underrättad om Datainspektionens arbete med att utforma konkret vägledning i fråga om personuppgiftslagen (1998:204).

2.2Betänkandet

Syftet med personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Betänkandet inleds därför med ett kortare avsnitt om personlig integritet (avsnitt 3).

Som underlag för sitt arbete har utredningen bl.a. haft, förutom EG-direktivet om personuppgifter och personuppgiftslagen, utvecklingen i rättstillämpningen, resultatet av Justitiedepartementets offentliga utvärdering av EG-direktivet och genomförandet av EG- direktivet i andra länder.

EG-direktivet om personuppgifter, som ligger till grund för personuppgiftslagen, finns som bilaga 3. De bestämmelser i EG- direktivet som har betydelse för utredningens överväganden presenteras i det avsnitt respektive fråga berörs. En allmän genomgång av bestämmelserna i EG-direktivet finns i Datalagskommitténs betänkande SOU 1997:39 (avsnitt 3) och kortare presentationer av EG-direktivet finns i flera färska betänkanden med förslag till särskilda registerförfattningar, t.ex. avsnitt 2.1 i SOU 2001:100. Det har inte ansetts nödvändigt att upprepa något liknande här. Som bilaga 4 finns det protokoll som fördes inom rådet när den gemensamma ståndpunkten om EG-direktivet antogs och som innehåller

2Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046), kallas i det följande bara EG-direktivet.

24

vissa uttalanden som kan vara av betydelse vid tolkningen av EG- direktivet.

Personuppgiftslagen finns som bilaga 2. De bestämmelser i lagen som har betydelse för utredningens överväganden presenteras i det avsnitt respektive fråga berörs. Eftersom kortare presentationer av bestämmelserna i personuppgiftslagen finns i flera färska betänkanden med förslag till särskilda registerförfattningar, t.ex. avsnitt 2.2 i SOU 2001:100, har det inte ansetts nödvändigt med någon motsvarande presentation här.

Integritetsskyddet vid användandet av information är sedan flera årtionden berört också i andra internationella instrument än EG- direktivet. Avsnitt 4 innehåller en översikt över de viktigaste av dessa instrument. De viktigaste bestämmelserna i Europarådets dataskyddskonvention nr 108, som är bindande för Sverige, finns i engelsk version och svensk översättning i bilaga 5. De bestämmelser i de internationella instrumenten som har direkt betydelse för utredningens överväganden presenteras i det avsnitt respektive fråga berörs.

Utredningen har gått igenom och följt utvecklingen i rättstillämpningen på området. En redovisning av detta finns i avsnitt 5. Relevant domstolspraxis redovisas också i de avsnitt som berör olika sakfrågor. I avsnitt 14 redogörs särskilt för utredningens överväganden med anledning av EG-domstolens dom i det s.k. konfirmandlärarmålet.

Justitiedepartementet har gjort en offentlig utvärdering av EG- direktivet. En sammanfattning av den utvärderingen finns i avsnitt 6.

Utredningen har gått igenom den generella lagstiftning som genomför EG-direktivet i andra länder i EU och EES. Utredningen har därvid noterat att det finns skillnader i genomförandet och att dessa skillnader kan innebära olägenheter för personuppgiftsansvariga med verksamhet i flera länder eller i en internationell koncern. Det är emellertid inget som man kan råda bot på genom ändringar i bara den svenska personuppgiftslagen, utan ett avhjälpande kräver internationellt samarbete. EG-kommissionen har i sin rapport3 från maj 2003 om genomförandet av EG-direktivet i medlemsstaterna presenterat ett arbetsprogram för ett bättre genomförande av EG- direktivet. EG-kommissionens rapport innehåller i en bilaga en omfattande redovisning av genomförandet i medlemsstaterna. Ut-

25

redningen har därför inte ansett det meningsfullt att i betänkandet redovisa alla olikheter i genomförandet eller att här försöka lämna en allmän presentation av genomförandet i andra länder. Genomförandet i andra länder av relevanta bestämmelser i EG-direktivet redovisas dock kortfattat i de avsnitt som berör olika sakfrågor.

Utredningens huvuduppgift är att se hur långt man inom ramen för EG-direktivet kan gå för att åstadkomma ett regelverk som mera tar sikte på missbruk av personuppgifter än hanteringen av dessa. Utredningens överväganden och förslag i den delen redovisas i avsnitt 7 om personuppgifter som inte ingår i personregister.

Utredningen har därutöver enligt utredningsdirektiven vissa särskilda uppdrag som redovisas i följande avsnitt. I avsnitt 8 berörs möjligheterna att göra undantag från personuppgiftslagen för sådant som inte omfattas av EG-direktivet, och i avsnitt 9 berörs möjligheterna att göra undantag från vissa bestämmelser i lagen för bl.a. säkerhet och brottsundersökning m.m. Avsnitt 10 innehåller en redovisning av möjligheterna att genom uttryckliga bestämmelser i personuppgiftslagen tillåta att andra än myndigheter behandlar personuppgifter om lagöverträdelser. Frågan om möjligheterna att justera bestämmelserna om registerutdrag, som utredningen funnit anledning att ta upp, berörs i avsnitt 11. Uppdraget att se över om något som i dag är straffbelagt enligt personuppgiftslagen kan avkriminaliseras redovisas i avsnitt 12. Avsnitt 13 innehåller utredningens överväganden och förslag om hur det i personuppgiftslagen kan införas ett förtydligande av hur myndighetsbeslut överklagas. Avslutningsvis redovisar utredningen i avsnitt 15 uppdraget att förtydliga bestämmelsen i 7 kap. 16 § sekretesslagen (1980:100).

Avsnitt 16 innehåller utredningens överväganden i fråga om ikraftträdande av föreslagna lagändringar och övergångsbestämmelser till dessa.

I avsnitt 17 berörs konsekvenserna av utredningens förslag.

I det avslutande avsnittet finns författningskommentarer till utredningens förslag till lagändringar.

Därefter finns det särskilda yttrande som avgetts. I bilaga 6 finns det en sammanfattning på engelska.

26

3 Den personliga integriteten

3.1Begreppet personlig integritet

Syftet med personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter (1 §).

Den personliga integriteten har uppmärksammats i många statliga utredningar och varit föremål för analys även i många andra sammanhang. Det genomgående för dessa överväganden har varit att det alltid visat sig vara svårt att precisera innebörden av begreppet personlig integritet.4

Uppfattningen om vad som omfattas av den personliga integriteten varierar mellan olika människor. Det beror i hög grad på den enskildes subjektiva uppfattning om vad denne anser ingå i den rent personliga sfären. Den enskildes uppfattning kan i sin tur påverkas av t.ex. politisk eller religiös övertygelse. Dessutom förändras inställningen till integritet över tiden. Värderingar påverkas mycket av den tidsålder och det samhälle man lever i. När det gäller uppgifter som är personliga kan det också ha betydelse i vilket sammanhang de används om den enskilde uppfattar det som att hans eller hennes integritet har kränkts eller inte.

Det finns en allmän uppfattning i samhället att varje person har ett välgrundat anspråk på att andra personer handlar på ett sådant sätt att hans eller hennes personliga integritet respekteras. Oavsett den exakta definitionen av begreppet personlig integritet finns en privat sfär som man inte accepterar intrång i. Skyddet för den personliga integriteten uppfattas också som viktigt av de enskilda människor som är berörda. Man skulle kunna tro att människors

4Redogörelsen i förevarande avsnitt bygger exempelvis på motsvarande redogörelse i SOU 2002:2 s. 138 ff.

ningar av det slag som vid flera tillfällen har utförts av Statistiska centralbyrån.

Rätten till personlig integritet är vidare inte absolut, utan från tid till annan föremål för inskränkningar. Skyddet för den personliga integriteten måste avvägas mot andra grundläggande demokratiska rättigheter och värden, t.ex. informationsfriheten och yttrandefriheten.

Man måste också beakta de helt legitima behov som finns att använda personanknuten information i ett samhälle av sådan storlek och komplexitet som det vi lever i. Utgångspunkten var i förarbetena till 1973 års datalag att skyddet för den personliga integriteten inte kan sträcka sig längre än vad som är möjligt med hänsyn till de krav samhällsgemenskapen uppställer. Det förutsattes således att en väl fungerande samhällsorganisation alltid kommer att medföra intrång i enskilda individers personliga integritet. Frågan blir då vad som kan tolereras och vad som går utöver det som är acceptabelt samt vad som är ett otillbörligt intrång i den personliga integriteten och vad som inte är det.

Mot bakgrund härav kan man säga att personers integritet kränks i den mån som det sker ett intrång i deras privata sfär och/eller uppgifter om dem, som det finns rimliga skäl att beteckna som integritetskänsliga, sprids. Dessa uppgifter kan gälla personers egenskaper, uppfattningar eller handlingar. Rättigheten till personlig integritet kan beskrivas som en ”prima facie-rättighet”. Den är en giltig och välgrundad rättighet som dock i en konkret handlingssituation kan sättas ur spel om den kommer i konflikt med någon annan rättighet som väger tyngre.10

3.2Personlig integritet vid automatiserad behandling av personuppgifter

Det klassiska målet för integritetsskyddet i samband med automatiserad behandling av personuppgifter – att få bli lämnad i fred – har enligt vissa fått ett nytt innehåll genom att datakvalitetsfrågor tagit över. Man framhåller härvid vikten av att behandlade uppgifter

10 SOU 1997:39 s. 796 och 801.

30

är korrekta, att uppgifterna används i rätt sammanhang och endast för berättigade ändamål. Skyddsintresset kan i detta sammanhang anses vara lika viktigt för juridiska personer som för enskilda individer. Fokus är mer inriktat på att informationsbehandlingen håller en hög kvalitet än att individens personuppgifter inte får behandlas.

Vissa faktorer har ansetts särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid automatiserad behandling av personuppgifter. Det gäller arten av personuppgifter som samlas in och registreras och varför detta görs, hur och av vem uppgifterna används samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar.

Sådana tankegångar kan sägas ligga till grund för de dataskyddsprinciper som utarbetats11 och som ligger till grund för hanteringsreglerna i personuppgiftslagen.

Att den personliga integriteten skyddas innebär enligt Datalagskommittén att användningen av personuppgifter regleras och begränsas. Enligt dess uppfattning står det klart att en integritetsskyddslagstiftning måste hämma användningen av personuppgifter; ju mera användningen hämmas, desto starkare blir integritetsskyddet. Vilken reglering och begränsning av användningen av personuppgifter som är nödvändig för att skydda den personliga integriteten ansåg kommittén till stora delar vara en fråga som är beroende av rådande värderingar i samhället. Sådan användning som enligt dessa värderingar framstår som otillbörligt intrång i annans personliga integritet skall så långt som möjligt förebyggas. När personuppgifter som är felaktiga eller missvisande används, kan det få svåra konsekvenser för såväl enskilda som verksamheten i samhället. Då kan det bli fråga om direkt mätbara fysiska eller ekonomiska skador, t.ex. när fel person sätts i fängelse eller fel ben amputeras. Att användningen av personuppgifter leder till sådana skador kan givetvis aldrig accepteras; det är därför ett oeftergivligt krav att de uppgifter som används är riktiga och inte missvisande. Men i övrigt

– dvs. när och hur i och för sig korrekta personuppgifter används – utgör regleringen av integritetsskyddet en värderingsfråga.12 Personuppgiftslagen skall alltså utgöra den reglering och begränsning av användningen av personuppgifter som enligt rådande värderingar i samhället är nödvändig för att skydda den personliga integriteten.

11Se om dessa principer avsnitt 4.

12SOU 1997:39 s. 180 f.

31

Värderingarna i samhället påverkas bl.a. av hur informationstekniken uppfattas och används. Detta är emellertid ett dynamiskt område där utvecklingen går snabbt. Man kan dock urskilja åtminstone fem aspekter när det gäller hur informationstekniken uppfattas och används: automation, informationshantering, kommunikation, vardagsteknik och konvergens.13

I datorernas barndom var det automation som stod i fokus. De nya maskinerna utgjorde ett effektivt alternativ till manuell hantering av t.ex. beräkningar, eftersom de kunde automatiserat bearbeta information på ett strukturerat sätt.

I takt med att tekniken för att lagra och återhämta information i datorläsbart format förbättrades ökade intresset för informationshantering. Man kunde nu ha enorma mängder information tillgänglig för datorbehandling, och med rätt struktur och teknik kunde man också lätt finna relevant information.

Ungefär i detta skede – när myndigheter och andra stora organisationer kunde både ha informationen lättillgänglig och bearbeta den automatiserat – ökade oron för intrång i den personliga integriteten och utarbetades som ett svar de s.k. dataskyddsprinciper som ligger bakom EG-direktivet.

Men utvecklingen av informationstekniken och synen på och användningen av den stannade inte där.

Datorer, och därmed tekniken att enkelt lagra och bearbeta information, har för det första blivit ett vardagligt arbetsredskap och var mans egendom, en vardagsteknik.

På senare år har för det andra kommunikation alltmer betonats. Internationella datakommunikationsnätverk, såsom Internet, har utvecklats och fått ett enormt genomslag hos organisationer och enskilda. Dessa nätverk kan användas inte bara för att kommunicera enskilt med anslutna användare utan också som ett lättillgängligt massmedium där vem som helst kan publicera information. Därmed har den grundläggande konflikten mellan integritetsskydd och yttrande- och informationsfrihet blivit akut. Det faktum att så många datorer är sammankopplade i världsomspännande nätverk gör också säkerhetsfrågor akuta.

För det tredje har ett fenomen som brukar benämnas konvergens uppmärksammats på senare år. Olika former av informationsteknik smälter samman alltmer – datorkommunikation, telefon, radio och television m.m. – och informationstekniken kommer in på allt fler

13Indelningen och begreppsbildningen i denna del har inspirerats av en artikel av Peter Seipel i SOU 2002:112 s. 21–32.

32

områden i vårt vardagsliv – positionsbestämning av vardagsföremål såsom fordon och telefoner, ”intelligenta” kylskåp eller hela hem, inpasseringssystem m.m. Den alltmer utbredda och sammansmälta användningen av informationsteknik i vardagslivet, särskilt i kombination med lagring, bearbetning och kommunikation av den information som framkommer, har inneburit nya möjligheter att kartlägga individer på ett ibland osynligt sätt. Kommunikation i nätverk förutsätter vidare oftast att de datorer som är sändare och mottagare är identifierade på något sätt, t.ex. genom s.k. IP- nummer, vilket gör att kommunikationen i sig kan ge upphov till nya former av personanknuten information som kan sparas och användas för att kartlägga individer.

Enligt utredningsdirektiven skall utredningen närmare analysera förutsättningarna – inom ramen för EG-direktivet – för en reglering som tar sikte på missbruk av personuppgifter snarare än varje slags hantering av sådana uppgifter. Syftet skall i första hand vara att underlätta vardaglig hantering av personuppgifter och opinionsbildning samt kommunikation samtidigt som enskilda ges ett effektivt skydd mot missbruk av uppgifterna och andra obefogade intrång i den personliga integriteten. Regleringen skall liksom hittills vara teknikoberoende. I den utsträckning det med hänsyn till EG-direktivet är möjligt med lättnader i hanteringsreglerna skall utredningen föreslå de bestämmelser som är nödvändiga för att förhindra missbruk av personuppgifter och andra obefogade intrång i den personliga integriteten. Skillnaden mellan lagstiftning efter en hanteringsmodell respektive en missbruksmodell beskrivs i avsnitt 7.2.

Utgångspunkten är alltså att hanteringsreglerna till skydd för den personliga integriteten vid behandling av personuppgifter om möjligt skall lättas upp. Rådande värderingar i samhället får anses ge vid handen att dessa hanteringsregler i många fall upplevs som alltför restriktiva och byråkratiska i förhållande till det integritetsskydd ett upprätthållande av reglerna kan ge. Detta stöds av Justitiedepartementets offentliga utvärdering av reglerna (EG-direktivet om personuppgifter – En offentlig utvärdering, Ds 2001:27; i fortsättningen benämnd Justitiedepartementets offentliga utvärdering). Hanteringsreglerna i personuppgiftslagen tar främst sikte på automatiserad behandling av personuppgifter i datorer. Man kanske kan säga att i takt med att datorer blivit tillgängliga för envar och datoranvändning blivit en vardaglig sak, har hanteringsreglerna kommit att framstå som alltmer otidsenliga. När reglerna skall tillämpas varje dag inte bara av regelrätta registerförare och deras specialise-

33

rade medhjälpare utan också av så gott som varje anställd och egenföretagare, är det naturligt att söka efter enklare regler som på ett mer konkret sätt skyddar den personliga integriteten.

Det må vara svårt att förstå varför något så vardagligt som ”normal” datoranvändning skall vara underkastat särskilda regler som upplevs som byråkratiska och inte påtagligt kopplade till integritetsskyddet. Det är dock inte utredningens uppfattning att intresset i samhället för ett starkt integritetsskydd i sig minskat utan det finns som utredningen ser det en större förståelse och ett större intresse för generellt verkande och teknikoberoende regler som mera direkt och konkret skyddar den personliga integriteten. Re- geringen avser exempelvis, såsom framgår av utredningsdirektiven, att tillsätta en särskild kommitté med uppdrag att göra en bred kartläggning avseende skyddet för den personliga integriteten i det moderna samhället.14 Riksdagen har också av regeringen beställt en analys av om det frivilliga grundlagsskyddet för t.ex. hemsidor på Internet kan komma i konflikt med bestämmelserna med syfte att skydda den personliga integriteten och, om så behövs, förslag till ändrad lagstiftning.15

Det är utredningens uppfattning att sådana generellt verkande och teknikoberoende regler till direkt skydd för den personliga integriteten, som nu skall analyseras i särskild ordning, ofta är att föredra framför sådana hanteringsregler som finns i personuppgiftslagen när det gäller alldaglig datoranvändning. Sådana generella regler måste emellertid – såsom redan aviserats – utredas och analyseras i ett större sammanhang än inom ramen för en översyn av personuppgiftslagen med sitt trots allt mera begränsade tillämpningsområde.

Utredningen vill för tydlighets skull tillägga att de s.k. dataskyddsprinciper16 som ligger bakom hanteringsreglerna i personuppgiftslagen och de många särskilda registerförfattningar som anknyter till lagen fortfarande är i allra högsta grad adekvata och relevanta i fråga om hantering av personuppgifter i stora, regelrätta registerstrukturer. Det gäller t.ex. de stora databaser med personuppgifter som finns hos myndigheter och större företag, såsom banker och försäkringsbolag, eller företag som specialiserat sig på

14Jämför också studien Skyddet för enskilda personers privatliv, Ds 1994:51, och Jan Freese, Rapport om skyddet för enskilda personers privatliv – ett mer samlat grepp?, 1995.

15KU 2001/02:21 s. 32 och rskr. 2001/02:233. Analysen skall göras av Tryck- och yttrandefrihetsberedningen (Ju 2003:04), se dir. 2003:58. Jämför också Ds 2003:25 om självsanering av Internet.

16Se om dessa principer avsnitt 4.

34

registerhantering av personuppgifter vid t.ex. kreditupplysning eller direkt marknadsföring.17

17 Jämför SOU 1997:39 s. 185 f.

35

4 Internationella instrument

4.1Inledning

Förutom EG-direktivet finns det ett par andra för Sverige bindande internationella instrument rörande skydd för personuppgifter som utarbetats inom Europarådet. Det gäller dels artikel 8 i den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen), som numera gäller som svensk lag (SFS 1994:1219), dels Europarådets s.k. dataskyddskonvention (nr 108). Här redovisas därför i relevanta delar innehållet i dessa instrument, som Sverige alltså måste följa oberoende av EG-direktivet.

Det finns vidare ett par andra internationella instrument än de som utarbetats inom Europarådet som bör nämnas: OECD:s riktlinjer och rekommendation om skyddet för den personliga integriteten och gränsöverskridande flöden av personuppgifter och FN:s riktlinjer om datoriserade register med personuppgifter. Också dessa instrument redovisas därför här.

Det bör här också nämnas att Europeiska unionens stadga om de grundläggande rättigheterna, som i dag inte är bindande, i artikel 8 innehåller följande särskilda bestämmelser om skydd av personuppgifter:

”1. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

2. Dessa uppgifter skall behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.

3. En oberoende myndighet skall kontrollera att dessa regler efterlevs.”

4.2Europarådet

4.2.1Europakonventionen

Artikel 8 i Europakonventionen lyder enligt följande:

”Artikel 8 – Rätt till skydd för privat- och familjeliv

1.Var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.

2.Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.”

Det står klart att behandling av personuppgifter och t.ex. rätt till tillgång till registrerade personuppgifter i och för sig kan falla inom tillämpningsområdet för artikel 8 i Europakonventionen. All slags behandling av personuppgifter omfattas dock inte, utan frågan måste gälla privatliv, familjeliv, hem eller korrespondens. Europakonventionen tar i första hand sikte på åtgärder av det allmänna. I viss utsträckning kan de olika artiklarna i konventionen emellertid ha betydelse också för förhållandet mellan enskilda. Det är oklart om och i vilken utsträckning artikel 8 kan ha betydelse i fråga om enskildas behandling av personuppgifter.

EG-domstolen har ansett att bestämmelserna i artikel 8 i Europakonventionen har betydelse vid sidan av EG-direktivet vid bedömningen av nationella regler som tillåter behandling av personuppgifter.18

Här finns vidare anledning att redovisa också artikel 10 i Europakonventionen om yttrandefrihet:

18 EG-domstolens dom den 20 maj 2003 i mål nr C-465/00 och C-138 och 139/01.

38

”Artikel 10 – Yttrandefrihet

1.Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser. Denna artikel hindrar inte en stat att kräva tillstånd för radio-, televisions- eller biografföretag.

2.Eftersom utövandet av de nämnda friheterna medför ansvar och skyldigheter, får det underkastas sådana formföreskrifter, villkor, inskränkningar eller straffpåföljder som är föreskrivna i lag och som i ett demokratiskt samhälle är nödvändiga med hänsyn till statens säkerhet, till den territoriella integriteten eller den allmänna säkerheten, till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller för annans goda namn och rykte eller rättigheter, för att förhindra att förtroliga underrättelser sprids eller för att upprätthålla domstolars auktoritet och opartiskhet.”

4.2.2Dataskyddskonvention nr 108

Europarådets ministerkommitté antog år 1980 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, den s.k. dataskyddskonventionen. Den engelska texten i konventionen till och med kapitel III, jämte en svensk översättning, finns i bilaga 5. Till konventionen har fogats en förklarande rapport av den expertgrupp inom Europarådet som utarbetat konventionstexten. Konventionen trädde i kraft den 1 oktober 1985, då kravet var uppfyllt att fem medlemsländer tillträtt konventionen. Samtliga medlemsstater i EU har ratificerat konventionen. Konventionen är alltså bindande för Sverige, liksom för övriga medlemsstater. Det har beslutats om ändringar i dataskyddskonventionen för att göra det möjligt för Europeiska unionen att ansluta sig. Det har också till konventionen utarbetats ett tilläggsprotokoll om tillsynsmyndigheter och flödet av personuppgifter över gränserna. Till konventionen ansluter en rad rekommendationer som inte är direkt bindande.19

19Konventionen och rekommendationerna samt annat material finns på Europarådets webbplats för dataskyddsfrågor: http://www.coe.int/T/E/Legal_affairs/Legal_cooperation/Data_protection/.

39

Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet (artikel 3). Varje konventionsstat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet för konventionen i dess helhet. Däremot är det ingenting som hindrar att registrerade personer tillerkänns ett mer omfattande skydd än som föreskrivs i konventionen (artikel 11).

Konventionen har fem kapitel. Den centrala delen är kapitel II (artiklarna 4–11) som innehåller de grundläggande principerna för dataskydd. Varje konventionspart skall vidta de åtgärder som behövs för att dess nationella lagstiftning skall innehålla dessa grundläggande principer. Dessa grundläggande principer skall garantera registrerade personer i alla länder där konventionen gäller ett visst minimiskydd i samband med automatisk databehandling av personuppgifter. Detta skall göra det möjligt för konventionsparterna att ömsesidigt avstå från att begränsa dataflödet över gränserna.

Kapitel II innehåller krav på beskaffenheten av de personuppgifter som undergår automatisk databehandling (artikel 5). Dessa krav innebär bl.a. att uppgifterna skall inhämtas och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet. Vissa typer av uppgifter får inte undergå automatisk databehandling, om inte den nationella lagen ger ett ändamålsenligt skydd (artikel 6). Det gäller uppgifter om ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa, sexualliv samt brott. Lämpliga säkerhetsåtgärder skall vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse m.m. (artikel 7). Vissa ytterligare skyddsåtgärder för registrerade personer föreskrivs (artikel 8). Vidare föreskrivs bl.a. att alla som är registrerade i ett personregister skall ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade.

Vissa undantag får enligt konventionen göras i fråga om kraven på uppgifternas beskaffenhet och dylikt (artikel 9). För sådana avvikelser krävs dock dels att de har stöd i nationell lagstiftning, dels att de utgör en nödvändig åtgärd i ett demokratiskt samhälle för att skydda statens säkerhet, allmän säkerhet, statens monetära intressen eller för att undertrycka brottsliga åtgärder eller för att skydda den registrerade eller andra personers fri- och rättigheter. Rätten till insyn och rättelse m.m. får också i vissa fall inskränkas i fråga om personregister för statistikändamål eller vetenskapliga forskningsändamål.

40

Kapitel III innehåller bestämmelser om behandlingen i nationell lag av flödet av personuppgifter över gränserna. Kapitel IV och V reglerar formerna för samarbetet mellan konventionsstaterna, medan kapitel VI och VII innehåller bestämmelser om hur man kan ansluta sig till konventionen och hur den kan ändras.

4.3OECD:s riktlinjer20

Inom Organisationen för ekonomiskt samarbete och utveckling, OECD, har en expertgrupp utarbetat vissa riktlinjer i fråga om integritetsskyddet och flödet av personuppgifter över gränserna, Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data. Riktlinjerna antogs år 1980 av OECD:s råd tillsammans med en rekommendation till medlemsländernas regeringar om att beakta riktlinjerna i nationell lagstiftning. Samtliga medlemsländer, däribland Sverige, har godtagit rekommendationen och därmed åtagit sig att följa denna. Ytterligare åtgärder som t.ex. ratifikation av medlemsländerna krävs inte varför riktlinjerna har trätt i kraft.

Enligt rekommendationen skall medlemsländerna i sin nationella lagstiftning beakta de principer om personlig integritet och individens grundläggande rättigheter som har presenterats i de riktlinjer som fogats till rekommendationen. Medlemsländerna skall vidare försöka undanröja opåkallade hinder för internationell datakommunikation som gäller personuppgifter och undvika att nya sådana skapas under förevändning av behov av skydd för personlig integritet. Samarbete skall bedrivas vid verkställigheten av riktlinjerna och så snart som möjligt skall länderna avtala om särskilda procedurer för överläggningar och samarbete som gäller tillämpningen av riktlinjerna.

Syftet med riktlinjerna är att söka undvika de risker för personlig integritet och individens frihet som personuppgifter kan utgöra på grund av det sätt på vilket de behandlas, på grund av uppgifternas natur eller på grund av det sammanhang i vilket de används. Riktlinjerna är tillämpliga på personuppgifter inom både den offentliga och den privata sektorn. De är tillämpliga både för uppgifter som lagras automatiskt och uppgifter som förs manuellt. Det finns inget hinder mot att man tillämpar olika skyddsåtgärder för olika slag av

20 Framställningen bygger på den som finns i SOU 1993:10 s. 62 ff.

41

personuppgifter, att man från riktlinjernas tillämpning undantar personuppgifter som uppenbart inte innebär någon risk för personlig integritet eller att man tillämpar riktlinjerna endast på automatisk databehandling av personuppgifter. Undantagen från riktlinjernas grundläggande principer för nationell och internationell tilllämpning skall vara så få som möjligt och göras kända för allmänheten. Riktlinjerna skall betraktas som minimiregler, varför ingenting hindrar att integritetsskyddet görs mer omfattande.

Riktlinjerna innehåller en särskild avdelning som behandlar åtta grundläggande principer rörande skyddet för personlig integritet på det nationella planet.

1.Insamlingen av personuppgifter skall vara begränsad och uppgifter skall inhämtas på ett lagligt och korrekt sätt samt, när det är skäligt, med den registrerades kännedom eller samtycke (”Collection Limitation Principle”).

2.Personuppgifter skall vara relevanta för de ändamål för vilka de skall användas och, i den utsträckning det behövs för dessa ändamål, vara riktiga och fullständiga samt hållas aktuella (”Data Quality Principle”).

3.De ändamål för vilka personuppgifterna samlas in skall vara preciserade senast vid insamlingen. Den efterföljande användningen skall vara begränsad till att uppfylla dessa ändamål eller sådana ändamål som är förenliga med ursprungsändamålen och som preciseras vid varje förändring (”Purpose Specification Principle”).

4.Personuppgifter får inte röjas, göras tillgängliga eller på annat sätt användas för andra ändamål än de preciserade, om det inte sker med den registrerades medgivande eller med stöd av författning (”Use Limitation Principle”).

5.Personuppgifter skall genom rimliga säkerhetsåtgärder skyddas mot risker för förlust eller otillåten tillgång, förstörelse, användning, förändring eller otillåtet röjande (”Security Safeguards Principle”).

6.En öppenhet skall råda beträffande personuppgifter i fråga om utveckling, tillämpning och policy. Det skall vara möjligt att få veta existensen och beskaffenheten av personuppgifter samt huvudändamålen för vilka de används. Det skall också vara möjligt att få uppgift om vem som är registeransvarig och om var denne finns (”Openness Principle”).

7.Den enskilde skall ha rätt att av den registeransvarige eller av annan få reda på om denne har personuppgifter om honom/henne, att få sig tillsänt eventuella personuppgifter inom rimlig tid, utan

42

alltför stor kostnad, på rimligt sätt och i begriplig form. Vidare skall den enskilde ha rätt att vid avslag på en begäran om uppgifter få veta skälen härför och ha möjlighet att överklaga. Den enskilde skall även ha rätt att ifrågasätta uppgifter som gäller honom eller henne och, om så är nödvändigt, få dessa utraderade, rättade eller kompletterade (”Individual Participation Principle”).

8.Den registeransvarige skall ha ansvaret för att de lagstiftningsåtgärder eller andra åtgärder som vidtas för att genomföra de tidigare angivna principerna följs (”Accountability Principle”).

En avdelning av riktlinjerna innehåller principer för internationell tillämpning. Här föreskrivs bl.a. att medlemsländerna skall vidta alla rimliga och lämpliga åtgärder för att se till att personuppgifter kan passera gränserna säkert och utan avbrott. Vidare skall medlemsländerna avhålla sig från att göra inskränkningar i fråga om flödet av personuppgifter från det egna landet till andra medlemsländer. Sådana inskränkningar är dock tillåtna i förhållande till ett annat land, om detta inte iakttar riktlinjerna eller om personuppgifter bara skall passera genom det andra landet till ett tredje land och avsändarlandets integritetslagstiftning därigenom kringgås. Ett medlemsland får också göra inskränkningar i fråga om personuppgifter för vilka den inhemska integritetslagstiftningen innehåller särskilda skyddsregler, om sådana uppgifter inte har ett likvärdigt skydd i mottagarlandet. Medlemsländerna skall undvika att

– under åberopande av skydd för personlig integritet och individens friheter – i lag, tillämpning eller förfarande ställa upp hinder för flödet av personuppgifter över gränserna som går utöver vad som är nödvändigt för sådant skydd.

Regler om ömsesidigt bistånd mellan medlemsländerna m.m. finns i en särskild avdelning av riktlinjerna. Medlemsländerna skall införa legala, administrativa eller andra förfaranden eller vidta andra åtgärder för att beträffande personuppgifter ge skydd för personlig integritet och individens friheter. Medlemsländerna skall särskilt sträva efter att anta lämplig inhemsk lagstiftning, att främja och understödja självreglering i form av etiska regler eller på annat sätt, att införa lämpliga sanktioner och rättsmedel samt att se till att registrerade inte utsätts för orättvis särbehandling. På begäran skall medlemsländerna ge ett annat medlemsland upplysning om hur de principer iakttas som riktlinjerna innehåller. Medlemsländerna skall också se till att de förfaranden som tillämpas för flöden av personuppgifter över gränserna och för skyddet av personlig integritet

43

och individens friheter är enkla och jämförbara med dem som andra medlemsländer tillämpar. Medlemsländerna skall vidare genom särskilda förfaranden underlätta utbyte av information rörande riktlinjerna och ömsesidigt bistånd i fråga om de förfaranden och utredningar som kan bli aktuella. Vidare skall medlemsländerna arbeta för att utveckla inhemska och internationella principer för vilket lands lag som blir tillämplig i fråga om flöden av personuppgifter över gränserna.

4.4FN:s riktlinjer

FN:s generalförsamling antog år 1990 följande riktlinjer om datoriserade register med personuppgifter (computerized personal data files):

“GUIDELINES CONCERNING COMPUTERIZED PERSONAL

DATA FILES

adopted by the General Assembly on 14 December 1990

The procedures for implementing regulations concerning computerized personal data files are left to the initiative of each State subject to the following orientations:

A. Principles concerning the minimum guarantees that should be provided in national legislations

1. PRINCIPLE OF LAWFULNESS AND FAIRNESS

Information about persons should not be collected or processed in unfair or unlawful ways, nor should it be used for ends contrary to the purposes and principles of the Charter of the United Nations.

2. PRINCIPLE OF ACCURACY

Persons responsible for the compilation of files or those responsible for keeping them have an obligation to conduct regular checks on the accuracy and relevance of the data recorded and to ensure that they are kept as complete as possible in order to avoid errors of omission and that they are kept up to date regularly or when the information contained in a file is used, as long as they are being processed.

3. PRINCIPLE OF THE PURPOSE-SPECIFICATION

The purpose which a file is to serve and its utilization in terms of that purpose should be specified, legitimate and, when it is established, receive a certain amount of publicity or be brought to the attention of

44

gers, such as unauthorized access, fraudulent misuse of data or contamination by computer viruses.

8. SUPERVISION AND SANCTIONS

The law of every country shall designate the authority which, in accordance with its domestic legal system, is to be responsible for supervising observance of the principles set forth above. This authority shall offer guarantees of impartiality, independence vis-a-vis persons or agencies responsible for processing and establishing data, and technical competence. In the event of violation of the provisions of the national law implementing the aforementioned principles, criminal or other penalties should be envisaged together with the appropriate individual remedies.

9. TRANSBORDER DATA FLOWS

When the legislation of two or more countries concerned by a transborder data flow offers comparable safeguards for the protection of privacy, information should be able to circulate as freely as inside each of the territories concerned. If there are no reciprocal safeguards, limitations on such circulation may not be imposed unduly and only in so far as the protection of privacy demands.

10. FIELD OF APPLICATION

The present principles should be made applicable, in the first instance, to all public and private computerized files as well as, by means of optional extension and subject to appropriate adjustments, to manual files. Special provision, also optional, might be made to extend all or part of the principles to files on legal persons particularly when they contain some information on individuals.

B. Application of the guidelines to personal data files kept by governmental international organizations

The present guidelines should apply to personal data files kept by governmental international organizations, subject to any adjustments required to take account of any differences that might exist between files for internal purposes such as those that concern personnel management and files for external purposes concerning third parties having relations with the organization.

Each organization should designate the authority statutorily competent to supervise the observance of these guidelines.

Humanitarian clause: a derogation from these principles may be specifically provided for when the purpose of the file is the protection of human rights and fundamental freedoms of the individual concerned or humanitarian assistance.

A similar derogation should be provided in national legislation for governmental international organizations whose headquarters agreement does not preclude the implementation of the said national legisla-

46

5Utvecklingen i rättstillämpningen och av annan vägledning

5.1Inledning

I enlighet med utredningsdirektiven har utredningen som underlag för sin översyn av personuppgiftslagen bl.a. haft utvecklingen i rättstillämpningen sedan personuppgiftslagen trädde i kraft i oktober 1998. I detta avsnitt redovisas kortfattat den svenska domstolspraxis som utredningen fått kännedom om (avsnitt 5.2). I fråga om domstolspraxis redovisas i övrigt kortfattat de mål angående EG- direktivet som förekommit i EG-domstolen (avsnitt 5.4). Såvitt utredningen kunnat finna har det inte efter personuppgiftslagens ikraftträdande förekommit något avgörande från Europeiska domstolen för de mänskliga rättigheterna som har direkt betydelse för utredningsuppdraget. Det har i övrigt inte varit möjligt att beakta rättstillämpningen i utlandet.

I fråga om rättstillämpningen i övrigt i Sverige har utredningen beaktat Datainspektionens praxis (avsnitt 5.3), baserat på uppgifter som Datainspektionen lämnat till utredningen, och Justitiekanslerns praxis (avsnitt 5.4), baserat på uppgifter från Justitiekanslern. I övrigt har det inte varit möjligt för utredningen att systematiskt beakta hur personuppgiftsansvariga och registrerade i praktiken tillämpar personuppgiftslagen.

Eftersom annan vägledning än rättspraxis kan ha stor betydelse, särskilt innan rättspraxis hunnit bildas, berörs även sådan vägledning kortfattat (avsnitt 5.6).

5.2Svensk domstolspraxis

Under detta avsnitt redovisas svensk domstolspraxis som utredningen fått kännedom om och som kan vara av betydelse för utredningsuppdraget. Det finns ingen garanti för att redovisningen är fullständig avseende underrättspraxis, eftersom det visat sig inte vara möjligt att systematiskt söka fram alla äldre avgöranden som kan vara av betydelse. Från den 1 juli 2002 har det emellertid införts en skyldighet för domstolar att sända relevanta avgöranden till Datainspektionen.21

Det finns bara ett fåtal avgöranden som direkt har gällt tillämpningen av personuppgiftslagen. Bara ett fall har avgjorts av högsta instans. Det är i stället främst genom avgöranden om tillämpningen av 7 kap. 16 § sekretesslagen, som hänvisar till personuppgiftslagen, som personuppgiftslagen kommit upp i domstol.

Fall som i första hand gäller om ett visst förfarande med personuppgifter är skyddat av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen kan ha avgörande betydelse för om personuppgiftslagen är tillämplig. Eftersom sådana fall inte direkt gäller tillämpningen av personuppgiftslagen utan tillämpningen av grundlagarna, redovisas fallen inte här.

5.2.1Tillämpning av personuppgiftslagen

Inledning

Bara ett fåtal fall har gällt frågan om ansvar för brott mot personuppgiftslagen. Alla fall utom ett har gällt publicering på Internet. Några fall är inte slutligen avgjorda ännu. Något exempel på enskilt åtal har utredningen inte hittat, utan i samtliga brottmål har åklagare fört talan.

Bara i ett fall har det varit fråga om ett tvistemål om skadestånd för brott mot personuppgiftslagen utan samband med ett brottmål.

21Förordningen (2002:265) om underrättelse till Datainspektionen om vissa domar och beslut.

50

Internetpublicering

Prejudikat från Högsta domstolen om webbplats för kritik och debatt

Ett fall om Internetpublicering har avgjorts av Högsta domstolen (NJA 2001 s. 409). Det gällde en man – B – som under namnet Stiftelsen Mot Nordbanken (SMN) inrättat en webbplats på Internet. På webbplatsen förekom bl.a. en s.k. elektronisk skampåle och uppgifter om flera namngivna personer. Som exempel kan nämnas att det på webbplatsen fanns uppgifter om en person som innebar att denne bl.a. ingått avtal som avslöjade ytterst grova brott mot bank- och avtalslagar, tillsammans med andra plundrat och slaktat B:s företagsgrupp, i samverkan med andra satt ihop ett avtal som B tvingades underteckna under hot av konkurs, varit inblandad i skenaffärer i syfte att göra en skattebluff, utställt luftfakturor på cirka 400 000 kr, förskingrat B:s tillgångar samt bestulit B på hans livsverk. På webbplatsen hade B angett att SMN är ett ”forum för belysning av bankers, finansbolags och enskilda kapitalisters skadegörelse före, under och efter bankkrisen. Miljardrullningar som med sitt brottsliga inslag ännu inte nått sin kulmen. SMN ska genom Internet förmedla kunskap, erfarenheter och råd för att förhindra en upprepning av denna genom tiderna största svenska samhällskandal i sitt slag. Allt för att folk skall kunna skydda sig mot skrupelfria banker och samvetslösa nätverkskapitalister som har satt i system att roffa åt sig ytterligare makt och medel på entreprenörers, uppfinnares och samhällets bekostnad.”

Åtalet gällde i Högsta domstolen bl.a. att B på Internet lagt ut såväl integritetskränkande som andra personuppgifter varigenom de förts över till tredje land. Högsta domstolen bedömde B:s förfarande enligt personuppgiftslagen, och den avgörande frågan var om förfarandet var undantaget från straffansvar enligt 7 § andra stycket i den lagen därför att behandlingen av personuppgifter skett uteslutande för journalistiska ändamål. Domstolen noterade att den bestämmelsen grundar sig på artikel 9 i EG-direktivet och fortsatte:

”När det gäller tolkningen av artikel 9 i direktivet finns det anledning att peka på att EU enligt artikel F.2 i fördraget om upprättande av Eu- ropeiska unionen skall respektera de grundläggande rättigheterna så som de garanterats i Europakonventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna och så som de följer av medlemsstaternas gemensamma konstitutionella traditioner. Detta

51

återspeglas på olika sätt i regleringen i direktivet. Av artikel 1 framgår att syftet med direktivet är att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter. Av punkt 10 i direktivets ingress framgår att med rätten till privatliv avses detsamma som i artikel 8 i Europakonventionen. Enligt den artikeln har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. På motsvarande sätt framgår av direktivets ingress, punkt 37, att bestämmelserna i artikel 9 om yttrandefrihet särskilt avser den frihet att ta emot och sprida uppgifter och tankar som fastslagits i artikel 10 i Europakonventionen.

Det får mot den bakgrunden anses vara uppenbart att tolkningen av artikel 9 i direktivet skall ske med särskilt beaktande av Europakonventionen. Sedan den 1 januari 1995 gäller Europakonventionen också som lag här i landet och lag eller annan föreskrift får inte meddelas i strid med konventionen enligt 2 kap. 23 § regeringsformen.

Skyddet enligt artikel 8 i Europakonventionen avser privatlivets område. Även om det kan vara svårt att avgränsa vad som är att hänföra till det området faller alltså uppgifter som hänför sig till en persons offentliga liv i princip utanför skyddsområdet. Så länge uppgifterna angår privatlivet saknar det däremot i sig betydelse vilken karaktär som uppgifterna i övrigt har. Skyddet gäller i sådant fall även om uppgifterna inte i sig är känsliga på annat sätt än att de angår privatlivet. Skyddet enligt artikel 8 får inskränkas med stöd av lag bl.a. om det i ett demokratiskt samhälle är nödvändigt med hänsyn till andra personers fri- och rättigheter. En sådan rättighet som kan föranleda inskränkningar är den i artikel 10 skyddade yttrandefriheten.

Den i artikel 10 föreskrivna rätten till åsiktsfrihet och till att utan offentlig myndighets inblandning ta emot och sprida uppgifter och tankar är inte inskränkt till någon viss grupp av personer utan avser var och en. Utövandet av yttrandefriheten får i lag underkastas bl.a. sådana formföreskrifter, villkor, inskränkningar eller straffpåföljder som i ett demokratiskt samhälle är nödvändiga till skydd för annans goda namn och rykte eller rättigheter. En rättighet som kan föranleda inskränkningar är den i artikel 8 skyddade rätten till privatliv. En sådan inskränkning kan sträcka sig längre än vad som behövs för skydd av annans goda namn eller rykte. För uppgifter som ligger utanför det av artikel 8 skyddade området får inskränkningen däremot i allmänhet inte sträcka sig längre än vad som krävs för detta ändamål.

Det finns inte anledning att anta att direktivet i nu berörda hänseenden skulle tolkas på annat sätt än i överensstämmelse med Europakonventionen. I den danska lagstiftning som implementerat direktivet har detta markerats genom att i lagen införa en uttrycklig hänvisning till artikel 10 i Europakonventionen. I motsvarande norska lagstiftning har undantaget för journalistiska ändamål av motsvarande skäl preciserats

52

handlar om ’vedertagen’ journalistik (a. SOU s. 264) samt att enighet skulle råda om att ’seriös’ journalistisk verksamhet är skyddsvärd (a. prop. s. 52). Oavsett ordvalet står det klart att avsikten med dessa uttalanden inte varit att hävda att avgränsningen skulle ske med tillämpning av någon form av kvalitetskriterium när det gäller innehållet utan endast syftat till att ange karaktären av en bedriven verksamhet. Detta framgår bl.a. av den särskilda förklaring i mötesprotokollet som Sverige fick intagen i samband med att direktivet antogs i ministerrådet. Enligt förklaringen ansåg Sverige att de med journalistiska ändamål jämställda undantagen för konstnärligt eller litterärt skapande mera syftar på uttrycksmedlen än kommunikationens innehåll eller dess kvalitet (jfr de s.k. instruktionerna i 1 kap. 4 § tryckfrihetsförordningen och 1 kap. 5 § yttrandefrihetsgrundlagen). Enligt vad som anges i propositionen (s. 53) skall tolkningen av undantaget ske med hänsyn till den avgivna förklaringen vilket anges kunna få betydelse särskilt för kommunikation som inte bedrivs av yrkesverksamma journalister.

Det syfte för webbsidan som angetts på denna och som [B] utvecklat i målet måste mot den angivna bakgrunden anses ligga väl inom ramen för ett journalistiskt ändamål att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten. I vad mån sedan webbsidan kan anses motsvara godtagbar standard enligt de kriterier som man brukar använda när man värderar etablerad journalistisk verksamhet saknar i sig betydelse för bedömningen.

Att webbsidan som sådan måste anses ha haft ett journalistiskt ändamål utesluter emellertid inte att det inom ramen för denna skulle kunna förekomma publicering och behandling av personuppgifter som inte kan anses ha haft ett journalistiskt ändamål. Publicering av uppgifter av rent privat karaktär kan exempelvis normalt inte anses ha ett journalistiskt ändamål helt oberoende av om publiceringen sker i ett sammanhang som i övrigt har journalistiska ändamål. Det saknar härvid i princip betydelse om uppgifterna angår personer som det lämnats också andra uppgifter om som får anses vara omfattade av det journalistiska ändamålet.

[B] får anses ha gjort gällande att alla personuppgifter på webbsidan omfattas av journalistiska ändamål. Under sådana förhållanden ankommer det i princip på åklagaren att åberopa och visa att det föreligger sådana omständigheter som gör att denna invändning mot ansvar framstår som obefogad (jfr NJA 2000 s. 355 och a. prop. s. 119). Vad åklagaren kan anses ha åberopat i denna del är att uppgifterna varit kränkande.

Att elektroniskt eller på annat sätt publicerade texter innehåller kränkande eller nedvärderande uppgifter eller omdömen innebär emellertid inte i sig att det inte är fråga om journalistiska ändamål. Tvärtom får sådant anses utgöra ett normalt inslag inom ramen för en kritisk

54

samhällsdebatt. Som Europadomstolen framhållit innefattar yttrandefriheten även rätten att framföra sådan information och sådana åsikter och tankar som kränker, chockerar eller stör.

Då det i målet inte framförts någon annan omständighet som skulle kunna göra att vissa av personuppgifterna inte omfattades av journalistiska ändamål skall [B:s] invändning i den delen godtas.

För att webbsidan skall vara undantagen från straffansvar enligt 7 § andra stycket personuppgiftslagen krävs emellertid härutöver att behandlingen på webbsidan skett ’uteslutande’ för journalistiska ändamål. Åklagaren får anses ha gjort gällande att [B] haft till syfte att sprida kränkande eller nedvärderande personuppgifter och att behandlingen av dessa uppgifter med hänsyn härtill i vart fall inte skett uteslutande for journalistiska ändamål.

Begränsningen till ’uteslutande’ journalistiska ändamål syftar i första hand på att klargöra att sådan personuppgiftsbehandling som sker inom massmedia och av journalister för annat än redaktionella ändamål faller utanför undantaget. Massmedias behandling av personuppgifter för exempelvis fakturering, direktreklam eller kartläggning av läsarprofiler faller således utanför undantaget (jfr rekommendationen 1/97). Något stöd för att uttrycket ’uteslutande’ därutöver också skulle tolkas så att det oberoende av att en publicering haft journalistiska ändamål skulle vara möjligt att med stöd av personuppgiftslagen bestraffa angrepp på annans goda namn och rykte kan inte anses föreligga.

Detta innebär inte att det så länge som det föreligger ett journalistiskt ändamål står fritt att framföra uppgifter av det aktuella slaget. Uppgiftslämnandet kan vara straffbart som förtal enligt den reglering som finns för sådana brott med särskild försvarlighetsbedömning och möjlighet till sanningsbevisning. Något utrymme för att göra motsvarande bedömningar inom ramen för personuppgiftslagen finns däremot inte. Mot den bakgrunden måste det anses stå klart att straffansvaret enligt personuppgiftslagen inte heller kan avgränsas utifrån sådana kriterier.

Högsta domstolen, som mot bakgrund av vad som anförts inte bedömt det som nödvändigt att inhämta något förhandsavgörande från EG-domstolen, finner sammanfattningsvis – vid tillämpning av 7 § andra stycket i den svenska personuppgiftslagen – att det inte är visat annat i målet än att [B:s] behandling av personuppgifter på den aktuella webbsidan skett uteslutande för journalistiska ändamål. Han skall därför inte dömas till ansvar för den åtalade gärningen. Vid den bedömningen saknar Högsta domstolen anledning att pröva i vad mån det även på annan grund skulle kunna finnas skäl att ogilla åtalet.”

Högsta domstolen synes i rättsfallet ha gjort en vid och yttrandefrihetsvänlig tolkning av kravet på att en behandling av personupp-

55

gifter skall ha skett uteslutande för journalistiska ändamål. Det har ansetts som journalistiskt ändamål att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten.

Publicering av uppgifter om misstänkta våldtäktsmän

I fallet – Helsingborgs tingsrätts dom 2001-01-31 i mål nr B 3915-00 – dömdes en person för brott mot personuppgiftslagen till 80 dagsböter för det att han på sin hemsida på Internet påstått att fem namngivna personer gjort sig skyldiga till våldtäkt och därigenom olovligen dels behandlat personuppgifter om lagöverträdelser som innefattar brott, dels fört över personuppgifterna till tredje land. Den tilltalade dömdes också att betala skadestånd för kränkning med 5 000 kr vardera till två målsägande.

Publicering av uppgifter om journalister

En person åtalades för att han olovligen fört över uppgifter om flera personer till tredje land. Tingsrätten – Linköpings tingsrätts dom 2003-07-01 i mål nr B 260-01 – kom fram till att han lagt ut uppgifterna på Internet på en ”rödinglista” och gjort sig skyldig till brott mot personuppgiftslagen. Brottet ansågs grovt i fråga om två politiskt aktiva personer och två journalister. Publiceringen av personuppgifterna ansågs i dessa fall nämligen ha haft till syfte att motverka politiskt engagemang och politisk verksamhet samt att motverka ett fritt meningsutbyte i medierna och på annat sätt. Beträffande övriga personer hade publiceringen inte haft samma allvarliga syfte, varför brottet inte ansågs grovt utan var preskriberat. Den tilltalade dömdes till 150 dagsböter för grovt brott mot personuppgiftslagen, grovt olaga hot och rattfylleri. Tingrätten dömde också ut yrkade skadestånd för kränkning på mellan 5 000 och 60 000 kr. De två journalisterna fick dessutom ekonomiskt skadestånd för förlorad arbetsförtjänst, medan ett skadeståndskrav för kostnader för reparation av dörr ogillades eftersom det inte var visat att kostnaderna uppkommit till följd av den gärning som den tilltalade gjort sig skyldig till.

56

Publicering av uppgifter om arbetskamrater

Ett pågående mål gäller publicering av personuppgifter om arbetskamrater på Internet. Det fallet gäller en person – B – som arbetade i ett pastorat och lade ut hemsidor på Internet om arton personer som arbetade inom pastoratet. B nämnde på en hemsida bl.a. att en person skadat foten och var halvt sjukskriven. Eksjö tingsrätt fann i dom 2000-06-07 i mål nr B 809-99 att B genom oaktsamhet brutit mot personuppgiftslagen genom att behandla en känslig personuppgift – uppgiften om den skadade foten och sjukskrivningen – genom att låta bli att anmäla behandlingen av personuppgifter till Datainspektionen och genom att föra över personuppgifter till tredje land. Tingsrätten kom också fram till att överträdelserna inte var ringa och dömde B till fyrtio dagsböter.

B har överklagat domen till Göta hovrätt (mål nr B 747-00) som gett henne prövningstillstånd. Hovrätten beslutade den 23 februari 2001 att hämta in ett s.k. förhandsavgörande från EG-domstolen i sju olika frågor om tolkningen av EG-direktivet. EG-domstolen meddelade dom den 6 november 2003 (mål C-101/01), se avsnitt 5.5.2. Göta hovrätt har ännu inte avgjort målet.

Ett annat pågående mål gäller närmast en arbetsgivares publicering av uppgifter om en anställd. Kristinehamns tingsrätt dömde en ordförande i en privatskola till åttio dagsböter för att skolan på en hemsida på Internet publicerat uppgifter om att en anställd haft samarbetssvårigheter och varit sjukskriven (Kristinehamns tingsrätts dom 2003-02-06 i mål nr B 291-02). De publicerade uppgifterna ansågs som känsliga personuppgifter enligt 13 § personuppgiftslagen, och det förhållandet att uppgifterna funnits kvar på hemsidan en tid efter det att den anställde påtalat saken ansågs försvårande. Att den anställde i efterhand – sedan han fått 13 000 kr för det inträffade – lämnat sitt samtycke till publiceringen tillmättes ingen betydelse. Den tilltalade överklagade, men Hovrätten för Västra Sverige (dom 2003-06-25 i mål nr B 1750-03) har fastställt tingsrättens dom. Den tilltalade har överklagat hovrättens dom.

Publicering av uppgifter om närstående eller f.d. närstående

Några fall har gällt publicering på Internet av fotografier och andra uppgifter om personer som gärningsmannen känt personligen, t.ex. uppgifter om en f.d. flickvän.

57

I det första fallet – Trollhättans tingsrätts dom 2002-03-27 i mål nr B 5-02 – hade en person, A, på en webbplats på Internet publicerat två fotografier av en annan person och nitton fotografier av sin svägerska utan deras kännedom eller samtycke. Tingsrätten gjorde följande bedömning:

”Skuldfrågan

I målet är utrett att [A] har lagt ut fotografier av målsägandena på en webbplats på Internet. Att på det viset hantera fotografier av identifierbara och nu levande personer skall bedömas som behandling av personuppgifter enligt 3 § personuppgiftslagen. Den omständigheten att [A] har spritt personuppgifterna via en webbplats på Internet och därmed till ett obestämt antal personer, innebär att behandlingen inte bör betraktas som ett led i en rent privat verksamhet. Behandlingen är därmed inte enligt 6 § undantagen från personuppgiftslagens tillämpningsområde (se SOU 1997:39 s. 120–121).

Att personuppgifter läggs ut på en webbplats på Internet på det sätt som skett i detta fall innebär att uppgifterna har gjorts tillgängliga för användare av Internet i hela världen. Det är därmed fråga om överföring av personuppgifter till tredje land. Enligt 33 § personuppgiftslagen är det förbjudet att till tredje land föra över personuppgifter som är under behandling, om landet inte har en adekvat nivå för skyddet av personuppgifterna. […]

33 § personuppgiftslagen medger alltså att personuppgifter under vissa förutsättningar överförs till tredje land. Emellertid är sådan överföring tillåten endast om behandlingen uppfyller personuppgiftslagens krav i övrigt (se prop. 1999/2000:11 s. 16). I detta fall kan konstateras att [A] vid behandling av [svägerskans] personuppgifter inte har uppfyllt de grundläggande krav som ställs i 10 § personuppgiftslagen på tillåten behandling. [A] har därmed brutit mot 33 § personuppgiftslagen genom att till tredje land föra över personuppgifter som varit under behandling, trots att detta inte varit tillåtet.

Vid angivna förhållanden har [A] gjort sig skyldig till brott enligt 49 § personuppgiftslagen, såvida det inte är fråga om ett ringa fall. Vad som är ringa fall skall bedömas med hänsyn till samtliga omständigheter i det enskilda fallet. Alla faktorer såsom uppgifternas art och vilken integritetskränkning eller risk för integritetskränkning som behandlingen har orsakat skall vägas in (se prop. 1999/2000:11 s. 21).

På webbsidan med målsägandenas bilder fanns bl.a. texten ‘At tribute to all beautiful young girls in the world’. På sidan fanns under rubriken ‘Beautiful links’ ett antal länkar till andra webbplatser med namn som bl.a. ‘Obsessed of Lil Amber’, ‘Lovely Amanda’ och ‘Our little angels’. Vidare fanns texten ‘Subscribe to adorepreteen’ som tydligen var en särskild funktion som gav möjlighet att prenumerera på en e-

58

postlista. Även om [A] har bestritt att hans webbsida haft kopplingar till någon form av barnpornografi, innebär de sammantagna omständigheterna kring behandlingen att gärningen inte kan betraktas som ringa.

[A] har invänt att han saknat uppsåt till brott, eftersom han inte visste att det var otillåtet att lägga ut bilder på en webbplats på Internet.

Enligt vad [A] själv har berättat är utrett att han har haft uppsåt till de faktiska omständigheterna, dvs. att han vidtog åtgärder med bilder av identifierbara personer och att bilderna, genom att läggas ut på In- ternet, skulle bli tillgängliga för Internetanvändare i hela världen. Det förhållandet att [A] kan ha varit okunnig om det närmare innehållet i personuppgiftslagen fritar honom inte från ansvar.

[…]

Skadeståndsfrågan

I målet är utrett att [A] har behandlat [svägerskans] personuppgifter i strid med personuppgiftslagen. [A] är därmed enligt 48 § personuppgiftslagen skyldig att ersätta [svägerskan] för skada och för kränkning av den personliga integriteten som behandlingen har orsakat.

[A] har på Internet lagt ut ett stort antal bilder av [svägerskan], tagna när hon var barn. Även om bilderna är av vardaglig karaktär och alltså i sig inte anmärkningsvärda, måste ändå beaktas att det rör sig om bilder som till sin natur är privata och som [svägerskan] inte haft skäl att anta skulle få en stor spridning bland okända. Dessa omständigheter i förening med utformningen av webbsidan innebär enligt tingsrättens mening en förhållandevis allvarlig kränkning av [svägerskans] personliga integritet. Ersättningen för kränkning bestäms till skäliga 5 000 kr.

Enligt [svägerskans] och [en annan persons] samstämmiga uppgifter har [svägerskan] mått psykiskt dåligt av vetskapen att [A] hade lagt ut bilder av henne på Internet. Som tingsrätten har konstaterat ovan måste [A:s] handlande anses ha inneburit en förhållandevis allvarlig kränkning av hennes personliga integritet. Tingsrätten finner mot denna bakgrund att det får anses utrett att det i målet aktuella brottet har orsakat [svägerskan] sådan skada som skall ersättas i form av sveda och värk. Er- sättningen bestäms till skäliga 5 000 kr.”

Tingrätten dömde A för brott mot personuppgiftslagen och viss annan brottslighet till skyddstillsyn och åttio dagsböter samt förpliktade honom att betala sammanlagt 10 000 kr i skadestånd till svägerskan.

I ett annat fall dömde Uppsala tingsrätt en person för brott mot personuppgiftslagen till 50 dagsböter för att han på en hemsida på Internet utan samtycke publicerat uppgifter av rent privat karaktär

– om bl.a. födelsetid, adress och familjeförhållanden – om en kvin-

59

na som inte varit harmlösa och därmed fört över uppgifterna till tredje land (Uppsala tingsrätts dom 2002-05-02 i mål nr B 879-02).

Ett par fall har gällt publicering på Internet av sexkontaktannonser. I ett fall dömde Solna tingsrätt en person till fängelse i tre månader för grovt förtal och brott mot personuppgiftslagen för att han vid tre tillfällen låtit publicera på Internet sexkontaktannonser om en f.d. sambo (Solna tingsrätts dom 2002-04-03 i mål nr B 296-01). Svea hovrätt har efter överklagande fastställt domen (dom 2002-11-04 i mål nr B 4812-02, RH 2002:71), och Högsta domstolen har inte meddelat prövningstillstånd (beslut 2003-02-14 i mål nr B 4382-02). I ett annat fall dömde Södra Roslags tingsrätt en person till fängelse i två månader för brott mot personuppgiftslagen, grovt förtal och anstiftan till sexuellt ofredande för att han vid ett tillfälle publicerat en sexkontaktannons på Internet om en flicka han lärt känna via Internet (dom 2003-10-01 i mål nr 2614-03). Flickan fick skadestånd med 20 000 kr, varav 10 000 kr för sveda och värk och 10 000 kr för kränkning. Den dömde har överklagat domen.

Upprättande av datoriserat register över politiska motståndare

Ett fall har gällt upprättandet av ett regelrätt datoriserat register som inte publicerats på Internet. Riksåklagaren åtalade två personer för brott mot personuppgiftslagen, grovt brott, för att de på automatisk väg olovligen lagrat uppgifter om mer än ettusen personer i ett register. Personuppgifterna avsåg ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, sexualliv och domar i brottmål. Syftet med registreringen var enligt åtalet att kunna sprida uppgifterna och därmed bl.a. möjliggöra angrepp på personer på grund av deras politiska uppfattning, ras, etniska ursprung eller trosbekännelse.

Helsingborgs tingsrätt (dom 2002-11-07 i mål nr B 1124-00) ogillade åtalet mot den ena personen eftersom han påbörjat behandlingen av personuppgifterna medan datalagen gällde och då det han gjort inte var straffbart enligt både datalagen och personuppgiftslagen (se 5 § lagen om införande av brottsbalken).

Den andra personen dömdes till tre månaders fängelse för grovt brott mot personuppgiftslagen och ringa vapenbrott (avseende tårgas). Han hade invänt att behandlingen var av rent privat natur och att den hade journalistiska ändamål. Tingsrätten ansåg dock att registret, med det innehåll och den utformning det hade, inte kunde

60

bidra till information, kritik och debatt om samhällsfrågor av betydelse för allmänheten. Enligt tingsrätten var det uppenbart att registret inte hade något som helst att tillföra samhälls- och allmänintresset. Registret saknade enligt tingsrättens mening värde som bakgrundsinformation för en seriös samhällsdebatt. Det var, enligt tingsrätten, uppenbart att den verkliga avsikten med behandlingen varit att kartlägga politiska motståndare och att på något sätt sprida uppgifter om dem och därmed möjliggöra angrepp på dem.

När det gällde bedömningen att brottet mot personuppgiftslagen var grovt noterade tingsrätten följande omständigheter. Behandlingen hade rört en mängd personer och avsett mycket känsliga uppgifter. Syftet med behandlingen var att kartlägga politiska meningsmotståndare och utsätta dessa för trakasserier. Behandlingen hade haft ett diskriminerande motiv. Behandlingen hade inneburit en avsevärd kränkning av de registrerades personliga integritet.

Mot bakgrund av omfattningen av behandlingen och den synnerligen stora kränkning denna inneburit för människors personliga integritet ansåg tingsrätten att brottet var av en sådan art att påföljden skulle bestämmas till fängelse.

Tingsrätten biföll också åklagarens yrkande om förverkande enligt 36 kap. 3 § första stycket första punkten brottsbalken av bl.a. CD-skivor och handskrivna lappar som innehöll känsliga personuppgifter och personuppgifter som avser domar i brottmål.

Ett skadestånd för kränkning om 10 000 kr dömdes också ut. Yt- terligare skadeståndsanspråk avskildes från brottmålet och handläggs för närvarande som separata tvistemål.

Åklagaren, den person som dömts och målsägandena överklagade tingsrättens dom. Hovrätten över Skåne och Blekinge (dom 2003-11-11 i mål nr B 3113-02) frikände den person som dömts vid tingsrätten och dömde den person som frikänts vid tingsrätten för brott mot datalagen. Hovrätten ansåg att båda tilltalade hade påbörjat sin behandling av personuppgifterna redan innan personuppgiftslagen trädde i kraft och att det därför krävdes att det de gjort var straffbart enligt både datalagen och personuppgiftslagen. Hovrätten kom fram till att den person som frikändes inte hade fört ett sådant personregister som datalagen gällde för och därför inte kunde dömas för brott mot den lagen. Den andra personen hade emellertid enligt hovrätten brutit mot förbudet i datalagen mot att lämna ut en personuppgift i ett personregister, om det finns anledning att anta att uppgiften skall användas för automatisk databehandling i strid med datalagen, genom att lämna en CD- skiva med ett datorregister till den frikände. Den behandlingen av

61

bl.a. känsliga personuppgifter är enligt hovrätten straffbar också enligt personuppgiftslagen. Hovrätten ansåg att det kunde hållas för säkert att de tilltalade inte haft sådant syfte med behandlingen som avses med undantaget från personuppgiftslagen för rent privat behandling och behandling för journalistiska ändamål (6 och 7 §§). Hovrätten pekade bl.a. på att de, trots att de haft tillgång till uppgifterna i mer än ett år, inte redovisat några resultat av journalistisk verksamhet. En målsägande fick ett skadestånd enligt datalagen.

Tvistemål om skadestånd för förbrytargalleri på Internet

I ett tvistemål om skadestånd för brott mot personuppgiftslagen har Hovrätten för Västra Sverige (dom 2002-06-20 i mål nr T 2505-01)22 med hänvisning till Högsta domstolens avgörande i NJA 2001 s. 409 ansett att en publicering av namn och bild på In- ternet i ett ”förbrytargalleri” på en hemsida som var gjord för att visa hur myndigheter och en entreprenör agerat i samband med ett vägbygge skett uteslutande för journalistiska ändamål.

5.2.2Tillämpning av 7 kap. 16 § sekretesslagen

Enligt 7 kap. 16 § sekretesslagen gäller sekretess för personuppgift om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Rättsfall om tillämpningen av den bestämmelsen kan därför ge vägledning om vilken behandling av personuppgifter som står eller inte står i strid med personuppgiftslagen. Det är i själva verket främst genom avgöranden om tillämpningen av 7 kap. 16 § sekretesslagen som personuppgiftslagen hittills kommit upp i domstol.

Det finns tre vägledande rättsfall från högsta instans – Regeringsrätten.

Manuell behandling av personuppgifter

Ett fall från Regeringsrätten – RÅ 2001 ref. 35 – har gällt frågan om en viss manuell behandling av personuppgifter omfattas av person-

22 Högsta domstolen har inte meddelat prövningstillstånd, beslut 2002-11-06 i mål nr T 2872-02.

62

uppgiftslagen därför att uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, 5 § andra stycket personuppgiftslagen. Ett företag ville ha ut betygsuppgifter på papper från Kungliga Tekniska Högskolan (KTH) om cirka 1 400 studenter. Vid utlämnandet skulle uppgifterna vara sorterade efter studenternas efternamn. Företaget skulle därefter manuellt beräkna medelbetyg för varje student och sortera handlingarna efter medelbetyg. Regeringsrätten förordnade att betygshandlingarna skulle lämnas ut till företaget och anförde i domskälen bl.a. följande:

”Av lagtexten, förarbetena och persondatadirektivet får anses framgå att någon form av förberedelse eller bearbetning måste ha ägt rum för att personuppgifter i ett antal dokument skall kunna anses ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Detta innebär enligt Regeringsrättens mening att tillgängligheten i regel måste ha åstadkommits genom något särskilt arrangemang för sökning bland uppgifterna, t.ex. i form av kortregister, sökmarkörer eller liknande. Det skall således finnas möjlighet till sökning av olika personuppgifter på ett betydligt effektivare sätt än i form av en genomgång och granskning dokument för dokument. Detta leder till slutsatsen att en sortering av ett antal dokument i en viss ordning inte utan ytterligare åtgärder kan anses uppfylla det i lagtexten angivna kravet. Regeringsrätten finner därför att personuppgifterna i de efterfrågade handlingarna vid ett utlämnande från KTH inte ingår i en sådan samling som omfattas av PUL. Frågan är då om personuppgifterna i de handlingar som återstår efter det att bolaget gallrat handlingarna och sorterat återstående handlingar efter varje students betygsgenomsnitt kan sägas ingå i en sådan samling. Med hänsyn till vad som uppgivits om det beräknade antalet återstående handlingar [några tiotal betygshandlingar] kan det i och för sig ifrågasättas om mängden uppgifter är tillräcklig för att kunna utgöra en sådan samling. Utan ytterligare bearbetning utgör handlingarna emellertid även i detta skick endast ett antal handlingar sorterade i en viss ordning. Kravet på bearbetning är i den situationen enligt Regeringsrättens mening lika litet uppfyllt som vid ett utlämnande från KTH. Den omständigheten att möjligheten finns att i stället sortera handlingarna efter studenternas ålder eller i bokstavsordning efter studenternas efternamn ändrar inte detta förhållande.”

Kammarrätten i Stockholm har (dom 2000-09-21 i mål nr 3398-2000) gjort en liknande bedömning i fråga om en förteckning

63

över gällande hyreskontrakt hos Familjebostäder; en komplettering av förteckningen, sorterad efter adress, med ytterligare en kolumn med namn ansågs inte innebära att personuppgifterna i förteckningen blev tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Även Kammarrätten i Göteborg har (dom 2001-07-04 i mål nr 1521-2001) gjort en liknande bedömning i fråga om betygskataloger över grundskoleelever i en kommun.

Länsrätten i Stockholms län har (dom 2002-10-29 i mål nr 4349-02 E) bedömt att en samling mikrokort i pärmar i visst fall utgjort ett sådant manuellt register som omfattas av personuppgiftslagen, se om fallet i avsnitt 5.2.3.

Eskilstuna tingsrätt har (dom 2002-04-16 i mål nr B 506-02) i ett mål om ansvar för tjänstefel gjort bedömningen att förandet av en förteckning i en anteckningsbok över personer som omhändertagits enligt lagen (1976:511) om omhändertagande av berusade personer, som var sökbar endast på namn, inte omfattas av personuppgiftslagen.

Behandling för direkt marknadsföring eller liknande

Det andra rättsfallet från Regeringsrätten – RÅ 2001 ref. 68 – gällde frågan om behandling av personuppgifter för direkt marknadsföring var tillåten efter en intresseavvägning enligt 10 § f personuppgiftslagen. Ett företag hade hos Jordbruksverket begärt att få ut en kopia av verkets adressregister över mjölkproducenter för att kunna marknadsföra sina foderprodukter. Regeringsrätten förordnade att adressregistret skulle lämnas ut till företaget och anförde i domskälen bl.a. följande:

”Den av bolaget avsedda behandlingen omfattas av PUL och får anses nödvändig för att tillgodose bolagets intresse av att på visst sätt marknadsföra foderprodukter. Detta ändamål får enligt Regeringsrättens mening ses som ett berättigat intresse. Fråga är då om begärda uppgifter kan lämnas ut på den grunden att bolagets intresse av att behandla uppgifterna för marknadsföring kan anses väga tyngre än den enskildes integritetsintresse.

[E]nligt 10 § f PUL [skall] en avvägning göras mellan – i det här fallet – bolagets kommersiella intresse och den enskildes intresse av ’skydd mot kränkning av den personliga integriteten’. Med hänsyn till att det är fråga om marknadsföring riktad till näringsidkare, att uppgifterna i fråga inte kan bedömas som känsliga och att den enskilde kan

64

motsätta sig att personuppgifterna används för direkt marknadsföring finner Regeringsrätten att bolagets kommersiella intressen får anses väga tyngre än den enskildes integritetsintresse.”

Kammarrätten i Jönköping hade i ett tidigare fall om utlämnande av adressregistret (dom 1999-11-16 i mål nr 3865-1999) kommit till motsatt slutsats och vägrat utlämnande.

Det tredje fallet från Regeringsrätten – RÅ 2002 ref. 54 – gällde också intresseavvägning enligt 10 § f personuppgiftslagen vid direkt marknadsföring. Ett företag ville ha ut Centrala Studiestödsnämndens register över studiestödsmottagare för att sända erbjudanden om rabatter till studenterna en gång per termin. Eftersom det var fråga om en stor mängd personuppgifter, fick det antas att företaget hade för avsikt att använda sig av helt eller delvis automatiserad behandling. Regeringsrätten fann att den avsedda behandlingen omfattades av personuppgiftslagen och fick anses vara nödvändig för att tillgodose företagets intresse av att i marknadsföringssyfte skicka ut rabatterbjudandena, ett intresse som befanns berättigat. Regeringsrätten refererade övervägandena angående intresseavvägningen i fråga om Jordbruksverkets register över mjölkproducenter som var näringsidkare (RÅ 2001 ref. 68) och fortsatte:

”I detta mål är det emellertid fråga om privatpersoners intresse av skydd för den personliga integriteten. Det bör i ett sådant fall därför krävas att avvägningen mellan bolagets kommersiella intresse och den enskildes integritetsintresse på ett entydigt sätt utfaller till det förstnämndas förmån för att ett utlämnande av de begärda uppgifterna skall kunna ske.

Såvitt gäller den planerade marknadsföringens omfattning beaktar Regeringsrätten att denna får anses vara förhållandevis begränsad genom att den inskränker sig till ett utskick per termin. Beträffande marknadsföringens innehåll har bolaget inte närmare klargjort vilka företag som kommer att erbjuda rabatter eller andra förmåner via bolagets rabattkort. Det saknas emellertid skäl att anta att marknadsföringen skulle komma att innehålla inslag som i sig kan betraktas som integritetskränkande.

Det bör vidare beaktas att de uppgifter som begärs utlämnade inte kan bedömas vara känsliga. Den bedömningen förändras inte av det förhållandet att enligt nu gällande studiestödslag (1999:1395) storleken på såväl studiebidrag som studielån påverkas av den studerandes inkomster. Den omständigheten att en studerande erhåller studiemedel i någon omfattning kan nämligen, med hänsyn till det s.k. fribeloppets storlek och den successiva nedtrappning av studiemedlen som sker vid

65

inkomster som överstiger det beloppet, inte leda till någon annan slutsats om hans eller hennes övriga inkomstförhållanden än att dessa inte är osedvanligt goda.

Med hänsyn till nu nämnda förhållanden, liksom till att den enskilde har en ovillkorlig rätt att motsätta sig att personuppgifterna används för direkt marknadsföring, finner Regeringsrätten att bolagets kommersiella intresse i förhållande till det motstående integritetsintresset väger så tungt att dess tilltänkta behandling av personuppgifterna inte kan anses stå i strid med 10 § PUL. Det kan inte heller antas att den planerade behandlingen av personuppgifterna skulle strida mot någon annan bestämmelse i PUL.”

Ytterligare ett par kammarrättsfall har gällt tillåtligheten av direkt marknadsföring eller liknande.

I ett fall hade ett försäkringsbolag hos Rikspolisstyrelsen begärt att få ut uppgifter om födelsetid (personnumrets sex första siffror) och postnummer för alla anställda hos polisen för att kunna sortera bort dessa offentliganställda inför ett utskick som bolaget tänkte göra till bara privatanställda. Kammarrätten i Stockholm (dom 2001-06-19 i mål nr 1138-2001) ansåg att den avsedda behandlingen inte stod i strid med 10 § personuppgiftslagen och förordnade att uppgifterna skulle lämnas ut.

Motsvarande bedömning gjorde Kammarrätten i Stockholm (dom 2002-07-19 i mål nr 4384-2002) när försäkringsbolaget begärde att få ut adressuppgifter för de anställda vid Kemikalieinspektionen för att sända ut direkt marknadsföring till dem.

I ett fall hade Svenska Jägareförbundet hos Naturvårdsverket begärt att få ut uppgift om namn, adress och personnummer för nästan 300 000 personer ur verkets jaktkortsregister för att använda för medlemsvärvning. Kammarrätten i Stockholm (dom 2003-08-28 i mål nr 5033-03) fann att den tilltänkta behandlingen av personnummer inte var förenlig med 22 § personuppgiftslagen. Kammarrätten ansåg dock att behandlingen av uppgifter om namn och adress inte stod i strid med 10 § f personuppgiftslagen och förordnade att dessa uppgifter skulle lämnas ut till förbundet.

Behandling för utsändande av enkäter eller liknande

Ett par kammarrättsfall har gällt utsändande av enkäter eller liknande.

66

I ett fall hade en person begärt att få ut Vägverkets register över personal vid trafikskolor, inklusive personnummer, för att på uppdrag av Sveriges Trafikskolors Riksförbund göra en enkätundersökning om varför trafikskolepersonal slutar sin anställning. Det ansågs tveksamt om behandlingen var tillåten enligt 10 och 22 §§ personuppgiftslagen och utlämnande vägrades (Kammarrättens i Sundsvall dom 2001-10-22 i mål nr 2670-200123).24

I ett annat fall hade Svenska Jägareförbundet begärt att få ut adressuppgifter för 20 000 personer ur Naturvårdsverkets jaktkortsregister för att sända ut en enkät för att få underlag för statistik om avskjutning av djur. Kammarrätten i Stockholm noterade (dom 2002-07-19 i mål nr 2620-2002) att Svenska Jägareförbundet bär huvudansvaret för att leda delar av viltvården och jakten i landet och att detta utgör en arbetsuppgift av allmänt intresse. Eftersom den avsedda användningen av personuppgifterna var nödvändig för arbetsuppgiftens utförande, fanns det inte något hinder enligt 7 kap. 16 § sekretesslagen mot att lämna ut uppgifterna.

Vägran att ange ändamålet med insamlingen

I ett kammarrättsfall där en sökande hade låtit bli att ange ändamålet med insamlingen av vissa personuppgifter ansågs det kunna antas att uppgifterna skulle komma att behandlas i strid med personuppgiftslagen (Kammarrättens i Sundsvall dom 2000-06-14 i mål nr 1443-2000).

Utlämnande av personuppgifter till anställda vid massmedieföretag m.m.

Några kammarrättsfall har gällt utlämnande av personuppgifter till anställda vid massmedieföretag (Kammarrättens i Sundsvall dom 2000-02-08 i mål nr 23-2000, Kammarrättens i Jönköping dom 2000-08-31 i mål nr 1226-2000, Kammarrättens i Göteborg dom 2001-03-29 i mål nr 7459-2000 och Kammarrättens i Stockholm dom 2001-04-10 i mål nr 1737-2001). I samtliga fall har sökandena fått ut uppgifterna efter överklagande, oftast med motiveringen att

23Regeringsrätten har vägrat att medge prövningstillstånd.

24Jämför i fråga om behandling av personnummer Kammarrättens i Stockholm dom 2000-04-10 i mål nr 9572-1999.

67

personuppgiftslagen inte är tillämplig på sådan verksamhet som är grundlagsskyddad.

Ett fall har gällt utlämnande av personuppgifter till en person som studerade journalistik. En person hade hos det kommunala bostadsaktiebolaget Poseidon begärt att få ut personuppgifter om hyresgäster m.m. Poseidon avslog begäran med hänvisning till sekretess enligt bl.a. 7 kap. 16 § sekretesslagen. I överklagande till kammarrätten anförde personen att han studerade journalistik på universitet och behövde uppgifterna för ett examensarbete i form av en journalistisk produkt avsedd att publiceras i tryckt periodisk skrift. Kammarrätten i Göteborg (dom 2003-02-14 i mål nr 6296-2002) ansåg att klagandens uppgifter fick godtas och att personuppgiftslagen därmed inte var tillämplig i målet.

5.2.3Övriga mål

I detta avsnitt berörs några fall som har viss anknytning till personuppgiftslagen.

Intresseavvägning, känsliga personuppgifter, personnummer

I ett ärende om tillämpning av 17 § socialförsäkringsregisterlagen (1997:934) i tidigare lydelse uppkom fråga om en viss behandling var förenlig med personuppgiftslagen. AFA Sjukförsäkringsaktiebolag ansökte hos Datainspektionen om att enligt det nämnda lagrummet få ut personuppgifter ur socialförsäkringsregistret på medium för automatisk databehandling. AFA ville ha uppgifter – bl.a. personnummer – på personer som haft förtidspension eller sjukbidrag för att söka efter personer som kan vara berättigade till försäkringsersättning från AFA. Datainspektionen avslog ansökan eftersom ett utlämnande av uppgifterna skulle medföra att de behandlas i strid med personuppgiftslagen. AFA överklagade beslutet till Länsrätten i Stockholms län som biföll överklagandet, dom 2001-06-14 i mål nr 11256-99. Länsrätten berörde bl.a. frågan om behandlingen av personuppgifter var tillåten enligt bestämmelsen i 10 § f personuppgiftslagen om en intresseavvägning och anförde bl.a. följande:

”Med hänsyn till ändamålet med behandlingen – att möjliggöra för AFA att informera de försäkrade att de kan ha rätt till ersättning och

68

uppmana dem att ansöka om sådan – och att det är relativt begränsade uppgifter som skall hämtas in samt vad som upplysts om hanteringen, nämligen att den skall ske automatiserat och att ingen enskild person kommer att befatta sig med några personuppgifter, får AFA:s intresse av att genomföra behandlingen […] anses väga över de registrerades integritetsintresse.

Ytterligare en förutsättning för behandling är att en behandling av personuppgifter inte strider mot förbudet i 13 § andra stycket personuppgiftslagen att behandla känsliga personuppgifter som rör hälsa.

[…]

En uppgift om varför någon uppbär förtidspension eller sjukbidrag skulle kunna sägas röra en persons hälsa. Enbart en uppgift om att en person uppbär förtidspension eller sjukbidrag kan dock enligt länsrättens mening inte anses röra en persons hälsa. […]

Eftersom det enda sättet att identifiera de försäkrade är att samköra personnummer, får användningen av personnummer anses motiverad. Vidare finner länsrätten, vid en jämförelse med 24 § personuppgiftslagen, inte att det skulle strida mot denna bestämmelse att lämna information om behandlingen först i samband med utskicket och enbart till dem som erhåller detta.”

Datainspektionen överklagade domen till Kammarrätten i Stockholm, som meddelade prövningstillstånd, men sedan skrev av målet eftersom bestämmelsen i socialförsäkringsregisterlagen ändrats (beslut 2002-11-28 i mål nr 4405-01).

Kristinehamns tingsrätt (dom 2003-02-06 i mål nr B 291-02) har ansett att en uppgift om en anställds sjukskrivning utgjort en känslig personuppgift enligt 13 § personuppgiftslagen, se om fallet i avsnitt 5.2.1.

Manuell behandling av personuppgifter

Ett fall om tillämpningen av lagen (2001:184) om behandling av uppgifter i kronofogdemyndigheternas verksamhet har gällt frågan om vad som är en sådan manuell behandling av personuppgifter som omfattas av den lagen och av personuppgiftslagen. I fallet hade personuppgifter gallrats från den automatiserade utsöknings- och indrivningsdatabasen och i stället lagts på manuella mikrokort som fanns i pärmar. Personuppgiftslagen och den aktuella lagen gäller bara för behandling av personuppgifter som helt eller delvis är automatiserad och för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av

69

personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Frågan var om personuppgifterna på mikrokorten behandlades på ett sådant sätt att bestämmelserna om rättelse av personuppgifter var tillämpliga. Länsrätten i Stockholms län (dom 2002-10-29 i mål nr 4349-02 E) uttalade följande:

”Utifrån vad som framkommit i målet beträffande uppgifterna som lagts över på mikrokort, finner länsrätten det utrett att kronofogdemyndighetens samling av mikrokort utgör en strukturerad samling av personuppgifter. Vad gäller möjligheterna till sökning och sammanställning av uppgifterna är läget mer oklart. Kronofogdemyndigheten har i det här avseendet anfört att det bara finns en sökväg till uppgifterna som lagts över på mikrokort och att uppgifterna således inte är tillgängliga för sökning eller sammanställning enligt flera kriterier. […]

[…]

Enligt länsrättens mening bör inte det faktum att det i lagtexten talas om kriterier i pluralis leda till att antalet sökvägar (en eller flera) tillåts avgöra om en samling personuppgifter skall anses utgöra ett manuellt register. Formuleringen ’tillgängliga för sökning eller sammanställning enligt särskilda kriterier’ är till sin karaktär öppen och synes omfatta både sökning enligt ett och flera kriterier. Något särskilt stöd för att valet av att uttrycka ’särskilda kriterier’ i pluralis verkligen skulle innebära att minst två sökvägar måste finnas till ett manuellt register för att det skall omfattas av aktuell lagstiftning har inte framkommit i målet eller i lagstiftningsärendet. Enligt länsrättens mening bör det öppna skrivsättet i stället tolkas så att valet av kriterier som kan förekomma har inte gjorts på förhand utan det är ett flertal olika kriterier som kan komma i fråga. En sökväg – ett kriterium – är alltså tillräcklig(t) för att registret skall omfattas av [den aktuella lagen] och personuppgiftslagen. Mot bakgrund av EG-direktivet får det väsentliga anses vara huruvida en samling av uppgifter är väl strukturerad och lätt tillgänglig för sökning. I sådana fall får enskilda anses ha ett sådant berättigat skyddsintresse att samlingen av uppgifter bör omfattas av lagstiftningen. Kronofogdemyndighetens pärmar med mikrokort är organiserade utifrån tidpunkten för gallringen från utsöknings- och indrivningsdatabasen. I själva pärmarna är sedan uppgifterna organiserade utifrån personnummer. Till pärmarna hör ett kortregister, uppdelat utifrån gallringsår, i vilket det är möjligt att söka på både namn och personnummer. Vid sökning i utsöknings- och indrivningsdatabasen på en person som har aktuella ärenden/skulder hos kronofogdemyndigheten lämnas dessutom i förekommande fall uppgift om att det finns äldre uppgifter på mikrokort beträffande personen samt sådan information att det lätt går att finna uppgifterna i pärmarna med mikrokort. Länsrätten gör sammantaget bedömningen att kronofogdemyndighetens hantering av

70

mikrokort utgör en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.”

Samtycke i avtalsvillkor i konsumentförhållanden

Marknadsdomstolen har med stöd av lagen (1994:1512) om avtalsvillkor i konsumentförhållanden förbjudit ett företag att för telefonabonnemang till konsument tillämpa avtalsvillkor om att kunden medger att personuppgifter får användas för nummerupplysningsändamål och för utformningen av företagets information och erbjudanden till kunden i samband med abonnemanget (MD 2002:23). Av villkoret framgick nämligen inte att den registrerade enligt 11 § personuppgiftslagen har möjlighet att skriftligen anmäla att han eller hon motsätter sig att personuppgifter behandlas för ändamål som rör direkt marknadsföring, varför konsumenten kunde få uppfattningen att han eller hon var bunden av medgivandet. Villkoret ansågs därför oklart, och det ansågs kunna vilseleda de kunder med vilka avtal ingås om deras rättsliga möjligheter att hindra att personuppgifter behandlas för ändamål som rör direkt marknadsföring.

Överklagande av myndighetsbeslut om rättelse

I fallet begärde en person – B – hos kronofogdemyndigheten att en uppgift om honom i utsökningsregistret skulle rättas. Kronofogdemyndigheten avslog ansökningen om rättelse, eftersom uppgiften var riktig. B överklagade kronofogdemyndighetens beslut, men länsrätten anslöt sig till kronofogdemyndighetens bedömning och ändrade inte det överklagade beslutet. B överklagade till kammarrätten, som undanröjde länsrättens dom och avvisade B:s överklagande, eftersom frågor om rättelse av registeruppgifter regleras i 28 § personuppgiftslagen och då oenighet mellan den personuppgiftsansvarige och den registrerade kan anmälas till Datainspektionen. Kronofogdemyndigheten överklagade till Regeringsrätten och yrkade att länsrättens dom skulle stå fast. Regeringsrätten avvisade överklagandet (beslut 2000-08-23 i mål nr 1997-2000), eftersom kammarrättens beslut inte kunde anses ha gått kronofogdemyndigheten emot.25

25 Jämför Kammarrättens i Stockholm dom 2000-10-17 i mål nr 4977-2000.

71

Överklagande av Datainspektionens beslut

I en skrivelse till en personuppgiftsansvarig (NKMR) hade Datainspektionen konstaterat att NKMR behandlade personuppgifter i strid med personuppgiftslagen och uppmanat NKMR att upphöra med behandlingen. Det beslutet fick enligt Kammarrättens i Stockholm beslut 2002-01-23 i mål nr 1173-2001 överklagas då det bl.a. fick ses som ett påbud som sakligt sett låg nära ett formligt föreläggande att efterleva lagstiftningen.

En person hade anmält ett par förfaranden till Datainspektionen, men inspektionen hade beslutat i det ena fallet att inte vidta någon ytterligare åtgärd i ett öppnat tillsynsärende och i det andra fallet att inte öppna något tillsynsärende. Länsrätten i Stockholms län ansåg i beslut 2001-10-30 i mål nr 14081-01 E att anmälaren inte hade rätt att överklaga besluten. Kammarrätten i Stockholm meddelade inte prövningstillstånd (beslut 2002-05-23 i mål nr 6675-2001).

Av Kammarrättens i Stockholm beslut 2000-11-27 i mål nr 5367-2000 framgår att Datainspektionens beslut enligt nuvarande 11 § personuppgiftsförordningen (1998:1191) om att inte vidta åtgärder med anledning av en anmälan om förhandskontroll inte är överklagbart ens om Datainspektionen i beslutet gett uttryck för sin uppfattning i sakfrågan. Av Länsrättens i Stockholms län beslut 2001-08-17 i mål nr 11312-01 E framgår vidare att allmänheten eller en anmälare inte har rätt att överklaga ett sådant beslut.26

5.3Datainspektionens praxis

Eftersom Datainspektionen inte längre fattar några beslut om tillstånd enligt datalagen för att föra dataregister har den praxisbildning som tidigare förekom genom dessa beslut upphört. De beslut som innebär att Datainspektionen tar ställning till hur bestämmelserna i personuppgiftslagen skall tillämpas är i dag i stället främst beslut i tillsynsärenden, beslut om yttranden efter samråd med personuppgiftsombud enligt 38 § personuppgiftslagen, beslut efter anmälan om förhandskontroll enligt 11 § personuppgiftsförordningen samt beslut i förfrågningsärenden. Datalagen har enligt övergångsbestämmelserna till personuppgiftslagen tillämpats i

26 Kammarrätten i Stockholm har vägrat att medge prövningstillstånd, mål nr 5347-01.

72

många fall fram till den 1 oktober 2001. Den praxis som gäller Da- tainspektionens tillämpning av personuppgiftslagen är mot denna bakgrund ännu inte särskilt omfattande. I detta avsnitt redogörs för ett antal avgöranden som är av principiellt intresse och kan tjäna som vägledning vid framtida tillämpning av personuppgiftslagen.

Under hösten 2001 genomförde Datainspektionen ett tillsynsprojekt för att närmare undersöka på vilket sätt elevers personuppgifter behandlas i grundskoleverksamheten. Inom ramen för projektet inspekterade Datainspektionen ett tiotal grundskolor och genomförde även tillsyn genom att ett 30-tal skolor fick besvara frågor i en enkät. Tillsynen visade att det förekom vissa brister i hanteringen av elevernas personuppgifter, och Datainspektionen fick därför anledning att framföra synpunkter på hanteringen i vissa avseenden. Resultatet av projektet och Datainspektionens ställningstaganden i vissa frågor som rör behandling av elevers personuppgifter i skolan redovisas i Datainspektionens rapport 2002:2, vartill hänvisas.

5.3.1Avvikande författningsbestämmelser (2 §)

Av 2 § personuppgiftslagen framgår att personuppgiftslagen är subsidiär i förhållande till andra författningar. Om det finns bestämmelser i en annan lag eller i en förordning som avviker från personuppgiftslagen, skall de bestämmelserna tillämpas i stället.

Datainspektionen har i ett ärende som gällde en förfrågan från VPC AB (dnr 1921-2000) haft anledning att uttala sig om tillämpligheten av denna bestämmelse. Frågan gällde en ”konflikt” mellan bestämmelserna i 3 kap. 13 § aktiebolagslagen om skyldighet för VPC att lämna ut uppgifter i aktieböcker och förvaltarförteckningar och 9 och 10 §§ personuppgiftslagen. VPC frågade om bolaget kunde låta bli att lämna ut uppgifter ur dessa register när man visste att uppgifterna skulle komma att behandlas i strid med personuppgiftslagen t.ex. genom att användas för direktreklamändamål (ett annat ändamål än det som uppgifterna samlades in för). Datainspektionen uttalade att bestämmelserna i 3 kap. 13 § aktiebolagslagen är att se som en specialreglering angående utlämnande av handlingar som enligt 2 § personuppgiftslagen tar över bestämmelserna i personuppgiftslagen om behandling i form av utlämnande av personuppgifter. Trots att VPC befarade att det kunde komma att ske en behandling av personuppgifter i strid med personuppgiftslagen i nästa led, kunde VPC enligt Datainspektionens uppfattning inte

73

lagligen vägra att lämna ut de aktuella uppgifterna. Med hänsyn till att bestämmelserna i aktiebolagslagen kommit till innan personuppgiftslagen trädde ikraft ansåg Datainspektionen att frågan om vilka följder bestämmelserna i 3 kap. 13 § aktiebolagslagen får för enskildas integritet borde uppmärksammas i den pågående översynen av aktiebolagslagen.

Datainspektionen har i ett tillsynsärende mot Taxi Stockholm (dnr 2025-2001) konstaterat att kameraövervakning i taxibilar genom att digitala stillbilder tas av passagerarna innebär en sådan behandling av personuppgifter som aves i personuppgiftslagen. Lagen (1998:150) om allmän kameraövervakning innehåller vissa bestämmelser som avviker från personuppgiftslagen och därför gäller före personuppgiftslagen. Enligt 6 § lagen om kameraövervakning skall länsstyrelsen meddela tillstånd till allmän kameraövervakning om intresset av sådan övervakning väger tyngre än den enskildes intresse av att inte bli övervakad. Denna bestämmelse har enligt Datainspektionen företräde i förhållande till bestämmelserna i personuppgiftslagen om när behandling av personuppgifter är tillåten. Även bestämmelsen i 14 § lagen om allmän kameraövervakning, som gäller bevarande av bild- eller ljudmaterial från allmän kameraövervakning, har enligt Datainspektionens beslut företräde framför bestämmelsen om bevarande av personuppgifter i 9 § första stycket i personuppgiftslagen. Däremot ansåg Datainspektionen att bestämmelserna i personuppgiftslagen skall tillämpas i fråga om information till de registrerade, vilket för Taxi Stockholms del innebär att man på lämpligt sätt måste informera sina passagerare om vem som är personuppgiftsansvarig, ändamålet med personuppgiftsbehandlingen, mottagarna av uppgifterna samt rätten för den registrerade att ansöka om information och att få rättelse.

I ett ärende som gällde förhandskontroll av en behandling av känsliga personuppgifter för forskningsändamål (dnr 89-2003) har Datainspektionen konstaterat att bestämmelser i lagen (2001:99) om den officiella statistiken om information till de registrerade avviker från personuppgiftslagens bestämmelser och skall tillämpas i stället för dessa. Uppsala universitet skulle bedriva forskning om arbetslöshet och arbetsmarknad och behövde för detta ändamål en mängd personuppgifter från Statistiska centralbyråns databas LOUISE. Bland de uppgifter som skulle användas fanns känsliga personuppgifter, såsom uppgift om arbetshandikapp. Uppgifterna skulle lämnas ut från Statistiska centralbyrån i enlighet med bestämmelserna i 16–18 §§ lagen om den officiella statistiken, vilket innebär dels att uppgifterna skulle kodas innan de lämnades ut, dels

74

att Statistiska centralbyrån skulle behålla kodnyckeln. Uppgifterna skulle således med personuppgiftslagens definition vara personuppgifter. Uppsala universitet hade inte för avsikt att informera de personer vars uppgifter skulle användas i forskningen. Datainspektionen konstaterade att 18 § lagen om den officiella statistiken innehåller en bestämmelse som innebär att den som har fått kodade uppgifter för forskningsändamål i enlighet med 16 § i den lagen inte behöver lämna någon information till de registrerade, förutsatt att den som fått uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Inspektionens slutsats blev att bestämmelsen avviker från personuppgiftslagens bestämmelser och skall tillämpas i stället för dessa, vilket innebär att Uppsala universitet inte behöver informera de registrerade om att deras uppgifter behandlas i forskningen.

5.3.2Personuppgifter (3 §)

Datainspektionen har (dnr 1123-2000) ansett att det inte var fråga om personuppgifter när en kommun på en webbplats informerade om när brottslingar skulle friges. Informationen omfattade uppgifter om att en person hemmahörande i ett visst område i kommunen och dömd för visst brott snart skulle släppas, men utan direkta namn- eller adressuppgifter.

5.3.3Personuppgiftsansvar (3 §)

Datainspektionen har i ett ärende (dnr 785-2000) uttalat sig i frågan om den som från en egen webbplats på Internet länkar till en annan webbplats som innehåller personuppgifter kan betraktas som personuppgiftsansvarig för behandlingen av dessa uppgifter. Datainspektionen uttalade följande:

”Finns det en länk på en webbplats till en annan webbplats med personuppgifter så anses personuppgifterna på den senare webbplatsen inte göras tillgängliga på den första webbplatsen enbart genom länken. Lagligheten av behandlingen av personuppgifterna bedöms således endast på den senare webbplatsen. Innehåller länken i sig personuppgifter torde dock en behandling ske av dessa uppgifter på den första webbplatsen.”

75

5.3.4Förhållandet till tryck- och yttrandefriheten (7 §)

Datainspektionen har handlagt flera ärenden som gällt gränsdragningen mot det grundlagsskyddade området enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen och frågan om vad som är att anse som behandling uteslutande för journalistiska ändamål enligt 7 § andra stycket personuppgiftslagen. Inspektionen har också i något fall berört frågan om vad som är att anse som en behandling uteslutande för konstnärligt skapande enligt 7 § andra stycket personuppgiftslagen.

I klagomålsärendet ”press nu” fann inspektionen (beslut 1999-06-01 i ärende med dnr 722-99) att en sammanställning av ärenden från Hälso- och sjukvårdens ansvarsnämnd (HSAN) som publicerats på en webbplats av redaktionen för en tryckt periodisk skrift omfattades av yttrandefrihetsgrundlagen och att behandlingen av personuppgifter föll utanför tillämpningsområdet för personuppgiftslagen. I ett efterföljande ”självanmält” ärende fann inspektionen (beslut 1999-10-21 i ärende med dnr 785-99) att en enskild persons vidarespridning av sammanställningen hade sin grund i en grundlagsskyddad publicering som får anses utgöra vedertagen journalistik och att dennes publicering föll under begreppet uteslutande journalistiska ändamål i 7 § andra stycket personuppgiftslagen.

Ett uppmärksammat ärende avsåg tillsyn mot ett företag som bedrev skolfotografering för framställning och spridning av skolkataloger med fotografier på cd-skivor. Datainspektionen fann (beslut 1999-12-17 i ärende med dnr 2078-99) att det var fråga om framställning och spridning av tekniska upptagningar som omfattades av grundlagsskydd enligt yttrandefrihetsgrundlagen varför hindrande bestämmelser i personuppgiftslagen inte skall tillämpas.

Datainspektionen har i ett par fall inlett tillsyn mot företag som på Internet publicerar domstolsavgöranden i sin helhet dvs. med alla i domarna förekommande personuppgifter öppet redovisade. Datainspektionen fann i ett av dessa fall att publiceringen uppenbarligen omfattades av grundlagskydd enligt yttrandefrihetsgrundlagen (beslut 2002-04-17 i ärende med dnr 21-2002). I ett annat fall fann inspektionen (beslut 2002-04-09 i ärende med dnr 703-2001) att företagets invändning om att behandlingen av personuppgifter omfattades av grundlagsskydd som avses i 7 § första stycket personuppgiftslagen fick godtas.

Datainspektionen har, som det sist nämnda fallet antyder, iakttagit stor försiktighet när det gäller fall där omständigheterna gett

76

indikationer på att behandlingen kan falla under den grundlagsskyddade tryck- och yttrandefriheten. Som anges i förarbetena till 7 § personuppgiftslagen får en invändning om att en behandling av personuppgifter avser sådant som är undantaget enligt denna paragraf godtas, om det inte av omständigheterna framgår att invändningen är så osannolik att den kan lämnas utan avseende (prop. 1997/98:44 s. 119).

Datainspektionen avskrev ett klagomålsärende (beslut 2000-01-14 i ärende med dnr 442-99) som gällde en kommuns publicering av fotografier på en webbplats efter att kommunen anfört omständigheter till stöd för grundlagsskydd.

I ett ärende som avsåg ett bolag som tillhandahöll abonnentupplysningar ur en databas benämnd ”Privatpersoner A-Ö” på en webbplats fann Datainspektionen att bolagets invändning om att dess behandling av personuppgifter omfattades av grundlagsskydd fick godtas, varför ärendet avskrevs (beslut 2002-03-21 i ärende med dnr 331-2002). Bolaget ansåg sig ha stöd för att i yttrandefrihetsrättsligt skyddade former tillhandahålla upplysningar direkt ur databasen bl.a. med hänvisning till att bolaget framställde cd-skivor med sådana abonnentupplysningar och var ett sådant företag för yrkesmässig framställning av tekniska upptagningar som avses i 1 kap. 9 § yttrandefrihetsgrundlagen.

Också frågan om en behandling har skett uteslutande för journalistiska ändamål har varit uppe till bedömning. Ett tillsynsärende (beslut 2003-11-03 i ärende med dnr 138-2003) gällde Svenska Styrkelyftförbundets publicering av personuppgifter om dopningavstängda personer på sin webbplats på Internet. Datainspektionen fann att denna publicering av personuppgifter på Internet låg inom ramen för ett journalistiskt ändamål att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten. I ett annat tillsynsärende (beslut 2003-11-18 i ärende med dnr 1228-2003) hade inspektionen att ta ställning till Svenska Travsportens Centralförbunds publicering av uppgifter om överträdelser av olika slag på sin webbplats på Internet under rubriken Nyheter & Notiser. Datainspektionen ansåg att även denna publicering av personuppgifter på Internet torde ligga inom ramen för ett journalistiskt ändamål att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten.

Undantaget i 7 § andra stycket personuppgiftslagen för behandling av personuppgifter som sker uteslutande för konstnärligt skapande åberopades av en kommun i ett tillsynsärende. Kommunen hade publicerat namnen på de 47 772 invånarna i kommunen på sin

77

webbplats och menade att publiceringen var att hänföra till sådant konstnärligt skapande som avses i bestämmelsen i personuppgiftslagen. Det konstnärliga syftet med publiceringen var enligt kommunen att åskådliggöra en mängd, att gestalta hur många 47 000 personer är. Datainspektionen fann (beslut 1999-06-01 i ärende med dnr 1062-99) det uppenbart att lagstiftaren inte menat att bestämmelsen i 7 § personuppgiftslagen om konstnärligt skapande skall tillämpas i ett sådant fall.

5.3.5Berättigade ändamål (9 §) och tillåten behandling (10 §)

Datainspektionen har bedömt flera fall av behandling av personuppgifter som rört digital inspelning av telefonsamtal. Det har gällt både myndigheters och privata företags inspelning av telefonsamtal. Ändamålen med inspelningarna i de fall som bedömts var antingen dokumentation av hot eller kvalitetssäkring.

När det gäller inspelning vid hot konstaterade inspektionen i ett samrådsärende som rörde Stockholms tingsrätt (beslut 2003-10-07 i ärende med dnr 978-2002) att domstolar är sådana myndigheter där risken är särskilt stor att personal utsätts för våld eller annat allvarligt men. Syftet med inspelningen var att snabbt kunna agera när hot framförs vid telefonsamtal till domstolens växel. Enligt inspektionens mening talade därför mycket för att den tänkta inspelningen och lagringen av telefonsamtal kunde bedömas som tillåten med stöd av en sådan intresseavvägning som avses i 10 § f personuppgiftslagen.

En annan bedömning gjorde inspektionen när det gällde ett företags inspelning av samtal från kunder (beslut 2003-04-16 i ärende med dnr 113-2003). Företaget ville spela in de anställdas samtal med kunder för att i efterhand kunna bedöma kvaliteten på samtalen. Inspektionen konstaterade att det var tveksamt om kvalitetssäkring av kundsamtal genom inspelning alltid är ett sådant berättigat ändamål som anges i 9 § personuppgiftslagen, särskilt med hänsyn till de möjligheter till medlyssning som finns. Fråga uppkom också om inspelningen kunde vara tillåten efter samtycke från kunderna. Inspektionen ansåg att ett samtycke från kunderna att bli inspelad kunde ifrågasättas, särskilt om kunden i de fall denne inte ville bli inspelad endast var hänvisad till personligt besök eller e- post. Vid en intresseavvägning enligt 10 § f personuppgiftslagen fann inspektionen att den enskildes, dvs. kundens, personliga in-

78

tegritet i allmänhet vägde tyngre än den personuppgiftsansvariges intresse. Inspektionen hänvisade slutligen i ärendena till kravet på information till de registrerade.

Ett annat tillsynsärende (beslut 2003-04-16 i ärende med dnr 1535-2002) gällde digital inspelning av telefonsamtal mellan kunder och anställda vid något av Apotekets kundcentrum, dit allmänheten bl.a. kunde ringa och fråga om biverkningar av läkemedel. Datainspektionen ansåg att Apoteket hade ett berättigat intresse av att spela in samtalen. Vidare fann inspektionen att Apotekets intresse av att behandla personuppgifterna vägde tyngre än de registrerades intresse av skydd mot integritetskränkningar. En särskild fråga i ärendet var att frågor om läkemedel ibland kunde sammankopplas med den uppringande personens hälsotillstånd och därför eventuellt utgöra en känslig personuppgift enligt 13 § personuppgiftslagen. Inspektionen konstaterade att den som är yrkesmässigt verksam inom hälso- och sjukvård och har tystnadsplikt får behandla känsliga personuppgifter som omfattas av tystnadsplikten med stöd av 18 § andra stycket personuppgiftslagen. Apotekets legitimerade personal och övriga personal har tystnadsplikt enligt lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Det fanns därför enligt inspektionen laglig grund för att i detta sammanhang även behandla känsliga personuppgifter. Inspektionen fann slutligen att en förutsättning för att behandlingen av personuppgifter skall vara laglig är att Apoteket informerar den uppringande personen om inspelningen. När det gällde inspelning av de anställda fanns redan rutiner för information och samtycke i samband med anställningen.

I ett tillsynsärende (beslut 2003-06-17 i ärende med dnr 330-2002) granskade inspektionen en bostadsrättsförening med anledning av att föreningen infört datorstyrda lås- och passagesystem med elektronisk registrering (logg) till föreningens allmänna utrymmen. För att kunna öppna dörrar till exempelvis entréer, källare och garage krävdes ett särskilt magnetkort. Varje magnetkort hade ett särskilt nummer som kunde knytas till lägenhetsinnehavaren. Enligt Datainspektionen fanns en möjlighet att knyta registreringarna i systemet till en enskild fysisk person. Mot denna bakgrund fann inspektionen anledning att bedöma passagesystemet utifrån personuppgiftslagens bestämmelser. Inspektionen konstaterade inledningsvis att behandlingen av personuppgifter inte kunde bygga på samtycke, eftersom det inte fanns några alternativ till magnetnyckel med registrering. Datainspektionen fann inte skäl att ifrågasätta att föreningen hade ett berättigat intresse av att behand-

79

la personuppgifter i ett låssystem som bygger på magnetnycklar. Loggning av magnetnycklar fick dock enligt inspektionens uppfattning endast ske om det var nödvändigt för att få passagesystemet att fungera tillfredsställande. Det kunde enligt Datainspektionens inte godtas att systemet användes för andra ändamål.

Ett tillsynsärende hos Datainspektionen (beslut 2003-12-16 i ärende med dnr 1682-2002) föranleddes av uppgifter om att ett s.k. krockminne i vissa bilar vid en kollision lagrade fordonsrelaterad data. I krockminnet lagrades bl.a. uppgifter om bilens hastighet, bromsaktivering, om farthållaren var aktiverad, bältesanvändning för passagerarna i framsätena, om huvudljus var påslaget, aktuell växel, status på samtliga dörrar (låsta/olåsta, öppna/stängda) och tidpunkt. Bilföretaget avsåg att använda uppgifterna för att förbättra framtidens bilar när det gäller krock- och körsäkerhet. Datainspektionen bedömde att flera av de uppgifter som registrerades i samband med en olycka utgjorde personuppgifter enligt personuppgiftslagen. Enligt Datainspektionens mening blev bilföretaget personuppgiftsansvarig för uppgifterna först när företaget hämtat in uppgifterna efter det att en olycka hade inträffat. För att den personuppgiftsbehandling som företaget utförde genom att hämta in uppgifter från kolliderade bilar skulle anses tillåten enligt 10 § personuppgiftslagen, krävdes enligt Datainspektionens mening att inhämtandet föregicks av ett samtycke från bilens ägare och de personer vars personuppgifter registrerades.

5.3.6Känsliga personuppgifter (13–19 §§)

I ett uppmärksammat tillsynsärende (dnr 1404-2001) mot Kungliga biblioteket (KB) hade Datainspektionen anledning att ta ställning till om en insamling av samtliga svenska webbsidor från Internet för att bevara det elektroniska kulturarvet för framtiden (det s.k. kulturarvsprojektet) var förenlig med bestämmelserna i personuppgiftslagen. Datainspektionen ansåg att personuppgiftsbehandlingen i projektet var nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt 10 § d personuppgiftslagen. Däremot fann Datainspektionen att insamlingen av webbsidorna också innebar en behandling av känsliga personuppgifter utan samtycke från de registrerade som inte var tillåten. Datainspektionen konstaterade att en insamling av material för att bevara det digitala kulturarvet inte i sig kunde anses utgöra ett forskningsprojekt, eftersom insamlingen skedde för att bevara material som kunde utgöra underlag för fram-

80

tida forskning. Det dåvarande undantaget för forsknings- och statistikändamål i 19 § personuppgiftslagen från förbudet att behandla känsliga personuppgifter var därför enligt Datainspektionen inte tillämpligt. Eftersom inte heller något av de övriga undantagen från förbudet var tillämpligt, bedömde Datainspektionen att personuppgiftsbehandlingen i KB:s kulturarvsprojekt inte var förenlig med personuppgiftslagen. Datainspektionen ansåg emellertid att det fanns skäl att särreglera den behandling av personuppgifter som KB:s projekt innebar och uppmärksammade därför regeringen på sitt beslut. Regeringen har därefter utfärdat förordningen (2002:287) om behandling av personuppgifter i Kungl. Bibliotekets digitala kulturarvsprojekt som ger författningsstöd för den behandling av känsliga personuppgifter som utförs inom projektet.

Ett annat fall (dnr 1966-2001) gällde Handikappförbundens samarbetsorgans rättsdatabas och dess förenlighet med personuppgiftslagen. I databasen fanns flera hundra sammanfattningar av rättsfall som rörde funktionshindrade. Databasen vände sig till samarbetsorganets medlemsorganisationer och externa organisationer samt myndigheter. Datainspektionen konstaterade att det var fråga om behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen och fann att behandlingen inte var förenlig med personuppgiftslagen.

Enligt 10 § första stycket andra punkten personuppgiftsförordningen i lydelse före den 1 januari 2004 skulle behandling av personuppgifter om genetiska anlag som framkommit efter genetisk undersökning anmälas till Datainspektionen för förhandskontroll. Denna typ av personuppgiftsbehandling förekom inom ramen för olika forskningsprojekt. I samband med sådan förhandskontroll har Datainspektionen i några fall haft att ta ställning till om den behandling av känsliga personuppgifter som utförs inom forskningsprojekten kan äga rum utan samtycke från de registrerade. Numera gäller i stället att känsliga personuppgifter får behandlas för forskningsändamål om det finns samtycke eller behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

Ett par fall har gällt förhandskontroll vid forskning på genetiska uppgifter. Det ena fallet (dnr 380-2001) gällde en genetisk forskningsstudie med syfte att bl.a. undersöka vissa genetiska faktorers betydelse för uppkomsten av prostatacancer. De blodprover som skulle användas för genetiska analyser i forskningsstudien hade lämnats i tidigare forskningsprojekt där personerna i fråga hade informerats om den framtida hanteringen av blodproverna och

81

godkänt att ett spar- eller forskningsprov togs. Vissa personer hade sedermera utvecklat prostatacancer. Datainspektionen tillämpade avvägningsnormen i dåvarande 19 § första stycket personuppgiftslagen. Enligt denna bestämmelse fick känsliga personuppgifter behandlas utan uttryckligt samtycke för forsknings- och statistikändamål om behandlingen är nödvändig på sätt som sägs i 10 § personuppgiftslagen och om samhällsintresset av det forsknings- eller statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Datainspektionen bedömde att samhällsintresset av den aktuella cancerforskningen vägde över risken för integritetsintrång förutsatt att information om personuppgiftsbehandlingen lämnades på lämpligt sätt, t.ex. via anslag eller annonser. Vid intresseavvägningen beaktade Datainspektionen också att de personer som genomgått en behandling som botat deras cancersjukdom kunde uppleva det som psykologiskt arbetsamt med en förnyad kontakt. Det andra fallet (dnr 1386-2002) gällde en forskningsstudie där bl.a. vissa genetiska faktorers betydelse för risken att drabbas av hjärtinfarkt skulle undersökas. Även i detta fall bedömde Datainspektionen med tillämpning av dåvarande 19 § första stycket personuppgiftslagen att personuppgiftsbehandlingen var förenlig med personuppgiftslagen under förutsättning att deltagarna i forskningsprojektet på lämpligt sätt, i första hand genom direktutskick, informerades om behandlingen i enlighet med bestämmelserna i 25 § personuppgiftslagen.

När det gäller humanistisk-samhällsvetenskaplig registerforskning har Datainspektionen vid förhandskontroll i några fall tagit ställning till om känsliga personuppgifter kan behandlas utan samtycke och utan att de registrerade informeras om behandlingen. Ett ärende (dnr 1231-2003) gällde ett forskningsprojekt vid Stockholms universitet, Kriminologiska institutionen, om diskriminering inom rättssystemet. Många uppgifter om brott och känsliga personuppgifter från polisen, Brottsförebyggande rådet och Statistiska centralbyrån (SCB) skulle hanteras i forskningen. Datainspektionen bedömde att personuppgifterna kunde behandlas trots att de registrerade skulle varken samtycka till eller få information om forskningen. I bedömningen vägdes särskilt in att Humanistisksamhällsvetenskapliga Forskningsrådet (HSFR, numera Vetenskapsrådet) hade granskat forskningsprojektet etiskt och godtagit förfarandet. Datainspektionen vägde också in att uppgifterna från SCB skulle lämnas ut avidentifierade utan kodnyckel sedan forskarnas material samkörts med SCB:s register och att särskilda IT-

82

säkerhetsåtgärder vidtagits för att skydda uppgifterna innan de avidentifierades. Ett annat forskningsprojekt där Datainspektionen godtagit att registerforskning ägde rum utan vare sig samtycke från eller information direkt till de registrerade rörde en epidemiologisk och hälsoekonomisk uppföljning av personer med schizofreni (dnr 366-2003). Eftersom information riktad direkt till de registrerade, som flera led av paranoid schizofreni, kunde leda till onödig oro, rädsla och misstänksamhet hos dessa ansåg Datainspektionen att informationen kunde lämnas på annat lämpligare sätt, t.ex. via anslag.

5.3.7Personnummer (22 §)

Datainspektionen har i ett yttrande enligt nuvarande 15 § personuppgiftsförordningen över ett förslag till en branschöverenskommelse inom direktmarknadsföringsområdet uttalat sig om användningen av personnummer (beslut 1999-06-16 i ärende med dnr 1338-99). Datainspektionen gav därvid uttryck för sin dittillsvarande uppfattning att det inte finns skäl för att använda personnummer för direktmarknadsföringsändamål. Inspektionen förklarade dock att det inte ansetts hindra tillfällig personnummersättning av kund- eller prospectregister hos myndighet, t.ex. Statens personnadressregisternämnd, för borttagning av egna kunder eller för uppdatering av register.

Ett samrådsärende (beslut 2003-08-13 i ärende med dnr 1005-2003) rörde frågan om det var tillåtet för en kommun att samla in personnummer redan vid ansökan om bygglov i syfte att underlätta eventuell kravhantering. Inledningsvis konstaterade inspektionen att i de fall en sökande frivilligt lämnar uppgift om sitt personnummer, t.ex. i en blankett efter att ha fått information om behandlingen, kan handlandet ses som konkludent och godtas som samtycke till att uppgiften registreras. Om det inte fanns något samtycke, var det enligt inspektionens uppfattning endast befogat att behandla personnummer vid kravhantering, exempelvis vid inkassokrav och vid ansökan om betalningsföreläggande.

5.3.8Information till den registrerade (25 §)

I flera ärenden har Datainspektionen haft uppe frågan om innebörden av bestämmelsen i 25 § andra stycket personuppgiftslagen om

83

att information inte behöver lämnas om sådant som den registrerade redan känner till.

I ett ärende (dnr 1596-2001) var frågan om Tullverket var skyldigt att lämna information till de registrerade i samband med behandling av tulldeklarationer. Datainspektionen konstaterade att i stort sett samtliga myndigheter i dag använder sig av någon form av datoriserat stöd för handläggningen av ärenden m.m. På grund härav kunde det enligt inspektionens mening i många fall förutsättas att den som vänder sig till en myndighet redan känner till eller förstår att uppgifterna registreras i någon form av automatiserat register. Enligt Datainspektionens uppfattning behövde Tullverket inte lämna information om behandlingen av personuppgifter i samband med tulldeklarationer, eftersom det kunde anses att den som lämnar en tulldeklaration känner till vem som är personuppgiftsansvarig och för vilka ändamål tulldeklarationen kommer att behandlas.

I ett annat ärende (dnr 1869-2001) var frågan om vilken information Lantbrukarnas riksförbund var skyldigt att ge dem som sökte medlemskap. Inspektionen uttalade att om den registrerade själv har lämnat in personuppgifter till den personuppgiftsansvarige, behöver den personuppgiftsansvarige inte lämna information så länge uppgifterna bara används för de ändamål som den registrerade kan förutse. I en sådan situation får den registrerade anses känna till den personuppgiftsansvariges identitet och ändamålen med behandlingen. Datainspektionen fann att för det fall nya medlemmar kan förutse bl.a. för vilka ändamål personuppgifterna skulle behandlas behövde någon information inte lämnas.

I ett tillsynsärende mot Bra Böcker AB (dnr 1890-2001) har Da- tainspektionen närmare preciserat kravet i 25 § personuppgiftslagen på vilken information som skall lämnas till registrerade då insamling av personuppgifter skett från annan källa än den registrerade själv. Ärendet gällde frågan om man i ett direktreklamutskick uttryckligen måste informera om rätten att ansöka om information och få rättelse. Enligt den branschöverenskommelse som finns beträffande direktreklam skall det finnas en upplysning om varifrån de använda adressuppgifterna har inhämtats, s.k. adresskälleangivelse. Källangivelsen skall enligt branschöverenskommelsen vara utformad så att den som får reklamen skall kunna ta kontakt med källan för att där ta tillvara sina rättigheter enligt personuppgiftslagen. Den skall därför innehålla telefonnummer och/eller adress till källan. I det aktuella fallet fanns det i bolagets direktreklamutskick information om namn och postnummer till adresskällan, telefonnummer och adress till bolaget och dess kundservice samt en hän-

84

visning till bolagets webbsida. Uttrycklig information om rätten att ansöka om information och få rättelse fanns dock inte angiven. Da- tainspektionen bedömde dock att risken för integritetsintrång generellt sett är liten vid personuppgiftsbehandling i direktreklamsammanhang och att information om rätten att ansöka om information och att få rättelse normalt sett är uppfylld genom en adresskälleangivelse och angivande av adress och telefonnummer till direktreklambolagets kundservice. Datainspektionens bedömning kan sägas utgöra en precisering av kravet i den branschöverenskommelse Datainspektionen tidigare yttrat sig över utan invändningar i det nu aktuella avseendet.

5.3.9Registerutdrag (26 §)

I ett tillsynsärende mot Skandinaviska Enskilda Banken (dnr 687-2002) kom frågan upp om innehållet i s.k. registerutdrag enligt 26 § personuppgiftslagen. Banken tog i utdragen inte med uppgifter om transaktioner och saldon. Datainspektionen konstaterade att den enskilde har rätt att få besked om även sådana uppgifter. Inspektionen förutsatte emellertid att banken lämnade sådan information både kontinuerligt och på uttrycklig begäran om just sådana uppgifter. Inspektionen ansåg att kraven enligt 26 § därigenom fick anses tillgodosedda, om det i registrutdraget upplystes om möjligheten att även få uppgifter om transaktioner och saldon.

5.3.10Publicering på Internet (33 §)

Datainspektionen har i flera ärenden tagit ställning till publicering av personuppgifter på Internet.

Ett ärende (dnr 1369-2000) gällde publicering av en skolkatalog på Internet. En elev i en gymnasieskola hade som specialarbete gjort en hemsida om sin skola. Hemsidan innehöll bl.a. en inskannad version av gymnasiets skolkatalog med gruppbilder och namn på elever i samtliga klasser. Skolkatalogen hade publicerats på In- ternet utan elevernas samtycke. En elev vid skolan hade beviljats skydd för sina personuppgifter och invände mot publiceringen. Da- tainspektionen konstaterade att publiceringen inte under några omständigheter kunde anses som harmlös och att den stred mot förbudet mot överföring av personuppgifter till tredje land i 33 § personuppgiftslagen.

85

Ett annat ärende (dnr 741-2000) gällde en webbplats som innehöll bl.a. namn och bild på barn som hade tvångsomhändertagits med stöd av lagen (1990:52) med särskilda bestämmelser om vård av unga. Uppgifterna på webbplatsen hade publicerats av Nordiska Kommittén för Mänskliga Rättigheter (NKMR) under en s.k. SÖK-tjänst. NKMR anförde att uppgifterna publicerades med samtycke och med ändamålet att barnens biologiska föräldrar skulle kunna få information om var barnen befann sig och om hur barnet hade det i fosterhemmet. Datainspektionen inledde tillsyn mot NKMR och konstaterade följande i sitt beslut. Det är enligt 21 § personuppgiftslagen förbjudet för andra än myndigheter att behandla personuppgifter om bl.a. administrativa frihetsberövanden oavsett samtycke från de registrerade. Det framgår av lagens förarbeten att med administrativa frihetsberövanden avses bl.a. att någon har varit föremål för tvångsingripande enligt lagen med särskilda bestämmelser om vård av unga. NKMR:s SÖK-tjänst behandlade därför personuppgifter i strid med 21 § personuppgiftslagen. Eftersom uppgifterna dessutom gjordes tillgängliga via Internet, stred behandlingen även mot förbudet i 33 § personuppgiftslagen att överföra personuppgifter till tredje land. Datainspektionen beslutade också med hänsyn till förfarandets allvarliga karaktär att överlämna ärendet till polisen.

5.4Justitiekanslerns praxis

Justitiekanslern prövar bl.a. frågor om skadestånd skall betalas av staten, bl.a. skadestånd enligt personuppgiftslagen, och i dessa ärenden kan tolkningen av personuppgiftslagen komma upp.27 Ju- stitiekanslern har också vissa uppgifter i fråga om tryck- och yttrandefriheten. Fall som i första hand gäller om ett visst förfarande med personuppgifter är skyddat av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen kan ha avgörande betydelse för om personuppgiftslagen är tillämplig. Eftersom sådana fall inte direkt gäller tillämpningen av personuppgiftslagen utan tillämpningen av grundlagarna, redovisas fallen inte här.

I ett fall hade en person begärt skadestånd med anledning av att Premiepensionsmyndigheten sänt ett meddelande med sekretessbe-

27Ibland gäller saken behandling av personuppgifter som regleras av en särskild registerförfattning som hänvisar till skadeståndsbestämmelsen i personuppgiftslagen.

86

lagda uppgifter om hur hans premiepension placerats till honom i ett kuvert som inte varit förslutet. Justitiekanslern fann – beslut 2002-02-21, dnr 1980-02-42 – att det inte kunde uteslutas att det sätt på vilket meddelandet sänts inneburit att personuppgiftslagens regler åsidosatts, men att den kränkning som ett sådant åsidosättande kan ha medfört måste anses så begränsad att det inte fanns någon rätt till kränkningsersättning enligt 48 § personuppgiftslagen. Justitiekanslern beaktade att det inte varit fråga om personuppgifter av särskilt känslig art och att det bara funnits en begränsad risk för spridning av uppgifterna.

I beslut 2002-09-03, dnr 1652-02-42, har Justitiekanslern tillerkänt en person som under en vecka felaktigt varit registrerad som avliden i folkbokföringsregistret ersättning med 25 000 kr för kränkningen och 1 000 kr för kostnader enligt en bestämmelse i lagstiftningen om det registret som hänvisar till skadeståndsbestämmelsen i personuppgiftslagen.

I beslut 2003-09-11, dnr 2081-03-42, har Justitiekanslern tillerkänt en person begärd ersättning med 10 000 kr för det att det under mer än tre år felaktigt varit antecknat i belastningsregistret att han haft besöksförbud.

I beslut 2003-11-17, dnr 660-02-40, har Justitiekanslern tillerkänt en person ersättning för lidande med 10 000 kr för det att han under cirka tre månader varit oriktigt registrerad i misstankeregistret som skäligen misstänkt för ringa narkotikabrott och brott mot knivlagen, vilket ledde till att han fick vänta på körkortstillstånd.

I beslut 2003-03-28, dnr 73-02-42, har Justitiekanslern tillerkänt en student ersättning med 1 000 kr för kränkning för det att ett universitet på ett intranät under mindre än 48 timmars tid hade publicerat en lista med tentamensresultat med hans personnummer. I beslut 2003-04-14, dnr 1858-02-42, har Justitiekanslern avslagit samme students anspråk på skadestånd för det att universitetet registrerat hans telefonnummer i studiedokumentationssystemet Ladok. Justitiekanslern ansåg att det är ett berättigat intresse enligt personuppgiftslagen för universitet och högskolor att registrera adresser och telefonnummer som behövs för att komma i kontakt med de studenter som är inskrivna vid universitetet och att universitetets behov av att registrera telefonnumret väger tyngre än studentens intresse av att telefonnumret inte registreras; när studenten begärde det, togs telefonnumret bort.

I beslut 2003-06-19, dnr 1842-03-40, har Justitiekanslern tillerkänt en person med skyddad adress ersättning med 15 000 kr för kränkning och med 20 000 kr för skada i form av flyttkostnader

87

och fördyrade levnadsomkostnader för att en uppgift om personens skyddade adress oriktigt tagits bort ur försäkringskassans register.

I beslut 2003-06-26, dnr 1902-03-42, har Justitiekanslern tillerkänt två personer ersättning för olika straff- och påminnelseavgifter som de åsamkats till följd av att räkningar inte tillställdes dem, eftersom deras folkbokföringsadress varit oriktigt återgiven i folkbokföringsregistret.

I beslut 2003-07-02, dnr 1913-03-42 och 1914-03-42, har Justitiekanslern tillerkänt två personer, vars pensioner betalats ut på ett felaktigt sätt eftersom uppgifter registrerats felaktigt hos försäkringskassan, ersättning med 460 kr vardera för den oro som den uteblivna pensionsutbetalningen medfört och de kostnader som uppkommit för att efterforska pensionen. I ett annat fall har en person fått ersättning med 1 000 kr (beslut 2003-10-16, dnr 2783-03-42). Och i ett motsvarande fall avseende felaktig utbetalning av sjukpenning har en person fått ersättning med 2 000 kr (beslut 2003-09-15, dnr 1706-03-42).

I beslut 2003-07-16, dnr 1724-03-42, har Justitiekanslern tillerkänt en person ersättning för kursförlust med 988 kr, eftersom ett felaktigt kontonummer registrerats hos försäkringskassan, vilket lett till att föräldrapenning satts in på ett fondkonto.

I beslut 2003-10-15, dnr 596-03-42, har Justitiekanslern tillerkänt en person ersättning för kränkning med 4 000 kr för att en skuld varit felaktigt registrerad i utsökningsregister under drygt två år. En annan person har i ett fall där den felaktiga registreringen i utsökningsregistret varat i ungefär ett och ett halvt år fått ersättning med 5 000 kr för lidande (beslut 2003-11-05, dnr 1760-03-42).

I beslut 2003-03-28, dnr 580-03-42, har Justitiekanslern avslagit ett skadeståndsanspråk för felaktig registrering av folkbokföringsadress, eftersom det inte visats att den felaktiga registreringen orsakat den skada i form av kostnader till följd av att telefonräkning sänts till fel adress som ersättning krävdes för.

I beslut 2003-10-09, dnr 2795-03-42, har Justitiekanslern avslagit ett skadeståndsanspråk avseende ersättning för s.k. kvarstående skatt. Försäkringskassans personregister hade innehållit en felaktig uppgift om en persons underlag för preliminär skatt vilket lett till att personen påfördes kvarstående skatt. Justitiekanslern ansåg dock att den omständigheten att en skattskyldig har att betala en del av den slutliga skatten som rätteligen belöper på inkomsterna för ett visst beskattningsår i form av kvarskatt inte i sig var att betrakta som en ersättningsgill förmögenhetsskada.

88

I beslut 2003-02-21, dnr 1762-02-40, har Justitiekanslern bedömt om registrerade personuppgifter varit felaktiga eller ofullständiga och funnit att så inte varit fallet.

I beslut 2003-08-27, dnr 3271-02-42, och i beslut 2003-11-18, dnr 3152-02-42, har Justitiekanslern avslagit skadeståndsanspråk med anledning av felaktig registrering av uppgifter om avlidna.

5.5Mål i EG-domstolen

5.5.1Mål om att medlemsstater inte följt EG-direktivet

EG-kommissionen har i EG-domstolen väckt talan om att domstolen skall fastställa att Tyskland, Frankrike, Luxemburg och Irland (mål C-443, 449 och 450/00 respektive C-459/01) inte genomfört EG-direktivet i tid. EG-domstolen har i dom den 4 oktober 2001 fastslagit att Luxemburg brutit mot sina förpliktelser enligt EG- direktivet. Målen mot Tyskland och Frankrike har återkallats och skrivits av, medan målet mot Irland inte är avgjort ännu.

5.5.2Förhandsavgöranden

Det finns några mål där nationella domstolar har bett EG- domstolen om ett s.k. förhandsavgörande om tolkningen av EG- direktivet.28 Det gäller dels de frågor som Göta hovrätt ställt i det mål som berörs i avsnitt 5.2.1 (mål C-101/01), dels frågor som ett par österrikiska domstolar ställt (mål C-465/00 och C-138 och 139/01).

Frågor från Göta hovrätt

Det svenska s.k. konfirmandlärarmålet, som omtalas närmare i avsnitt 5.2.1, gäller en konfirmandlärares publicering av personuppgifter om arbetskamrater på Internet. Göta hovrätt hade i målet ställt sju frågor om tolkningen av EG-direktivet.

28I EG-domstolens dom den 14 september 2000 i mål C-369/98 har EG-direktivet indirekt berörts.

89

Generaladvokaten vid EG-domstolen kom i sitt förslag till avgörande (den 19 september 2002) fram till att en behandling av personuppgifter, vilken består i att utan ekonomiskt vinstsyfte skapa en hemsida av aktuell typ, vilken endast är avsedd att utgöra stöd för konfirmationsundervisning som ges i en församling, gratis och helt utan samband med någon anställning, inte omfattas av gemenskapsrätten, se artikel 3.2 i EG-direktivet. Generaladvokaten besvarade inte hovrättens övriga frågor.

EG-domstolen (dom den 6 november 2003 i mål C-101/01) gjorde en annan bedömning. För det första kom domstolen fram till att omnämnandet av olika personer – med namn eller på annat sätt, t.ex. med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen – på en hemsida på Internet utgör en sådan helt eller delvis automatiserad behandling av personuppgifter som i och för sig omfattas av EG-direktivet. En uppgift om att en person har skadat sin fot och är deltidssjukskriven utgör dessutom, enligt EG-domstolen, en känslig personuppgift om hälsa. EG-domstolen konstaterade vidare till skillnad från generaladvokaten att den behandling som utförts inte var undantagen från EG-direktivet enligt artikel 3.2. Det var bl.a. uppenbart enligt domstolen att en behandling av personuppgifter som består i att uppgifterna offentliggörs på Internet för att bli tillgängliga för ett obestämt antal personer inte föll under undantaget för rent privat behandling.

Däremot är det enligt EG-domstolen inte fråga om någon överföring av uppgifter till tredje land i EG-direktivets mening när en person, som befinner sig i en medlemsstat, lägger ut personuppgifter på en hemsida på Internet som är lagrad hos en fysisk eller juridisk person, som har den webbplats där man kan komma åt sidan och som är etablerad i samma medlemsstat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land.

EG-domstolen kom vidare fram till att bestämmelserna i EG- direktivet inte i sig utgör en begränsning som står i strid med den allmänna principen om yttrandefrihet, eller andra fri- och rättigheter, som gäller inom EU. Enligt EG-domstolen ankommer det på de nationella myndigheter och domstolar som skall tillämpa den nationella genomförandelagstiftningen att garantera en rättvis balans mellan de rättigheter och skyldigheter som är i fråga.

Slutligen konstaterade EG-domstolen att det inte finns något hinder för en medlemsstat att utöka räckvidden av genomförandelagstiftningen till att omfatta områden som inte ingår i EG-

90

direktivets tillämpningsområde. Det gäller naturligtvis bara om inte någon annan gemenskapsrättslig bestämmelse hindrar det.

Frågor från österrikiska domstolar

Målen från Österrike gäller ett speciellt förfarande enligt österrikisk lagstiftning. Detta förfarande innebär att ett statligt organ är skyldigt att – i syfte att offentliggöra uppgifterna – samla in och vidarebefordra uppgifter om namn och lön för personer med en viss minimiinkomst som är anställda hos vissa myndigheter och andra organ som helt eller delvis står under statligt inflytande. Frågan i EG-domstolen gällde om förfarandet var förenligt med EG- direktivet.

Generaladvokaten vid EG-domstolen kom i sitt förslag till avgörande fram till att det förfarande som föreskrivs inte omfattas av bestämmelserna i EG-direktivet, eftersom behandlingen utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, se artikel 3.2 i EG-direktivet.

EG-domstolen (dom den 20 maj 2003 i mål C-465/00 och C-138 och 139/01) fann emellertid att EG-direktivet är tillämpligt på förfarandet. Domstolen kom vidare fram till att EG-direktivet (artiklarna 6.1 c och 7 c och e) inte utgör något hinder för en sådan nationell lagstiftning som den som det var i fråga i målen, under förutsättning att det är utrett att spridning i stor omfattning av såväl inkomstbeloppen som namnen på de personer som uppbär inkomsterna är både nödvändig och lämplig för lagstiftarens syfte, nämligen att allmänna medel skall förvaltas väl. Enligt EG-domstolen ankommer det på de nationella domstolarna att pröva om så är fallet.

EG-domstolen ansåg vidare att de tidigare nämnda artiklarna i EG-direktivet har direkt effekt i den meningen att de kan åberopas av en enskild inför nationella domstolar för att dessa inte skall tilllämpa nationella rättsregler som strider mot artiklarna.

91

5.6Annan vägledning

5.6.1Vägledning från Datainspektionen

Datainspektionen har utfärdat föreskrifter om anmälan av behandlingar29 och om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m.30

Datainspektionen har vidare utfärdat allmänna råd om säkerhet för personuppgifter och om information till registrerade enligt personuppgiftslagen. Inspektionen har också kommit ut med informationsskrifter om personuppgiftsombud (1999) om personuppgifter i arbetslivet (2001), om hur länge personuppgifter får bevaras (2003), om samtycke (2003) och om intresseavvägning (2003). In- spektionen har dessutom gett ut ett antal kortare informationsblad om personuppgiftsansvar, personuppgiftsombud, personuppgifter och Internet, anmälan och förhandskontroll, känsliga personuppgifter i forskningen samt övergången till personuppgiftslagen. Ma- terialet är tillgängligt på Datainspektionens webbplats.31

Datainspektionen svarar varje år på tusentals telefon- och e- postförfrågningar bl.a. via ett särskilt inrättat s.k. call-center med två jurister. Inspektionen har också en omfattande konferens- och föreläsningsverksamhet.

Det kan vidare nämnas att Datainspektionen medverkar i en arbetsgrupp enligt artikel 29 i EG-direktivet tillsammans med företrädare för tillsynsmyndigheter i andra medlemsstater och EG- kommissionen. Den arbetsgruppen har utfärdat en lång rad yttranden och rekommendationer rörande skyddet för personuppgifter och tolkningen av EG-direktivet.32

5.6.2Branschöverenskommelser

Enligt 15 § personuppgiftsförordningen (1998:1191) skall Datainspektionen på begäran av en organisation som företräder en väsentlig del av de personuppgiftsansvariga inom en viss bransch eller

29DIFS 1998:2 senast ändrad genom DIFS 2001:1.

30DIFS 1998:3.

31http://www.datainspektionen.se.

32Arbetsgruppens material finns på EG-kommissionens webbplats: http://europa.eu.int/comm/internal_market/privacy/workingroup_en.htm.

92

inom ett visst område avge yttrande över förslag till överenskommelser vad avser behandling av personuppgifter inom branschen eller området (branschöverenskommelse). Yttrandet skall avse branschöverenskommelsens förenlighet med personuppgiftslagen och andra författningar som reglerar den behandling av personuppgifter det är fråga om. Datainspektionen skall innan den avger yttrande om det är lämpligt se till att organisationer som företräder de registrerade har fått tillfälle att yttra sig över förslagen till branschöverenskommelser.

Datainspektionen har yttrat sig över tre branschöverenskommelser, en om direkt marknadsföring, en om marknadsundersökningar och en om behandling av personuppgifter på inkassoområdet. Datainspektionen granskar för närvarande utkast till branschöverenskommelser om behandling av personuppgifter i finansieringsverksamhet och i skolfotoverksamhet samt ett förslag om ändringar i branschöverenskommelsen om maRegeringenk adsu dersökningarhar satt som. mål att Datainspektionen aktivt skall arbeta för att det kommer till stånd en ökad självreglering genom bl.a. flera branschöverenskommelser.

5.6.3Särskilda registerförfattningar

På många områden, särskilt i fråga om myndighetsregister, kan mera konkret vägledning för behandlingen av personuppgifter fås genom s.k. särskilda registerförfattningar. Enligt 2 § personuppgiftslagen gäller nämligen avvikande bestämmelser i lag eller författning före personuppgiftslagen. Sedan personuppgiftslagen trädde i kraft har det utfärdats en lång rad författningar med särbestämmelser som är anpassade till lagen.33 Även förarbetena till särskilda registerförfattningar kan i viss utsträckning ge vägledning för tillämpningen av personuppgiftslagen.

5.6.4Litteratur

Det finns i dag en hel del litteratur kring personuppgiftslagen. Det har getts ut en traditionell lagkommentar och några mera praktiskt inriktade publikationer. Genomförandet av EG-direktivet i de nor-

33Se t.ex. uppräkningen på s. 26 ff. i Sören Öman & Hans-Olof Lindblom, Personuppgiftslagen – En kommentar, andra upplagan 2001.

93

diska länderna har beskrivits i en antologi, och personuppgiftsskyddet i Sverige och Frankrike har jämförts i en doktorsavhandling. Vidare finns det en hel del tidskriftsartiklar med rättsfallskommentarer och belysning av särskilda aspekter.

Flera branschorganisationer och liknande har gett ut vägledning om personuppgiftslagen.

Det finns på det internationella planet åtminstone två kommentarer till EG-direktivet (på tyska).

5.7Utredningens analys

Personuppgiftslagen har gällt sedan oktober 1998, men inte tillämpats fullt ut på automatiserad behandling förrän tre år senare. Un- der den förhållandevis korta tid som lagen tillämpats har det, såsom den tidigare redovisningen visar, förekommit en utveckling i rättstillämpningen och tillkommit en hel del annan vägledning för tillämpningen. Det har exempelvis redan kommit fyra vägledande avgöranden från högsta instans. Enligt utredningens bedömning har man knappast haft anledning att vänta sig fler vägledande avgöranden i svensk domstolspraxis. Utvecklingen i rättspraxis fortskrider således i normal eller till och med snabbare än normal takt.

Eftersom personuppgiftslagen grundar sig på ett EG-direktiv, som EG-domstolen har att uttolka, och i stort sett följer EG- direktivets struktur och text, har regeringen medvetet avstått från att i förarbetena närmare uttala sig om tolkningen.34 Regeringen var emellertid medveten om att de generella regler som finns i personuppgiftslagen behöver preciseras och utvecklas och delegerade därför kompetens att göra det till Datainspektionen.35 Regeringen instruerade också Datainspektionen att särskilt inrikta sin verksamhet på att informera om gällande regler36 och gav senare inspektionen i särskilt uppdrag att publicera konkret vägledning i vissa avseenden37.

När det gäller just förekomsten av annan vägledning för tillämpningen av personuppgiftslagen än rättspraxis finns det delade meningar. En del menar att mera konkret vägledning borde ha kommit fram vid det här laget och att osäkerheten om vad som gäller är be-

34Prop. 1997/98:44 s. 38.

35Prop. 1997/98:44 s. 56 f.

361 § andra stycket förordningen (1998:1192) med instruktion för Datainspektionen.

37Se regleringsbreven för Datainspektionen för 2002 och 2003.

94

svärande och borde avhjälpas t.ex. genom möjlighet till förhandsbesked från exempelvis Datainspektionen. Andra menar att det inte är så konstigt att det till en EG-baserad lagstiftning inte finns mer vägledning. Enligt dessa är osäkerheten inte heller särskilt besvärande, eftersom detta ger den som skall tillämpa lagstiftningen ett större, eget spelrum tills vidare.

Utredningen kan för egen del konstatera att det nu faktiskt kommit en hel del vägledning från bl.a. Datainspektionen. Å andra sidan kan det också konstateras att det, trots den praxis och vägledning som finns, på många punkter är oklart hur lagstiftningen skall tillämpas i konkreta situationer. Så är det emellertid ofta med relativt ny lagstiftning, särskilt sådan som bygger på EG-direktiv. Utredningen har dock inte fått uppfattningen att oklarheten om vad som gäller i olika situationer är så besvärande att den hindrat en önskvärd samhällsutveckling eller allvarligt försvårat genomförandet av önskvärda behandlingar. Om det på något visst område skulle finnas ett särskilt behov av mer konkret vägledning, finns det för övrigt alltid möjlighet för organisationer av personuppgiftsansvariga att själva utarbeta en branschöverenskommelse med vägledning som Datainspektionen har att granska.38 Målet för Datainspektionens verksamhet är också att inspektionen aktivt skall arbeta för att det kommer till stånd en ökad självreglering genom bl.a. flera branschöverenskommelser.39

Det kan inte anses ligga inom ramen för utredningsuppdraget att överväga ett helt nytt system för normgivning och vägledning, t.ex. ett system med förhandsbesked. Datainspektionens framtida verksamhetsinriktning har också setts över nyligen av en annan utredning.40

38Se 15 § personuppgiftsförordningen (1998:1191).

39Se regleringsbreven för Datainspektionen för 2002 och 2003.

40SOU 2002:2.

95

6Justitiedepartementets offentliga utvärdering

6.1Inledning

Justitiedepartementet har gjort en enkät för en offentlig utvärdering av EG-direktivet som i februari 2001 remitterades till 109 myndigheter, organisationer och företag. Allmänheten inbjöds också att svara på enkäten på Internet via Justitiedepartementets webbplats. Sammanlagt kom det in 94 svar på enkäten, varav 79 svar bedömdes vara allvarligt menade i sak.

Enkäten innehöll 16 frågor om eventuella problem med olika bestämmelser i EG-direktivet. Enkäten innehöll också ett par frågor om synpunkter på det utkast till lagstiftningsmodell som utarbetats av Justitiedepartementet och som är mer inriktat på att ingripa mot missbruk av personuppgifter än på att reglera själva hanteringen av personuppgifter (missbruksmodell) samt en fråga om övriga synpunkter på ändringar av EG-direktivet.

Den offentliga utvärderingen avsåg alltså EG-direktivet, men det står klart att de allra flesta som svarat i praktiken uttalat sig om de bestämmelser i personuppgiftslagen som genomför EG-direktivet.

Enkätsvaren innefattar en mängd meningsyttringar. Förutom allmänna påpekanden om lagens tillämpning och konstruktion märks särskilt synpunkter som rör yttrandefriheten på Internet. När det gäller konkreta problem med EG-direktivet och personuppgiftslagen framkommer främst en osäkerhet om hur olika bestämmelser skall tolkas. Justitiedepartementets förslag till missbruksmodell har fått ett överväldigande positivt gensvar.

Enkätsvaren har publicerats i Ds 2001:27 EG-direktivet om personuppgifter – En offentlig utvärdering. Svaren kan sammanfattas enligt följande.

6.2Eventuella problem med EG-direktivet

De flesta svarande – såväl myndigheter, organisationer och större företag som privatpersoner – har anfört att definitionerna av grundläggande begrepp som personuppgift, manuell behandling, samtycke, personuppgiftsansvarig och personuppgiftsbiträde är svåra att tolka. Ett flertal myndigheter och organisationer har också påtalat att definitionerna av begreppen personuppgift och behandling är mycket vidsträckta och att detta kan innebära problem vid tillämpningen av EG-direktivet och personuppgiftslagen.

Många svarande har anfört att tillämpningsområdet för direktivet är för omfattande och att bl.a. vardaglig behandling av personuppgifter bör undantas från dess tillämpningsområde. Flera har kritiserat föreskrifterna om undantag från lagens tillämpningsområde, särskilt undantagen för journalistisk, konstnärlig och litterär verksamhet samt förhållandet till tryck- och yttrandefriheten och offentlighetsprincipen, för att vara för svårtolkade och oklara. Hur avgörs t.ex. om en bild eller en text är konstnärlig eller journalistisk? Motsvarande osäkerhet har uttryckts beträffande bestämmelsen om territoriellt tillämpningsområde.

Vidare har ett flertal svarande, bl.a. vissa fackförbund, befarat att tillämpningsområdet för personuppgiftslagen innebär att offentlighetsprincipen inskränkts. Ett flertal privatpersoner har också kritiserat undantaget för privat behandling för att vara för snävt och oklart, t.ex. då det inte synes omfatta fallet där enskilda sluter sig samman i en ideell organisation och där behandlar personuppgifter inom ramen för organisationens ändamål och då det inte heller framgår om undantaget omfattar släktforskning.

Bestämmelserna om de grundläggande kraven på behandling av personuppgifter har rönt mindre kritik. En del instanser har dock pekat på oklarheter vad gäller innebörden av olika krav på behandlingens ändamål samt tolkning av vissa begrepp som korrekt sätt och god sed.

Flera instanser har pekat på problem med föreskriften om när behandling är tillåten. Detta gäller särskilt svårigheter med att inhämta samtycke samt tolkning av nödvändighetskravet och den intresseavvägning som i vissa fall skall göras vid bedömning av om en behandling är nödvändig. De flesta svarande har härvid – i stället för EG-direktivets och personuppgiftslagens nuvarande s.k. hanteringsmodell – förespråkat den missbruksmodell som tagits fram av Justitiedepartementet.

98

En del svarande har hänvisat till konkreta problem med bestämmelserna om känsliga personuppgifter och personuppgifter om lagöverträdelser. Vissa fackförbund har påtalat problem med att medlemskap i fackförening anses som en känslig personuppgift. Vissa sammanslutningar av konstnärer och fotografer har kritiserat bestämmelsens tillämplighet på fotografier. Utgör t.ex. ett fotografi av en person med kryckor en personuppgift som rör hans eller hennes hälsa? Svenska kyrkan har påtalat problem med kravet på regelbunden kontakt när kyrkan behandlar känsliga personuppgifter som avslöjar religiös övertygelse hos andra än medlemmar, t.ex. donatorer. Svenska kommunförbundet har pekat på problem med kommunernas behandling av känsliga personuppgifter i skolans verksamhet, t.ex. hos skolpsykologer och i skolbespisningen samt i färdtjänsten. Bestämmelsen med ett absolut förbud för andra än myndigheter att behandla uppgifter om lagöverträdelser m.m. har också kritiserats för att vara för snäv.

Många instanser – såväl myndigheter, organisationer, företag och enskilda – har ansett att tillämpningen av bestämmelserna om informationsplikt är betungande, kostsam och i vissa fall onödig. Svårigheter har också påtalats i fråga om tolkningen av vad som är en ”oproportionerligt stor arbetsinsats” och undantaget för sådant som den enskilde redan känner till i de fall då han eller hon själv har lämnat in uppgifter till t.ex. en myndighet. Föreskriften om sökandes rätt till registerutdrag har rönt något mindre kritik. En del svarande har dock anfört att denna informationsskyldighet är tidskrävande och kostsam, särskilt i fråga om personuppgifter som finns i löpande text och i form av fotografier. Bl.a. arkivmyndigheterna har mot denna bakgrund påtalat behovet av och det angelägna med ett undantag från skyldigheten att lämna registerutdrag när det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ansträngning (motsvarande det i 24 § tredje stycket personuppgiftslagen och artikel 11.2 i EG-direktivet).

Ett stort antal svarande har kritiserat bestämmelserna om överföring av personuppgifter till tredje land. Kritiken har främst gällt tilllämpligheten på behandling av personuppgifter på Internet. Många instanser – såväl myndigheter, företag och organisationer som privatpersoner – har påtalat att regleringen förhindrar utnyttjandet av modern informationsteknologi, t.ex. offentliggörande av myndigheters beslut och diarier på Internet. Vidare har regeln om s.k. harmlösa personuppgifter kritiserats för att vara otydlig.

De svarande har inte haft några omfattande synpunkter på föreskrifterna om skadestånd och straff. En del har dock pekat på att till-

99

lämpningen av sanktionsreglerna kan bli problematisk när lagen är oklar samt att en sådan osäkerhet är otillfredsställande ur rättssäkerhetssynpunkt.

Bestämmelserna om rättelse, automatiserade beslut och säkerhet har varken givit anledning till särskilda synpunkter eller större missnöje. Bestämmelserna om anmälan till Datainspektionen och om upplysning till allmänheten har inte heller medfört någon större reaktion. Vissa instanser har emellertid ifrågasatt nyttan av dessa bestämmelser. De svarande har inte heller haft några omfattande synpunkter på föreskrifterna om Datainspektionens befogenheter.

6.3Missbruksmodell

I princip samtliga svarande har anfört att en lagstiftning i enlighet med Justitiedepartementets utkast till missbruksinriktade regleringsmodell är att föredra framför EG-direktivets nuvarande s.k. hanteringsmodell, även om en del har velat gå ännu längre. Det har bl.a. framhållits att den föreslagna missbruksmodellen tillgodoser kravet på skydd mot kränkningar av enskilda personers integritet, är mer flexibel och möjliggör användandet av ny informationsteknologi.

Vissa instanser har dock påtalat ett behov av ett förtydligande av begreppen strukturerad text, spridning, skada samt allmänt intresse. En del har också anfört att det över huvud taget inte är meningsfullt att göra en distinktion mellan strukturerade uppgifter och löpande text eftersom de flesta uppgifter som behandlas automatiserat – t.ex. i elektroniska dokument – lätt kan struktureras så att sökning underlättas.

100

7Personuppgifter som inte ingår i personregister

7.1Inledning

Enligt utredningsdirektiven skall utredningen närmare analysera förutsättningarna – inom ramen för EG-direktivet – för en reglering som tar sikte på missbruk av personuppgifter snarare än varje slags hantering av sådana uppgifter. Syftet skall i första hand vara att underlätta vardaglig hantering av personuppgifter och opinionsbildning samt kommunikation samtidigt som enskilda ges ett effektivt skydd mot missbruk av uppgifterna och andra obefogade intrång i den personliga integriteten. Regleringen skall liksom hittills vara teknikoberoende. I den utsträckning det med hänsyn till EG-direktivet är möjligt med lättnader i hanteringsreglerna skall utredningen föreslå de bestämmelser som är nödvändiga för att förhindra missbruk av personuppgifter och andra obefogade intrång i den personliga integriteten.

Enligt utredningsdirektiven skall utredningen vidare särskilt analysera om det är möjligt och lämpligt med en generell bestämmelse

– baserad på bestämmelsen i artikel 7 f i EG-direktivet om en intresseavvägning – av innebörd att personuppgifter får behandlas om det är nödvändigt för information och debatt eller opinionsbildning, om det inte finns risk för otillbörligt intrång i den personliga integriteten eller om det finns ett allmänintresse som överväger integritetsintrånget. Utredningen skall vidare särskilt analysera möjligheterna till undantag avseende behandling av känsliga personuppgifter och överföring av personuppgifter till tredje land för viktiga allmänna intressen enligt artikel 8.4 och 26.1 d i EG- direktivet med hänsyn till intresset för information, debatt och opinionsbildning.

Utredningsuppdraget avser alltså i första hand att undersöka om och i vilken utsträckning det med hänsyn till EG-direktivet är möjligt att i dag i personuppgiftslagen genomföra en s.k. missbruksmodell för regleringen av behandling av personuppgifter. Personuppgiftslagen har med hänsyn till EG-direktivet baserats på en annan lagstiftningsmodell, en s.k. hanteringsmodell.

7.2Missbruksmodell

Det är något oklart vad som menas med en missbruksmodell respektive hanteringsmodell för lagstiftningen. Datalagskommittén, som införde terminologin, beskrev skillnaderna på följande sätt:41

”Man kan på ett principiellt plan tänka sig åtminstone två olika modeller för regleringen av skyddet för den personliga integriteten:

•Reglering av själva hanteringen av personuppgifter (hanteringsmodellen).

•Reglering av sådant utnyttjande av personuppgifter som kan karakteriseras som ett missbruk (missbruksmodellen).

När man riktar in sig på att reglera själva hanteringen av personuppgifter, blir det viktigt med regler som avser t.ex.

•att precisera godtagbara ändamål med hanteringen och hindra användning som inte stämmer överens med sådana ändamål,

•att inte fler uppgifter än nödvändigt hanteras,

•att de hanterade uppgifterna är korrekta och relevanta,

•att de hanterade uppgifterna inte läcker ut från den som hanterar dem och

•att de registrerade kan få kännedom om av vem uppgifterna hanteras och vilka uppgifter som hanteras.

Den nuvarande datalagen och EG-direktivet kan sägas bygga på en sådan modell för skyddet av den personliga integriteten. Också Europarådets konvention och rekommendationer samt, på det globala planet, OECD:s riktlinjer verkar bygga på hanteringsmodellen. Även den svenska grundlagen42 kan sägas kräva att det skall finnas en lagstiftning baserad på hanteringsmodellen, innefattande skydd mot integritetskränkningar genom att personuppgifter registreras (oavsett om de i någon mening missbrukas eller inte).

41SOU 1997:39 s. 181 ff.

422 kap. 3 § 2 st. regeringsformen.

102

De som förespråkar den modell som koncentrerar sig på reglering av det som kan karakteriseras som missbruk av personuppgifter, brukar utgå från att själva hanteringen av personuppgifterna skall vara i det närmaste fri. Det har t.ex. talats om ett slags allemansrätt till personuppgifter.43 Det viktiga med den modellen blir i stället att identifiera vilken användning av personuppgifter som utgör ett sådant missbruk att det bör förbjudas, dvs. i första hand kriminaliseras eller skadeståndsbeläggas.

Båda modellerna har fördelar.

Även om en reglering i enlighet med hanteringsmodellen görs i princip teknikoberoende, är det inte praktiskt möjligt att låta den omfatta all hantering av personuppgifter; hanteringen av sådana personuppgifter som någon har memorerat (’har i huvudet’) bör t.ex. lämnas utanför regleringen, trots att de memorerade uppgifterna givetvis kan komma att användas till skada för den som uppgifterna avser. Missbruksmodellen däremot är helt teknikoberoende och tar sikte på det skadliga utnyttjandet av personuppgifterna oberoende av vilket hjälpmedel som har använts vid utnyttjandet (papper och penna, dator, det mänskliga minnet etc.).

Med hanteringsmodellen kan man alltså – till skillnad från missbruksmodellen – inte komma till rätta med allt missbruk av personuppgifter eller all användning av personuppgifter som enskilda kan tycka är obehaglig eller skadlig.

Med hanteringsmodellen främjas en kontinuerligt god hantering av personuppgifter; man begränsar hanteringen till de uppgifter som behövs och hanteringen sker på ett ändamålsenligt sätt som den enskilde kan få insyn i. Den modellen förutsätter också att det finns någon sorts kontroll av eller tillsyn över hanteringen. Missbruksmodellen är å andra sidan mera repressiv till sin karaktär. Där kommer regleringen och tillsynen in först sedan skadan har skett, när missbruket är ett faktum. Det torde med den modellen vara svårt att på ett tillräckligt förutsebart sätt reglera och kontrollera olika ’förberedelser’ till missbruk.

Den hantering som inte innebär ett missbruk lämnas med missbruksmodellen i princip utanför regleringen; där gäller ’allemansrätten till personuppgifter’. Med hanteringsmodellen regleras däremot i princip också sådan hantering av personuppgifter som objektivt sett måste betraktas som harmlös. Det kan därför tyckas att hanteringsmodellen spänner över onödigt mycket. Missbruksmodellen lämnar å andra sidan öppet för en hantering av också känsliga personuppgifter som redan genom sin stora omfattning kan oroa många människor.”

43Se Jan Freese, Rapport om skyddet för enskilda personers privatliv – ett mer samlat grepp?, 1995, avsnitt 10.4.

103

Regeringen ansåg vid utarbetandet av personuppgiftslagen att det inte var möjligt att uppfylla skyldigheten att genomföra EG- direktivet på annat sätt än genom att införa en lagstiftning av hanteringsmodell och påpekade att ingen hade kunnat konkret ange hur det skulle kunna vara möjligt med hänsyn till EG-direktivet att använda en renodlad missbruksmodell.44 Konstitutionsutskottet delade regeringens bedömning.45 Såsom anges i utredningsdirektiven har det dock efter ikraftträdandet av personuppgiftslagen vidtagits flera åtgärder i syfte att åstadkomma en mer missbruksinriktad regleringsmodell.

Det enda mer konkreta utkast till en missbruksmodell för regleringen som framkommit är det som Justitiedepartementet presenterade hösten 2000 och som också omnämns i utredningsdirektiven.46 Utkastet innehåller ett konkret förslag till ändring av EG-direktivet som innebär att en ny artikel av följande lydelse skall införas i EG- direktivet:

”1. På automatisk behandling av personuppgifter i form av ljud- och bilduppgifter och i text skall, när materialet inte har strukturerats så att sökning av personuppgifter underlättas, bara tillämpas artikel 4, 9 och 22–24.47

2. Medlemsstaterna skall föreskriva att sådan behandling som avses i punkt 1 och som innebär spridning av personuppgifter till skada för den registrerade inte är tillåten. Detta skall dock inte gälla om den som sprider uppgifterna är skyldig att uttala sig eller det annars med hänsyn till ett allmänt intresse är försvarligt att personuppgifterna sprids.”

På Justitiedepartementets hemsida på Internet har förslaget sammanfattats enligt följande:

”Behandling av personuppgifter som inte har strukturerats för att underlätta sökning av personuppgifter, t.ex. vid ord- och textbehandling

44Prop. 1997/98:44 s. 36 f.

45KU 1997/98:18 s. 13 f.

46Utkastet finns som bilaga till Ds 2001:27, som också innehåller en sammanställning av allmänhetens synpunkter på utkastet. – IT-kommissionens rättsliga observatorium har också gjort ett arbete om utformningen av en missbruksmodell som redovisats i en skrivelse till regeringen 1999-02-24, dnr ITK98/3 (se det IT-rättsliga observatoriets rapport 8/98).

47De angivna artiklarna rör det territoriella tillämpningsområdet, undantag med hänsyn till yttrandefriheten och rättslig prövning och sanktioner.

104

och användning av Internet och e-post, undantas från bestämmelserna om själva hanteringen av personuppgifter.

Sådan behandling är förbjuden bara om spridning av personuppgifterna är till skada för den registrerade. Spridningen skall dock alltid vara tillåten, om den som sprider uppgifterna är skyldig att uttala sig eller det annars med hänsyn till ett allmänt intresse är försvarligt att personuppgifterna sprids.

Bara behandling av personuppgifter i regelrätta databaser eller andra uppgiftssamlingar som strukturerats för att underlätta sökning av personuppgifter, t.ex. myndigheters, försäkringsbolags och bankers register med personuppgifter, omfattas alltså av bestämmelser om själva hanteringen av personuppgifter.”

Det som enligt förslaget skall undantas från hanteringsreglerna i EG-direktivet är således ljud- och bilduppgifter och löpande text när materialet inte har strukturerats så att sökning av personuppgifter underlättas.

Utredningen anser att det är ändamålsenligt att behandling av sådant ostrukturerat material undantas från hanteringsreglerna i personuppgiftslagen. De dataskyddsprinciper som ligger bakom dessa hanteringsregler utarbetades i början på 1980-talet innan den datoriserade informationstekniken blivit en vardagsteknik, som snart sagt varje arbetstagare hanterar dagligen, och börjat användas för kommunikation och spridning av information i världsomfattande nätverk såsom Internet.48 Att problemen med att tillämpa hanteringsreglerna på en vardagsteknik med nya användningsområden verkar ha uppmärksammats först i Sverige kan hänga samman med Sveriges position som ett föregångsland inom informationstekniken och att Sverige var bland de allra första staterna att genomföra EG-direktivet.

De generella dataskyddsprinciperna är i och för sig enligt utredningens mening i stort sett adekvata och relevanta även för behandling av personuppgifter i ostrukturerat material. Det ligger exempelvis ett värde i att personuppgifter som behandlas är riktiga och relevanta och att den registrerade är informerad om behandlingen även när den avser ostrukturerat material. I de allra flesta fall leder också en tillämpning av hanteringsreglerna till slutsatsen att behandlingen av personuppgifter i ostrukturerat material är tillåten och kan utföras.

48 Jämför härtill vad som sägs i avsnitt 3.2 och, i fråga om dataskyddsprinciper, avsnitt 4.

105

Men reglerna är ändå inte anpassade för den i dag utbredda användningen av datoriserad informationsteknik för ostrukturerad vardagshantering och kommunikation. Det är nämligen enligt utredningens mening inte rimligt att man skall behöva tillämpa sju eller åtta hanteringsregler för att kunna konstatera att en vardaglig behandling av personuppgifter i ostrukturerat material är tillåten. Hanteringsreglerna framstår som alltför omfattande, komplicerade och byråkratiska när det gäller vardaglig, ostrukturerad behandling av personuppgifter som normalt är helt harmlös. Hanteringsreglerna tillför inte integritetsskyddet mycket i dessa fall, i vart fall inte i jämförelse med den byråkrati och kostnad som skulle uppkomma om reglerna i praktiken tillämpades fullt ut.

Det är enligt utredningens mening inte realistiskt att tro att hanteringsreglerna i någon större utsträckning i praktiken används vid vardaglig, ostrukturerad hantering av personuppgifter. I och med att reglerna i dessa fall upplevs som byråkratiska, komplicerade och inte omedelbart kopplade till integritetsskyddet och därför inte tillämpas, riskerar man att de grundläggande och viktiga dataskyddsprinciperna råkar i vanrykte och inte tillämpas ens vid sådan strukturerad behandling av personuppgifter där de är oundgängliga för integritetsskyddet. Därför skulle integritetsskyddet i praktiken stärkas om man undantar behandling av ostrukturerade personuppgifter från hanteringsreglerna och i stället tillskapar enklare regler som direkt tar sikte på skydd mot missbruk av personuppgifter.

Utredningen anser mot den redovisade bakgrunden och utredningsdirektiven att den bör inleda sin översyn av personuppgiftslagen med att göra en förnyad analys av om och i vilken utsträckning det med hänsyn till EG-direktivet och andra omständigheter är möjligt att från hanteringsreglerna i personuppgiftslagen undanta behandling av personuppgifter i material som inte har strukturerats så att sökning efter eller sammanställning av personuppgifter underlättas, t.ex. löpande text och ljud- och bildupptagningar49. Kan ett sådant undantag göras, får det undersökas vilka närmare bestämmelser som i stället är nödvändiga för att förhindra missbruk av personuppgifter och andra obefogade intrång i den personliga integriteten. I det sammanhanget får beaktas bl.a. de generella reg-

49Här och i det följande används löpande text och ljud- och bildupptagningar som exempel på material som normalt inte har strukturerats för att underlätta sökning efter och sammanställning av personuppgifter. Det bör dock påpekas att även löpande text och ljud och bild givetvis kan struktureras på detta sätt. Och har så skett, är materialet naturligtvis inte längre ostrukturerat.

106

ler till skydd för den personliga integriteten som redan finns. Det gäller här att skapa ett kompletterande skydd mot otillbörligt intrång i den personliga integriteten.

Ett sådant generellt undantag för behandling av personuppgifter i ostrukturerat material finns således inte i dag i personuppgiftslagen. Utredningen har inte heller funnit något motsvarande undantag i andra medlemsstaters genomförandelagstiftning, jämför dock vad som sägs i avsnitt 7.3.2 om Frankrikes avsikter.

Utredningen anser alltså att det är strukturen på materialet som bör utgöra kriteriet för om hanteringsreglerna eller regler som bara förhindrar missbruk skall tillämpas. Här bör avslutningsvis noteras att utredningen i och för sig övervägt också andra möjliga avgränsningskriterier än materialets struktur, t.ex. syftet med behandlingen, arten av personuppgifter, vem som behandlar uppgifterna, vem personuppgifterna avser osv. Som kommer att framgå i det följande är inte användningen av materialets struktur som kriterium utan svårigheter och definitionsproblem. Varje avgränsningskriterium har emellertid inneboende svårigheter och kan vara mer eller mindre ändamålsenligt. En avgränsning utifrån syftet med behandlingen innebär t.ex. bl.a. den svårigheten att syftet oftast inte syns utåt. Utredningen har funnit att det valda kriteriet (materialets struktur) är det mest ändamålsenliga, vilket naturligtvis är av största vikt, och att definitionsproblemen och andra svårigheter med det kriteriet kan bemästras.

7.3EG-direktivet

7.3.1Undantag enligt artikel 3.2 för sådant som faller utanför gemenskapsrätten och för rent privat behandling

Enligt artikel 3.2 första strecksatsen i EG-direktivet gäller inte EG- direktivet för sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten. Enligt andra strecksatsen i artikeln gäller inte EG-direktivet för sådan behandling av personuppgifter av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Bestämmelserna i artikeln berörs närmare i avsnitt 8.2.

107

Enligt utredningens mening står det ganska klart att de nu nämnda undantagen inte kan användas för att generellt undanta behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar. Viss sådan behandling kan visserligen utföras av en fysisk person för rent privat bruk, men något generellt undantag finns det knappast stöd för. Undantaget för rent privat behandling i EG-direktivet har för övrigt redan tagits in i 6 § personuppgiftslagen.

7.3.2Undantag enligt artikel 9 för journalistiska ändamål eller konstnärligt eller litterärt skapande

Enligt artikel 9 i EG-direktivet skall medlemsstaterna besluta om undantag och avvikelser från de flesta av bestämmelserna i EG- direktivet för sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Sådana undantag och avvikelser får dock beslutas bara om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefriheten. 50

Av det protokoll som fördes inom rådet när den gemensamma ståndpunkten om EG-direktivet antogs (i fortsättningen kallat mötesprotokollet51; se bilaga 4) framgår det att Frankrike förklarat att man kommer att använda sig av de undantag som föreskrivs i artikel 9 för all den verksamhet inom den audiovisuella sektorn som omfattas av EG-direktivet.

Mot bakgrund av Frankrikes förklaring skulle man kunna överväga att stödja ett generellt undantag för behandling av personuppgifter i ostrukturerat material på artikel 9. Enligt utredningens mening förefaller det dock högst osäkert om undantagsmöjligheterna enligt artikel 9 kan användas för ett så generellt undantag. Undantagsmöjligheten enligt artikel 9 i EG-direktivet har för övrigt redan utnyttjats fullt ut i 7 § personuppgiftslagen.

50Artikel 9 har berörts utförligt i t.ex. SOU 1997:39 s. 123 f. och 221 ff., SOU 1997:49 s. 241 ff. och SOU 2001:28 s. 259 ff.

51Dokument 4730/95 ECO 20 av den 8 februari 1995.

108

7.3.3Undantag enligt artikel 13 med hänsyn till skyddet av fri- och rättigheter

I artikel 13.1 i EG-direktivet finns det bestämmelser om att medlemsstaterna genom lagstiftning får begränsa omfattningen av vissa skyldigheter och rättigheter som följer av EG-direktivet. Det gäller de skyldigheter och rättigheter som anges i artikel 6.1, 10, 11.1, 12 och 21, dvs.

•de grundläggande kraven på behandlingen av personuppgifter (artikel 6.1, som motsvaras av 9 § personuppgiftslagen)

•skyldigheten att informera den registrerade (artikel 10 och 11.1, som motsvaras av 23–25 §§ personuppgiftslagen)

•rätten att på begäran få tillgång till uppgifterna och rättelse (artikel 12, som motsvaras av 26 och 28 §§ samt 29 § andra stycket personuppgiftslagen)

•reglerna om ett offentligt register över anmälda behandlingar och skyldigheten att hålla information om andra behandlingar tillgänglig (artikel 21, som motsvaras av 42 § personuppgiftslagen och 7 § personuppgiftsförordningen)

En sådan begränsning måste vara en nödvändig åtgärd med hänsyn till

a)statens säkerhet,

b)försvaret,

c)allmän säkerhet,

d)förebyggande, undersökning, avslöjande av brott eller åtal för brott eller av överträdelser av etiska regler som gäller för lagreglerade yrken,

e)ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller hos Europeiska unionen, inklusive monetära frågor, budgetfrågor och skattefrågor,

f)en tillsyns-, inspektions- eller regleringsfunktion som, även om den är av övergående karaktär, är förbunden med myndighetsutövning i de under punkterna c), d) och e) nämnda fallen,

g)skydd av den registrerades eller andras fri- och rättigheter.

Av mötesprotokollet (bilaga 4) framgår att rådet och kommissionen anser att sådana rättigheter som att utföra behandling av personuppgifter inte avses med hänvisningen till andras fri- och rättigheter i artikel 13.1 g.

Bestämmelserna i artikel 13.1 berörs närmare i avsnitt 9.2.

109

Artikel 13.1 innebär således att undantag från vissa bestämmelser i EG-direktivet kan göras om det är en nödvändig åtgärd med hänsyn till vissa intressen. Det enda intresse som kan vara aktuellt när man överväger ett generellt undantag för behandling av personuppgifter i ostrukturerat material är det som avser skyddet av den registrerades eller andras fri- och rättigheter (punkt g).

Frågan är då om det kan anses vara en sådan fri- och rättighet som avses i artikel 13.1 g att få hantera ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar utan att begränsas av de hanteringsregler som avses i artikel 13.1.

När materialet skall distribueras till andra kan det vara fråga om ett sådant utnyttjande av yttrandefriheten som varje medborgare är tillförsäkrad skydd för enligt 2 kap. 1 § första stycket 1 regeringsformen, dvs. en frihet att i tal, skrift eller bild eller på annat sätt meddela upplysningar samt uttrycka tankar, åsikter och känslor. Yttrandefriheten är onekligen en fri- och rättighet som är fastslagen också i bl.a. artikel 10.1 i Europakonventionen. Regeringen och Lagrådet har emellertid ansett att det är osäkert om yttrandefriheten omfattas av de fri- och rättigheter som avses i artikel 13.1 g, eftersom det finns ett särskilt undantag för yttrandefriheten i artikel 9.52 Utredningen anser dock att det förhållandet att yttrandefriheten nämns i artikel 9 inte kan anses innebära att just den väletablerade fri- och rättigheten inte skulle omfattas av uttrycket fri- och rättigheter i artikel 13. Enligt ordalydelsen omfattar artikel 9 bara undantag för behandling av personuppgifter ”som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande”, vilket verkar vara mera begränsat än en frihet att ”meddela upplysningar samt uttrycka tankar, åsikter och känslor” eller – såsom anges i artikel 10.1 Europakonventionen – en ”frihet att ta emot och sprida uppgifter och tankar”.

Även när materialet inte skall distribueras till andra utan bara användas internt hos den personuppgiftsansvarige kan det vara fråga om ett utnyttjande av en fri- och rättighet i den mening som avses i artikel 13.1 g. Det kan nämligen vid inhämtande av uppgifter vara fråga om ett sådant utnyttjande av informationsfriheten som varje medborgare är tillförsäkrad skydd för enligt 2 kap. 1 § första stycket 2 regeringsformen, dvs. en frihet att inhämta och mottaga upplysningar samt att i övrigt taga del av andras yttranden. Enligt utredningens mening kan till och med det rent interna upprättandet

52 Prop. 1997/98:44 s. 49 och 236. Se också SOU 2001:28 s. 273.

110

och användandet av ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar hos en personuppgiftsansvarig

– t.ex. såsom minnesanteckningar – anses vara en fri- och rättighet. Att under en rimlig tid få ha sina ofärdiga alster och minnesanteckningar i fred har exempelvis vid införandet av personuppgiftslagen ansetts som en sådan fri- och rättighet som avses i artikel 13.1 g.53

I samband med antagandet av EG-direktivet förklarade rådet och kommissionen som nämnts att sådana rättigheter som att utföra behandling av personuppgifter inte avses med hänvisningen till andras fri- och rättigheter i artikel 13.1 g. Det är för det första inte säkert att man alls kan tillmäta sådana förklaringar någon rättslig status och betydelse vid utrönandet av den rätta innebörden av en bestämmelse i ett EG-direktiv.54 För det andra rör hanteringen av ostrukturerat material inte bara behandling av personuppgifter utan rätten till sådan hantering är generell och avser all slags information. Att fri- och rättigheter som kan involvera behandling av personuppgifter avses i artikel 13.1 g är uppenbart; annars skulle ju bestämmelsen aldrig kunna tillämpas.

Utredningen anser alltså sammanfattningsvis att det bör vara möjligt att hävda att hanteringen av ostrukturerat material t.ex. i form av text och ljud- och bildupptagningar i och för sig är en sådan fri- och rättighet som avses i artikel 13.1 g och som kan berättiga medlemsstaterna att göra nödvändiga begränsningar av vissa bestämmelser i direktivet. Den slutsatsen framstår som än mer befogad när det gäller att bara göra begränsningar för sådan hantering av ostrukturerat material som inte innefattar ett missbruk av personuppgifter. Det bör betonas att varje begränsning som görs måste vara nödvändig med hänsyn till skyddet av den aktuella fri- och rättigheten. Det kan sägas vara fråga om en intresseavvägning där de båda fri- och rättigheterna – rätten till integritetsskydd och rätten att för t.ex. yttrandefrihets- och informationsfrihetsändamål få hantera ostrukturerat material – vägs mot varandra och där bara sådana begränsningar görs som är nödvändiga för att uppnå en balans mellan de motstående fri- och rättigheterna.

53Prop. 1997/98:44 s. 83.

54Jämför t.ex. mål C-292/89, Antonissen (1991 ECR I-2867, svenska specialutgåvan vol. XI s. 55) och mål C-329/95, VAG Sverige (REG 1997 s. I-2675)

111

7.3.4Intresseavvägning enligt artikel 7 f

I artikel 7 i EG-direktivet, från vilken artikel undantag inte kan göras med stöd av artikel 13.1, räknas det upp i vilka fall personuppgifter får behandlas. Kan en tilltänkt behandling inte hänföras under något av de uppräknade fallen, får den inte genomföras. Det fall som kan vara aktuellt när man överväger att generellt tillåta behandling av personuppgifter i ostrukturerat material är det som finns i artikel 7 f.

Av artikel 7 f framgår att medlemsstaterna skall föreskriva att personuppgifter får behandlas om behandlingen är nödvändig för ändamål som rör berättigade intressen hos den personuppgiftsansvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter. I ingresspunkt 30 framhålls det att medlemsstaterna – för att garantera en jämvikt mellan berörda intressen och för att samtidigt säkerställa en effektiv konkurrens – får närmare ange på vilka villkor användning och utlämnande till tredje man av personuppgifter får äga rum inom ramen för tillåtna aktiviteter som utövas av företag och andra organ i deras löpande verksamhet. Staterna får även närmare ange på vilka villkor personuppgifter får vidarebefordras till tredje man i marknadsföringssyfte. Detta gäller oavsett om vidarebefordrandet sker kommersiellt eller av välgörenhetsorganisationer, föreningar eller stiftelser, t.ex. av politisk karaktär. En förutsättning är dock att de regler iakttas som har till syfte att ge den registrerade möjlighet att invända mot att uppgifter som rör honom eller henne behandlas.

Artikel 7 f i EG-direktivet har införts i 10 § f personuppgiftslagen som stadgar att personuppgifter får behandlas om behandlingen är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. Som framgår av utredningsdirektiven är det enligt EG-direktivet tillåtet för medlemsstaterna att närmare precisera hur den angivna intresseavvägningen utfaller i olika fall.

Enligt utredningens mening står det klart att det är möjligt att med stöd av bestämmelsen om en intresseavvägning i artikel 7 f i EG-direktivet införa en särskild bestämmelse som tillåter sådan behandling av personuppgifter i ostrukturerat material som inte

112

innefattar ett missbruk av personuppgifterna. Det framgår egentligen redan av vad som sagts i närmast föregående avsnitt. Ett utnyttjande av rätten att för t.ex. yttrandefrihets- och informationsfrihetsändamål få hantera ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar utgör givetvis ett berättigat intresse, och det intresset får anses överväga de registrerades intresse av integritetsskydd så länge hanteringen inte innefattar ett missbruk av personuppgifter.

Enligt artikel 14 a i EG-direktivet skall medlemsstaterna tillförsäkra den registrerade rätten att åtminstone i bl.a. det fall som avses i artikel 7 f när som helst av avgörande och berättigade skäl som rör hans eller hennes personliga situation motsätta sig behandling av uppgifter som rör honom eller henne, utom när den nationella lagstiftningen föreskriver något annat. När invändningen är berättigad får den behandling som påbörjats av den personuppgiftsansvarige inte längre avse dessa uppgifter.

Det har ansetts möjligt att med stöd av artikel 14 a i EG- direktivet införa en uttrycklig bestämmelse i personuppgiftslagen om att, såvitt nu är aktuellt, den registrerade inte har rätt att motsätta sig behandling av personuppgifter – utom behandling för ändamål som rör direkt marknadsföring – som är tillåten enligt lagen (12 § andra stycket).55

7.3.5Undantag för uppgifter som avses i artikel 8

I artikel 8 i EG-direktivet, från vilken artikel undantag inte kan göras med stöd av artikel 13.1, finns det tillkommande begränsningar för behandlingen av vissa särskilda kategorier av personuppgifter. Avser en viss behandling sådana särskilda kategorier av personuppgifter måste således villkoren enligt såväl artikel 7 som artikel 8 vara uppfyllda för att behandlingen skall få genomföras.

I artikel 8.1 i EG-direktivet föreskrivs det att medlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.56 I artikel 8.2 och 8.3 anges i vilka fall sådana s.k. känsliga personuppgifter får behandlas trots det principiella förbudet enligt

55Prop. 1997/98:44 s. 66 f.

56I den svenska, den franska och den danska språkversionen anges hälsa och sexualliv, medan det i den engelska och tyska språkversionen talas om hälsa eller sexualliv.

113

artikel 8.1. Enligt artikel 8.4 får medlemsstaterna – under förutsättning av lämpliga skyddsåtgärder57 – av hänsyn till ett viktigt allmänt intresse antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag från förbudet mot att behandla känsliga personuppgifter. Sådana undantag skall enligt artikel 8.6 anmälas till kommissionen. Bestämmelsen i artikel 8.1 i EG-direktivet har tagits in i 13 § personuppgiftslagen.

I ingresspunkt 34 anges följande. När det av hänsyn till viktiga allmänna intressen är nödvändigt måste medlemsstaterna kunna avvika från förbudet mot att behandla känsliga kategorier av uppgifter på vissa områden. Som exempel på områden och fall där avvikelser kan ske nämns folkhälsa, socialskydd, särskilt för att säkerställa kvalitet och lönsamhet i samband med ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, i samband med vetenskaplig forskning och i samband med offentlig statistik. Det betonas att det dock åligger medlemsstaterna att sörja för att det finns lämpliga och konkreta garantier för att skydda enskilda personers grundläggande rättigheter och privatliv.

I ingresspunkt 35 klargörs att myndigheters behandling av personuppgifter för officiellt erkända religiösa sammanslutningars räkning för att uppfylla målsättningar som uttrycks i grundlagen eller folkrätten utförs för att tillgodose viktiga allmänna intressen. Ingresspunkt 36 behandlar det fallet att de politiska partierna i vissa medlemsstater samlar in uppgifter om enskilda personers politiska uppfattning i samband med att allmänna val hålls. Om det är nödvändigt för att det demokratiska systemet skall fungera, får behandling av sådana uppgifter tillåtas av hänsyn till viktiga allmänna intressen under förutsättning att lämpliga garantier föreskriAvs.kommissionens förklaring till det andra direktivförslaget58 (i fortsättningen kommissionens förklaring) framgår att undantag bör göras för internationella människorättsorganisationer som behöver känsliga personuppgifter för sitt arbete, förutsatt att dessa kan erbjuda lämpliga skyddsåtgärder.59

I artikel 8 i EG-direktivet finns det också bestämmelser om andra kategorier av uppgifter än s.k. känsliga personuppgifter, nämli-

57Något olika uttryckssätt används i de skilda språkversionerna: ”suitable safeguards”, “garanties appropriées”, ”angemessener Garantien“ och ”tilstraekkelige garantier”.

58Dokument COM(92) 422 final – SYN 287. Dokumentet finns intaget som bilaga till SOU 1993:10.

59SOU 1993:10 Bilagor s. 178.

114

gen uppgifter om lagöverträdelser m.m. och nationella identifikationsnummer.

Enligt artikel 8.5 gäller att behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Medlemsstaterna får alltså i sin lagstiftning tillåta att enskilda, utan att det sker under kontroll av en myndighet, behandlar uppgifter om lagöverträdelser m.m. under förutsättning att lagstiftningen innehåller lämpliga och specifika skyddsåtgärder. Behandling av uppgifter om lagöverträdelser som har tillåtits på detta sätt torde medlemsstaterna ha att anmäla till kommissionen enligt artikel 8.6. I 21 § personuppgiftslagen har det intagits ett förbud för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden och bemyndiganden att medge undantag från det förbudet.

Enligt artikel 8.7 skall medlemsstaterna bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Det måste alltså finnas villkor för behandling av sådana nummer, men det materiella innehållet i villkoren får medlemsstaterna själva bestämma. I 22 § personuppgiftslagen har det angetts att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl.

Bestämmelserna i artikel 8.5 och 8.7 om uppgifter om lagöverträdelser m.m. respektive identifikationsnummer utgör inget hinder mot att generellt tillåta behandling av personuppgifter i ostrukturerat material. För att sådan behandling av uppgifter om lagöverträdelser m.m. skall få utföras av enskilda utan myndighetskontroll krävs det dock att det finns lämpliga och specifika skyddsåtgärder i lagstiftningen. En sådan skyddsåtgärd kan enligt utredningens mening vara att bara tillåta sådan behandling av personuppgifter om lagöverträdelser m.m. som inte innefattar ett missbruk av personuppgifterna.

Från förbudet enligt artikel 8.1 mot behandling av känsliga personuppgifter får undantag enligt artikel 8.4 göras av hänsyn till ett viktigt allmänt intresse. Frågan är om hantering av ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar

115

kan anses vara ett sådant viktigt allmänt intresse. Utredningen har i avsnitt 7.3.3 utvecklat hur denna hantering, som kan ha betydelse för bl.a. utnyttjandet av yttrande- och informationsfriheten, kan anses vara en fri- och rättighet. Att fri- och rättigheter kan utövas i samhället är naturligtvis ett allmänt intresse och dessutom ett viktigt sådant. Utredningen anser därför att det kan hävdas att ett undantag från förbudet mot behandling av känsliga personuppgifter för behandling av sådana personuppgifter i ostrukturerat material kan stödjas på undantagsmöjligheten i artikel 8.4 för viktiga allmänna intressen. Ett sådant undantag förutsätter emellertid lämpliga skyddsåtgärder. En sådan skyddsåtgärd kan enligt utredningens mening vara att bara tillåta sådan behandling av känsliga personuppgifter som inte innefattar ett missbruk av personuppgifterna.

7.3.6Undantag från förbudet mot överföring av personuppgifter i artikel 25

I artikel 25 i EG-direktivet, från vilken artikel undantag inte kan göras med stöd av artikel 13.1, finns det tillkommande begränsningar för sådan behandling av personuppgifter som innebär en överföring av personuppgifterna till tredje land, dvs. en stat som inte är med i EU eller EES. Artikel 26 innehåller bestämmelser om undantag från artikel 25. Avser en viss behandling en sådan överföring måste således villkoren enligt såväl artikel 7 – och i förekommande fall även artikel 8 – som artikel 25 och 26 vara uppfyllda för att överföringen skall få genomföras.

Enligt artikel 25.1 i EG-direktivet skall medlemsstaterna föreskriva att överföringen av personuppgifter som är under behandling eller som är avsedda att behandlas efter överföring till tredje land endast får ske om ifrågavarande tredje land säkerställer en adekvat skyddsnivå. Bedömningen av om skyddsnivån i ett tredje land är adekvat skall enligt artikel 25.2 ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas uppgiftens art, den eller de avsedda behandlingarnas ändamål och varaktighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna respektive särskilda rättsregler som gäller i ifrågavarande tredje land liksom de regler för yrkesverksamhet och säkerhet som gäller där. Bestämmelserna i artikel 25.1 och 2 i EG-direktivet har tagits in i 33 § personuppgiftslagen.

116

I artikel 26.1 anges det i vilka fall medlemsstaterna får föreskriva att överföring till tredje land som inte har en adekvat skyddsnivå är tillåten. I artikel 26.1 d anges att sådan överföring får ske om ”överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen eller för att fastslå, göra gällande eller försvara rättsliga anspråk”. Den bestämmelsen har ansetts innebära bl.a. att det är tillåtet att i författning ange när överföring är tillåten därför att den är nödvändig med hänsyn till viktiga allmänna intressen. I ingresspunkt 58 anges som exempel på viktiga allmänna intressen utbyte av uppgifter mellan skattemyndigheter, tullmyndigheter eller socialförsäkringsmyndigheter.

Det har i Sverige tidigare ansetts att ett offentliggörande av personuppgifter på en webbplats som är allmänt tillgänglig på Internet innebär att personuppgifterna blir tillgängliga i hela världen och därmed kan anses överförda till alla länder.60 Numera har emellertid EG-domstolen i det s.k. konfirmandlärarmålet (dom den 6 november 2003 i mål C-101/01) slagit fast att det inte är fråga om någon överföring av uppgifter till tredje land i EG-direktivets mening när en person, som befinner sig i en medlemsstat, lägger ut personuppgifter på en hemsida på Internet som är lagrad hos en fysisk eller juridisk person, som har den webbplats där man kan komma åt sidan och som är etablerad i samma medlemsstat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land.61 Det innebär att i vart fall vissa förfaranden för Internetpublicering inte hindras av just bestämmelserna om överföring av personuppgifter till tredje land.

När ett förfarande innebär en överföring av personuppgifter till tredje land i EG-direktivets mening blir tolkningen av begreppet adekvat skyddsnivå av betydelse. Personuppgifter får nämligen som sagt alltid överföras till tredje land som säkerställer en adekvat skyddsnivå. Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske på grundval av alla de förhållanden som har samband med överföringen. Att en överföring innebär ett utnyttjande av en grundläggande fri- och rättighet, kan hävdas vara ett förhållande att beakta vid bedömningen av om skyddsnivån i ett tredje land är adekvat. Det har ansetts att det som i EG-direktivet kallas

60Prop. 1999/2000:11 s. 15 f. och 27.

61Enligt förarbetena är det samma överföringar som enligt EG-direktivet som avses i 33 § personuppgiftslagen, se prop. 1997/98:44 s. 137. Därför får EG-domstolens uttolkning av begreppet överföring också omedelbart genomslag i svensk rätt.

117

adekvat skyddsnivå är ett uttryck för att omständigheterna kring överföringen sammantagna skall vara sådana att personuppgifter har ett tillräckligt skydd och att det kan finnas en adekvat skyddsnivå i ett tredje land trots en total avsaknad av skyddsregler.62

Mot denna bakgrund skulle det måhända kunna hävdas att en sådan överföring av personuppgifter i ostrukturerat material, t.ex. i form av löpande text och ljud- och bildupptagningar, som inte innefattar ett missbruk av personuppgifterna innebär en överföring av uppgifterna bara till tredje land med adekvat skyddsnivå (därför att någon särskild skyddsnivå inte krävs i det tredje landet med hänsyn till omständigheterna vid överföringen).

Det är emellertid osäkert om man alls kan resonera på det sättet. Därför finns det anledning att undersöka om det är möjligt enligt artikel 26.1 d att i författning direkt ange att överföring av personuppgifter i ostrukturerat material är tillåten därför att överföringen är nödvändig med hänsyn till viktiga allmänna intressen. På motsvarande sätt som i fråga om undantagsmöjligheten enligt artikel 8.4 (se avsnitt 7.3.5) anser utredningen att det bör vara möjligt att stödja en sådan författningsbestämmelse på artikel 26.1 d.

7.3.7Undantag från anmälningsskyldighet enligt artikel 18

Enligt artikel 18.1 i EG-direktivet, från vilken artikel undantag inte kan göras med stöd av artikel 13.1, skall medlemsstaterna föreskriva att den personuppgiftsansvarige före genomförandet av en behandling eller en serie behandlingar som helt eller delvis genomförs på automatisk väg och som har samma eller flera närbesläktade ändamål skall underrätta tillsynsmyndigheten. I artikel 18.2–4 anges vilka möjligheter till undantag från den anmälningsplikten som finns. Av artikel 18.2 första strecksatsen framgår att undantag får göras på följande villkor: Om medlemsstaten för de typer av behandling, i samband med vilka det med hänsyn till de behandlade uppgifterna inte är sannolikt att de registrerades fri- och rättigheter kränks, anger behandlingens ändamål, vilka uppgifter eller kategorier av uppgifter som behandlas, vilka registrerade eller kategorier av registrerade som avses, till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut samt hur länge uppgifterna skall bevaras.

62 Prop. 1999/2000:11 s. 16.

118

Bestämmelsen om en principiell anmälningsskyldighet i artikel 18.1 i EG-direktivet har tagits in i 36 § första stycket personuppgiftslagen. Ett bemyndigande för regeringen eller den myndighet regeringen bestämmer att föreskriva undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten har tagits in i tredje stycket i den paragrafen. Genom 4 § personuppgiftsförordningen har regeringen utnyttjat undantagsmöjligheten för att föreskriva att anmälningsskyldigheten inte gäller för behandling av personuppgifter i löpande text. Utredningen anser att ett motsvarande undantag bör kunna föreskrivas för all behandling av personuppgifter i ostrukturerat material.

7.3.8Sammanfattning

Utredningen har således funnit att det bör vara möjligt enligt EG- direktivet att göra undantag från de flesta materiella bestämmelserna i EG-direktivet för sådan behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar som inte innefattar ett missbruk av personuppgifterna.

Den slutsatsen grundas främst på bedömningen att hantering av sådant ostrukturerat material utgör ett utnyttjande av en sådan fri- och rättighet – yttrande- eller informationsfriheten – som avses i artikel 13.1 g och att det är ett viktigt allmänt intresse i den mening som avses i artikel 8.4 och 26.1 d att detta utnyttjande av fri- och rättigheter inte hindras i samhället.

Utredningen inser att den bedömningen – och vissa anslutande bedömningar avseende t.ex. beskaffenheten av skyddsåtgärder – inte är självklar och kan sättas i fråga. Utredningen anser trots detta att det med hänsyn till vikten av att underlätta harmlös hantering av ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar på de skäl som redovisats faktiskt är möjligt och befogat att göra en sådan bedömning att gälla till dess motsatsen eventuellt slås fast av EG-domstolen.

Utredningen har således gjort en annan bedömning än regering och riksdag tidigare gjort. Det har skett efter en förnyad analys av innebörden av EG-direktivet. Den analysen har genomförts i belysning av den utveckling som skett sedan personuppgiftslagen trädde i kraft. Härvid har utredningen som en bakgrund beaktat bl.a. hur EG-direktivet genomförts i andra länder, argumentationen

119

i samband med de rättsfall som finns angående EG-direktivet, diskussioner med EG-kommissionen och andra medlemsstater, bl.a. i den s.k. artikel 31-kommittén, och utvecklingen av de svenska grundlagarna. Utredaren har bl.a. redogjort för huvuddragen i förslaget vid ett möte med företrädare för EG-kommissionen. EG- kommissionen har senare i sin rapport om genomförandet av EG- direktivet63 också – under rubriken Behovet av en rimlig och flexibel tolkning – uttryckligen berört de svenska ansträngningarna enligt följande:

”Enligt artikel 5 i direktivet ska medlemsstaterna inom de begränsningar som bestämmelserna i kapitel II (artiklarna 6–21) innebär, precisera på vilka villkor behandling av personuppgifter är tillåten. I detta avseende uppmärksammar kommissionen den oro som Sverige uttryckte inom ramen för den pågående översynen av landets lagstiftning när det gäller tillämpningen av dataskyddsprinciper på löpande text eller ljud- eller bilduppgifter. Kommissionen anser att förenklade villkor för databehandling då det inte är troligt att sådan behandling skapar någon inte avsevärd risk för den enskildes rättigheter bättre kan uppnås genom att göra bruk av det handlingsutrymme som direktivet ger, i synnerhet de möjligheter som ges i artiklarna 7 f, 9 och 13.”

Också EG-domstolens dom i det s.k. konfirmandlärarmålet (dom den 6 november 2003 i mål C-101/01) ger stöd för att EG- direktivet kan tolkas med en viss flexibilitet, särskilt när det gäller skyddet för grundläggande fri- och rättigheter. EG-domstolen uttalade i domen bl.a. följande:

”83 Vad beträffar själva direktivet 95/46 är bestämmelserna i det med nödvändighet relativt allmänna med hänsyn till att de skall tillämpas på ett stort antal mycket olikartade situationer. I motsats till vad [konfirmandläraren] har anfört är det således med rätta som detta direktiv innehåller regler som karaktäriseras av en viss tänjbarhet och som det i direktivet i fråga i många fall överlåts till medlemsstaterna att fastställa detaljerna eller att välja bland de möjligheter som finns.

84 Det är riktigt att medlemsstaterna i många avseenden har ett betydande handlingsutrymme när de skall införliva direktiv 95/46. Det finns dock ingenting som medför att bestämmelserna i detta direktiv brister i förutsebarhet eller att bestämmelserna som sådana strider mot de allmänna gemenskapsrättsliga principerna, särskilt inte mot de

63 KOM(2003) 265 slutlig.

120

grundläggande rättigheter som skyddas genom gemenskapens rättsordning.

85 Det är snarare på det stadium när de bestämmelser genom vilka direktiv 95/46 har införlivats tillämpas i enskilda fall som en rättvis avvägning mellan de rättigheter och intressen som är i fråga skall göras.

86 I detta sammanhang har de grundläggande rättigheterna en särskild betydelse, såsom visas av målet vid den nationella domstolen, där det sammanfattningsvis måste göras en avvägning mellan å ena sidan [konfirmandlärarens] yttrandefrihet i sitt arbete som handledare för konfirmander samt friheten att utöva verksamhet som bidrar till det religiösa livet, och å andra sidan skyddet av privatlivet för de personer om vilka [konfirmandläraren] har lagt ut uppgifter på sin webbplats på In- ternet.

87 Följaktligen ankommer det på myndigheterna och domstolarna i medlemsstaten inte bara att tolka sin nationella rätt på ett sätt som står i överensstämmelse med direktiv 95/46, utan även att se till att inte grunda sig på en tolkning av detta direktiv som skulle stå i strid med de grundläggande rättigheter som skyddas genom gemenskapens rättsordning eller med andra allmänna gemenskapsrättsliga principer, såsom bland annat proportionalitetsprincipen.”

Av domen framgår också att man vid tolkningen av bestämmelserna i EG-direktivet kan ta hänsyn till nya användningsområden för informationsteknik och till att tekniken fått en utbredd användning för att se till att bestämmelserna inte får oönskade konsekvenser. I fråga Internetanvändning uttalade domstolen bl.a. följande:

”58 De uppgifter som finns på Internet kan nästan när som helst konsulteras av ett obegränsat antal personer vilka befinner sig på en mängd olika ställen. Att dessa uppgifter är av allestädes närvarande karaktär framgår bland annat av det förhållandet att de tekniska medel som används inom ramen för Internet är relativt enkla och blir billigare och billigare.

59 Förutsättningarna för att använda Internet, så som de har blivit för enskilda som [konfirmandläraren] under 1990-talet, innebär att den som upprättar en hemsida som skall läggas ut på Internet överför de uppgifter som denna sida består i till den som tillhandahåller honom servertjänster. […]

[…]

68 Med hänsyn dels till det stadium på vilket Internets utveckling befann sig vid den tidpunkt då direktiv 95/46 utarbetades, dels till att det inte i kapitel IV i direktivet föreligger några kriterier som är tilllämpliga på Internetanvändning kan det inte presumeras att gemenskapslagstiftaren hade för avsikt att med tanke på framtiden låta in-

121

skrivning av en person i [konfirmandlärarens] situation av uppgifter på en hemsida på Internet omfattas av begreppet överföring av uppgifter till tredje land, även om dessa på detta sätt blir åtkomliga för sådana personer i tredje land som har de tekniska möjligheterna att få tillgång till hemsidan.

69 Om artikel 25 i direktiv 95/46 tolkas på så sätt att det föreligger en ’överföring av … uppgifter till tredje land’ varje gång personuppgifter läggs ut på en hemsida på Internet skulle denna överföring med nödvändighet vara en överföring till tredje länder där det finns teknisk möjlighet att få tillgång till Internet. Specialbestämmelserna i kapitel IV i det nämnda direktivet skulle då med nödvändighet, vad gäller transaktioner på Internet, bli ett generellt tillämpligt system. När kommissionen med tillämpning av artikel 25.4 i direktiv 95/46 konstaterade att det fanns ett enda tredje land som inte säkerställer en adekvat skyddsnivå skulle medlemsstaterna nämligen vara skyldiga att hindra att personuppgifter över huvud taget lades ut på Internet.

70 Vid sådant förhållande kan den slutsatsen dras att artikel 25 i direktiv 95/46 skall tolkas så, att sådana transaktioner som dem som [konfirmandläraren] har genomfört inte i sig utgör en ’överföring av … uppgifter till tredje land’.”

Det går inte att peka på någon enskild omständighet som medfört den ändrade bedömningen utan det är snarare fråga om en samlad bedömning som föranlett de slutsatser i enskildheter som redovisats i det föregående.

De materiella hanteringsbestämmelser i EG-direktivet som det inte är möjligt att göra undantag från eller motsvarande är följande:

•Bestämmelserna om automatiserade beslut i artikel 15 (som motsvaras av 29 § personuppgiftslagen)

•Bestämmelserna om ”sekretess” och säkerhet vid behandlingen i artikel 16 och 17 (som motsvaras av 30 och 31 §§ personuppgiftslagen)

•Bestämmelserna om rättslig prövning, ansvar och sanktioner i artikel 22–24 (som motsvaras av 48 och 49 §§ personuppgiftslagen)

•Bestämmelserna om tillsynsmyndighetens befogenheter avseende behandlingen i artikel 28 (som motsvaras av 32 och 43–47 §§ personuppgiftslagen)

Det är inte heller möjligt att avvika från bestämmelserna i artikel 2– 4 om definitioner av grundläggande begrepp och tillämpningsområdet för EG-direktivet (som motsvaras av 3–6 §§ personuppgiftslagen).

122

Enligt utredningens mening innebär det ingen direkt nackdel att de angivna bestämmelserna i förekommande fall tillämpas på behandling av personuppgifter i ostrukturerat material.

Bestämmelsen om automatiserade beslut torde det knappast bli aktuellt att tillämpa på annat än personuppgifter i strukturerat material.

Bestämmelsen om ”sekretess” innebär i stort sett bara att den som för en personuppgiftsansvarigs räkning behandlar personuppgifter bara får göra det enligt instruktioner från denne.

Bestämmelsen om säkerhet innebär att lämpliga åtgärder skall vidtas för att förhindra t.ex. oavsedd förstöring, förvanskning och spridning av personuppgifter, men vid bedömningen av vilka åtgärder som behöver vidtas för att åstadkomma en lämplig säkerhetsnivå kan man ta hänsyn till bl.a. de risker som är förknippade med behandlingen. När personuppgifter behandlas i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar torde det därför normalt inte krävas några extraordinära säkerhetsåtgärder utan det kan ofta räcka med de åtgärder som var och en brukar vidta för att skydda sin information. När särskilt känslig information behandlas i strukturerat eller ostrukturerat material, måste givetvis adekvata säkerhetsåtgärder vidtas.

Bestämmelserna om rättslig prövning, ansvar och sanktioner torde bara ha aktualitet – och då vara relevanta och befogade – när behandlingen har inneburit ett missbruk av personuppgifterna.

Inte heller bestämmelserna om att en oberoende myndighet skall ha tillsyn över och vissa befogenheter avseende behandlingen torde i praktiken ha särskilt stor betydelse.

7.4Europarådets dataskyddskonvention

Europarådets dataskyddskonvention har presenterats i avsnitt 4.2.2 och bilaga 5. Enligt artikel 9 i konventionen får avvikelser göras från de viktigaste materiella bestämmelserna i konventionen. Sådana avvikelser skall finnas i lag och vara nödvändiga i ett demokratiskt samhälle för att bl.a. skydda den registrerade eller andra personers fri- och rättigheter. Det är dock inte tillåtet att göra avvikelser från bestämmelserna om säkerhet i artikel 7 i konventionen som innebär att lämpliga säkerhetsåtgärder skall vidtas för att skydda personuppgifter som lagras i automatiserade register (på engelska ”automated data files”).

123

På motsvarande sätt som i fråga om EG-direktivet – se särskilt avsnitt 7.3.3 – anser utredningen att det bör vara möjligt att genom lag göra avvikelser från konventionens materiella bestämmelser, utom bestämmelsen om säkerhet, för sådan behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar som inte innefattar ett missbruk av personuppgifterna.

7.5Europakonventionen

Enligt artikel 8.1 i Europakonventionen har var och en rätt till respekt för sitt privat- och familjeliv. Åtnjutande av denna rättighet får enligt artikel 8.2 inskränkas med stöd av lag om det i ett demokratiskt samhälle är nödvändigt med hänsyn till bl.a. andra personers fri- och rättigheter. Europakonventionen har berörts i avsnitt 4.2.1.

På motsvarande sätt som i fråga om EG-direktivet – se särskilt avsnitt 7.3.3 – anser utredningen att det bör vara möjligt att genom en lagbestämmelse inskränka rätten till respekt för privat- och familjelivet när det gäller sådan behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar som inte innefattar ett missbruk av personuppgifterna.

7.62 kap. 3 § regeringsformen

Enligt 2 kap. 3 § andra stycket regeringsformen skall varje medborgare, i den utsträckning som närmare anges i lag, skyddas mot att hans eller hennes personliga integritet kränks genom att uppgifter om honom eller henne registreras med hjälp av automatisk databehandling.

Datalagskommittén ansåg att den grundlagsbestämmelsen kan sägas kräva att det skall finnas en lagstiftning baserad på en hanteringsmodell, innefattande skydd mot integritetskränkningar genom att personuppgifter registreras oavsett om de i någon mening missbrukas eller inte, se avsnitt 7.2.64

64 SOU 1997:39 s. 182.

124

Enligt utredningens mening kan grundlagsbestämmelsen inte anses hindra en lagregel om att sådan behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar som inte innefattar ett missbruk av personuppgifterna är tillåten. Genom en sådan lagregel, som i praktiken förbjuder missbruk av personuppgifter, får ju den enskilde det avsedda skyddet mot integritetskränkningar.

7.7Överväganden och förslag

Utredningens förslag i sammanfattning: På behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter skall hanteringsreglerna i 9, 10, 13, 21, 23, 24, 28, 33 och 42 §§ personuppgiftslagen inte tillämpas. Sådan behandling får bara utföras om den inte innebär ett otillbörligt intrång i den personliga integriteten.

7.7.1Inledning

Utredningen anser således att det med hänsyn till EG-direktivet, andra internationella åtaganden och den svenska grundlagen bör vara möjligt att göra undantag från vissa bestämmelser i personuppgiftslagen för behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar. Utredningen föreslår att ett sådant undantag görs och berör i detta avsnitt hur undantaget närmare bör utformas och vilka bestämmelser om skydd mot missbruk av personuppgifterna som bör krävas med anledning av undantaget.

125

7.7.2Vilka behandlingar bör undantas?

Utredningens förslag: Behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter undantas.

Inledning

Det är vid behandling av personuppgifter i personuppgiftsanknutna registerstrukturer där man enkelt kan söka efter och sammanställa personuppgifter som de hanteringsregler för personuppgiftsskyddet som finns i personuppgiftslagen har ett särskilt berättigande på grund av de integritetsrisker som normalt är förknippade med sådan behandling. När personuppgifterna inte ingår i en personuppgiftsanknuten registerstruktur utan finns i ostrukturerad form i t.ex. löpande text och ljud- och bildupptagningar, är det i stället texten, ljudet eller bilden som är det centrala, och det är också då som informations- och yttrandefrihetsaspekterna gör sig särskilt gällande. Även behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar kan givetvis i ett enskilt fall innebära ett otillbörligt integritetsintrång eller medföra risk för ett sådant intrång. Vid behandling av personuppgifter som inte finns i en tydligt personuppgiftsanknuten registerstruktur framstår emellertid hanteringsreglerna i personuppgiftslagen som alltför omfattande och byråkratiska med hänsyn bl.a. till att integritetsriskerna normalt är mindre vid behandlingen och till de informations- och yttrandefrihetsintressen som finns. Vid sådan, typiskt sett mindre riskfylld behandling bör därför hanteringsreglerna kunna ersättas med bestämmelser som bara förbjuder missbruk av personuppgifterna.

Det är således vid behandling av personuppgifter som inte ingår i en tydligt personuppgiftsanknuten registerstruktur som man bör kunna ersätta hanteringsreglerna med regler som bara förbjuder missbruk.

Svårigheterna med en avgränsning

Utredningen har prövat olika vägar att avgränsa vad som bör vara undantaget från hanteringsreglerna. Eftersom det är strukturering-

126

en av materialet med avseende på personuppgifter som kan innebära särskilda integritetsrisker, har utredningen funnit det ändamålsenligt att knyta avgränsningen till just materialets struktur.65 Ut- redningen är dock medveten om att det är problematiskt att göra så. Det visar redan de tillämpningsproblem som uppkom särskilt på senare år med det registerbegrepp som användes i datalagen.66 Problemen hänger mycket samman med den tekniska utvecklingen och datorteknikens inneboende egenskaper. Allt som finns i digital form i t.ex. datorer och skall användas måste i någon mening vara strukturerat. Och utvecklingen går emot att struktureringen omfattar allt mer och blir mer automatiserad och avancerad. Funktioner som automatiskt indexerar varje teckensträng i ordbehandlingsdokument är t.ex. redan standard.

Den tekniska utvecklingen på området medför att varje avgränsning som görs får ses som ett provisorium som måste bli föremål för dels anpassning i rättstillämpningen, dels översyn efter ett tag. Vad man kan göra är att utforma en teknikneutral men beskrivande lagtext och samtidigt – mot bakgrund av de tekniska tillämpningar som är mera allmänt förekommande i dag – ange utgångspunkter för bedömningen och exempel. Sedan får det ankomma på rättstillämpningen att bedöma nya eller mera speciella tillämpningar. Och efter ett tag måste lagregeln och rättstillämpningen ses över mot bakgrund av den tekniska utvecklingen.

Det bör hållas i minnet att eventuella svårigheter att i gränsfall bedöma om hanteringsreglerna skall tillämpas eller inte måste jämföras med de problem det innebär att tillämpa hanteringsreglerna i personuppgiftslagen på ostrukturerat material. Enligt utredningens mening är de sistnämnda svårigheterna i allmänhet mer besvärande än de förstnämnda. Skulle någon vara av motsatt uppfattning, innebär dock utredningens förslag att han eller hon kan fortsätta att tillämpa hanteringsreglerna. Har hanteringsreglerna faktiskt följts, kan det nämligen enligt utredningens förslag inte vara fråga om ett missbruk av personuppgifterna, se vidare avsnitt 7.7.4. Den som är osäker på hur en viss behandling skall bedömas kan alltså välja att följa hanteringsreglerna för att därmed uppfylla det som krävs enligt både dessa regler och de föreslagna reglerna. Utredningens förslag innebär således bara en möjlighet till lättnader vid behandling av personuppgifter i ostrukturerat material för den som vill. Det är

65Jämför också vad som sägs avslutningsvis i avsnitt 7.2.

66Det bör redan här betonas att utredningens förslag inte utgår från det registerbegrepp som fanns i datalagen.

127

också rimligt att den som vill utnyttja en regel om undantag från de normala hanteringsreglerna sätter sig närmare in i förutsättningarna för att regeln skall kunna tillämpas. Det får inte heller glömmas bort att regeln om undantag från hanteringsreglerna faktiskt har ett tydligt kärnområde – när ett material är helt ostrukturerat – som är enkelt att tillämpa i praktiken i de allra flesta fall.

Utgångspunkter och riktlinjer för avgränsningen

När det gäller utformningen av avgränsningen av vad som bör vara undantaget från respektive omfattas av hanteringsreglerna har utredningen haft följande utgångspunkter och riktlinjer.

Avgränsningen bör som nämnts anknyta till materialets struktur. Behandling av personuppgifter som ingår i en struktur, t.ex. ett regelrätt personregister eller en databas, bör omfattas av hanteringsreglerna, medan behandling av övriga personuppgifter undantas. Dock bör inte varje strukturering av ett material med personuppgifter innebära att hanteringsreglerna skall tillämpas på behandlingen av personuppgifterna i materialet. Det bör krävas att det finns en tydlig personuppgiftsanknuten struktur för att hanteringsreglerna skall tillämpas.

En generell strukturering av ett material bör alltså inte medföra att hanteringsreglerna skall tillämpas. Enbart det förhållandet att alla teckensträngar i t.ex. ordbehandlingsdokument på en eller flera hårddiskar har indexerats eller enkelt kan indexeras bör exempelvis inte medföra att hanteringsreglerna blir tillämpliga. Funktioner för automatisk sådan allmän indexering är nämligen som nämnts redan standard. Ett annat exempel är s.k. sökmotorer på Internet där teckensträngar m.m. i material som finns tillgängligt på Internet indexeras. Indexering som tar sikte på just personuppgifter, dvs. en märkning av att vissa uppgifter är just personuppgifter, t.ex. ett personnamn eller ett personnummer, innebär dock att en personuppgiftsanknuten struktur skapats. Då har man ju skapat en registerstruktur avseende, inte alla teckensträngar eller vilka teckensträngar som helst utan, just personuppgifter. Med generell strukturering menar utredningen alltså att ett material har strukturerats, t.ex. genom indexering, med avseende på flera olika slags uppgifter utan att just personuppgifter har markerats som sådana.

En mer utvecklad form av strukturering är verksamhetsanknuten strukturering. Ett typexempel är de dokument- och ärendehanteringssystem som används av t.ex. företag och myndigheter. I dessa

128

system används oftast inte bara en generell struktur med indexering av det material som ingår i strukturen utan det utmärkande är att det beträffande åtminstone en del av de uppgifter som ingår i strukturen har markerats vad uppgifterna avser, t.ex. ärendenummer, kundnummer, adress, produkt, kontaktperson, författare av ett dokument osv. Typexempel på sådan strukturering är den som förekommer i register och databaser där det finns fält där olika kategorier av uppgifter fylls i.

För att hanteringsreglerna skall tillämpas bör det krävas att struktureringen är personuppgiftsanknuten. Det är fråga om en personuppgiftsanknuten strukturering om materialet, t.ex. det som ingår i ett dokument- och ärendehanteringssystem, har strukturerats för att underlätta sökning efter och sammanställning av just personuppgifter. Det är fallet om det i ett register eller en databas finns fält där just personuppgifter har fyllts i, exempelvis fält för namn, personnummer, avsändare, handläggare, anhörig osv. Med personuppgiftsanknuten strukturering menar utredningen alltså att ett material har strukturerats så att just personuppgifter har markerats som sådana; dessutom kan flera andra slags uppgifter i materialet ha markerats.

Även i system för strukturering som inte är särskilt inriktade på att hantera information om personer – exempelvis datoriserade system för hantering av tillverkningsprocesser eller för hantering av försäljning till företagskunder – finns det som regel åtminstone någon kategori av uppgifter som särskilt markerats som just personuppgifter, t.ex. fält i en databas för handläggare, författare av ett dokument, kontaktperson vid ett företag och vem som ändrat en viss uppgift i systemet. I en myndighets diarium över allmänna handlingar skall det t.ex. anges från vem handlingen har kommit in eller till vem den har expedierats.67 Och i datoriserade dokumenthanteringssystem torde det också vara vanligt med särskilda fält för t.ex. ingivare, mottagare och författare. Därmed finns det också en personuppgiftsanknuten struktur även om systemet inte är särskilt inriktat på att hantera information om personer.

I sådana system för strukturering som inte är särskilt inriktade på att hantera information om personer utgör personuppgifterna ofta biinformation även om uppgifterna i och för sig har strukturerats på ett sådant sätt att det finns en personuppgiftsanknuten struktur. De strukturerade personuppgifterna utgör i dessa fall inte

67 15 kap. 2 § första stycket 3 sekretesslagen (1980:100), jämför SOU 2002:97.

129

huvudföremålet för systemet eller behandlingen av uppgifterna i systemet, men det är möjligt att använda strukturen också för att söka fram och sammanställa just personuppgifter. Det kan t.ex. gälla inte särskilt kvalificerade sökningar efter de ärenden som en person handlägger, de dokument som sänts till respektive mottagits från en person eller de företag som en person är kontaktperson för. Men det kan också gälla mer kvalificerade sökningar och sammanställningar med sikte på enskilda personer där flera olika slags uppgifter kombineras, t.ex. sammanställningar av inte bara de ärenden en person handlägger utan också hans eller hennes genomsnittliga handläggningstid. Ett annat exempel är när det i ett system för säljstöd vid försäljning uteslutande till juridiska personer finns uppgifter om kontaktpersoner hos företagen som omfattar inte bara sedvanliga kontaktuppgifter (funktion, adress, minnesanteckningar från kontakttillfällen osv.) utan även uppgifter om kontaktpersonerna som inte har direkt samband med huvudföremålet för systemet, t.ex. uppgifter om anhöriga och fritidsintressen.

System för registrering av enskilda personers användning av tjänster eller liknande har som regel en personuppgiftsanknuten strukturering. Det rör sig här om olika former av loggar och elektroniska spår vid användning av tjänster och liknande, t.ex. en loggfil med uppgifter om vilka webbplatser enskilda användare vid ett företag besökt eller vilka meddelanden de sänt eller mottagit eller registrering av vilka personer som med hjälp av inpasseringskort har öppnat en dörr.

En avgränsning som enbart tar hänsyn till om struktureringen av ett material är personuppgiftsanknuten eller inte är förhållandevis enkel att använda. Utredningen anser emellertid att bara en sådan avgränsning inte är tillräcklig, eftersom den skulle medföra att alltför mycket av harmlös eller inte personuppgiftsinriktad behandling skulle omfattas av hanteringsreglerna till förfång för informations- och yttrandefriheten.

Utredningen anser därför att inte varje personuppgiftsanknuten strukturering av ett material bör innebära att hanteringsreglerna skall tillämpas på behandlingen av personuppgifter i materialet. Det bör krävas att den personuppgiftsanknutna struktureringen av materialet har uppnått en viss nivå eller kvalitet för att hanteringsreglerna skall tillämpas, dvs. att materialet har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter. Och det är här som avgränsningssvårigheterna gör sig särskilt gällande. Särskilt i denna del får man lita till utvecklingen i rättstillämpningen och återkommande översyn. Det är med hänsyn

130

till den tekniska utvecklingen och det förhållandet att datortekniken kommer till allmän användning på alltfler områden svårt att uttömmande ange fasta hållpunkter för vilken nivå eller kvalitet på den personuppgiftsanknutna struktureringen som bör krävas för att hanteringsreglerna skall tillämpas. Vad utredningen kan göra är att mot bakgrund av dagens situation ange vissa utgångspunkter och exempel. Avsikten är att det som inte framstår som något regelrätt personregister eller någon annan form av system som upprättats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter skall vara undantaget från hanteringsreglerna.

Det är främst ett par olika typer av personuppgiftsanknuten strukturering som utredningen anser inte bör medföra att hanteringsreglerna skall tillämpas. Den första gäller banal personuppgiftsanknuten strukturering. Den andra gäller utnyttjande av allmänt använda funktioner där den personuppgiftsanknutna struktureringen inte framstår som särskilt kvalificerad.

Med banal personuppgiftsanknuten strukturering avser utredningen sådana situationer där datorteknikens fördelar i fråga om strukturering i förhållande till manuell hantering egentligen inte använts. I dessa fall gör sig också informations- och yttrandefrihetsintressena särskilt gällande. Det kan t.ex. handla om en lista med personuppgifter – t.ex. avseende Nobelpristagare eller världsrekordhållare

– som skrivits in i bokstavsordning efter efternamn i ett ordbehandlingsdokument eller på en webbsida. Har personuppgifterna inte strukturerats på annat sätt än att de registrerats så att de står i en viss ordning (eventuellt under olika rubriker) är det fråga om en banal personuppgiftsanknuten strukturering som bör vara undantagen från hanteringsreglerna. Vad som nu sagts gäller naturligtvis inte om listan med personuppgifter producerats med hjälp av en databas eller något annat system för strukturering av personuppgifter. I sådant fall skall de regler tillämpas på produktionen av listan som är tillämpliga på behandlingen av personuppgifter i det material som ingår i systemet för strukturering av personuppgifter (databasen).

I fråga om sedvanligt utnyttjande av allmänt använda funktioner där den personuppgiftsanknutna struktureringen inte framstår som särskilt kvalificerad kan följande sägas.

Det handlar i denna situation om sedvanligt utnyttjande av vardagsfunktioner där det med hänsyn till informations- och yttrandefrihetsintressena inte är rimligt att hanteringsreglerna skall tillämpas. Dessa fall ligger nära den banala personuppgiftsanknutna

131

struktureringen som tidigare berörts. Utredningen har i detta hänseende mot bakgrund av dagens situation identifierat två situationer av personuppgiftsanknuten strukturering som inte bör medföra att hanteringsreglerna skall tillämpas.

Den första situationen gäller sedvanlig användning av datorns filsystem. Det är inte ovanligt att en användare eller organisation systematiskt namnger filer och mappar eller kataloger i datorns filsystem med hjälp av personuppgifter. Det kan t.ex. handla om en mapp med ett personnamn som innehåller filer med korrespondens i datumordning med den aktuella personen eller att filer som berör en person namnges efter dennes namn. I sådana fall har man skapat ett system för personuppgiftsanknuten strukturering (som måhända är vad utredningen tidigare kallat banal) som dock inte bör medföra att hanteringsreglerna skall tillämpas på personuppgifterna i materialet, eftersom det skulle få oönskade konsekvenser för informations- och yttrandefriheten. Vad som nu sagts gäller dock inte om filerna (oavsett hur de namngetts) i sig ingår i ett mer kvalificerat system för personuppgiftsanknuten strukturering, t.ex. ett kvalificerat dokument- eller ärendehanteringssystem; det avgörande är då vilka regler som är tillämpliga på behandlingen av personuppgifter i det systemet.

Den andra situationen gäller sedvanlig användning av datorstödd kommunikation, där det också finns en tydlig koppling till informations- och yttrandefrihetsintressena. Vid datorstödd kommunikation är det oftast på grund av teknikens inneboende egenskaper nödvändigt att registrera uppgifter om såväl mottagare som avsändare, annars kan kommunikationen inte förmedlas. Dessa uppgifter utgör för det mesta personuppgifter som automatiskt hamnar i en personuppgiftsanknuten struktur som gör det lätt för användaren att t.ex. söka fram meddelanden till eller från en användare. Ett exempel utgör e-postprogram. Genom ett musklick kan man som regel få fram de meddelanden som sänts till eller mottagits från en viss person (eller i vart fall dennes e-postadress, vilken uppgift normalt utgör en personuppgift). En enskild medarbetares egen sedvanliga användning av t.ex. e-postprogram för sin kommunikation bör dock inte medföra att hanteringsreglerna skall tillämpas. Vad som nu sagts gäller inte om meddelandena ingår i ett mer kvalificerat system för personuppgiftsanknuten strukturering, t.ex. ett dokument- eller ärendehanteringssystem; det avgörande är då vilka regler som är tillämpliga på behandlingen av personuppgifter i det systemet. Man kan utgå från att vid marknadsföring ingår personuppgifterna i praktiken alltid i ett sådant system som medför att

132

hanteringsreglerna skall tillämpas på den behandlingen.68 Det bör också framhållas att de loggfiler med uppgifter om medarbetarnas kommunikation som en organisation kan spara inte avses med det som nu sagts. Avsikten är att undanta medarbetarnas egen sedvanliga användning av datorstödd kommunikation, inte att undanta organisationens registrering av medarbetarnas kommunikation.

Frågan om vilka situationer i övrigt som kan anses avse sedvanligt utnyttjande av allmänt använda funktioner där den personuppgiftsanknutna struktureringen inte framstår som särskilt kvalificerad på ett sådant sätt att hanteringsreglerna – av hänsyn till informations- och yttrandefrihetsintressena – inte skall tillämpas får överlämnas till rättstillämpningen.

Det är således bara behandling av personuppgifter i ett material som har en personuppgiftsanknuten strukturering som når upp till en viss nivå eller kvalitet som bör omfattas av hanteringsreglerna. Om materialet som sådant (hela samlingen av uppgifter) har strukturerats så att hanteringsreglerna är tillämpliga, skall hanteringsreglerna tillämpas vid behandling av alla personuppgifter – strukturerade och ostrukturerade – som finns i materialet oberoende av att vissa personuppgifter i materialet inte har strukturerats. Personuppgifterna kan nämligen finnas t.ex. i ordbehandlingsdokument, i inskannade dokument och i ljud- och bildupptagningar som i och för sig kan vara ostrukturerade men som ingår i den strukturerade samlingen av uppgifter, t.ex. ett ärendehanteringssystem. Det är själva samlingen av uppgifter (t.ex. ärendehanteringssystemet) som skall vara strukturerad på visst sätt, inte varje personuppgift eller handling som ingår i samlingen. I ett försäkringsbolags ärendehanteringssystem avseende enskilda personers försäkringar kan det t.ex. ingå ordbehandlingsdokument eller e-post med korrespondens med den försäkrade eller annan och inskannade läkarintyg m.m., och genom en enkel sökning på den försäkrades namn kan alla dessa dokument och andra personuppgifter som strukturerats sammanställas. För tydlighets skull bör det nämnas att hanteringsreglerna i detta fall naturligtvis bör tillämpas vid behandling av alla personuppgifter oavsett vilken person – den försäkrade, läkaren, försäkringshandläggaren osv. – uppgifterna rör.

När det gäller att avgöra vad som ingår i det strukturerade materialet (samlingen av uppgifter) får man använda ett naturligt betrak-

68Särskilt vid direkt marknadsföring med hjälp av e-post kan också andra regler vara tilllämpliga, jämför t.ex. prop. 2003/04:43 och SOU 2002:109 om genomförandet av det s.k. kommunikationsdataskyddsdirektivet 2002/58/EG.

133

telsesätt. Eftersom det krävs att materialet har strukturerats, ligger det i sakens natur att strukturen har sina gränser, dvs. att materialet utgörs av en på något sätt avgränsad mängd uppgifter (de uppgifter som med hjälp av strukturen kan hänföras till varandra). Och eftersom det krävs att struktureringen är personuppgiftsanknuten, ingår helt enkelt alla de uppgifter som kan hänföras till de strukturerade personuppgifterna. Det får överlämnas till rättstillämpningen att med ledning av ett naturligt betraktelsesätt från fall till fall bedöma vilka uppgifter som kan hänföras till de strukturerade personuppgifterna.

Som en sammanfattning av det som berörts i detta underavsnitt kan följande sägas.

Det är bara behandling av personuppgifter i ett material som har en personuppgiftsanknuten strukturering som bör omfattas av hanteringsreglerna. En struktur är personuppgiftsanknuten om materialet har strukturerats så att just personuppgifter har markerats som sådana.

För att hanteringsreglerna skall tillämpas bör det vidare krävas att den personuppgiftsanknutna struktureringen av materialet har uppnått en viss nivå eller kvalitet. Samlingen av personuppgifter skall nämligen ha strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter.

En banal personuppgiftsanknuten strukturering där personuppgifterna inte har strukturerats på annat sätt än att de registrerats så att de står i en viss ordning (t.ex. en lista med namn i bokstavsordning som skrivits in i ett ordbehandlingsdokument eller på en webbsida) når inte upp till den nivå som krävs.

Inte heller sedvanligt utnyttjande av allmänt använda funktioner där den personuppgiftsanknutna struktureringen inte framstår som särskilt kvalificerad når upp till den nivå som krävs. Det gäller t.ex. sedvanlig användning av datorns filsystem för att namnge filer och mappar eller kataloger och sedvanlig användning av datorstödd kommunikation såsom e-post.

Om ett material således har en personuppgiftsanknuten strukturering som når upp till en viss nivå eller kvalitet, bör hanteringsreglerna tillämpas vid behandling av alla personuppgifter som finns i materialet oberoende av att vissa personuppgifter i materialet inte har strukturerats (t.ex. personuppgifter i inskannade dokument i ett ärendehanteringssystem). I materialet ingår alla de uppgifter som kan hänföras till de strukturerade personuppgifterna.

Utredningens förslag innebär i korthet att hanteringsreglerna i personuppgiftslagen inte skall tillämpas på sådan vardaglig hanter-

134

ing som produktion av löpande text i ordbehandlingsprogram, publicering av löpande text på Internet, användning av ljud- och bildupptagningar och korrespondens med e-post under förutsättning att materialet inte skall infogas i en databas med en personuppgiftsanknuten struktur såsom ett ärendehanteringssystem.

Den som i sin dator vill hantera personuppgifter i löpande text, t.ex. enkla meddelanden eller kortare och längre texter, eller i ljud och bild eller i e-post behöver således normalt inte bry sig om hanteringsreglerna i personuppgiftslagen. Det är bara om han eller hon vill infoga materialet i någon form av databas som det behövs ytterligare överväganden. Har databasen en personuppgiftsanknuten struktur, där just personuppgifter har markerats som sådana, måste hanteringsreglerna tillämpas.

Utformningen av lagtexten

Utredningen har prövat olika sätt att utforma den lagtext som bäst uttrycker det som angetts i närmast föregående underavsnitt. Ut- redningen har sammanfattningsvis funnit att det lämpligaste är att föreslå en lagtext om att från hanteringsreglerna undantas ”behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter”.

Utredningen har bl.a. övervägt att utgå från den definition av register som i praktiken redan finns i 5 § andra stycket personuppgiftslagen och som avser manuell (icke automatiserad) behandling av personuppgifter. Undantaget från hanteringsreglerna skulle t.ex. kunna omfatta behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Den definitionen härrör emellertid från EG- direktivet. Det innebär att det ytterst är EG-domstolen som bestämmer vad definitionen innebär. Utredningen anser att det är olämpligt att i ett läge där vi själva får välja använda en definition som vi inte kan råda över. Det är bättre och ger oss i Sverige mera frihet om vi väljer att ha en egen, inhemsk definition. Härtill kommer att definitionen i EG-direktivet inte kan anses helt otvetydig, jämför om rättspraxis kring definitionen avsnitt 5.2.

I fråga om manuella register och definitionen i 5 § andra stycket personuppgiftslagen bör här vidare nämnas att personuppgifter

135

som finns i en sådan samling som avses i 5 § andra stycket alltid får anses ingå i en sådan samling som avses i den definition som utredningen föreslår. Det innebär att det undantag som utredningen föreslår bara har betydelse för automatiserad behandling av personuppgifter (eftersom manuell behandling av personuppgifter över huvud taget omfattas av lagen bara om uppgifterna ingår i ett register i enlighet med 5 § andra stycket).

Hanteringsreglerna i personuppgiftslagen omfattar hela kedjan av behandlingar av en viss personuppgift från det att uppgiften samlas in till dess den utplånas. Det är anledningen till att undantaget föreslås gälla för behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter. Om det finns flera avsikter med en enda insamling eller annan behandling av personuppgifter, skall lagens hanteringsregler naturligtvis tillämpas på den behandling av personuppgifter som inte är undantagen.

Av vad som anförts i avsnitt 7.3.8 framgår att det inte är möjligt att göra något undantag från bestämmelserna i artikel 7 i EG- direktivet om när behandling av personuppgifter är tillåten. Däremot är det enligt utredningens mening möjligt att med stöd av bestämmelsen om en intresseavvägning i artikel 7 f införa en bestämmelse i personuppgiftslagen som uttryckligen tillåter behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter i de fall behandlingen inte utgör ett missbruk av personuppgifterna. Utredningen har därför utformat förslaget till undantagsbestämmelse på det nämnda sättet. Därmed framgår också att den registrerade enligt 12 § andra stycket personuppgiftslagen inte har rätt att motsätta sig sådan behandling som är tillåten.

Särskilda undantag för information, debatt och opinionsbildning behövs inte

Enligt utredningsdirektiven skall utredningen särskilt analysera om det är lämpligt med vissa undantag för information, debatt och opinionsbildning. Utredningen anser mot bakgrund av det allmängiltiga undantag avseende personuppgifter som inte ingår i personregister som således föreslås och den tolkning av artikel 7 i EG- direktivet och 7 § personuppgiftslagen som Högsta domstolen

136

gjort i rättsfallet NJA 2001 s. 409 (se avsnitt 5.2.1) att det inte är nödvändigt med uttryckliga bestämmelser om att behandling av personuppgifter för just ändamålen information, debatt och opinionsbildning är tillåten. Den uttolkning som antyds i utredningsdirektiven av bestämmelsen om en intresseavvägning i 10 § f personuppgiftslagen – att personuppgifter får behandlas om det är nödvändigt för information och debatt eller opinionsbildning, om det inte finns risk för otillbörligt intrång i den personliga integriteten eller om det finns ett allmänintresse som överväger integritetsintrånget – är för övrigt enligt utredningens mening så självklar att någon uttrycklig bestämmelse inte bör vara nödvändig.

Särskilt om sökning efter personuppgifter i ostrukturerat material

Många har, bl.a. vid Justitiedepartementets offentliga utvärdering69, pekat på att det med dagens och framtidens informationsteknik kan vara enkelt att även i ostrukturerat material söka efter och ställa samman personuppgifter. Det är en riktig iakttagelse. En utvecklingslinje är som redan nämnts att struktureringen omfattar allt mer och blir mer automatiserad. En annan, parallell utvecklingslinje är emellertid att verktygen för att få fram relevant information ur ett ostrukturerat material blir allt bättre och allmänt använda.

Att det kan vara förhållandevis enkelt att söka efter personuppgifter i ostrukturerat material innebär i sig en integritetsrisk. Det är emellertid enligt utredningens mening inte något bärkraftigt argument mot att undanta all behandling av personuppgifter i ostrukturerat material. Argumentet träffar nämligen inte sådan behandling avseende ostrukturerat material som faktiskt inte avser sökning efter eller sammanställning av personuppgifter. Vad man kan överväga är att ha särskilda restriktioner för behandling som avser sökning efter eller sammanställning av personuppgifter som finns i ostrukturerat material.

Sökning efter just personuppgifter även i ostrukturerat material innebär typiskt sett sådana särskilda integritetsrisker som skulle kunna mötas med sådana hanteringsregler som finns i personuppgiftslagen. En möjlighet vore därför att inte undanta just sådan behandling från hanteringsreglerna. Det skulle emellertid vara onödigt komplicerat och i vissa helt harmlösa fall obefogat att helt plötsligt vid en sökning tillämpa alla hanteringsregler på redan in-

69 Ds 2001:27.

137

samlat eller producerat ostrukturerat material med personuppgifter.

En annan möjlighet vore att föreskriva att sökning efter eller sammanställning av personuppgifter som finns i ostrukturerat material är tillåten bara i vissa befogade fall t.ex. efter en intresseavvägning exempelvis motsvarande den som finns i 10 § f personuppgiftslagen.

Utredningen har prövat dessa möjligheter, men funnit dels att en sådan reglering riskerar att bli onödigt krånglig och svår att få genomslag för i praktiken, dels att de regler som föreslås till skydd mot missbruk (se avsnitt 7.7.4) bör vara tillräckliga för att skydda mot obefogade integritetskränkningar till följd av sökningen efter och sammanställning av personuppgifter.70

70Av förslaget i avsnitt 15.2 framgår att bestämmelserna i personuppgiftslagen inte skall tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att söka efter, sammanställa och lämna ut personuppgifter.

138

7.7.3Vilka bestämmelser i personuppgiftslagen bör undantaget omfatta?

Utredningens förslag: Undantag görs från bestämmelserna i personuppgiftslagen om

a)grundläggande krav på behandlingen av personuppgifter (9 §)

b)när behandling av personuppgifter är tillåten (10 §)

c)förbud mot behandling av känsliga personuppgifter (13 §)

d)förbud för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m. (21 §)

e)information till den registrerade i samband med att personuppgifter samlas in (23 och 24 §§)

f)rättelse (28 §)

g)förbud mot överföring av personuppgifter till tredje land (33 §)

h)upplysningar till allmänheten om behandlingar som inte anmälts till tillsynsmyndigheten (42 §)

Utredningens bedömning: Den registrerade skall på begäran ha rätt att få ett s.k. registerutdrag med bl.a. de personuppgifter som behandlas (26 §). Personnummer och samordningsnummer bör få behandlas utan samtycke bara när det är klart motiverat med hänsyn till något beaktansvärt skäl (22 §).

I avsnitt 7.3 har det angetts i vilken utsträckning det enligt utredningens mening är möjligt att göra undantag eller motsvarande från hanteringsreglerna i EG-direktivet. Utredningen anser att undantagsmöjligheterna bör utnyttjas i så stor utsträckning som möjligt för att underlätta harmlös hantering av personuppgifter i ostrukturerat material.

De bestämmelser i personuppgiftslagen som man med hänsyn till EG-direktivet kan överväga att göra undantag från är enligt utredningens mening följande:

a)9 § om grundläggande krav på behandlingen av personuppgifter

b)13 § om förbud mot behandling av känsliga personuppgifter

c)21 § om förbud för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m.

d)22 § om restriktioner för behandling av uppgifter om personnummer och samordningsnummer

e)23 och 24 §§ om information till den registrerade i samband med att personuppgifter samlas in

f)26 § om information som skall lämnas efter ansökan (s.k. registerutdrag)

g)28 § om rättelse

139

h)33 § om förbud mot överföring av personuppgifter till tredje land

i)42 § om upplysningar till allmänheten om behandlingar som inte anmälts till tillsynsmyndigheten

Punkterna a–c, e och h i uppräkningen ovan (avseende 9, 13, 21, 23, 24 och 33 §§ personuppgiftslagen) avser helt klart sådana hanteringsregler som undantaget bör omfatta. Det är fråga om regler som den personuppgiftsansvarige på eget initiativ har att iaktta och uppfylla och som anger när och hur personuppgifter får behandlas.

Reglerna i punkterna f, g och i i uppräkningen ovan (avseende 26, 28 och 42 §§ personuppgiftslagen) är av en något annan natur. Det är nämligen fråga om regler som den personuppgiftsansvarige bara behöver beakta när någon begär det i ett enskilt fall. Reglerna är således i allmänhet inte lika betungande för den personuppgiftsansvarige, eftersom han eller hon inte behöver beakta dem vid den dagliga hanteringen av ostrukturerat material utan bara när någon begär det. Det bör därför särskilt övervägas om dessa regler bör omfattas av undantaget.

Vad först gäller skyldigheten enligt 26 § personuppgiftslagen att efter ansökan lämna ett s.k. registerutdrag kan följande sägas.

Rätten till registerutdrag kan sägas ha dels en kontrollfunktion, dels en funktion som självständig rättighet.

Genom rätten till registerutdrag har den registrerade en möjlighet att själv kontrollera att behandlingen av hans eller hennes uppgifter är lagenlig och att, om så inte skulle vara fallet, utnyttja sina övriga rättigheter för att få till stånd rättelse. Om nu viss behandling skall vara undantagen från de flesta ”vanliga” regler, skulle man kunna sätta i fråga om inte rätten till registerutdrag också är överflödig. Det finns ju då inte särskilt många regler att kontrollera och rättigheter att bevaka. Men så länge regler till skydd mot missbruk skall gälla, fyller rätten till registerutdrag en kontrollfunktion. Utan den rätten skulle det vara svårare för den registrerade att kunna konstatera om missbruk förekommit och avgöra om åtgärder bör vidtas med anledning av ett missbruk. Möjligheten att vända sig till Datainspektionen, som i sin tillsynsfunktion har rätt att få ta del av de behandlade personuppgifterna, kan inte helt ersätta en egen rätt för den registrerade att få ta del av sina uppgifter.

Rätten att få ta del av de uppgifter om en själv som någon annan behandlar har också ett självständigt värde för den registrerade även när det gäller ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar. Genom den rätten kan den registrerade

140

få reda på hur han eller hon återspeglas i de uppgifter som finns registrerade. Därigenom kan den registrerade också framställa invändningar om det som registrerats inte stämmer överens med den egna självbilden. Det kan t.ex. gälla vilka uppgifter som legat till grund för ett beslut som påverkar den registrerade. Enligt Europadomstolen ingår i rätten till skydd för privatlivet enligt artikel 8 i Europakonventionen en positiv skyldighet att i vissa fall ge den registrerade tillgång till sina egna uppgifter.71 Både Europarådets dataskyddskonvention och OECD:s riktlinjer innehåller vidare bestämmelser om rätt till tillgång till sina uppgifter, trots att dessa instrument inte egentligen innehåller materiella regler om när behandling av personuppgifter är tillåten eller förbjuden.

Rätten att få ta del av sina egna uppgifter framstår således som grundläggande och av väsentlig och självständig betydelse för den registrerade. Den rätten är internationellt erkänd och har funnits i den svenska datalagen sedan 1973. Frågan är då närmast vilka beaktansvärda motstående intressen som kan tala för en inskränkning av den rätten i fråga om personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar.

Den personuppgiftsansvariges intresse av att få ha ofärdiga alster och minnesanteckningar i fred och av sekretess har redan i dag beaktats genom bestämmelserna i 26 § tredje stycket och 27 § personuppgiftslagen. Det ytterligare intresse för den personuppgiftsansvarige som kan vara värt att beakta är att det är betungande att på begäran söka fram personuppgifter i material som inte har strukturerats för att underlätta sökning efter eller sammanställning av just personuppgifter. Såsom framgår av avsnitt 11 föreslår utredningen i den delen dock att registerutdrag inte skall behöva lämnas i den utsträckning detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Utredningen anser att denna bestämmelse, som får särskild betydelse vid ostrukturerat material, innebär att den personuppgiftsansvariges intressen i nu berört hänseende beaktas i tillräcklig grad. Utredningen kommer därför fram till att något undantag inte bör göras från bestämmelsen i 26 § om registerutdrag.

Vad därefter gäller skyldigheten enligt 42 § personuppgiftslagen att på begäran lämna upplysningar till allmänheten om behandlingar anser utredningen att den skyldigheten inte har sådan praktisk betydelse för de registrerade som uppväger besväret för den person-

71Se t.ex. Europadomstolens dom den 7 juli 1989 i målet Gaskin ./. Förenade kungariket och dom den 24 september 2002 i målet M.G. ./. Förenade kungariket.

141

uppgiftsansvarige att lämna upplysningarna. Ett undantag bör således göras från bestämmelsen i 42 §.

I fråga om bestämmelsen i 28 § personuppgiftslagen om rättelse kan det naturligtvis vara ett väsentligt intresse för den registrerade att t.ex. felaktiga personuppgifter även i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar på begäran korrigeras. Att den personuppgiftsansvarige fortsätter att behandla direkt felaktiga personuppgifter trots att den registrerade begärt rättelse får dock i regel betraktas som ett otillbörligt integritetsintrång som bör vara förbjudet enligt huvudregeln såsom ett missbruk av personuppgifterna. Bestämmelsen i 28 § är dessutom formulerad på ett sådant sätt att den inte utan vidare kan användas i fråga om behandling som är undantagen från de grundläggande kraven i 9 §. Det skulle alltså vara nödvändigt att införa en särskild bestämmelse rörande rättelse för behandling av personuppgifter i ostrukturerat material. Utredningen anser mot bakgrund av de bestämmelser till skydd mot missbruk som bör finnas (se avsnitt 7.7.4) att undantag bör kunna göras också från bestämmelsen om rättelse i 28 §.

Det är i och för sig tillåtet enligt EG-direktivet att bestämma att personnummer generellt får behandlas i ostrukturerat material t.ex. i form av löpande text och ljud och bild. Utredningen anser emellertid att det inte är lämpligt. Den nuvarande regeln i 22 § personuppgiftslagen om att personnummer och samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till något beaktansvärt skäl får nämligen anses befogad även vid behandling av ostrukturerat material. Därför bör det inte göras något undantag från 22 § personuppgiftslagen.

Som framgått av avsnitt 7.7.2 har undantagsbestämmelsen utformats så att den uttryckligen tillåter behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter, om behandlingen inte innebär ett otillbörligt intrång i den personliga integriteten. Undantagsbestämmelsen utgör därför i sig en uttolkning av bestämmelsen om intresseavvägning i artikel 7 f i EG- direktivet och 10 § f personuppgiftslagen. Därmed bör även 10 § personuppgiftslagen tas med bland de bestämmelser som inte skall tillämpas.

I enlighet med vad som anges i avsnitt 7.3.7 bör det vidare i förordning göras ett undantag från skyldigheten enligt 36 § personuppgiftslagen att göra anmälan till Datainspektionen.

142

7.7.4Vilka bestämmelser behövs till skydd mot missbruk?

Utredningens förslag: Behandlingen får bara utföras om den inte innebär ett otillbörligt intrång i den personliga integriteten.

Den föreslagna bestämmelsen som tillåter behandling av alla slags personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar och undantar behandlingen från hanteringsreglerna i personuppgiftslagen måste rimligen förknippas med bestämmelser till skydd mot sådant missbruk av personuppgifterna som innefattar ett otillbörligt integritetsintrång.

Ett par sådana skyddsregler har redan berörts. För det första omfattar undantaget bara material som inte har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter. För det andra har den registrerade rätt att på begäran få ett s.k. registerutdrag med de personuppgifter som behandlas.

Det allra bästa vore givetvis att i lagen ha en tydlig och uttömmande uppräkning av alla de fall av användning av personuppgifter som utgör ett missbruk av uppgifterna. Utredningen har försökt att åstadkomma en sådan uppräkning. Det har emellertid visat sig att det finns svårigheter med ett sådant angreppssätt.

För det första är det svårt att på förhand komma på alla de fall som rimligen bör betecknas som ett missbruk. Det beror på att fantasin inte räcker till för att överblicka ens alla de fall av missbruk som kan vara aktuella i dag. Än mindre är det möjligt att i dag överblicka vad vi i samhället kan komma att anse vara ett missbruk i framtiden eller vilka möjligheter framtida teknik eller andra förhållanden kan medföra. Med en uttömmande uppräkning riskerar man alltså att skyddet mot missbruk inte blir heltäckande.

Samtidigt finns det en risk för att man i uppräkningen tar med fall som normalt måste betecknas som ett missbruk, men som i det enskilda fallet kan utgöra en befogad användning av personuppgifterna. Det finns alltså också en risk för att man förbjuder ”för mycket”, t.ex. för att man i dag inte har fantasi nog att inse när det kan vara befogat att använda personuppgifter.

Nu antydda svårigheter skulle i och för sig kunna bemästras genom att man gör uppräkningen av missbruksfall vag och försedd med bestämmelser om intresseavvägning eller andra ”generalklausuler”. Men då har man ju inte vunnit särskilt mycket med att ha en uppräkning.

Ett alternativ till att ha uppräkningen i lagen skulle kunna vara att ha den i en förordning som regeringen utfärdar eller i myndig-

143

hetsföreskrifter. Sådana normer av lägre rang är nämligen betydligt enklare att ändra allteftersom förhållandena kräver det än en lag. Inte heller det alternativet förefaller emellertid särskilt praktiskt. Den som hanterar ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar skulle exempelvis i sådant fall behöva hålla sig uppdaterad om en ständigt skiftande regelmassa. Härtill kommer att det är möjligt för t.ex. Datainspektionen att ge ut oförbindande allmänna råd eller annan vägledning om tillämpningen av en mera allmänt hållen bestämmelse i lag.

Utredningen har därför kommit fram till att det trots allt är bäst att i personuppgiftslagen ha en relativt allmänt hållen bestämmelse om vad som utgör missbruk, som mot bakgrund av förarbetsuttalanden får uttolkas i rättspraxis och genom oförbindande vägledning från t.ex. Datainspektionen. Därmed kan den nödvändiga flexibiliteten och anpassningen efter skiftande förhållanden uppnås samtidigt som regelanvändaren har en grundläggande norm i lagtexten att hålla sig till.

Man måste i sammanhanget också hålla i minnet att vad som undantas från hanteringsreglerna i personuppgiftslagen till stora delar är sådant som mycket väl kan göras på ett sätt som inte alls omfattas av den lagen. Löpande text och ljud- och bildupptagningar som inte strukturerats har ju sedan lång tid tillbaka hanterats med sådan analog teknik som inte torde omfattas av begreppet automatiserad i personuppgiftslagen72 och som inte alls omfattades av 1973 års datalag. Hanteringen av sådant material med digital teknik, tillsammans med utvecklingen inom datakommunikationstekniken, har dock väsentligt underlättat möjligheterna för i princip envar att sprida materialet, såväl till en obegränsad krets (genom publicering) som till enstaka mottagare.

Med hjälp av digital teknik och öppna, internationella datakommunikationsnätverk, såsom Internet, kan i dag var och en till nästan ingen kostnad alls göra material tillgängligt i hela världen. Det står klart att denna utveckling medför såväl fördelar för varje medborgares rätt till yttrande- och informationsfrihet, som risker för missbruk av personuppgifter och andra integritetsintrång. Avvägningen mellan fördelarna och integritetsriskerna får dock sägas ha redan preliminärt gjorts i och med införandet från och med den 1 januari 2003 av möjligheten för i princip envar att få grundlagsskydd för spridningen av uppgifter via internationella datakommu-

72Se närmare Sören Öman & Hans-Olof Lindblom, Personuppgiftslagen – En kommentar, andra upplagan 2001, s. 70 f.

144

nikationsnätverk.73 Personuppgiftslagen skall nämligen inte tillämpas på det som är grundlagsskyddat, jämför 7 § första stycket personuppgiftslagen. Här gäller i stället den s.k. brottskatalogen över tryckfrihetsbrott, vilken bara i begränsad utsträckning – t.ex. vid rent förtal och förolämpningar – skyddar den personliga integriteten. Riksdagen har emellertid av regeringen beställt en analys av om det frivilliga grundlagsskyddet kan komma i konflikt med bestämmelserna med syfte att skydda den personliga integriteten och, om så behövs, förslag till ändrad lagstiftning.74 Analysen skall göras av Tryck- och yttrandefrihetsberedningen (Ju 2003:04).75 Frågan om spridning av material med digital teknik och integritetsskyddet kommer alltså att analyseras i särskild ordning.

När det sedan gäller sådan automatiserad behandling av personuppgifter som faktiskt inte utnyttjar den digitala teknikens särskilda möjligheter till strukturering och spridning, måste man fråga sig varför den behandlingen skulle behöva omgärdas av integritetsskyddande bestämmelser i större utsträckning än andra behandlingsformer såsom rent manuell behandling eller muntlig spridning av uppgifter. För den registrerade är det givetvis ofta ovidkommande om en integritetskränkning uppkommit genom automatiserad behandling eller genom andra förfaranden såsom muntligt skvaller. När den automatiserade behandlingens särskilda möjligheter i förhållande till andra behandlingsformer faktiskt inte utnyttjas, finns det därför enligt utredningens mening sällan anledning att ha särskilda skyddsregler utan det allmängiltiga skyddet mot integritetskränkning bör vara tillräckligt. Regeringen avser, såsom framgår av utredningsdirektiven, att tillsätta en särskild kommitté med uppdrag att göra en bred kartläggning avseende skyddet för den personliga integriteten i det moderna samhället.76

Det nu sagda talar också för att man i personuppgiftslagen tills vidare kan nöja sig med en grundläggande, relativt allmänt hållen bestämmelse till skydd mot missbruk.

Det förefaller rimligt, och kanske också ofrånkomligt, att en relativt allmänt hållen bestämmelse bygger på en intresseavvägning, där den registrerades integritetsintresse får vägas mot andra, motstående intressen. En sådan intresseavvägning brukar traditionellt

73 Se 1 kap. 9 § yttrandefrihetsgrundlagen, prop. 2001/02:74, KU 2001/02:21, KU 2002/03:8 och SFS 2002:909.

74KU 2001/02:21 s. 32 och rskr. 2001/02:233.

75Dir. 2003:58. Jämför också Ds 2003:25 om självsanering av Internet.

76Jämför också studien Skyddet för enskilda personers privatliv, Ds 1994:51, och Jan Freese, Rapport om skyddet för enskilda personers privatliv – ett mer samlat grepp?, 1995.

145

uttryckas genom ett förbud mot åtgärder som innebär ett otillbörligt intrång i den personliga integriteten. Utredningen anser att det är lämpligt att använda den formuleringen. Vad gäller den avsedda innebörden av begreppet otillbörligt intrång i den personliga integriteten kan, mot bakgrund av ovanstående överväganden, följande sägas till ledning för tillämpningen.

Först bör framhållas att utredningen i fråga om begreppet otillbörligt intrång i den personliga integriteten inte direkt hänfört sig till motsvarande begrepp i datalagen. Det beror bl.a. på att begreppet i datalagen hade betydelse bara beträffande hantering av personuppgifter i register, medan den regel utredningen föreslår bara har betydelse när personuppgifterna inte finns i ett register.

Om behandlingen faktiskt följer bestämmelserna om grundläggande krav i 9 § och om när behandling av personuppgifter är tillåten i 10 § personuppgiftslagen, trots att dessa bestämmelser i och för sig inte är tillämpliga på behandlingen, torde det knappast komma i fråga att anse att behandlingen innebär ett otillbörligt intrång i den personliga integriteten. Det gäller även om känsliga personuppgifter används. Över huvud taget bör graden av känslighet hos de personuppgifter som behandlas vara bara en faktor bland flera som bör beaktas vid en samlad bedömning. Det viktiga är ofta i vilket sammanhang och för vilka syften personuppgifterna behandlas samt vad behandlingen kan leda till.

Om uppgifter samlas in eller annars behandlas med syfte att förfölja eller skandalisera en person, får behandlingen givetvis anses innebära ett otillbörligt intrång i den personliga integriteten. Det kan exempelvis gälla publicering på Internet av bilder på en f.d. pojk- eller flickvän i eller utan baddräkt eller av rent personliga detaljer om dennes beteende.

Redan det förhållandet att en personuppgiftsansvarig samlar en stor mängd uppgifter om en person utan något godtagbart ändamål måste oftast ses som ett otillbörligt intrång i den personliga integriteten. Ett exempel kan vara en hyresvärd som närmast av nyfikenhet samlar bilder på och anteckningar i löpande text om iakttagelser av en hyresgäst.

Att den personuppgiftsansvarige använder personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar som underlag för att fatta beslut som berör den registrerade kan inte i sig anses som ett otillbörligt intrång i den personliga integriteten. Den registrerade har alltid möjlighet att begära ett registerutdrag. Därmed kan den registrerade få reda på

146

vilka uppgifter som legat till grund för beslutet och framföra eventuella invändningar.

Ofta får det anses vara ett otillbörligt intrång i den personliga integriteten om den personuppgiftsansvarige medvetet behandlar personuppgifter som är klart felaktiga eller missvisande.

Vad som hittills sagts har främst tagit sikte på intern hantering av personuppgifter hos den personuppgiftsansvarige. Också vid spridning av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar behövs det ett skydd mot missbruk. De redan berörda riktlinjerna i fråga om intern hantering ger dock ett gott skydd även mot spridning. Dessa ger exempelvis skydd mot spridning utan godtagbart skäl av en stor mängd uppgifter om en person och mot medveten spridning av uppgifter som är klart felaktiga eller missvisande. Vad som därutöver skulle kunna behövas är främst ett skydd mot spridning av förtroliga eller djupt personliga uppgifter och spridning av uppgifter som innebär ett angrepp på någons heder och ära.

I fråga om angrepp på annans heder och ära finns det redan allmängiltiga regler om förtal och förolämpning. Förtal innebär enligt 5 kap. 1 § första stycket brottsbalken att utpeka någon som brottslig eller klandervärd i sitt levnadssätt eller annars lämna uppgift som är ägnad att utsätta denne för andras missaktning. Enligt andra stycket i samma paragraf skall det dock inte dömas för förtal, om den som lämnat uppgifterna var skyldig att uttala sig eller det annars med hänsyn till omständigheterna var försvarligt att lämna denna uppgift i saken och han eller hon dessutom visar att uppgiften var sann eller att han eller hon hade skälig grund för den. Förolämpning innebär enligt 5 kap. 3 § brottsbalken att smäda annan genom kränkande tillmäle eller beskyllning eller genom annat skymfligt beteende mot denne.

En spridning av personuppgifter som innebär förtal eller förolämpning utgör givetvis ett otillbörligt intrång i den personliga integriteten. Utredningen anser att det inte beträffande just automatiserad behandling av ostrukturerat material behövs särskilda regler till skydd mot angrepp på annans heder och ära.

Beträffande spridning av förtroliga eller djupt personliga uppgifter finns det redan författningsbestämmelser och etiska regler eller motsvarande som föreskriver tystnadsplikt. Dessa regler kan sägas ge uttryck för vilka förhållanden som bör hemlighållas. Något helt allmänt skydd mot spridning – genom automatiserad behandling eller på annat sätt – av uppgifter om personliga förhållanden, som inte innebär förtal, finns inte utan här råder det öppenhet, yttran-

147

de- och informationsfrihet. En spridning av personuppgifter som innebär brott mot författningsbestämmelser och etiska regler eller motsvarande som föreskriver tystnadsplikt utgör givetvis ett otillbörligt intrång i den personliga integriteten. Utredningen anser att det inte beträffande just automatiserad behandling av ostrukturerat material behövs särskilda regler till skydd mot sådan spridning av förtroliga eller djupt personliga uppgifter som inte innebär förtal.

De riktlinjer som nu getts kan sammanfattas i följande kortfattade punktuppställning:

•Behandla inte personuppgifter för otillbörliga syften, såsom förföljelse eller skandalisering

•Samla inte utan godtagbara skäl en stor mängd uppgifter om en person

•Rätta personuppgifter som visar sig vara felaktiga eller missvisande

•Förtala eller förolämpa inte någon annan

•Bryt inte mot tystnadsplikt

Det är således i praktiken fråga om några ganska enkla och självklara handlingsregler, varav flera redan följer av annan lagstiftning. Enligt utredningens mening kommer den föreslagna ordningen att underlätta tillämpningen hos både personuppgiftsansvariga och Da- tainspektionen.

7.7.5Tillsyn och sanktioner

Utredningens bedömning: Det behövs inga nya bestämmelser om tillsyn och sanktioner.

Utredningen föreslår således en ny bestämmelse i personuppgiftslagen om att viss behandling av personuppgifter får utföras bara om behandlingen inte innebär ett otillbörligt intrång i den personliga integriteten.

Datainspektionen är tillsynsmyndighet enligt personuppgiftslagen77 och har vissa befogenheter enligt 32 och 43–47 §§ i den lagen. Enligt utredningens mening bör Datainspektionen, liksom i dag, ha tillsyn över och befogenheter beträffande sådan behandling som omfattas av den föreslagna bestämmelsen.

77 2 § personuppgiftsförordningen (1998:1191).

148

Den normala sanktionen vid brott mot personuppgiftslagen är skadestånd till den registrerade enligt 48 § i lagen. Utredningen anser att även brott mot den föreslagna bestämmelsen bör vara förknippat med sådant skadestånd.

Vissa förfaranden i strid med personuppgiftslagen är straffbelagda enligt 49 § i den lagen. Utredningen anser att det inte är nödvändigt att straffbelägga brott mot den föreslagna bestämmelsen. Skadestånd bör nämligen vara tillräckligt.

149

8Sådant som inte omfattas av EG-direktivet

8.1Utredningsdirektiven

Enligt utredningsdirektiven skall utredningen särskilt se över möjligheten till undantag för sådan behandling av personuppgifter inom den privata sfären som – till sin natur – faller utanför gemenskapsrätten och därmed inte omfattas av EG-direktivet.

8.2EG-direktivet

8.2.1Sådant som faller utanför gemenskapsrätten

Enligt artikel 3.2 första strecksatsen i EG-direktivet gäller inte EG- direktivet för sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten. Som exempel anges sådan verksamhet som avses i avdelning V och VI i Fördraget om Europeiska unionen.78 Det anges vidare att EG- direktivet inte under några omständigheter omfattar behandlingar som rör

a)allmän säkerhet,

b)försvar,

78Dessa avdelningar i fördraget innehåller bestämmelser om en gemensam utrikes- och säkerhetspolitik respektive bestämmelser om polissamarbete och straffrättsligt samarbete, dvs. det samarbete som äger rum inom vad som vanligen kallas för andra och tredje pelaren.

c)statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och

d)statens verksamhet på straffrättens område.

I ingresspunkt 13 används ett något annorlunda uttryckssätt. Där talas det om att sådan verksamhet som avses i de angivna avdelningarna i Unionsfördraget och som rör allmän säkerhet osv. inte faller inom tillämpningsområdet för gemenskapsrätten. Det påpekas i den nämnda ingresspunkten också att detta gäller med förbehåll för medlemsstaternas skyldigheter enligt artiklarna 56.2, 57 eller 100a79 i Fördraget om upprättandet av Europeiska gemenskapen.

I ingresspunkt 16 pekas det särskilt på att behandling av ljud- och bilduppgifter, t.ex. i samband med videoövervakning, inte omfattas av EG-direktivet om behandlingen utförs för att tillgodose den allmänna säkerheten, försvaret, statens säkerhet eller någon annan statens verksamhet på straffrättens område.

I kommissionens förklaring80 anges säkerhetstjänst81 som exempel på en aktivitet som faller utanför tillämpningsområdet.

EG-domstolen har i två domar uttalat sig om tolkningen av artikel 3.2 första strecksatsen i EG-direktivet. I det första målet om förhandsavgörande av frågor som österrikiska domstolar ställt (dom den 20 maj 2003 i mål C-465-00 och C-138/01 och 139/01) om den österrikiska revisionsrättens (Rechnungshof) verksamhet med att samla in och offentliggöra uppgift om namn och lön för högavlönade anställda vid vissa myndigheter m.m. uttalade domstolen följande:

”39 Domstolen erinrar om att direktiv 95/46, som har antagits med stöd av artikel 100a i fördraget, syftar till att genom tillnärmning av nationella bestämmelser om skyddet av fysiska personer i samband med behandlingen av personuppgifter säkerställa det fria flödet av dessa uppgifter mellan medlemsstaterna. I artikel 1.2 i direktivet, vari föremålet för direktivet i fråga anges, stadgas nämligen att medlemsstaterna varken får begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstaterna av skäl som har samband med skyddet av fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.

79Nuvarande artikel 46.2, 47 och 95.

80SOU 1993:10 Bilagor s. 172.

81På engelska ”secret services”.

152

ler som sker som ett led i verksamhet av rent privat natur eller som har samband med [en fysisk persons] hushåll. Dessa undantag skulle nämligen i vart fall inte ha denna ordalydelse om det nämnda direktivet endast var tillämpligt på situationer där det föreligger ett tillräckligt samband med utövandet av de fria rörligheterna.

44 Detsamma kan påpekas beträffande de undantag som anges i artikel 8.2 i direktiv 95/46, vilka avser behandling av särskilda kategorier av uppgifter, bland annat dem som föreskrivs i artikel 8.2 d, som avser behandling som utförs hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte.

45 Det skall slutligen understrykas att den behandling av personuppgifter som är i fråga i målen vid de nationella domstolarna inte omfattas av det undantag som avses i artikel 3.2 första strecksatsen i direktiv 95/46. Denna behandling sker nämligen inte som ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen. Inte heller är det fråga om en behandling som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.

46 De syften som anges i artiklarna 7 c och e och 13 e och f i direktiv 95/46 vittnar under alla omständigheter om att direktivet är ämnat att omfatta sådan behandling av uppgifter som den som är i fråga i målen vid de nationella domstolarna.

47 Domstolen finner således att direktiv 95/46 är tillämpligt på sådan behandling av personuppgifter som föreskrivs i sådana bestämmelser som dem som är i fråga i målen vid den nationella domstolen.”

I det andra målet – EG-domstolens dom den 6 november 2003 i det s.k. konfirmandlärarmålet (mål C-101/01) – kom domstolen till slutsatsen att omnämnandet av olika personer på en hemsida på Internet inte omfattas av något av de undantag som nämns i artikel 3.2 i EG-direktivet. I sin motivering uttalade domstolen:

”37 I artikel 3.2 i direktiv 95/46 återfinns två undantag från direktivets tillämpningsområde.

38 Det första undantaget avser sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område.

154

8.2.2Rent privat behandling

Enligt artikel 3.2 andra strecksatsen i EG-direktivet gäller inte EG- direktivet för sådan behandling av personuppgifter av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans hushåll82.

Av mötesprotokollet (bilaga 4) framgår att rådet och kommissionen anser att det inte är tillåtet att med hänvisning till den bestämmelsen undanta behandling av personuppgifter som utförs av en enskild person när dessa uppgifter förmedlas inte bara till en eller flera personer utan till ett obestämt antal personer.

I ingresspunkt 12 framhålls att en fysisk persons behandling av uppgifter uteslutande för personliga ändamål eller för hemmabruk83, såsom korrespondens eller förandet av adressregister, inte omfattas av EG-direktivet.

I kommissionens förklaring ges som exempel förandet av en elektronisk dagbok.84

Generaladvokaten har i sitt förslag till avgörande det s.k. konfirmandlärarmålet (EG-domstolens mål C-101/01) ansett att endast verksamheter såsom korrespondens eller förande av adressregister, som omnämns som exempel i ingresspunkt 12, dvs. verksamheter som är uppenbart privata och av förtrolig karaktär och är avsedda att begränsas till de berördas personliga sfär eller den sfär som har samband med deras hushåll, omfattas av undantaget. EG- domstolen gjorde motsvarande bedömning som generaladvokaten och uttalade i sin dom den 6 november 2003 att undantaget för rent privat behandling skall ”tolkas så, att det endast avser sådan verksamhet som utgör en del av enskildas privat- eller familjeliv, vilket uppenbart inte är fallet i fråga om sådan behandling av personuppgifter som består i att de offentliggörs på Internet för att dessa uppgifter skall bli tillgängliga för ett obestämt antal personer”.

82På engelska ”a purely personal or household activity”, på franska ”d’activités exclusivement personelles ou domestiques”, på tyska ”Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten”.

83På engelska ”activities which are exclusively personal or domestic”, på franska ”d’activités exclusivement personelles ou domestiques”, på tyska ”Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten”.

84SOU 1993:10 Bilagor s. 172.

156

8.3Europarådets dataskyddskonvention

Europarådets dataskyddskonvention har presenterats i avsnitt 4.2.2 och bilaga 5. Konventionen gäller i princip för all automatisk behandling av personuppgifter, och det finns i konventionen inte något generellt undantag för sådant som faller utanför gemenskapsrätten. Enligt artikel 3 i konventionen kan dock en konventionsstat deklarera att den inte kommer att tillämpa konventionen för vissa kategorier av automatiserade personregister.

8.4Personuppgiftslagen

8.4.1Personuppgiftslagen är generellt tillämplig

Personuppgiftslagen innehåller inte något generellt undantag för sådant som faller utanför gemenskapsrätten. Personuppgiftslagen är alltså i och för sig generellt tillämplig. Däremot gäller särregler i andra författningar framför bestämmelserna i personuppgiftslagen (2 §). I denna del gjorde regeringen följande överväganden (prop. 1997/98:44 s. 40 f.):

”Den nuvarande datalagen är i princip generellt tillämplig på all automatisk databehandling av personregister, men i den utsträckning ett personregister är reglerat i en annan författning är det undantaget Da- tainspektionens tillståndsprövning och föreskriftsrätt.

EG-direktivet gäller däremot inte för sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av EG- rätten, t.ex. statens verksamhet på straffrättens område eller som rör allmän säkerhet eller försvar.

Det innebär att det står Sverige fritt att begränsa den nya lagens tilllämpningsområde till sådana verksamheter som omfattas av EG-rätten. Detta skulle emellertid strida mot vad som tillämpats under lång tid i Sverige, nämligen ett system som utgår från en generell lag kompletterad med särregler i s.k. registerförfattningar för viktigare eller känsligare register.

Registerförfattningarna innehåller många preciserade och viktiga regler som inte rimligen kan ersättas av de generella bestämmelser som den nya lagen innehåller. Samtidigt står det klart att det är nödvändigt med särregler i förhållande till den nya lagen på flera viktiga områden, t.ex. beträffande polisens verksamhet. Frågan är därför om det redan i

157

den nya lagen skall göras undantag för vissa verksamheter eller om nödvändiga särregler för dessa verksamheter liksom hittills skall ges i särskilda författningar som får gälla framför den nya lagen. […]

Vi anser att det traditionella svenska systemet med särregler i särskilda författningar är att föredra framför generella undantag från den nya lagen. Det är i stort sett bara verksamhet inom den offentliga sektorn som med hänsyn till EG-direktivet skulle kunna undantas från den nya lagen. Inom den sektorn förekommer det t.ex. ofta stora mängder känsliga uppgifter och uppgifter som har hämtats in med stöd av straffsanktionerad uppgiftsplikt. Därför är det särskilt viktigt med ett starkt integritetsskydd när det gäller uppgifter inom all offentlig verksamhet. Om viss offentlig verksamhet skulle generellt undantas från lagen, finns det risk för att viss behandling inom den sektorn inte kommer att omfattas av någon lagstiftning med motsvarande syfte som den nya lagen. Genom att det krävs en särskild författning för att avvika från det integritetsskydd som den nya lagen ger, garanteras däremot att behovet av särregler alltid övervägs noga i den ordning som gäller för författningsgivning. Målet har också varit att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras särskilt i lag (prop. 1990/91:60 s. 50 och KU 1990/91:11 s. 11). Det finns inte anledning att nu avvika från det målet.

Den nya lagen bör således vara generellt tillämplig och omfatta även sådan verksamhet som faller utanför EG-rätten samtidigt som avvikande bestämmelser i lag eller förordning skall gälla framför den nya lagen. Detta innebär också att den nya lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får tillgodoses genom andra författningar.”

De flesta remissinstanserna hade godtagit förslaget eller lämnat det utan erinran. Riksåklagaren hade dock föreslagit att statens verksamhet på det straffrättsliga området skulle undantas från personuppgiftslagen.

8.4.2Undantaget för privat behandling av personuppgifter

Enligt 6 § personuppgiftslagen gäller lagen inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur. Regeringen ansåg att möjligheten enligt EG-direktivet att undanta rent privat användning av personuppgifter borde utnyttjas fullt ut. Avsikten är att paragrafen skall

158

ha samma innebörd som artikel 3.2 andra strecksatsen i EG- direktivet.85

8.5Genomförandet i andra länder

I Sverige har EG-direktivet således genomförts genom en generellt tillämplig lag, medan särregler för bl.a. sådant som faller utanför gemenskapsrätten finns i särlagstiftning som tar över de generella bestämmelserna i personuppgiftslagen. Ett sådant förfaringssätt förefaller vara det normala också i andra medlemsstater (och i Norge), även om det inte är ovanligt att den generella genomförandelagstiftningen innehåller en hel del undantag – eller bemyndiganden att medge undantag – för bl.a. sådant som faller utanför gemenskapsrätten. Utredningen har inte funnit någon genomförandelagstiftning som innehåller ett generellt undantag för allt sådant som faller utanför gemenskapsrätten.86

Undantaget i EG-direktivet för rent privat behandling synes däremot normalt ha intagits i medlemsstaternas generella genomförandelagstiftning. I Norge har det ansetts att undantaget omfattar privata hemsidor på Internet med information av privat och personlig karaktär.87

8.6Överväganden

Utredningens bedömning: Det undantag för rent privat behandling av personuppgifter som är tillåtet enligt EG-direktivet har redan utnyttjats fullt ut. Det finns inte skäl för att göra undantag från personuppgiftslagen för sådant som faller utanför gemenskapsrätten.

Enligt utredningsdirektiven skall utredningen särskilt se över möjligheten till undantag för sådan behandling av personuppgifter inom den privata sfären som – till sin natur – faller utanför gemenskapsrätten och därmed inte omfattas av EG-direktivet. I EG- direktivet finns det två bestämmelser om vad som faller utanför

85Prop. 1997/98:44 s. 53 f. och 118.

86I den tyska genomförandelagstiftningen – Bundesdatenschutzgesetz – finns det dock direkta hänvisningar till sådant som faller eller inte faller utanför gemenskapsrätten.

87Ot prp nr 92 (1998-99) s. 105.

159

EG-direktivet som kan ha betydelse i det sammanhanget. Enligt dessa gäller EG-direktivet inte för dels (1) sådan behandling av personuppgifter av en fysisk person som (utgör) ett led i verksamhet av rent privat natur eller som har samband med hans hushåll, dels

(2) sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten.

I personuppgiftslagen har den första bestämmelsen (om rent privat behandling) redan genomförts fullt ut (6 §), medan den andra bestämmelsen (om det som inte omfattas av gemenskapsrätten) inte genomförts. Det undantag för rent privat behandling av personuppgifter som är tillåtet att göra enligt EG-direktivet (artikel 3.2 andra strecksatsen) har redan utnyttjats fullt ut i personuppgiftslagen. Den rent privata behandling som avses i bestämmelsen omfattas således inte av personuppgiftslagen (eller EG-direktivet) oavsett om behandlingen utgör ett led i en verksamhet som omfattas av gemenskapsrätten eller inte. Något mer att göra i formellt hänseende i den delen för att undanta det som faller inom den privata sfären finns alltså inte. Utredningen anser vidare att det inte finns tillräcklig anledning att – i syfte att förtydliga – ändra eller komplettera lagtexten i 6 § personuppgiftslagen (se också det som sägs i avsnitt 14.2.3).

Vad som kan anses vara verksamhet av rent privat natur har varit föremål för olika uppfattningar. Enligt en uppfattning kan det inte vara fråga om privat behandling när uppgifterna sprids till ett obestämt antal personer, t.ex. via en hemsida på Internet. Som redovisats i avsnitt 8.2.2 har det varit t.ex. rådets och kommissionens uppfattning, och synsättet har återspeglats även i avgöranden i svensk domstol (se avsnitt 5.2.1). Enligt en annan uppfattning är det uppgifternas karaktär, eller möjligen syftet med deras användning, som är avgörande. Det skulle då principiellt sakna betydelse hur och till vilka uppgifterna sprids. Ett sådant synsätt tycks ha anammats i Norge (se avsnitt 8.5). EG-domstolens dom den 6 november 2003 i det s.k. konfirmandlärarmålet har numera visat att det förstnämnda synsättet är det riktiga (se avsnitt 8.2.2).

Tankegången i utredningsdirektiven verkar vara att det kan finnas sådan behandling av personuppgifter inom den privata sfären som inte faller utanför EG-direktivet på grund av bestämmelsen om rent privat behandling, men som faller utanför EG-direktivet på grund av bestämmelsen om det som inte omfattas av gemenskapsrätten.

Artikel 3.2 första strecksatsen i EG-direktivet har följande lydelse:

160

”Detta direktiv gäller inte för sådan behandling av personuppgifter som

– utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område”

Den naturliga läsningen är att all behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten är undantagen från EG-direktivet. EG-domstolen har emellertid i domen den 6 november 2003 i det s.k. konfirmandlärarmålet kommit fram till att de verksamheter som nämns såsom exempel i artikel 3.2 första strecksatsen i EG-direktivet är avsedda att definiera räckvidden av det där föreskrivna undantaget (punkt 44). Domstolens slutsats blev därför att undantaget bara är tillämpligt på sådan verksamhet som uttryckligen nämns där eller som kan placeras i samma kategori. EG-direktivet kan alltså vara tillämpligt på en behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, nämligen om verksamheten inte är sådan som avses i avdelning V och VI i Unionsfördraget och om behandlingen inte heller rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område.

I artikel 3.2 första strecksatsen i EG-direktivet nämns som exempel två olika kategorier: ”Verksamhetsfallet” (behandling av personuppgifter som utgör ett led i en verksamhet som avses i avdelning V och VI i Unionsfördraget) och ”behandlingsfallet” (behandling av personuppgifter som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område). ”Verksamhetsfallet” avser sådant som definitionsmässigt inte utgör gemenskapsrätt, nämligen det samarbete mellan medlemsstaterna av i grunden mellanstatlig karaktär som äger rum inom vad som vanligen kallas för andra och tredje pelaren. Man kan då, mot bakgrund av det uttryckssätt som valts i ingresspunkt 13 (se avsnitt 8.2.1), fråga sig om den behandling som avses i ”behandlingsfallet” är undantagen bara om den utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten; en behandling som rör t.ex. allmän säkerhet kan ju mycket väl utgöra ett led i en verksamhet som faller

161

under den första pelaren, t.ex. i samband med tillämpningen av reglerna om personers fria rörlighet. EG-domstolens uttalanden i domen den 20 maj 2003 (punkt 45) i målen från österrikiska domstolar (mål C-465/00 och C-138/01 och 139/01) ger dock ett klart stöd för att den behandling som avses i ”behandlingsfallet” är undantagen oavsett om den utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten. Domstolen uttalade nämligen först att den i målen aktuella verksamheten inte skedde som ett led i en verksamhet som inte omfattas av gemenskapsrätten. Sedan konstaterade domstolen att det inte heller var fråga om en behandling som rör allmän säkerhet osv.88 Den naturliga läsningen av bestämmelsen är vidare enligt utredningens mening att den behandling som avses i ”behandlingsfallet” är undantagen oavsett om den utgör ett led i en verksamhet som avses i avdelning V och VI i Unionsfördraget; det anges ju uttryckligen i artikeln att EG-direktivet inte under några omständigheter gäller för sådana behandlingar som avses i ”behandlingsfallet”.

EG-direktivet gäller alltså inte för behandling av personuppgifter som antingen

a)utgör ett led i den verksamhet som avses i avdelning V och VI i Unionsfördraget, eller

b)rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område.

När det gäller den nu i första hand aktuella frågan om i vilken utsträckning behandling av personuppgifter inom den privata sfären kan anses falla utanför EG-direktivet har EG-domstolen i domen den 6 november 2003 i det s.k. konfirmandlärarmålet (punkt 43) konstaterat att den verksamhet som avses i såväl ”verksamhetsfallet” som ”behandlingsfallet” inte har någonting med enskildas verksamhetsområden att göra utan i samtliga fall är statens eller statliga myndigheters verksamhet (se direkt citat i avsnitt 8.2.1).

Undantaget i artikel 3.2 första strecksatsen i EG-direktivet gäller alltså bara behandling av personuppgifter som antingen utgör ett led i en verksamhet som avses i avdelning V och VI i Unionsfördraget eller rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband

88 Punkt 45. Se direkt citat ur domen i avsnitt 8.2.1.

162

med frågor om statens säkerhet) och statens verksamhet på straffrättens område, vilken behandling inte har någonting med enskildas verksamhetsområden att göra.

Mot den bakgrunden förefaller det uteslutet att någon behandling av personuppgifter inom den privata sfären skulle kunna falla utanför EG-direktivet på grund av bestämmelsen i artikel 3.2 första strecksatsen, såsom EG-domstolen uppfattat den bestämmelsen. Utredningens slutsats är att det inte finns något utrymme enligt EG-direktivet för att göra ett undantag för behandling av personuppgifter inom den privata sfären utöver det som redan finns i 6 § personuppgiftslagen.

När det sedan gäller den mer vittsyftande frågan om något annat, som faller under undantaget i artikel 3.2 första strecksatsen i EG- direktivet om det som inte omfattas av gemenskapsrätten, bör helt eller delvis undantas från tillämpningsområdet för personuppgiftslagen kan följande sägas.

Vid införandet av personuppgiftslagen ansågs det att det traditionella svenska systemet med en generell skyddslagstiftning och nödvändiga särregler och undantag i särskilda författningar var att föredra framför undantag i den generella lagstiftningen (personuppgiftslagen). Utredningen anser att de skäl som anfördes för den bedömningen – se avsnitt 8.4.1 – alltjämt har bärkraft. Härtill kommer att ett sådant system verkar vara det som åtminstone i princip använts vid genomförandet av EG-direktivet i många andra medlemsstater. Ett stort arbete har också lagts ned efter personuppgiftslagen på att utarbeta särskilda registerförfattningar.

Härtill kommer att det är svårt att på något mer konkret sätt ange vad som vid en given tidpunkt faller utanför gemenskapsrätten och att gränserna för gemenskapsrätten är föränderliga. Eftersom EG-direktivet i sig självt är en del av gemenskapsrätten, kan det definitionsmässigt bara reglera sådant som omfattas av gemenskapsrätten. Men EG-domstolens hittillsvarande rättspraxis om tolkningen av EG-direktivet visar det är svårt att finna någon hållpunkt för att avskära något från EG-direktivets tillämpningsområde. I de två mål som prövats av EG-domstolen kom generaladvokaten i sina förslag till avgöranden till slutsatsen att de i målen aktuella förfarandena inte omfattades av EG-direktivet, men EG- domstolen gjorde motsatt bedömning.

Utredningens slutsats är därför att det inte finns skäl att göra något undantag från personuppgiftslagen för sådant som avses i artikel 3.2 första strecksatsen.

163

9 Undantag enligt artikel 13

9.1Utredningsdirektiven

Enligt utredningsdirektiven skall utredningen överväga om de undantagsmöjligheter för bl.a. säkerhet och brottsundersökning m.m. som finns enligt artikel 13 i EG-direktivet bör tas in direkt i personuppgiftslagen.

9.2EG-direktivet

I artikel 13.1 i EG-direktivet finns det bestämmelser om att medlemsstaterna genom lagstiftning får begränsa omfattningen av vissa skyldigheter och rättigheter som följer av EG-direktivet. Det gäller de skyldigheter och rättigheter som anges i artikel 6.1, 10, 11.1, 12 och 21, dvs.

•de grundläggande kraven på behandlingen av personuppgifter (artikel 6.1, som motsvaras av 9 § personuppgiftslagen)

•skyldigheten att informera den registrerade (artikel 10 och 11.1, som motsvaras av 23–25 §§ personuppgiftslagen)

•rätten att på begäran få tillgång till uppgifterna och rättelse (artikel 12, som motsvaras av 26 och 28 §§ samt 29 § andra stycket personuppgiftslagen)

•reglerna om ett offentligt register över anmälda behandlingar och skyldigheten att hålla information om andra behandlingar tillgänglig (artikel 21, som motsvaras av 42 § personuppgiftslagen och 7 § personuppgiftsförordningen)

En sådan begränsning måste vara en nödvändig åtgärd med hänsyn till

a) statens säkerhet,

b)försvaret,

c)allmän säkerhet,

d)förebyggande, undersökning, avslöjande av brott eller åtal för brott eller av överträdelser av etiska regler som gäller för lagreglerade yrken,

e)ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller hos Europeiska unionen, inklusive monetära frågor, budgetfrågor och skattefrågor,

f)en tillsyns-, inspektions- eller regleringsfunktion som, även om den är av övergående karaktär, är förbunden med myndighetsutövning i de under punkterna c), d) och e) nämnda fallen,

g)skydd av den registrerades eller andras fri- och rättigheter.

En del av de intressen som sålunda nämns i artikeln torde avse sådan verksamhet som faller utanför gemenskapsrätten och därmed inte omfattas av EG-direktivet (jämför avsnitt 8). Personuppgifter som behandlas i verksamheter som omfattas av gemenskapsrätten och därmed av EG-direktivet kan dock t.ex. behöva lämnas ut för att användas i verksamhet som faller utanför gemenskapsrätten. Artikel 13.1 ger i detta fall stöd för att begränsa användningen av vissa bestämmelser i EG-direktivet för de verksamheter som i och för sig omfattas av EG-direktivet i syfte att underlätta för verksamhet som inte omfattas av gemenskapsrätten.

Av mötesprotokollet (bilaga 4) framgår att rådet och kommissionen anser att sådana rättigheter som att utföra behandling av personuppgifter inte avses med hänvisningen till andras fri- och rättigheter i artikel 13.1 g.

I ingresspunkt 44 framhålls att medlemsstaterna för att uppfylla vissa av målsättningarna kan tvingas att avvika från vissa bestämmelser i direktivet på grund av bestämmelser i gemenskapsrätten. Som exempel på en begränsning med hänsyn till intresset hos den registrerade eller andras fri- och rättigheter (punkt g ovan) anges i ingresspunkt 42 att det kan beslutas att den registrerade har rätt att få tillgång till uppgifter av medicinsk art bara genom förmedling av någon som är yrkesmässigt verksam inom hälso- och sjukvården.

I kommissionens förklaring89 anges bestämmelser om övervakning av banker och om penningtvätt som exempel på fall då medlemsstaterna på grund av gemenskapsrätten kan vara tvungna att föreskriva begränsningar. Begreppet statens säkerhet omfattar skydd

89 SOU 1993:10 Bilagor s. 183 f.

166

av den nationella suveräniteten mot såväl interna som externa hot. Bestämmelsen om ekonomiska eller finansiella intressen hänför sig till alla åtgärder inom den ekonomiska politiken och åtgärder för att finansiera medlemsstaternas eller Europeiska unionens politik, såsom kontroll vid valutaväxling, kontroll av utrikeshandel och uppbörd av skatt. När det gäller skyddet av fri- och rättigheter talas det om företagshemligheter, reglerna om den sekretess under vilken advokater och utövare av sjukvård arbetar, rätten att förbereda sig inför en rättegång samt mänskliga rättigheter. Det talas vidare om begränsningar av rätten till tillgång till uppgifter som människorättsorganisationer innehar i de fall där en obegränsad tillgång skulle kunna utsätta andra för fara – t.ex. de personer som i förtroende har lämnat uppgifterna – eller riskera de överordnade intressen som finns hos sådana organisationer.

Regeringen och Lagrådet har ansett att det är osäkert om yttrandefriheten omfattas av de fri- och rättigheter som avses i artikel 13.1 g, eftersom det finns ett särskilt undantag för yttrandefriheten i artikel 9.90

Regeringen har vidare ansett att rätten för var och en att med stöd av den grundlagsfästa offentlighetsprincipen få ta del av allmänna handlingar som inte är sekretessbelagda är en sådan rättighet som kan göra det befogat med undantag enligt artikel 13.1 g.91

9.3Europarådets dataskyddskonvention

Europarådets dataskyddskonvention har presenterats i avsnitt 4.2.2 och bilaga 5. Enligt artikel 9 i konventionen får avvikelser göras från vissa viktiga bestämmelser i konventionen. För sådana avvikelser krävs dock

•att avvikelserna har stöd i nationell lagstiftning, och

•att de utgör en nödvändig åtgärd i ett demokratiskt samhälle för att

•skydda statens säkerhet, allmän säkerhet, statens monetära intressen, eller

•undertrycka brottsliga åtgärder, eller

90Prop. 1997/98:44 s. 49 och 236. Se också SOU 2001:28 s. 273.

91Prop. 1997/98:44 s. 45.

167

•skydda den registrerade eller andra personers fri- och rättigheter.92

Vissa avvikelser får också göras i fråga om personregister för statistikändamål eller vetenskapliga forskningsändamål.

9.4Personuppgiftslagen

Något generellt undantag som motsvarar det som är tillåtet att göra enligt artikel 13 i EG-direktivet har inte tagits in i personuppgiftslagen, och frågan om att ta in ett sådant undantag har inte heller diskuterats i förarbetena. Däremot har artikel 13 åberopats som grund för att ta in ett par specifika undantag eller motsvarande i lagen. Det gäller dels definitionen av blockering, dels undantag från skyldigheten att lämna registrerade information.

Enligt artikel 12 b i EG-direktivet skall den registrerade i vissa fall ha rätt att få uppgifter blockerade. Blockering har ansetts innebära att de blockerade uppgifterna inte skall lämnas ut till tredje man. Genom definitionen av begreppet blockering i 3 § personuppgiftslagen har det i praktiken införts ett undantag för sådant utlämnande av blockerade uppgifter som sker med stöd av offentlighetsprincipen i 2 kap. tryckfrihetsförordningen. Som stöd för detta undantag har artikel 13.1 g åberopats.93

Enligt artikel 12 a i EG-direktivet skall en registrerad ha rätt att få begriplig information om vilka uppgifter som behandlas (ett s.k. registerutdrag). Enligt 26 § tredje stycket personuppgiftslagen gäller dock undantag för personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Att under en rimlig tid få ha sina ofärdiga alster och minnesanteckningar i fred kan nämligen enligt regeringen anses som en sådan fri- och rättighet som enligt artikel 13.1 i EG-direktivet berättigar till en begränsning av informationsskyldigheten.94

92På engelska ”Derogation from the provisions of Articles 5, 6 and 8 of this convention shall be allowed when such derogation is provided for by the law of the Party and constitutes a necessary measure in a democratic society in the interest of: a. protecting State security, public safety, the monetary interests of the State or the suppression of criminal offences; b. protecting the data subject or the rights and freedoms of others.”

93Prop. 1997/98:44 s. 47.

94Prop. 1997/98:44 s. 83.

168

Enligt artikel 10 och 11 i EG-direktivet skall viss information också lämnas självmant till de registrerade. Enligt 27 § personuppgiftslagen gäller dock vissa undantag från den informationsskyldigheten och från rätten till registerutdrag vid sekretess och tystnadsplikt, varvid anmärkts att undantag får göras enligt artikel 13 i EG- direktivet med hänsyn till skyddet av den registrerades eller andras fri- och rättigheter.95 Undantag gäller i den utsträckning det är särskilt föreskrivet att uppgifter inte får lämnas ut till den registrerade. Därvid får en personuppgiftsansvarig som inte är myndighet i motsvarande fall som avses i sekretesslagen (1980:100) vägra lämna ut uppgifter till den registrerade.

9.5Genomförandet i andra länder

Det vanliga verkar vara att medlemsstaterna i sin genomförandelagstiftning har tagit in bestämmelser om undantag från informationsskyldighet som mer eller mindre motsvarar de fall som räknas upp i artikel 13 i EG-direktivet. Ibland krävs det – såsom i Grekland och Portugal – att den personuppgiftsansvarige har ett tillstånd från dataskyddsmyndigheten för att låta bli att lämna information. Det är mera ovanligt att ett generellt undantag från de grundläggande kraven för behandling av personuppgifter eller rättelseskyldigheten har gjorts i genomförandelagstiftningen för de fall som räknas upp i artikel 13. Storbritannien och Nederländerna verkar ha ganska generella undantag.

9.6Överväganden och förslag

Utredningens förslag: Regeringen och den myndighet som regeringen bestämmer bemyndigas att meddela föreskrifter eller beslut i enskilda fall om sådana undantag som är tillåtna enligt artikel 13.1 i EG-direktivet.

Artikel 13.1 i EG-direktivet ger i stora drag möjlighet till undantag från vissa bestämmelser när det är nödvändigt med hänsyn till fullgörandet av viktiga samhälls- eller myndighetsfunktioner (punkt a– f). Dessutom finns det enligt artikel 13.1 möjlighet att göra undan-

95 Prop. 1997/98:44 s. 84 f.

169

tag enligt en mycket generell bestämmelse om skyddet av fri- och rättigheter (punkt g).

Enligt utredningens mening är bestämmelserna om undantag från viktiga integritetsskyddsregler i artikel 13.1 alltför generella och vaga för att lämpligen kunna direkt tas in i personuppgiftslagen. Att låta alla personuppgiftsansvariga med ledning av bara de generella bestämmelserna i artikel 13.1 själva bedöma om det är befogat med ett undantag i ett konkret fall, skulle kunna leda till rättsosäkerhet och risk för integritetskränkningar. Det skulle å andra sidan också kunna leda till att personuppgiftsansvariga, t.ex. av rädsla för att göra fel, inte utnyttjar de generella undantagsbestämmelserna i tillräcklig utsträckning för att viktiga samhälls- och myndighetsfunktioner och skyddet för fri- och rättigheter skall fungera tillfredsställande. Det är därför bättre för både integritetsskyddet och skyddet av de intressen som avses i artikel 13.1 med mera preciserade regler än att låta personuppgiftsansvariga själva på ett riktigt sätt försöka tillämpa de generella regler som finns i den artikeln.

Om det verkligen är nödvändigt för att viktiga samhälls- och myndighetsfunktioner skall fungera eller för skyddet för fri- och rättigheter att vissa regler i personuppgiftslagen inte tillämpas, bör det vidare normalt inte vara upp till varje personuppgiftsansvarig att bedöma om så skall ske. Utredningen anser därför att sådana undantag som är tillåtna enligt artikel 13.1 normalt bör utformas som skyldigheter för personuppgiftsansvariga och inte som regler som bara ger denne möjlighet att, om han eller hon så skulle önska, göra undantag. Att i någon större utsträckning ta in bestämmelser i personuppgiftslagen om sådana skyldigheter, som grundar sig på andra intressen än integritetsskyddet, skulle strida mot systematiken i och syftet med personuppgiftslagen. Syftet med den lagen är ju att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter (1 §).

I särlagstiftning med bestämmelser som avviker från personuppgiftslagen (se 2 §) kan det alltid på speciella områden tas in preciserade bestämmelser med undantag som baserar sig på artikel 13.1. Det kan t.ex. gälla bestämmelser om uppgiftsskyldighet till myndigheter som skall gälla oavsett vilket ändamål den personuppgiftsansvarige ursprungligen bestämt för sin behandling av personuppgifterna och oavsett den s.k. finalitetsprincipen i 9 § första stycket d personuppgiftslagen.

De samhälls- och myndighetsfunktioner som avses i artikel 13.1 är normalt författningsreglerade, och även beträffande skyddet av

170

fri- och rättigheter finns det ofta lagstiftning. Utredningen anser att det är bäst att mer konkreta bestämmelser som grundar sig på möjligheterna till undantag enligt artikel 13.1 tas in i sådana författningar. Det ger den bästa garantin för en välgrundad och rimlig avvägning i den aktuella situationen mellan integritetsskyddet och andra intressen. Det framstår också som ogörligt att inom utredningens ram framleta och analysera alla konkreta intressen och situationer som gör det befogat med särregler som grundar sig på artikel 13.1.

Utredningen anser således att den nuvarande lagstiftningssystematiken – där undantagsbestämmelser som stöder sig på artikel 13.1 normalt finns inte i personuppgiftslagen utan i särlagstiftning med avvikande bestämmelser – är ändamålsenlig och bör bestå.

Vad som kan behövas i personuppgiftslagen är däremot ett slags säkerhetsventil som t.ex. i brådskande fall ger möjlighet att tillskapa befogade undantag baserade på artikel 13.1. Det kan nämligen hända att det upptäcks fall, som är svåra att överblicka på förhand, där det är befogat att personuppgiftsansvariga får göra undantag i en viss situation eller där någon personuppgiftsansvarig upptäcker att det i ett enskilt fall behövs ett undantag för att t.ex. skydda någons fri- och rättigheter. För dessa fall kan det behövas en möjlighet enligt personuppgiftslagen att tillåta undantag, t.ex. i avvaktan på att särlagstiftning hinner utarbetas eller ändras. Utredningen föreslår därför att regeringen uttryckligen bemyndigas att meddela generella föreskrifter eller beslut i enskilda fall om sådana undantag som är tillåtna enligt artikel 13.1 i EG-direktivet. Bemyndigandet bör också omfatta en möjlighet för regeringen att genom vidare delegation bestämma att en myndighet – utredningen tänker här i första hand på Datainspektionen – får meddela sådana föreskrifter och beslut, varvid det givetvis bör övervägas om sådan vidare delegation till myndighet är lämplig.

Kravet enligt Europakonventionen, Europarådets dataskyddskonvention och EG-direktivet på lagstiftning för avvikelser får anses uppfyllt genom det föreslagna bemyndigandet, även om det är fråga om just ett lagfäst bemyndigande som ger regeringen eller underlydande myndighet möjlighet att inom vissa ramar meddela föreskrifter och beslut i enskilda fall om undantag.

Frågan om det med hänsyn till regeringsformen är möjligt att ge sådana normgivningsbemyndiganden för regeringen och underlydande myndigheter på personuppgiftslagens område har varit om-

171

diskuterad.96 Såväl regeringen som riksdagen har dock – till skillnad från Lagrådet – ansett att bestämmelserna i personuppgiftslagen är sådana i grunden offentligrättsliga föreskrifter som gör det möjligt med normgivningsbemyndiganden, och regeringsformen har till och med ändrats i enlighet med den bedömningen. Utredningen ser inte anledning att göra någon annan bedömning, utan finner att även det föreslagna, ytterligare bemyndigandet i personuppgiftslagen är förenligt med regeringsformen.

96 Se prop. 1997/98:44 s. 58 ff. och 237 ff. samt KU 1997/98:18 s. 41 ff.

172

10Enskildas behandling av personuppgifter om lagöverträdelser

10.1Utredningsdirektiven

Enligt utredningsdirektiven skall utredningen analysera om möjligheten enligt artikel 8.5 i EG-direktivet att tillåta att andra än myndigheter behandlar personuppgifter om lagöverträdelser m.m. bör utnyttjas genom uttryckliga bestämmelser direkt i personuppgiftslagen. Utredningen skall särskilt överväga om den registrerades samtycke bör göra behandling av personuppgifter om lagöverträdelser m.m. tillåten. Därvid skall utredningen beakta behovet av skydd för den registrerade i de fall där den enskilde kan befinna sig i ett underläge såsom bl.a. vid upptagande av kredit och sökande av anställning.

10.2EG-direktivet

I artikel 8.5 i EG-direktivet finns det särskilda regler rörande behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder. Behandling av personuppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de avvikelser som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet. Det är tillåtet för medlemsstaterna att föreskriva att

uppgifter som rör ”administrativa sanktioner” eller avgöranden i tvistemål också skall behandlas under kontroll av en myndighet.

De nationella bestämmelser som medlemsstaterna beslutar enligt artikel 8.5 i EG-direktivet torde – enligt artikel 8.6 – behöva anmälas till kommissionen.

Det har ansetts att artikel 8.5 i EG-direktivet innebär att det får finnas nationella bestämmelser som tillåter enskilda att utan myndighetskontroll behandla personuppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder (så länge det inte är fråga om ett fullständigt register över brottmålsdomar) under förutsättning att det också finns bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Även när det finns nationella bestämmelser som tillåter enskilda att behandla personuppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder, måste behandlingen följa övriga bestämmelser i EG-direktivet, t.ex. om när behandling av personuppgifter över huvud taget är tillåten (artikel 7) och om när personuppgifter får överföras till tredje land (artikel 25 och 26).

10.3Andra internationella regler

10.3.1Europarådets dataskyddskonvention

Europarådets dataskyddskonvention har presenterats i avsnitt 4.2.2 och bilaga 5. Enligt artikel 6 i konventionen får personuppgifter som hänför sig till att någon dömts för brott97 inte undergå automatisk databehandling, såvida inte nationell lag ger ett ändamålsenligt skydd98.

97På engelska ”personal data relating to criminal convictions”. I förklaringen till rekommendationen (Explanatory Memorandum) anges (punkt 47): ”By ‘criminal convictions’ in the sense of this article should be understood: convictions based on criminal law and in the framework of a criminal procedure.”

98På engelska ”unless domestic law provides appropriate safeguards”.

174

10.3.2Europarådets rekommendationer

Till Europarådets dataskyddskonvention anknyter en rad oförbindande rekommendationer. Ett par av dessa berör särskilt behandling av personuppgifter om att någon dömts för brott.

I Europarådets rekommendation R (90) 19 om behandling av personuppgifter för betalning99 finns det en bestämmelse (punkt 3.8) om att behandling av personuppgifter som hänför sig till att någon dömts för brott bara får ske när uppgifterna är av sådan natur att de är klart befogade att använda för att avgöra om individen är lämplig för att motta eller fortsätta att använda ett betalningsmedel och under förutsättning att individen har lämnat sitt uttryckliga och informerade samtycke eller att behandlingen sker i enlighet med skyddsåtgärder som är föreskrivna i nationell lag.100

I Europarådets rekommendation R (89) 2 om skydd för personuppgifter som används för ändamål som rör anställning101 finns det en bestämmelse (punkt 10.1) om att sådana personuppgifter bara bör samlas in och lagras i särskilda fall inom de gränser som sätts av nationell lag och i enlighet med de ändamålsenliga skyddsåtgärder som finns i den lagstiftningen. Saknas sådana skyddsåtgärder, bör sådana uppgifter bara samlas in och lagras med arbetstagarnas uttryckliga och informerade samtycke.102

10.3.3ILO:s riktlinjer

I Internationella arbetsorganisationens (ILO:s) oförbindande riktlinjer 1996 om skydd för arbetares personuppgifter finns det en bestämmelse (punkt 6.5) om att en arbetsgivare inte bör samla in personuppgifter om att en arbetare dömts för brott. Under excep-

99Recommendation No. R (90) 19 on the protection of personal data used for payment and other related operations.

100På engelska ”The processing of personal data relating to the criminal convictions of an individual should only be carried out where the data are of such a nature that they are clearly justified for determining the suitability of that individual for receipt or continued use of a means of payment, and provided the individual has given his express and informed consent or the processing is in accordance with safeguards laid down by domestic law.”

101Recommendation R (89) 2 on the protection of personal data used for employment purposes.

102På engelska ”Personal data relating to […] criminal convictions […], should only be collected and stored in particular cases within the limits laid down by domestic law and in accordance with appropriate safeguards provided therein. In the absence of such safeguards, such data should only be collected and stored with the express and informed consent of the employees.”

175

tionella omständigheter får en arbetsgivare dock samla in sådana uppgifter, om uppgifterna är direkt relevanta för ett beslut som rör anställning och i enlighet med nationell lagstiftning.103

10.4Det svenska genomförandet

10.4.1Personuppgiftslagen

I 21 § första stycket personuppgiftslagen har det tagits in ett principiellt förbud för andra än myndigheter104 att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (i det följande personuppgifter om lagöverträdelser). Från det förbudet för enskilda, dvs. andra än myndigheter, kan enligt andra och tredje styckena i paragrafen göras undantag genom antingen generella föreskrifter eller beslut i enskilda fall, beslutade av regeringen eller, efter vidare delegation, av myndighet.

Förbudet kan däremot inte upphävas med den registrerades samtycke. Ett samtycke till en viss behandling eller till och med ett samtycke till att för visst ändamål behandla just personuppgifter om lagöverträdelser berättigar således inte enskilda att behandla sådana personuppgifter.

Att behandla personuppgifter i strid med 21 § personuppgiftslagen är straffbart, se 49 § första stycket b105, och kan föranleda skadeståndsansvar, se 48 §, och ingripanden från Datainspektionen.

I förarbetena106 anfördes att personuppgifter om lagöverträdelser otvivelaktigt är av så känslig natur att vem som helst inte bör få hantera uppgifterna hur som helst. Det stod dock klart att myndigheter ofta behöver hantera just sådana uppgifter för att kunna fullgöra de samhällsuppdrag som lagts på dem. I vilken utsträckning myndigheter får hantera sådana uppgifter framgår av de föreskrifter

103På engelska ”In exceptional circumstances, an employer may collect [such data], if the data are directly relevant to an employment decision and in conformity with national Legislation.” Jämför också punkt 6.8 om möjligheten för arbetaren att lämna felaktiga eller ofullständiga svar på frågor om bl.a. brottmålsdomar.

104Uttrycket ”myndighet” är avsett att ha samma innebörd som motsvarande uttryck i artikel 8.5 första stycket i EG-direktivet, se prop. 1997/98:44 s. 129.

105I Helsingborgs tingsrätts dom 2001-01-31 I mål nr B 3915-00 har en person dömts till dagsböter för bl.a. detta, se avsnitt 5.2.1.

106Prop. 1997/98:44 s. 75 f.

176

som reglerar respektive myndighets verksamhet. Det ansågs därför ändamålsenligt att i personuppgiftslagen ta in en grundläggande bestämmelse om att det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser. Eftersom det kan finnas fall där det är befogat att enskilda behandlar sådana uppgifter, kompletterades bestämmelsen med ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om undantag från förbudet och medge dispens i enskilda fall. Det antecknades därvid att Datalagskommittén som exempel på fall där det kan vara befogat med undantag nämnt den behandling av uppgifter om t.ex. brottmålsdomar som privata vård- och behandlingshem kan behöva utföra för att vårda och behandla den dömde på ett effektivt sätt och viss registrering för försäkringsbolagens kravhantering.107

Riksdagen har behandlat en motion med förslag om att personuppgifter om lagöverträdelser skall få behandlas om kravet på samtycke är uppfyllt.108 I motionen påtalades att den som dömts för brott och anser sig oskyldigt dömd inte hade någon möjlighet att lägga fram sin sak för offentligheten via Internet. Med anledning av motionen anförde konstitutionsutskottet följande:109

”Utskottet vill framhålla att i den rätt till skydd för privatlivet som direktivet särskilt tar sikte på ingår en allmän rätt att lämnas i fred när det gäller den privata sfären (jfr SOU 1993:40, del B s. 58). Med en sådan utgångspunkt för direktivets tillämpningsområde får det enligt utskottets mening anses främmande att direktivet samtidigt skulle syfta till att reglera den enskildes rätt att behandla uppgifter om sig själv. Om direktivet hade ett sådant syfte, skulle det vidare innebära en inskränkning i andra grundläggande fri- och rättigheter som det […] avser att skydda. Utskottet vill därutöver framhålla att begreppen ’den registeransvarige’, ’den registrerade’ respektive ’tredje man’ i direktivets bestämmelser, samt motsvarande begrepp i personuppgiftslagen, uppenbarligen tar sikte på skilda objekt.

Mot bakgrund av det anförda uppfattar utskottet gällande rätt så att frånvaron av en samtyckesbestämmelse i 21 § personuppgiftslagen inte förhindrar en enskild att behandla sådana uppgifter som avses i lagrummet och som utgör uppgifter om den enskilde själv. Någon lagändring behövs därför inte. Motionen avstyrks.”

107SOU 1997:39 s. 379 f.

108Motion 2000/01:K270.

109KU 2000/01:19 s. 16.

177

Frågan om människorättsorganisationers behandling av personuppgifter om lagöverträdelser har berörts i en skriftlig fråga i riksdagen.110 Jämför i fråga om försvarares behandling av personuppgifter om lagöverträdelser vid tillgång till digitala förundersökningar Lars Heuman i JT 2002-03 s. 735–739 och JT 2003-04 s. 246–250 samt det beslut från Datainspektionen som refereras i avsnitt 10.4.2.

10.4.2Datainspektionens undantagsmöjligheter

Enligt 9 § personuppgiftsförordningen har regeringen bemyndigat Datainspektionen att meddela dels föreskrifter om undantag från förbudet i 21 § personuppgiftslagen, dels beslut i enskilda fall om sådana undantag.

Datainspektionen har med stöd av bemyndigandet meddelat en generell föreskrift (DIFS 1998:3) om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m. Inspektionen har därvid föreskrivit att personuppgifter om lagöverträdelser utan hinder av förbudet i 21 § personuppgiftslagen får behandlas om

a)behandlingen är nödvändig för att fullgöra en föreskrift på socialtjänstområdet (se numera 7 § lagen [2001:454] om behandling av personuppgifter inom socialtjänsten, som berörs i avsnitt 10.4.3),

b)behandlingen avser uppgift i anteckningar som förs i fristående skolors elevvårdande verksamhet eller i motsvarande verksamhet hos enskilda anordnare av högskoleutbildning,

c)behandlingen är nödvändig för kontroll av att jävssituation inte föreligger i advokatverksamhet eller annan juridisk verksamhet,

d)behandlingen avser endast enstaka uppgift som är nödvändig för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras i ett enskilt fall, eller

e)behandlingen avser endast enstaka uppgift som är nödvändig för att anmälningsskyldighet enligt lag skall kunna fullgöras.

Datainspektionen har hittills inte beslutat om undantag i något enskilt fall. En ansökan om undantag har inkommit, men avvisats (beslut 2003-05-12 i dnr 757-2003).111 Ett par offentliga försvarare i ett

110Fråga 2001/02:316.

111Se om beslutet Lars Heuman i JT 2003-04 s. 246–250.

178

114 vittnesförhör, ansökte om undantag för att få tillgång till förundersökningen i målet i digital form. Datainspektionen hänvisade i beslutet till undantaget när behandlingen avser endast enstaka uppgift som är nödvändig för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras i ett enskilt fall och angav:

”Syftet med undantaget […] är att göra det möjligt för bl.a. advokater att behandla personuppgifter om klienter som exempelvis är misstänkta för brott. Nödvändiga behandlingar av personuppgifter som exempelvis rör försvaret av klienten vid misstanke om brott omfattas av undantaget. Är det nödvändigt för försvaret av klienten är det även tillåtet att behandla uppgifter om eventuella medåtalade.

Er behandling av brottsuppgifter som har betydelse för att utföra ert uppdrag omfattas av undantaget […] och är därmed tillåten. Huruvida personuppgifterna som behandlas samlas in från diskett, cd-romskiva eller från papper saknar betydelse vid tillämpningen av denna undantagsbestämmelse. En förutsättning för att behandlingen skall vara laglig är emellertid att endast nödvändiga och relevanta uppgifter samlas in t.ex. från en cd-romskiva som innehåller förundersökningen.

Med hänsyn till ovanstående anser Datainspektionen att det inte behövs något särskilt beslut om undantag från 21 § PuL. Ansökan skall därför avvisas.”

Enligt 6 § kreditupplysningslagen (1973:1173) får personuppgifter om lagöverträdelser inte utan medgivande av Datainspektionen behandlas i kreditupplysningsverksamhet. Ett sådant medgivande får lämnas endast om det finns synnerliga skäl.112 Datainspektionen har hittills inte lämnat något medgivande enligt den bestämmelsen.

10.4.3Andra författningar

Om det i en lag eller i en förordning finns bestämmelser som avviker från personuppgiftslagen, skall de bestämmelserna gälla (2 § personuppgiftslagen). Det kan således finnas bestämmelser i andra författningar som tar över förbudet i 21 § personuppgiftslagen och tillåter att enskilda behandlar personuppgifter om lagöverträdelser.

Bestämmelsen i 6 § kreditupplysningslagen (1973:1173) har redan nämnts i närmast föregående avsnitt. Bulvanutredningen har

112 Prop. 2000/01:50 s. 23 f.

179

föreslagit att kreditupplysningsföretag skall ges möjlighet att förmedla uppgifter om lagakraftvunna domar och godkända strafförelägganden avseende ekonomisk brottslighet.113

Enligt 7 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten får socialtjänsten behandla personuppgifter om lagöverträdelser om uppgifterna har lämnats i ett ärende eller är nödvändiga för verksamheten.114 Med socialtjänsten avses därvid (se 2 § i lagen):

1.verksamhet enligt lagstiftningen om socialtjänst och den särskilda lagstiftningen om vård utan samtycke av unga eller av missbrukare,

2.verksamhet som i annat fall enligt lag handhas av socialnämnd,

3.verksamhet som i övrigt bedrivs av Statens institutionsstyrelse,

4.verksamhet hos kommunal invandrarbyrå,

5.verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade,

6.handläggning av ärenden om bistånd som lämnas av socialnämnd enligt lagstiftning om mottagande av asylsökande m.fl.,

7.handläggning av ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar,

8.handläggning av ärenden om tillstånd till parkering för rörelsehindrade,

9.tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamhet som avses i 1–8.

Viss sådan verksamhet kan bedrivas av enskilda.

Enligt lagen (1999:163) om penningtvättsregister får bankföretag m.fl. föra s.k. penningtvättsregister med sådana uppgifter om omständigheter som kan tyda på penningtvätt som lämnats till polisen enligt lagen (1993:768) om åtgärder mot penningtvätt.115 Sådana företag får också föra register med sådana uppgifter som lämnats till polisen om omständigheter som kan tyda på att en transaktion avser tillgångar som är föremål för brott enligt lagen (2002:444) om straff för finansiering av särskilt allvarlig brottslighet i vissa fall, m.m.116

113SOU 1998:47, jämför prop. 2000/01:50 s. 24.

114Prop. 2000/01:80 s. 144 f.

115Prop. 1998/99:19 s. 53 ff.

116Prop. 2001/02:149 s. 52 ff.

180

Vissa enskilda arbetsgivare har i viss utsträckning enligt särskilda bestämmelser möjlighet117 eller skyldighet118 att kontrollera ett utdrag ur belastningsregistret före anställning eller annat anlitande inom vissa verksamheter. Dessa bestämmelser synes emellertid inte ge de enskilda arbetsgivarna möjlighet att behandla de erhållna personuppgifterna om lagöverträdelser på ett sätt som omfattas av personuppgiftslagen.

Integritetsutredningen har föreslagit att enskilda arbetsgivare skall få behandla personuppgifter om lagöverträdelser avseende arbetstagare och arbetssökande, om behandlingen är nödvändig för att bedöma arbetstagarens eller arbetssökandens tillförlitlighet med hänsyn till säkerheten för det allmänna eller för arbetsgivarens verksamhet. Den föreslagna bestämmelsen utgör emellertid inte något avsteg från 21 § personuppgiftslagen utan tar sikte på sådan manuell dokumenterad behandling av personuppgifter som inte omfattas av personuppgiftslagen.119

10.5Genomförandet i andra länder

I Danmark, Finland, Norge, Storbritannien, Grekland och Nederländerna kan den registrerades uttryckliga samtycke göra det tillåtet att behandla personuppgifter om lagöverträdelser. I Grekland krävs dessutom ett tillstånd av tillsynsmyndigheten och att samtycket är skriftligt. Också i Italien och Portugal krävs det tillstånd av tillsynsmyndigheten för att enskilda skall få behandla sådana uppgifter utan stöd i särskild lagstiftning.

I Danmark och Österrike finns det bestämmelser om att enskilda kan få behandla personuppgifter om lagöverträdelser efter en intresseavvägning. I Portugal kan tillstånd till sådan behandling lämnas av tillsynsmyndigheten efter en intresseavvägning.

I Danmark, Finland, Norge, Storbritannien, Nederländerna och Grekland får enskilda behandla personuppgifter om lagöverträdelser under samma förutsättningar som känsliga personuppgifter. I Nederländerna får en personuppgiftsansvarig vidare behandla personuppgifter om lagöverträdelser för att bedöma en ansökan från

117Se 10 § lagen (1998:620) om belastningsregister och 21 § förordningen (1999:1134) om belastningsregister.

118Se lagen (2000:873) om registerkontroll av personal inom förskoleverksamhet, skola och skolbarnomsorg.

119SOU 2002:18, särskilt s. 203 ff.

181

den registrerade och för att skydda sina intressen om det finns anledning att anta att ett brott kan komma att begås mot den personuppgiftsansvarige eller sådana personer som arbetar för denne. I Belgien får personuppgifter om lagöverträdelser behandlas av enskilda bl.a. om det är nödvändigt för att uppfylla mål som har lagts fast i lagstiftning eller för att hantera egna rättsprocesser. I Belgien får vidare juridiska rådgivare behandla personuppgifter om lagöverträdelser om det är nödvändigt för att skydda deras klienters intressen.

10.6Överväganden

Utredningens bedömning: Några bestämmelser om undantag från förbudet för enskilda att behandla personuppgifter om lagöverträdelser bör inte föras in direkt i personuppgiftslagen, utan de möjligheter till undantag genom generella föreskrifter i andra författningar och genom beslut i enskilda fall som redan finns är tillräckliga.

Personuppgifter om lagöverträdelser upplevs av många människor som känsliga. Många skäms över och vill för omvärlden hemlighålla att de någon gång i livet t.ex. gjort sig skyldiga till brott, suttit i fängelse eller tvångsomhändertagits för missbruk. Sådana uppgifter om en person kan vidare påverka utomståendes uppfattning om personen. För rehabiliteringen av brottslingar är det viktigt att den som sonat sitt brott kan leva i samhället utan det stigma som uppgiften om den tidigare brottsligheten kan utgöra.

Det finns alltså goda skäl för en restriktiv reglering av när personuppgifter om lagöverträdelser får registreras och lagras. Samtidigt måste man komma ihåg att en lagstiftning som personuppgiftslagen har sina begränsningar. Personuppgiftslagen gäller i princip bara om man registrerar – eller avser att registrera – personuppgifter i datorformat eller i regelrätta manuella personregister. En tillämpning av lagen kan t.ex. förhindra att personuppgifter om lagöverträdelser på ett obefogat sätt lagras för framtida användning eller sprids med hjälp av datorer på Internet. Men i t.ex. många avtalssituationer kan personuppgiftslagen med sitt ändå begränsade tillämpningsområde inte ge ett fullgott skydd. Det beror på att den tilltänkta avtalsmotparten – den som överväger att anställa, lämna ett lån, hyra ut bostad, bil eller videofilm etc. – i dessa fall i praktiken inte behöver registrera någon

182

ken inte behöver registrera någon personuppgift om lagöverträdelser för att kunna sortera bort oönskade kontrahenter. Det räcker att den tilltänkta avtalsmotparten vid referenstagning får höra om uppgifterna eller att sökanden på begäran visar upp ett utdrag ur belastningsregistret eller lämnar upplysningar.

För att åstadkomma ett fullgott skydd och en rimlig avvägning mellan de intressen som gör sig gällande torde det krävas en särskild reglering för de olika avtalssituationerna och liknande. Något sådant ligger inte inom ramen för utredningsuppdraget. Vid kreditupplysning har behandling av personuppgifter om lagöverträdelser särreglerats, och en reglering för anställda och i anställningssituationer har relativt nyligen föreslagits.

Personuppgiftslagen ger i dag uttryck för en synnerligen restriktiv hållning när det gäller enskildas behandling av personuppgifter om lagöverträdelser. Sådan behandling är i princip förbjuden. Att enskilda kan ha legitima behov av att behandla personuppgifter om lagöverträdelser står dock klart. Redan i dag finns det, på grund av lämnade bemyndiganden, möjlighet för regeringen och Datainspektionen att utan egentliga begränsningar tillåta enskilda att behandla personuppgifter om lagöverträdelser. Det kan ske genom såväl generella föreskrifter som beslut i enskilda fall som hastigt uppkommer.

Utredningen har enligt utredningsdirektiven att överväga om det i personuppgiftslagen bör tas in bestämmelser som direkt tillåter enskilda att behandla personuppgifter om lagöverträdelser. Därvid skall utredningen särskilt överväga om den registrerades samtycke bör göra sådan behandling tillåten. Frågan är alltså om det finns behov av materiella föreskrifter om enskildas behandling av personuppgifter om lagöverträdelser i personuppgiftslagen eller om de vida möjligheter till normgivning på lägre nivå som redan finns är tillräckliga.

Utredningen har redan varit inne på att ett fullgott skydd och en rimlig intresseavvägning för speciellt känsliga situationer kräver särregler med ett vidare tillämpningsområde än personuppgiftslagen. Att ändå utforma och ta in speciella bestämmelser om olika sådana situationer i personuppgiftslagen framstår inte som ändamålsenligt eller ens möjligt att göra inom utredningens ram. I den utsträckning det skulle komma upp ett legitimt behov för enskilda att behandla personuppgifter om lagöverträdelser i en viss situation kan, i avvaktan på en mer vittsyftande författningsreglering av situationen, frågan lösas genom de möjligheter till normgivning som redan finns enligt personuppgiftslagen.

183

Frågan är då närmast om det finns behov av och är lämpligt med bestämmelser i personuppgiftslagen för mer generella fall, t.ex. vid samtycke eller när det, rent generellt, är viktigt att kontrollera en persons pålitlighet eller vandel. I det sammanhanget finns det anledning att erinra om utredningens förslag i avsnitt 7.7 som innebär att behandling av personuppgifter, innefattande personuppgifter om lagöverträdelser, som finns i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar tillåts så länge behandlingen inte innefattar ett missbruk av uppgifterna.

Det första man måste fråga sig är vilket behov för enskilda att behandla personuppgifter om lagöverträdelser som har visat sig sedan personuppgiftslagen trädde i kraft.

I svaren på Justitiedepartementets enkät för offentliga utvärdering har frågan om behandling av personuppgifter om lagöverträdelser fått förhållandevis lite uppmärksamhet, och några direkta önskemål om ytterligare regler som tillåter sådan behandling verkar inte ha förts fram.120

Som framgått av avsnitt 10.4 finns det redan en hel del föreskrifter som tillåter enskilda att behandla personuppgifter om lagöverträdelser. Såvitt utredningen känner till har det – med ett undantag, se avsnitt 10.4.2 – inte förekommit några ansökningar, som vidhållits, till regeringen eller Datainspektionen om ytterligare undantag från förbudet i 21 § personuppgiftslagen genom generella föreskrifter eller beslut i enskilda fall.

Såvitt framkommit har hittills bara ett par personer dömts för bl.a. brott mot 21 § personuppgiftslagen (se avsnitt 5.2.1). Den ene hade på Internet namngett personer som påstods ha gjort sig skyldiga till våldtäkt.121 Den andre dömdes av en tingsrätt för att han hade registrerat känsliga personuppgifter och uppgifter om domar i brottmål om över ettusen personer med syfte att kartlägga politiska motståndare och att på något sätt sprida uppgifter om dem och därmed möjliggöra angrepp på dem; efter överklagande ogillade dock hovrätten det åtalet.122 Att tillåta sådant genom särskilda föreskrifter torde knappast vara aktuellt.

Vid genomförandet av EG-direktivet i andra länder har man gjort på olika sätt. Det finns exempel på länder som, liksom Sverige, nöjt sig med möjligheten att genom särskilda föreskrifter och myndighetsbeslut tillåta enskilda att behandla personuppgifter om

120Ds 2001:27 s. 53 ff.

121Helsingborgs tingsrätts dom 2001-01-31 i mål nr B 3915-00.

122Hovrättens över Skåne och Blekinge dom 2003-11-11 i mål nr B 3113-02.

184

lagöverträdelser. Men det finns också exempel på länder som i den generella genomförandelagstiftningen tagit in bestämmelser om i vilka fall sådan behandling får ske, t.ex. i de fall känsliga personuppgifter får behandlas.

Utredningens slutsats mot denna bakgrund – särskilt avsaknaden av framförda önskemål om ytterligare konkreta undantag – är att det inte verkar finnas något uttalat behov av andra undantag från förbudet i 21 § personuppgiftslagen än de som redan finns på annat håll än i personuppgiftslagen och det som följer av den bestämmelse om behandling av personuppgifter som finns i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar som föreslås i avsnitt 7.7. Datainspektionens föreskrift, kompletterad med några lagregler i särskilda registerförfattningar, verkar ha täckt in de behov av undantag som finns för närvarande. Och skulle det uppkomma nya behov, finns det som sagt redan goda möjligheter att, efter överväganden om den aktuella situation som uppkommit, medge ytterligare undantag när det är befogat.

Vad särskilt gäller samtycke som grund för behandling av personuppgifter om lagöverträdelser kan härutöver följande sägas.

Inte i någon föreskrift om undantag från förbudet i 21 § personuppgiftslagen som finns i dag har den registrerades samtycke tillmätts någon betydelse.

När frågan om samtycke varit uppe i riksdagen har det gällt den speciella situationen att någon velat behandla personuppgifter om sina egna lagöverträdelser, något som ansetts vara möjligt redan i dag.

Frågan om arbetsgivares dokumenterade behandling av personuppgifter om lagöverträdelser om arbetssökande och arbetstagare har relativt nyligen utretts, varvid det inte fördes fram något förslag om att samtycke bör utgöra en grund för behandlingen.

En del länder godtar samtycke som grund för behandling av personuppgifter om lagöverträdelser, medan andra länder inte gör det.

Anledning till att den registrerades samtycke inte berättigar enskilda att behandla personuppgifter om lagöverträdelser i Sverige och på olika håll utomlands är förmodligen att det ansetts befogat att statsmakterna fastställer när sådan behandling skall få ske. Bakgrunden till det ställningstagandet är i sin tur troligen att frågan om samtycke ansetts vara särskilt svår att hantera i fråga om personuppgifter om lagöverträdelser, särskilt i avtalssituationer där samtycke skulle kunna ställas upp som förutsättning för sådant som den enskilde är mer eller mindre beroende av, t.ex. anställning, penninglån och hyra av olika saker och nyttigheter. Att låta sam-

185

tycke berättiga behandlingen skulle i sådana situationer onekligen sätta press på den enskilde på ett sätt som förmodligen inte bör godtas i alla fall. Det står vidare inte helt klart vad som krävs för att ett samtycke på det sätt som krävs enligt definitionen i 3 § personuppgiftslagen skall anses vara frivilligt.123

Utredningen delar den bedömning som hittills gjorts i Sverige och på flera håll utomlands i frågan om den registrerades samtycke generellt sett bör berättiga till behandling av personuppgifter om lagöverträdelser. Det är alltså inte lämpligt att i personuppgiftslagen ta in en generell bestämmelse om att enskilda får behandla sådana personuppgifter bara för att den registrerade lämnat sitt samtycke till det. Frågan om och när samtycke bör berättiga sådan behandling bör i stället bedömas för de olika konkreta situationer som i framtiden kan uppkomma antingen inom ramen för de möjligheter till normgivning som redan finns enligt personuppgiftslagen eller inom ramen för lagstiftningsinitiativ för den aktuella situationen.

Utredningen anser mot den redovisade bakgrunden sammanfattningsvis att det inte i dag finns behov av – eller är lämpligt – att i personuppgiftslagen föra in något undantag från förbudet i 21 § som inte redan finns enligt andra föreskrifter. Det gäller också ett undantag om den enskildes samtycke till behandlingen.

Utredningen kan slutligen inte se någon direkt fördel med att ta in de föreskrifter om undantag som redan finns direkt i personuppgiftslagen. Det viktiga är att personuppgifter om lagöverträdelser kan behandlas i de fall det är befogat, inte att bestämmelserna om detta finns i just personuppgiftslagen. I Datainspektionens föreskrift finns de undantag samlade som inte har direkt koppling till en särskild registerförfattning. Regleringssättet får anses redan uppfylla rimliga krav på tydlighet och överskådlighet.

123Jämför SOU 1997:39 s. 342. Eftersom det står medlemsstaterna fritt att tillåta enskilda att behandla personuppgifter om lagöverträdelser under de förutsättningar som anses befogade, är det dock i och för sig inte helt nödvändigt att för sådan behandling kräva just ett sådant samtycke som avses med den nuvarande definitionen i EG-direktivet och personuppgiftslagen.

186