Varje svensk medborgare finns enligt Datainspektionen registrerad i ett hundratal register och databaser. Uppgifter om inkomst, civilstånd, betyg, bostadsort och mycket annat omfattas av offentlighetsprincipen. Det innebär att uppgifterna kan lämnas ut till den som efterfrågar dem. Myndigheternas många och omfattande register ger dem också ett stort ansvar för skyddet av den personliga integriteten.
Utlämnandet av uppgifter regleras av offentlighetsprincipen, personuppgiftslagen (PuL), så kallade registerförfattningar och ett antal myndighetsinstruktioner. Enligt offentlighetsprincipen är myndigheter skyldiga att lämna ut allmänna handlingar på begäran.
Enligt personuppgiftslagen får personuppgifter endast behandlas om den enskilde har lämnat sitt samtycke eller om det finns annan rättslig grund för behandlingen. Personuppgiftslagen säger också att personuppgifter endast får samlas in för ”särskilda ändamål och därefter inte behandlas för nya ändamål som inte är förenliga med de ursprungliga. Personuppgifter får heller inte behandlas för ändamål som berör direkt marknadsföring, om den enskilde skriftligen meddelar att han eller hon motsätter sig sådan behandling” (Promemoria Justitiedepartementet 2013-08-15).
Bestämmelserna om hur personuppgifter får behandlas av myndigheter eller inom vissa verksamheter har dock företräde framför personuppgiftslagen. Ansvaret för denna så kallade registerförfattning är spritt inom Regeringskansliet. Hanteringen av personuppgifter kan även bestämmas av myndigheternas instruktioner. Då är det myndighetsansvarigt departement som ansvarar för respektive instruktion.
Sålunda finns det en flora av lagar, förordningar och instruktioner som omgärdar myndigheternas behandling av personuppgifter.
Vissa myndigheter inbringar betydande summor på att sälja personuppgifter vidare. Transportstyrelsen, Bolagsverket, CSN och Skatteverket är myndigheter som tjänar pengar på att sälja vidare uppgifter till marknadsanalysföretag.
Trots personuppgiftslagens skrivning om att uppgifter inte får behandlas för nya ändamål som inte är förenliga med de ursprungliga agerar sannolikt myndigheterna inom lagens råmärken.
De sanktioner som finns till hands består av förelägganden från tillsynsmyndigheten Datainspektionen. Föreläggandet är inte tvingande men det sänder ändå en viktig signal till de myndigheter som säljer uppgifter vidare.
En aspekt som är särskilt bekymmersam när det gäller myndigheters handel med personuppgifter är att myndigheterna förlorar ansvaret när uppgifterna säljs vidare i nästa led. Denna hantering hotar den personliga integriteten. När stora mängder uppgifter hamnar utanför myndigheternas kontroll ökar dessutom risken för att de används till identitetsstöld eller annan brottslighet.
Vi bör värna den svenska offentlighetsprincipen. Samtidigt är det nödvändigt att tänka över syftet med öppenheten. Intentionen med offentlighetsprincipen var inte att statliga myndigheter ska bedriva kommers med personliga uppgifter. Här behövs därför en annan avvägning mellan offentlighetsprincipen och den personliga integriteten.
Slutsatsen är att de lagar och regler som omgärdar hanteringen av personuppgifter, trots Datainspektionens markering, är i behov av en bred översyn i syfte att stärka den personliga integriteten. Det är exempelvis inte rimligt att man aktivt ska behöva spärra sitt personnummer för att i enlighet med personuppgiftslagen slippa hamna i ett register där man inte vill vara.
Johan Hultberg (M) |
|