Varje svensk medborgare finns enligt Datainspektionen registrerad i ett hundratal register och databaser. Uppgifter om inkomst, civilstånd, betyg, bostadsort och mycket annat omfattas av offentlighetsprincipen. Det innebär att uppgifterna kan lämnas ut till den som efterfrågar dem. Myndigheternas många och omfattande register ger dem också ett stort ansvar för skyddet av den personliga integriteten.
Utlämnandet av uppgifter regleras av offentlighetsprincipen, personuppgiftslagen (PuL), den så kallade registerförfattningen och ett antal myndighetsinstruktioner. Enligt offentlighetsprincipen är myndigheter skyldiga att lämna ut allmänna handlingar på begäran. Enligt personuppgiftslagen får personuppgifter endast behandlas om den enskilde har lämnat sitt samtycke eller om det finns annan rättslig grund för behandlingen. Personuppgiftslagen säger också att personuppgifter endast får samlas in för ”särskilda ändamål och därefter inte behandlas för nya ändamål som inte är förenliga med de ursprungliga. Personuppgifter får heller inte behandlas för ändamål som berör direkt marknadsföring, om den enskilde skriftligen meddelar att han eller hon motsätter sig sådan behandling” (Promemoria Justitiedepartementet 2013-08-15).
Bestämmelserna om hur personuppgifter får behandlas av myndigheter eller inom vissa verksamheter har dock företräde framför personuppgiftslagen. Ansvaret för denna så kallade registerförfattning är spritt inom Regeringskansliet. Hanteringen av personuppgifter kan även bestämmas av myndigheternas instruktioner. Då är det myndighetsansvarigt departement som ansvarar för respektive instruktion.
Sålunda finns det en flora av lagar, förordningar och instruktioner som omgärdar myndigheternas behandling av personuppgifter.
Media har tidigare avslöjat att vissa myndigheter inbringar betydande summor på att sälja personuppgifter vidare. Transportstyrelsen, Bolagsverket, CSN och Skatteverket är myndigheter som tjänar pengar på att sälja vidare uppgifter till marknadsanalysföretag.
Trots personuppgiftslagens skrivning om att uppgifter inte får behandlas för nya ändamål som inte är förenliga med de ursprungliga agerar sannolikt myndigheterna inom lagens råmärken.
Datainspektionen kom nyligen fram till att Bolagsverket begick en olaglig handling när man lämnade ut personnummer till mottagare som har uppgett att uppgifterna ska användas för direktmarknadsföring. Därför fick Bolagsverket ett föreläggande från Datainspektionen om att upphöra med att lämna ut personnummer för direktmarknadsföring. Föreläggandet är inte tvingande men det sänder ändå en viktig signal till de myndigheter som säljer uppgifter vidare.
En aspekt som är särskilt bekymmersam när det gäller myndigheters handel med personuppgifter är dock ändå att myndigheterna förlorar ansvaret när uppgifterna säljs vidare i nästa led. Denna hantering hotar den personliga integriteten. När stora mängder uppgifter hamnar utanför myndigheternas kontroll ökar dessutom risken för att de används till identitetsstöld eller annan brottslighet.
Slutsatsen är att de lagar och regler som omgärdar hanteringen av personuppgifter, trots Datainspektionens markering, är i behov av en bred översyn i syfte att stärka den personliga integriteten. Det är exempelvis inte rimligt att man aktivt ska behöva spärra sitt personnummer för att i enlighet med personuppgiftslagen slippa hamna i ett register där man inte vill vara.
.
Johan Hultberg (M) |
|