Myndighetsdatalag

Slutbetänkande av Informationshanteringsutredningen

Stockholm 2015

SOU 2015:39

5.1Problembild enligt direktiven och utredningens

5.2Nuvarande regler som i allmän mening styr

8

5.4Uppgiftsutbyte genom utlämnande på medium för

9

7.2En generell lag för myndigheters behandling av

10

SOU 2015:39 Innehåll

9.1Hur bestäms vad som är en statlig eller kommunal

9.3Tillåten behandling av särskilda kategorier av

11

11.3Bör sökbegränsningar som tar sikte på en utlämnande myndighet även gälla för en mottagande myndighet som

12

13

14

15

16

18

SOU 2015:39 Förkortningar m.m.

Kortformer för viss citerad litteratur

19

och har kunnat konstatera att problemen skapar osäkerhet i tillämp- ningen, vilket bl.a. gör uppgiftsutbyte och annat samarbete mellan myndigheter onödigt komplicerat. Det försvårar också för enskilda registrerade och allmänheten att förstå vad som egentligen gäller för myndigheters informationshantering. Vidare är det ett problem i sig att registerlagar ofta behöver ändras till följd av att myndig- heterna får nya uppgifter.

Ett ytterligare problem som vi identifierat är att den allmänna regleringen i personuppgiftslagen har utformats utan hänsyn till de särskilda förhållanden som gäller för myndigheters personuppgifts- behandling. För myndigheter i allmänhet, dvs. inte bara för sådana som omfattas av särskild registerlagstiftning, präglas personupp- giftsbehandlingen av att den sker i verksamheter som är författ- ningsreglerade, oftast i fråga om såväl vad som ska göras som hur det ska göras. Den informationshantering som verksamheten gene- rerar styrs vidare av, utöver tidigare nämnda regelverk, annan cen- tral reglering, exempelvis förvaltningslagen (1986:223) och arkiv- lagen (1990:782) som alltså gäller utöver personuppgiftslagen. Detta förhållande innebär generellt sett en avgörande skillnad i jämförelse med personuppgiftsbehandling inom den enskilda sektorn.

Inledande ställningstaganden och utgångspunkter för en generell reglering

Mot bakgrund av bl.a. den beskrivna problembilden finns ett ange- läget behov av förändringar i den reglering som rör personuppgifts- behandling inom den offentliga sektorn. En samlad reglering i en lag om myndigheters behandling av personuppgifter gör det möj- ligt att åstadkomma ett tydligt regelverk som är lättare att tillämpa och bättre anpassat till övrig reglering av betydelse för myndig- heters informationshantering. En sammanhållen lag ger också bättre förutsättningar för allmänhetens insyn och för enskilda registrerades möjligheter att göra gällande sina rättigheter enligt det dataskydds- rättsliga regelverket. Till bilden hör vidare att en samlad reglering är mer ändamålsenlig för att möta den förändring som förväntas ske på det unionsrättsliga området genom en EU-förordning om allmänt uppgiftsskydd som ska ersätta det s.k. dataskyddsdirektivet.

22

Vi föreslår därför en ny lag – myndighetsdatalagen – som företer likheter med förekommande registerförfattningar men som inne- håller bestämmelser som kan gälla generellt för alla statliga och kommunala myndigheters personuppgiftsbehandling frånsett den brottsbekämpande sektorn.

Vårt förslag till ny lag har arbetats fram utifrån bl.a. följande utgångspunkter.

Regleringen bör utformas som en renodlad persondataskydds- reglering som bara tar sikte på frågor om skydd för personupp- gifter som uppstår i myndigheternas elektroniska informationshante- ring, vilken är en integrerad del av myndigheternas verksamheter på alla nivåer. Bestämmelserna i den nya lagen ska alltså inte i något avseende syfta till att reglera en myndighets sakverksamhet.

Till den nya lagen ska det kunna finnas bilagor och en anslut- ande förordning. Efter hand som behov av sektors- eller myndig- hetsspecifika särregler uppstår kan sådana tas in i en systematiskt ordnad reglering som kompletterar den nya lagen. På så sätt uppnås ett sammanhållet ramverk med enhetligt utformad reglering både vad avser förhållanden som kan regleras generellt och förhållanden där fortsatta särregler – utifrån närmare avvägningar mellan integri- tetsintressen och t.ex. effektivitetshänsyn på området i fråga – behöver finnas. Det är dock vår bedömning att behovet av fortsatt särreglering kommer att minska betydligt.

Det är vår uppfattning att den särreglering av persondataskydds- frågor som även fortsättningsvis behöver finnas oftast ska kunna ges i förordning, vilket förenklar regelgivningen och underlättar nödvändiga förändringar vid ändringar i myndigheternas uppgifter m.m. Normgivningsreglerna i regeringsformen kräver normalt inte lagform för reglering av detta slag. Det sagda utesluter givetvis inte att lagnivå ibland krävs eller i vart fall framstår som lämplig av hän- syn till skyddet för enskildas integritet.

Den nya lagen utesluter inte att det även fortsättningsvis för vissa myndigheter eller verksamheter kan komma att bedömas vara mera lämpligt från lagtekniska, systematiska eller andra synpunkter med särreglering i separat författning som gäller utöver den nya lagen, på motsvarande sätt som många registerlagar i dag förhåller sig till personuppgiftslagen.

Renodlade registerförfattningar om inrättandet och förandet av specifika register utgör ett slags verksamhetsreglering som även i

23

fortsättningen bör regleras i särskild ordning, dvs. utanför den sam- lade regleringen.

Eftersom en kommande EU-förordnings närmare innehåll av betydelse på myndighetsområdet – liksom ikraftträdandetidpunkten

– fortfarande är i hög grad oklart bör den nya lagen vara anpassad till gällande rätt på persondataskyddsområdet, dvs. till personuppgifts- lagen.

Om myndighetsdatalagens innehåll

Lagens syfte och tillämpningsområde

Lagens syfte ska vara att dels ge myndigheter möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i deras verksamheter, dels skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Lagen ska i princip tillämpas av alla statliga och kommunala myn- digheter vid behandling av personuppgifter som är helt eller delvis automatiserad eller avser manuell registerföring.

Vissa verksamheter undantas dock från lagens tillämpnings- område nämligen 1) en myndighets administrativa verksamhet, 2) en myndighets verksamhet som personuppgiftsbiträde och 3) sådan verksamhet som bedrivs av behöriga myndigheter i syfte att före- bygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder.

Förhållandet till avvikande bestämmelser i annan lag eller förordning och till personuppgiftslagen

Lagen ska – med undantag för personuppgiftslagen och bestäm- melser som meddelats med stöd av den lagen – vara subsidiär i förhållande till bestämmelser i annan lag eller förordning som av- viker från lagens bestämmelser. Lagen har vidare konstruerats på det sättet att den gäller i stället för personuppgiftslagen, dock att det särskilt hänvisas till vissa bestämmelser i personuppgiftslagen som ska tillämpas på motsvarande sätt vid myndigheters behand- ling av personuppgifter enligt den nya lagen. Enligt dessa hänvis- ningar ska alltså personuppgiftslagens bestämmelser om defini-

24

tioner (3 §), förhållandet till handlingsoffentligheten och arkivlag- stiftningen (8 §) och grundläggande krav på behandlingen (9 §) gälla. Dessutom hänvisas till personuppgiftslagens förbud mot behandling av sådana personuppgifter som definieras som känsliga (13 §) samt till undantagen från förbudet vid behandling med den registrerades uttryckliga samtycke (15 §), i vissa fall av nödvändig behandling (16 §), för hälso- och sjukvårdsändamål (18 §) samt för forsknings- eller statistikändamål (19 §). Vidare ska, i huvudsak, personuppgiftslagens bestämmelser om information som ska lämnas till den registrerade – dels i samband med att uppgifter samlas in, dels på begäran – tillämpas (23, 25 och 26 §) liksom bestämmelserna om överföring till tredjeland (33–35 §§) och om personuppgifts- ombud (38 och 40 §§). Slutligen ska personuppgiftslagens bestäm- melser om skadestånd (48 §) tillämpas på motsvarande sätt, dvs. en personuppgiftsanvarig myndighets skyldighet att följa bestämmel- serna i såväl den nya lagen som bestämmelser i personuppgiftslagen som den nya lagen hänvisar till ska vara skadeståndssanktionerad.

Den s.k. missbruksregeln i 5 a § PuL föreslås inte vara tillämplig på myndighetsområdet och något liknande generellt undantag från personuppgiftslagens s.k. hanteringsregler införs inte i den nya lagen. Vår analys av den frågan har resulterat i bedömningen att ett sådant generellt undantag från hanteringsreglerna såvitt avser be- handling av personuppgifter i s.k. ostrukturerat material varken behövs på myndighetsområdet eller framstår som en rättsligt be- fogad begränsning i förhållande till dataskyddsdirektivets krav. Endast i ett avseende innehåller den nya lagen ett motsvarande undantag, nämligen i fråga om information till den registrerade som ska lämnas efter ansökan (26 § PuL). Sådan information be- höver inte omfatta personuppgifter som behandlas i ostrukturerat material.

Personuppgiftsansvar och personuppgiftsbiträden

I den nya lagen införs en generell regel som innebär att en myn- dighet alltid är personuppgiftsansvarig för den behandling som myn- digheten utför. Vidare klargörs att personuppgiftsansvaret även omfattar sådan behandling som en mottagande myndighet utför när denna via direktåtkomst hos en annan myndighet eller enskild i

25

ett enskilt fall genom en överföring faktiskt behandlar en tillgänglig personuppgift.

Det som föreskrivs i personuppgiftslagen om att ett person- uppgiftsbiträde eller den som arbetar under biträdets ledning bara får behandla personuppgifter i enlighet med den personuppgifts- ansvariges instruktioner ska gälla genom att motsvarande bestäm- melser tas in i den nya lagen. Detsamma gäller kravet på att det ska finnas ett skriftligt avtal med personuppgiftsbiträdet liksom kraven på vad avtalet ska innehålla. Utöver detta införs ett krav på att av- talet ska innehålla dokumentation om den personuppgiftsansvariga myndighetens instruktioner till biträdet samt ett förbud mot att biträdet anlitar ett annat biträde, ett s.k. underbiträde, utan god- kännande från den personuppgiftsansvariga myndigheten. Samma villkor om avtal och instruktioner ska gälla för ett sådant under- biträde.

När behandling kan tillåtas

I lagen införs en samlad rättslig grund för behandling av person- uppgifter som ersätter bestämmelserna i 10 § a–f PuL om när be- handling av personuppgifter är tillåten oberoende av den registre- rades samtycke. Bestämmelsen innebär att en myndighet får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra sin verksamhet. Vilken verksamhet en myndighet har som uppgift eller fått befogenhet att utföra framgår av författnings- reglering eller särskilda beslut i regleringsbrev m.m.

Någon begränsning av för vilka ändamål som myndigheter får behandla personuppgifter föreslås inte i den nya lagen. Därmed blir huvudregeln att det är den personuppgiftsansvariga myndigheten som, inom ramen för sitt uppdrag, har att närmare specificera för vilket eller vilka ändamål personuppgifter behandlas i verksam- heten. Dessa ändamål måste uppfylla det grundläggande kravet på att vara särskilda och uttryckligt angivna redan vid insamlingen. Även framöver kan det dock på vissa områden, t.ex. i fråga om vissa särskilt integritetskänsliga informationssamlingar, finnas anledning att genom särskilda föreskrifter i lag eller förordning om ändamåls- begränsningar ange ramar för myndigheters personuppgiftsbehand- ling. Sådana föreskrifter kan tas in i den till lagen anslutande

26

förordningen alternativt, för det fall lagnivå undantagsvis anses nöd- vändig eller lämplig, i bilaga till lagen.

Särskilda kategorier av personuppgifter

Ytterligare undantag från förbudet att behandla känsliga personuppgifter

Utöver vad som följer av 15, 16, 18 och 19 §§ PuL tillåts myn- digheter att behandla känsliga personuppgifter om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggning av det. I annan verksamhet får känsliga personuppgifter behandlas endast i löpande text. Regeringen eller den myndighet som regeringen be- stämmer bemyndigas att medge ytterligare undantag, om det be- hövs med hänsyn till ett viktigt allmänt intresse.

Personnummer i beslut m.m.

Enligt en särskild bestämmelse i lagen får personnummer och sam- ordningsnummer tas in i en myndighets beslut endast om beslutet rör en enskilds identitet eller motsvarande personliga förhållanden. Sådana uppgifter får också tas in i ett beslut om det är nödvändigt för att beslutet ska kunna verkställas eller om det krävs med hänsyn till beslutande myndighets behov av identifieringsuppgifter. Vid övrig behandling, dvs. som inte avser beslut, sätter de grundläggande kraven enligt 9 § PuL gränserna för i vilken omfattning personnummer eller samordningsnummer får behandlas.

Sökförbud

Enligt en bestämmelse i lagen ska gälla att myndigheter vid en sök- ning får som sökbegrepp använda uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertyg- else eller medlemskap i fackförening eller uppgifter som rör hälsa eller sexualliv endast i den utsträckning som det finns särskilt för- fattningsstöd för det. Sådant stöd kan anges genom föreskrifter som tas in i bilaga till lagen, i annan lag eller i förordning. Därmed gäller alltså som huvudregel ett generellt förbud för myndigheter

27

att som sökbegrepp använda uppgifter som leder till att känsliga personuppgifter sammanställs. Förbudet gäller såväl sökningar i myndighetens egna informationssamlingar som i fråga om person- uppgifter som myndigheten har tillgång till genom direktåtkomst och har betydelse för vilka sammanställningar, s.k. potentiella hand- lingar, som enligt 2 kap. 3 § andra stycket TF anses vara förvarade allmänna handlingar hos myndigheten. I bestämmelsen klargörs dock att förbudet inte gäller vid sökning i en viss handling eller i ett visst ärende. Regeringen bemyndigas att meddela föreskrifter om sökbegränsningar i fråga om andra uppgiftskategorier än de som förbjuds i lagen.

Säkerhet till skydd för personuppgifter

Skyldigheterna i fråga om säkerhetsåtgärder och lämplig säkerhets- nivå framgår genom en bestämmelse i lagen som ersätter 31 § första stycket PuL. Enligt bestämmelsen är myndigheter skyldiga att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en lämplig säkerhetsnivå som ska bestämmas utifrån de risker som behandlingen medför och personuppgifternas karaktär. Vidare anges att säkerhetsarbetet ska omfatta förebyggande, löpande och upp- följande åtgärder samt att säkerhetsarbetet ska ske med beaktande av andra föreskrifter om informationssäkerhet i lag eller annan för- fattning. Härmed klargörs den nära kopplingen mellan den person- dataskyddsrättsliga regleringen av säkerheten för personuppgifter och det vidare regelverk om informationssäkerhet som myndig- heterna också är skyldiga att följa.

Vidare föreskrivs en skyldighet för varje myndighet att se till att anställda bara ges tillgång till personuppgifter utifrån vad som krävs för arbetsuppgifterna. Detta ska gälla i fråga om såväl personupp- gifter i myndighetens egna informationssamlingar som personupp- gifter som myndigheten får tillgång till genom direktåtkomst.

28

Elektroniskt utlämnande

Åtskillnaden mellan direktåtkomst och annat utlämnande i elektronisk form

En särskild delfråga i utredningsuppdraget har varit att överväga om det finns anledning att behålla en rättslig åtskillnad mellan olika former av elektroniskt utlämnande av personuppgifter eller om denna åtskillnad bör utmönstras. Vad detta handlar om är den i registerförfattningar vanliga åtskillnaden mellan regler som gäller för direktåtkomst och utlämnande på medium för automatiserad be- handling – eller som vi kallar det – annat utlämnande i elektronisk form. Som regel föreskrivs betydligt snävare förutsättningar för utlämnande genom direktåtkomst.

Vi har ingående analyserat denna fråga och kommit till slut- satsen att en begreppsmässig skillnad mellan å ena sidan direkt- åtkomst och å andra sidan annat utlämnande i elektronisk form bör behållas. Direktåtkomst innebär rättsligt sett att gränsen mellan de uppgiftsutbytande myndigheterna i viss omfattning tas bort, vilket inte är konsekvensen av ett annat elektroniskt utlämnande. Hur den mottagande myndigheten väljer att använda direktåtkomsten har den utlämnande myndigheten inte någon befogenhet att på- verka, eftersom de handlingar som omfattas av åtkomsten redan har lämnats ut. Korresponderande sekretessfrågor måste därför vara lösta på förhand liksom behov av sökbegränsningar hos den mot- tagande myndigheten, vilket kan medföra krav på lagstiftnings- åtgärder. Både principiella och rättsliga skäl talar därför för att en åtskillnad görs. Direktåtkomst medför också krav på förberedande analyser och åtgärder ur verksamhets- och personuppgiftsansvars- perspektiv, bl.a. i fråga om tekniskt genomförande och säkerhet. Varken den tekniska utvecklingen eller effektivitetsvinster och integritetsrisker som kan förknippas med olika åtkomstmetoder utgör vidare skäl för att utmönstra den begreppsmässiga åtskill- naden. Om en åtskillnad inte görs mellan direktåtkomst och annat elektroniskt utlämnande finns en risk för att de särskilda frågor om skydd och ansvarsfördelning, som sammanhänger med att myndig- heternas gränser öppnas upp genom en direktåtkomst, inte får till- räcklig uppmärksamhet. En väl genomtänkt och genomförd direkt- åtkomst behöver emellertid inte innebära större risker för den

29

enskildes integritet än annat elektroniskt utlämnande av personupp- gifter.

Ett sådant utlämnande i elektronisk form som inte är direkt- åtkomst innebär – oavsett på vilket sätt det sker – inte i något fall att myndigheternas verksamhet rättsligt sett blandas samman. Något behov av att rättsligt skilja olika sådana former åt finns därför inte. Skilda sätt att elektroniskt förmedla uppgifter från en myndighet till en annan kan dock innebära att olika slags säkerhetsrisker be- höver beaktas.

I konsekvens med vår bedömning i dessa frågor innehåller den nya lagen olika reglering för direktåtkomst respektive annat utläm- nande i elektronisk form.

Direktåtkomst

Med begreppet direktåtkomst avses, liksom hittills, en sådan tek- nisk tillgång till upptagningar hos annan som avses i 2 kap. 3 § andra stycket TF. Enligt den nya lagen gäller inte något allmänt krav på författningsstöd för att direktåtkomst ska kunna före- komma. Däremot föreskriver den nya lagen att direktåtkomst till sekretessreglerade personuppgifter ska ha stöd i lag eller förord- ning. Undantag från kravet på författningsstöd såvitt gäller sekre- tessreglerade personuppgifter gäller dock för direktåtkomst 1) som medges den registrerade eller dennes ombud och som tar sikte på uppgifter som hänför sig till den registrerade, 2) som medges till uppgifter som är sekretessreglerade enligt 21 kap. 7 § OSL, 3) som medges ett personuppgiftsbiträde och 4) som medges en myndig- het endast för sådan teknisk bearbetning eller teknisk lagring som avses i 2 kap. 10 § TF för den utlämnande myndighetens räkning.

Överenskommelser vid direktåtkomst m.m.

I linje med vår bedömning angående varför direktåtkomst kräver särskilda överväganden och åtgärder föreskrivs i den nya lagen att en utlämnande myndighet ska göra en risk- och sårbarhetsanalys innan myndigheten medger en annan myndighet eller enskild aktör direktåtkomst till personuppgifter. Vidare ska myndigheten komma överens med mottagaren hur behövligt skydd för personuppgift-

30

erna ska säkerställas. Av överenskommelsen ska också framgå hur utövandet av de skyldigheter som personansvaret innefattar ska ske. Motsvarande ska gälla vid andra former av informations- utbyten som innebär behandling av personuppgifter i gemensamma eller annars integrerade informationssystem. Överenskommelsen i fråga om personuppgiftsansvarets utövande ska inte vara bindande utåt sett utan i första hand syfta till att klargöra ansvarsförhållan- dena mellan samarbetsparterna. Kravet på risk- och sårbarhets- analyser och överenskommelser omfattar direktåtkomst m.m. i fråga om både offentliga och sekretessreglerade personuppgifter.

Sökbegränsning vid direktåtkomst

En särskild delfråga i uppdraget har varit att ta ställning till om sökförbud för en utlämnande myndighet bör gälla vid direkt- åtkomst för en mottagande myndighet. Vi har dock bedömt att det inte är ändamålsenligt att motverka eventuella risker för enskildas integritet i samband med direktåtkomst genom att föreskriva att samma sökbegränsningar alltid ska gälla för såväl den utlämnande myndigheten som den mottagande myndigheten. Det kan leda till att enskildas integritet inte skyddas i tillräcklig utsträckning, men också att en mottagande myndighets berättigade behov av att an- vända sig av de uppgifter som blir åtkomliga genom direktåtkomst inte kan tillgodoses. Enskildas integritet bör i stället skyddas genom att en direktåtkomst inte medges förrän noggranna överväganden har gjorts beträffande den mottagande myndighetens användning av direktåtkomsten, bl.a. beträffande vilka sökbegränsningar som den ska iaktta.

Annat utlämnande i elektronisk form

Enligt vår bedömning saknas det skäl för att införa ett grund- läggande krav på att utlämnanden av personuppgifter i elektronisk form ska ha stöd i författning för att vara tillåtet. Vi har inte heller funnit skäl att generellt begränsa myndigheters möjlighet att lämna ut personuppgifter till andra myndigheter eller enskilda i elektronisk form. När det gäller utlämnanden till enskilda innehåller emellertid den nya lagen en bestämmelse som erinrar om att om en person-

31

uppgift får lämnas ut till en enskild, kan det ske i elektronisk form om det inte är olämpligt med hänsyn till skyddet för personupp- giften. Därmed erinras myndigheterna om att det ankommer på dem att först göra en prövning av om ett utlämnande, oavsett form, av personuppgifter är tillåtet. Om så är fallet, är utgångspunkten att det kan ske i elektronisk form.

Överföring till tredjeland

Den nya lagen innehåller två undantag från förbudet mot över- föring av personuppgifter till tredjeland som saknar adekvat skydds- nivå – utöver de som följer av 34 och 35 §§ PuL – nämligen om överföringen krävs för myndighetens handläggning av ett visst ärende eller om överföringen är nödvändig för att fullgöra en uppgifts- skyldighet som följer av lag eller förordning eller avtal med annan stat eller mellanfolklig organisation som Sverige har tillträtt eller annars är förpliktat att följa.

Förteckning över behandlingar

Myndigheters behandling av personuppgifter enligt den nya lagen ska inte omfattas av anmälningsskyldighet till tillsynsmyndigheten. Varje myndighet ska i stället föra en förteckning över de behand- lingar som utförs med stöd av lagen. Förteckningen avses innehålla motsvarande uppgifter som en anmälan till tillsynsmyndigheten enligt 36 § PuL skulle ha innehållit. Närmare föreskrifter om för- teckningens innehåll meddelas av regeringen eller myndighet som regeringen bestämmer.

Korrigering av felaktig eller otillåten behandling

Personuppgiftslagens bestämmelser om rättelse m.m. (28 §) är ett exempel på bestämmelser som utformats utan hänsyn till de sär- skilda förhållanden som gäller för myndigeters informations- hantering. I den nya lagen finns därför en mer ändamålsenligt ut- formad reglering rörande korrigering genom dels en bestämmelse som tar sikte på en myndighets skyldighet att rätta felaktiga eller

32

ofullständiga uppgifter, dels en bestämmelse som tar sikte på skyldig- heten att korrigera en behandling som av andra skäl inte är tillåten enligt lagen.

Den förstnämnda bestämmelsen föreskriver en skyldighet för en myndighet att på begäran av den registrerade rätta eller komplet- tera en personuppgift som rör den registrerade, om uppgiften är felaktig eller ofullständig till följd av en åtgärd som inte har sin grund i myndighetens eller någons annans bedömning, exempelvis ett förbiseendefel eller ett tekniskt fel.

Den andra bestämmelsen föreskriver att en personuppgift på be- gäran av den registrerade ska avskiljas från fortsatt behandling och inte lämnas ut till en enskild annat än med stöd av 2 kap. TF eller utplånas, om uppgiften rör honom eller henne och inte får behand- las enligt den nya lagen eller föreskrifter som har meddelats med stöd av den. Bestämmelsen tar sikte på korrigeringar som begärs av en registrerad och som innebär att myndigheten behöver göra en bedömning av om behandlingen är tillåten, exempelvis för att den registrerade gör gällande att uppgifter behandlas som inte är rele- vanta för ändamålet med behandlingen i fråga. Rätten att begära en korrigering av nu nämnt slag ska inte gälla personuppgifter i en myndighets beslut.

Tillsynsmyndighetens befogenheter

Enligt den nya lagen ska tillsynsmyndighetens åtgärder i form på- pekanden eller liknande förfaranden som inte har tvingande karak- tär användas endast i förebyggande syfte, dvs. om tillsynsmyndig- heten konstaterat att en myndighet kan komma att behandla per- sonuppgifter på ett olagligt sätt, och inte då det har konstaterats att en behandling av personuppgifter utförs på ett otillåtet sätt.

Vidare föreskrivs att tillsynsmyndigheten ska kunna förelägga en myndighet att uppfylla sina skyldigheter om myndigheten inte uppfyller de krav som följer av den nya lagen eller föreskrifter som meddelats med stöd av den. I föreläggandet ska anges vad tillsyns- myndigheten anser är nödvändigt för att avhjälpa de påtalade brist- erna.

Tillsynsmyndigheten ska också ha befogenhet att förbjuda en myndighet att fortsätta en behandling av personuppgifter på något

33

annat sätt än att uppgifterna lagras. Ett sådant beslut förutsätter att myndigheten allvarligt brister i sin skyldighet att uppfylla de krav som gäller för behandlingen. Ett beslut om förbud gäller omedelbart.

Någon möjlighet för tillsynsmyndigheten att besluta om vite har inte införts i lagen.

I övrigt finns bestämmelser som motsvarar dels 43 § PuL om vilka befogenheter tillsynsmyndighetens har för att undersöka om en myndighet behandlar personuppgifter på ett tillåtet sätt, dels 47 § PuL om tillsynsmyndighetens möjlighet att hos förvaltnings- rätten ansöka om utplåning av personuppgifter som har behandlats på ett olagligt sätt.

Överklagande

I lagen finns bestämmelser om överklagande av tillsynsmyndig- hetens respektive personuppgiftsansvariga myndigheters beslut som i princip motsvarar personuppgiftslagens överklagandebestämmel- ser (51–53 §§ PuL).

Sekretessfrågor

I 10 kap. OSL föreslås införas en generellt sekretessbrytande be- stämmelse som innebär att föreskrifter i lag eller förordning om direktåtkomst för myndigheter i sig får en sekretessbrytande effekt. Därigenom kommer det inte längre att behövas särskilda sekretess- brytande bestämmelser för att möjliggöra direktåtkomst enligt den ordning som i dag vanligtvis tillämpas. För att en bestämmelse om direktåtkomst ska ha sekretessbrytande effekt enligt den nya bestämmelsen krävs dock att den har en sådan konkretion att det framgår i fråga om vilka uppgifter sekretessen bryts. Den sekretess- brytande bestämmelsen omfattar inte direktåtkomst som medges utländska myndigheter eller enskilda.

Vi har som en särskild delfråga haft att överväga om det finns anledning att ändra 6 kap. 5 § OSL – som föreskriver en grund- läggande skyldighet att på begäran lämna uppgifter till andra myn- digheter – för att den ska stå i bättre överensstämmelse med användningsbegränsningar som kan förekomma i samband med internationella åtaganden. Vi har dock vid vår analys av frågan inte

34

funnit något tillräckligt stort praktiskt behov av en sådan ändring. Vi har därför inte föreslagit någon ändring i 6 kap. 5 § OSL.

Konsekvenser

Införandet av en samlad lag med anslutande reglering i bilaga eller förordning är ett långsiktigt arbete. Regleringen kan inte i ett slag ersätta befintliga registerförfattningar vid införandet. Syftet är emellertid att ett antal registerförfattningar efter hand ska kunna upphävas eller i vart fall förenklas betydligt. Eventuella kvarstående behov av särreglering ska vidare kunna infogas i den samlade regleringen. Det kräver emellertid närmare analyser och avväg- ningar angående behovet av fortsatta särregler på olika områden och på vilken normnivå dessa särregler i förekommande fall bör ges.

Initialt kommer därför lagen att vid ikraftträdandet gälla fullt ut bara för de myndigheter eller i de verksamheter som då endast behandlar personuppgifter med stöd av personuppgiftslagen. Detta innebär en viss omställning för dessa myndigheter. Vi bedömer dock att denna omställning inte är större eller kräver mer anpass- ningar än att den kan mötas med en väl tilltagen tid för ikraft- trädandet och ett fåtal övergångsbestämmelser. Enligt vårt förslag bör den nya lagen träda i kraft den 1 januari 2017.

När den samlade regleringen väl är genomförd även beträffande översynen av de nuvarande registerförfattningarna bedömer vi att den samlade regelmassan kommer att minska betydligt. Genom att särreglering i fortsättningen utformas enhetligt och samordnat ut- ifrån en gemensam systematik underlättas samarbete över myndig- hetsgränser. Flexibiliteten i regleringen ökar vidare genom vår ambi- tion att fler frågor ska regleras i förordning. En på detta sätt samlad och därmed mer enhetlig och tydligare reglering kommer också att vara till gagn för offentlighet och insyn och ökar förutsättningarna att anpassa offentlighetsprincipen till moderna tekniska kommu- nikationsformer. Anpassningen till en kommande uppgiftsskydds- förordning underlättas också, då vad som hittills är känt om för- handlingarna inom unionen tyder på att den samlade regleringen utan alltför genomgripande förändringar kan anpassas till att utgöra ett komplement till förordningen.

35

Förhållandet till annan författning

4 § Om det i en annan lag eller förordning än som avses i 5 § finns bestämmelser som avviker från denna lag, ska de bestämmelserna gälla.

5 § Om inte annat anges i 6 § gäller denna lag i stället för person- uppgiftslagen (1998:204) eller föreskrifter som meddelats i anslut- ning till den lagen.

6 § Följande bestämmelser i personuppgiftslagen (1998:204) ska tillämpas på motsvarande sätt när personuppgifter behandlas enligt denna lag eller föreskrifter som meddelats med stöd av den:

1.3 § om definitioner,

2.8 § om förhållandet till offentlighetsprincipen m.m.,

3.9 § om grundläggande krav på behandlingen,

4.13, 15, 16, 18 och 19 §§ om känsliga personuppgifter,

5.23 och 25 §§ om information till den registrerade som ska läm- nas självmant,

6.26 § om information till den registrerade som ska lämnas efter ansökan,

7.33–35 §§ om överföring av personuppgifter till tredjeland,

8.38 och 40 §§ om personuppgiftsombud, och

9.48 § om skadestånd.

I 23 § finns bestämmelser om undantag från informationsskyldig- heten enligt första stycket 5 och 6.

Personuppgiftsansvar

7 § En myndighet är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Personuppgiftsansvaret enligt första stycket omfattar även behand- ling som en myndighet utför genom direktåtkomst till personupp- gifter hos en annan myndighet eller enskild.

När behandling kan tillåtas

8 § Personuppgifter får behandlas om det är nödvändigt för att en myndighet ska kunna utföra sin verksamhet.

38

9 § Behandling som är tillåten enligt denna lag eller föreskrifter som meddelats med stöd av den får utföras även om den registrerade motsätter sig behandlingen.

Särskilda kategorier av personuppgifter

10 § Utöver vad som följer av 15, 16, 18 och 19 §§ personupp- giftslagen (1998:204) får känsliga personuppgifter behandlas om upp- gifterna har lämnats i ett ärende eller är nödvändiga för handlägg- ning av det eller om uppgifterna behandlas endast i löpande text.

11 § Personnummer eller samordningsnummer får tas in i ett beslut endast om beslutet rör en enskilds identitet eller motsvarande per- sonliga förhållanden, det är nödvändigt för att beslutet ska kunna verkställas eller det krävs med hänsyn till beslutande myndighets behov av identifieringsuppgifter.

Sökförbud

12 § Uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fack- förening liksom uppgifter som rör hälsa eller sexualliv får användas som sökbegrepp endast om det är tillåtet enligt föreskrifter som tagits in i bilaga till denna lag eller i annan lag eller förordning.

Vad som sägs i första stycket gäller inte vid en sökning i en viss handling eller i ett visst ärende.

Elektroniskt utlämnande

Direktåtkomst

13 § Direktåtkomst till personuppgifter som är sekretessreglerade är tillåten endast i den utsträckning som anges i bilaga till denna lag eller i annan lag eller förordning. Med sekretessreglerade uppgifter avses detsamma som i offentlighets- och sekretesslagen (2009:400).

39

Vad som sägs i första stycket gäller inte direktåtkomst som med- ges

1. den registrerade eller dennes ombud till uppgifter som hänför sig till den registrerade,

2. till personuppgifter som är sekretessreglerade enligt 21 kap.

7 § offentlighets- och sekretesslagen,

3.ett personuppgiftsbiträde, eller

4.en myndighet endast för sådan teknisk bearbetning eller tek- nisk lagring som avses i 2 kap. 10 § första stycket tryckfrihets- förordningen för den utlämnande myndighetens räkning.

14 § Innan en myndighet medger direktåtkomst till personuppgifter ska myndigheten göra en risk- och sårbarhetsanalys och komma överens med mottagaren av personuppgifterna hur skyddet för per- sonuppgifterna ska säkerställas. Av överenskommelsen ska också framgå hur utövandet av de skyldigheter som personuppgiftsansvaret innefattar ska ske.

Vad som sägs i första stycket ska i tillämpliga delar även gälla då en myndighet på annat sätt än genom direktåtkomst samarbetar med andra myndigheter eller enskilda på sätt som innebär behand- ling av personuppgifter i gemensamma eller annars integrerade infor- mationssystem.

Annat utlämnande i elektronisk form

15 § Får en personuppgift lämnas ut till en enskild, kan det ske i elektronisk form om det inte är olämpligt med hänsyn till skyddet för personuppgiften.

Överföring till tredjeland

16 § Utöver vad som följer av 34 § personuppgiftslagen (1998:204) eller av föreskrifter eller beslut som meddelats med stöd av 35 § samma lag får personuppgifter överföras till tredjeland som saknar adekvat skyddsnivå, om

1.överföringen krävs för handläggningen av ett visst ärende, eller

2.överföringen är nödvändig för att fullgöra en uppgiftsskyldig- het som följer av lag eller förordning eller avtal med annan stat eller

40

mellanfolklig organisation som Sverige har tillträtt eller annars är förpliktat att följa.

Säkerhet vid behandlingen

17 § En myndighet ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda de personuppgifter som behandlas. Säkerhetsarbetet ska omfatta förebyggande, löpande och uppfölj- ande åtgärder samt åstadkomma en lämplig säkerhetsnivå i förhåll- ande till de risker som behandlingen medför och karaktären hos de uppgifter som ska skyddas. Vid utformningen av säkerhetsåtgärderna ska myndigheten även beakta bestämmelser om informations- säkerhet i annan författning som gäller för myndigheten.

18 § Tillgången till personuppgifter ska begränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter.

Personuppgiftsbiträde

19 § Ett personuppgiftsbiträde eller den som arbetar under biträdets ledning får behandla personuppgifter bara i enlighet med instruk- tioner från den personuppgiftsansvariga myndigheten. Detta gäller även för biträden som anlitats av ett personuppgiftsbiträde.

20 § När en myndighet anlitar ett personuppgiftsbiträde, ska myndig- heten förvissa sig om att biträdet

1.ser till att personuppgifter behandlas bara i enlighet med instruk- tioner från myndigheten,

2.kan genomföra de säkerhetsåtgärder som avses i 17 § och som måste vidtas till skydd för de personuppgifter som biträdet behand- lar,

3.fortlöpande vidtar säkerhetsåtgärderna, och

4.inte anlitar annat biträde utan godkännande från myndigheten.

21 § Det ska finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för myndighetens räkning. Avtalet ska innehålla instruktioner och villkor om personuppgiftsbiträdets

41

skyldigheter i frågor som avses i 19 och 20 §§. Motsvarande avtal ska finnas med ett biträde som anlitats av ett personuppgiftsbiträde.

Förteckning över behandlingar

22 § En myndighet ska föra en förteckning över de behandlingar som myndigheten utför med stöd av denna lag.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om vilka uppgifter en sådan förteckning ska innehålla.

Undantag från informationsskyldigheten

23 § Bestämmelserna i 23, 25 och 26 §§ personuppgiftslagen (1998:204) ska inte tillämpas i den utsträckning som en uppgift inte får lämnas ut till den registrerade på grund av sekretess enligt offent- lighets- och sekretesslagen (2009:400) eller föreskrifter som med- delats med stöd av den lagen.

Bestämmelserna i 26 § personuppgiftslagen behöver inte tillämpas vid behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av per- sonuppgifter.

Korrigering av felaktiga personuppgifter eller annars otillåten behandling

24 § En personuppgift ska på begäran av den registrerade rättas eller kompletteras om uppgiften rör honom eller henne och den är fel- aktig eller ofullständig till följd av en åtgärd som inte har sin grund i myndighetens eller någon annans bedömning.

25§ En personuppgift ska på begäran av den registrerade avskiljas från fortsatt behandling och inte lämnas ut till en enskild annat än med stöd av 2 kap. tryckfrihetsförordningen eller utplånas, om upp- giften rör honom eller henne och den inte får behandlas enligt denna lag.

42

Vad som sägs i första stycket gäller inte personuppgifter i ett beslut.

Tillsynsmyndighetens befogenheter

26 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få

1.tillgång till de personuppgifter som behandlas,

2.upplysningar om och dokumentation av behandlingen av per- sonuppgifter och säkerheten vid denna, och

3.tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.

27 § Om tillsynsmyndigheten konstaterar att en myndighet kan komma att behandla personuppgifter på ett olagligt sätt, ska tillsyns- myndigheten genom påpekanden eller andra åtgärder som inte är tvingande försöka åstadkomma att myndigheten uppfyller sina skyl- digheter enligt denna lag eller föreskrifter som meddelats med stöd av den.

28 § Tillsynsmyndigheten får förelägga en myndighet att uppfylla sina skyldigheter, om myndigheten inte uppfyller de krav som följer av denna lag eller föreskrifter som meddelats med stöd av den.

Av föreläggandet ska framgå vad tillsynsmyndigheten anser är nödvändigt för att avhjälpa de påtalade bristerna.

29 § Om en myndighet allvarligt brister i sin skyldighet att uppfylla de krav som gäller för en behandling av personuppgifter som myn- digheten utför, får tillsynsmyndigheten förbjuda myndigheten att fortsätta behandlingen på något annat sätt än att personuppgifter lagras. Ett beslut om förbud mot fortsatt behandling gäller omedel- bart.

30 § Tillsynsmyndigheten får hos förvaltningsrätten inom vars dom- krets tillsynsmyndigheten är belägen ansöka om att sådana person- uppgifter som har behandlats på ett olagligt sätt ska utplånas.

43

Bemyndiganden

31 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1.när behandling av personuppgifter är tillåten,

2.vilka krav som ställs på en personuppgiftsansvarig myndighet,

och

3.att känsliga personuppgifter får behandlas om det behövs med hänsyn till ett viktigt allmänt intresse.

Regeringen får meddela föreskrifter om begränsningar av möjlig- heterna att använda andra sökbegrepp än de som avses i 12 §.

Överklaganden

32 § Tillsynsmyndighetens beslut enligt denna lag om annat än före- skrifter får överklagas till allmän förvaltningsdomstol.

Tillsynsmyndigheten får bestämma att dess beslut ska gälla även om det överklagas.

33 § Beslut om rättelse eller komplettering enligt 24 §, om avskilj- ande eller utplåning enligt 25 § och om information enligt 26 § per- sonuppgiftslagen (1998:204) får överklagas till allmän förvaltnings- domstol.

Första stycket gäller inte för beslut av regeringen, Högsta dom- stolen, Högsta förvaltningsdomstolen eller riksdagens ombudsmän.

34 § Andra beslut enligt denna lag än sådana som avses i 32 § och 33 § första stycket får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Övergångsbestämmelser

1.Denna lag träder i kraft den 1 januari 2017.

2.Bestämmelserna i 21 § ska inte börja tillämpas förrän den 1 janu- ari 2019 i fråga om avtal som ingåtts före ikraftträdandet.

3.Bestämmelserna i 28 § personuppgiftslagen (1998:204) ska tillämpas i stället för 24 och 25 §§ i fråga om en begäran som gjorts före ikraftträdandet.

44

1.2Förslag till

lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 10 kap. 28 § offentlighets- och sekretess- lagen ska ha följande lydelse.

10 kap.

28 §

Sekretess hindrar inte att en uppgift lämnas till en annan myn- dighet, om uppgiftsskyldighet följer av lag eller förordning.

Sekretess hindrar inte heller att en uppgift lämnas till en annan myndighet genom direktåtkomst enligt vad som föreskrivs i lag eller förordning.

Ytterligare sekretessbrytande bestämmelser och bestämmelser om undantag från sekretess finns i anslutning till berörda sekretess- bestämmelser i avdelning IV–VI.

Denna lag träder i kraft den 1 januari 2017.

45

har vi redovisat genom delbetänkandet Överskottsinformation vid direktåtkomst (SOU 2012:90). Bland återstående delfrågor finns frågan om det finns skäl att behålla den rättsliga åtskillnaden mellan olika former av elektroniskt utlämnande samt frågan om det finns anledning att justera 6 kap. 5 § OSL, som föreskriver en skyldighet att lämna uppgift till annan myndighet, så att bestämmelsen står i bättre överensstämmelse med förekomsten av användningsbegräns- ningar i internationella avtal m.m.

Enligt våra ursprungliga direktiv skulle vårt arbete med över- synen av registerförfattningarna utmynna i utarbetandet av en gene- rell regleringsmodell för hur registerförfattningar bör struktureras, vilka begrepp som bör användas och hur begreppen bör definieras. Med en generell modell som mall skulle vi lämna konkreta förslag till registerförfattningar – modellregleringar – inom tre olika verk- samhetsområden. Avsikten var att regeringen i tilläggsdirektiv, efter att ha inhämtat synpunkter från utredaren, skulle närmare ange vilka verksamhetsområden som regleringsmodellen skulle appliceras på.

Hösten 2013 lämnade vi i en framställning till regeringen några synpunkter på inriktningen av det fortsatta arbetet. I framställningen lyfte vi fram två faktorer som vi menade borde beaktas i våra kom- mande tilläggsdirektiv.

Den första faktorn var att vi under vårt arbete med att inventera registerförfattningarna och identifiera vilka närmare problemområden som fanns hade uppmärksammat att den övergripande problem- bilden med registerförfattningarna inte bara sammanhängde med utformningen av författningarna utan också med det förhållandet att den allmänna regleringen i personuppgiftslagen i ett flertal avseenden är utformad utan hänsyn till de särskilda förhållanden som gäller för myndigheternas personuppgiftsbehandling. Vi identifierade alltså ett behov av att behandla frågor som inte är begränsade till register- författningsreglerade områden utan som gäller generellt inom myn- dighetsområdet.

Den andra faktorn var att det efter hand föreföll allt mer ange- läget att anpassa det fortsatta utredningsarbetet till det parallellt på- gående reformarbetet beträffande den unionsrättsliga dataskyddsreg- leringen innefattande det förslag till ny förordning som kommissio- nen hade lämnat en tid efter det att våra första direktiv beslutats.

Den 6 mars 2014 beslutades tilläggsdirektiv med bl.a. ändrad in- riktning av uppdraget vad gäller metoden för översynen och inrikt-

48

ningen på vad arbetet ska utmynna i. Direktiven till utredningen (dir. 2011:86, 2014:31 och 2014:147) finns intagna i betänkandet som bilagorna 1–3.

2.2Utredningsarbetet

Vårt delbetänkande

Vårt arbete inleddes med att behandla delfrågan om en eventuell ändring av begreppet allmän handling i tryckfrihetsförordningen. Den närmare frågeställningen gällde om det fanns anledning att inskränka handlingsoffentligheten såvitt avsåg överskottsinforma- tion vid direktåtkomst. Med överskottsinformation avsågs i det sam- manhanget externt tillgängliga personuppgifter som en mottagande myndighet vid direktåtkomst till en annan myndighets elektroniska informationssamling tekniskt sett har tillgång till men som den mottagande myndigheten antingen inte får ta del av i ett enskilt fall, därför att vissa rättsliga förutsättningar inte föreligger, eller får men faktiskt ännu inte har tagit del av i sin verksamhet. Frågeställ- ningen bottnar i det förhållandet att det för frågan om vilka elek- troniska upptagningar som en myndighet förvarar, och därmed vad som konstituerar en allmän handling, inte spelar någon roll om en mottagande myndighet i ett enskilt fall faktiskt har utnyttjat möj- ligheten att söka fram en upptagning eller inte. Redan det förhåll- andet att det går att göra detta räcker för att upptagningen ska bli en allmän handling hos den mottagande myndigheten. Överskotts- information uppstår därför att det när direktåtkomst etableras inte går att på förhand avgöra exakt vilka specifika uppgifter i den utläm- nande myndighetens informationssamlingar som en mottagande myndighet i konkreta fall kommer att behöva ta del av.

Vår samlade bedömning blev att en grundlagsändring med sikte enbart på överskottsinformation vid direktåtkomst inte borde före- slås. Däremot förordade vi – med anledning av ytterligare problem- ställningar som vi stötte på vid sidan om den grundlagsfråga som omfattades av vårt uppdrag – en allmän översyn av begreppet in- kommen allmän handling i den elektroniska miljön.

Mot bakgrund av att vi inte föreslog en grundlagsändring be- handlade vi i delbetänkandet frågan om sekretess för överskotts- information hos mottagande myndigheter. Vi fann därvid att bestäm-

49

melsen om överföring av sekretess vid direktåtkomst enligt 11 kap. 4 § OSL i och för sig är ändamålsenligt utformad men att kon- struktionen för konkurrensbestämmelsen i 11 kap. 8 § OSL – om att s.k. primär sekretess hos en mottagande myndighet ska tillämpas i stället för en överförd sekretess – medför en risk för att över- skottsinformation får ett försämrat sekretesskydd hos mottagande myndigheter. Vi fann också att en sådan försämring inte är moti- verad utifrån något insynsintresse. Vi föreslog därför en justering av 11 kap. 8 § OSL av innebörd att en från den utlämnande myn- digheten överförd sekretessreglering ska tillämpas på överskotts- information om den mottagande myndigheten enligt lag eller för- ordning inte får behandla informationen och en tillämpning av offent- lighets- och sekretesslagens huvudregel om konkurrens mellan sekre- tessbestämmelser i 7 kap. 3 § OSL leder till att uppgifterna i fråga är sekretessbelagda enligt den överförda sekretessregleringen.

Arbetet med grundlagsfrågan om överskottsinformation vid direktåtkomst avslutades genom att vi i januari 2013 lämnade ovan nämnda delbetänkande. Under denna del av vårt arbete fanns det en parlamentarisk referensgrupp knuten till utredningen.

Arbetets bedrivande efter delbetänkandet

Utredningens fortsatta arbete har bedrivits på sedvanligt sätt med regelbundna sammanträden med expertgruppen. Första sammanträdet i det återstående uppdraget hölls den 25 januari 2013. Därefter har ytterligare tio sammanträden hållits. Även informella kontakter inom utredningen har förekommit.

Under den aktuella utredningstiden har utredaren samrått med E-delegationen (N Fi 2009:01), Uppgiftslämnarutredningen (N 2012:01) och PSI-utredningen (S 2013:02). Samråd har vidare ägt rum med de myndigheter som anges i direktiven. Vi har också sam- manträffat med samtliga justitieombudsmän, Riksarkivet och För- säkringskassan.

Sekretariatet har besökt eller haft andra särskilda möten med E- hälsomyndigheten, Justitiekanslern, Lantmäteriet, Myndigheten för samhällsskydd och beredskap, Skatteverket, Sveriges Kommuner och Landsting, samt Transportstyrelsen. Sekretariatet har också träffat företrädare för näringslivet. Nämnda möten har i allt väsentligt syftat

50

till att inhämta information och synpunkter i frågor som rör utred- ningsuppdraget.

För att få ytterligare underlag i vårt översynsarbete har vi in- bjudit myndigheter, enskilda företag och andra intressenter att lämna synpunkter och bidra med erfarenheter utifrån ett antal frågeställ- ningar rörande registerförfattningar. Vi fick därvid bistånd av E-dele- gationen och Sveriges Kommuner och Landsting med att sprida frågorna till möjliga intressenter. Svar inkom från såväl statliga som kommunala myndigheter. Även ett antal näringsidkare besvarade frågeställningarna, såsom Bisnode och Upplysningscentralen (UC) vilka båda bedriver verksamhet med s.k. vidareutnyttjande av offent- lig information.

Datainspektionen och Myndigheten för samhällsskydd och bered- skap har bistått utredningen med underlag angående frågor om in- formationssäkerhet och skydd för personuppgifter.

Härutöver har sekretariatet haft samråd eller annan dialog med ett flertal andra utredningar, bl.a. Utredningen om rätt information i vård och omsorg (S 2011:13), Statistikutredningen 2012 (Fi 2011:05), Utredningen om personuppgiftsbehandlingen vid ISF (S 2013:13), E-hälsokommittén (S 2013:17), Integritetskommittén (Ju 2014:09) och 2014 års Utlänningsdatautredning (Ju 2014:11).

Utredare och sekretariat har deltagit i olika konferenser och semi- narier med anknytning till utredningsuppdraget.

Arbetet har bedrivits med aktivt deltagande av och i samråd med experterna. Med hänsyn till detta redovisas arbetet i denna del av vårt uppdrag med användande av vi-form, även om det inte funnits full- ständig samsyn i alla delar.

2.3Slutbetänkandets disposition m.m.

Framställningen i det följande inleds med en allmän bakgrund där vi i kapitel 3 redogör kort för bl.a. it-politik, gällande rätt och kom- missionens förslag till uppgiftsskyddsförordning. I kapitel 4 beskrivs översiktligt registerlagstiftningsområdet och vår inventering av detta. I kapitel 5 redovisas våra överväganden angående delfrågan om det finns skäl att behålla den rättsliga åtskillnaden mellan olika former av elektroniskt utlämnande. I kapitel 6 behandlas delfrågan om det finns anledning att justera 6 kap. 5 § OSL med anledning av före-

51

komsten av användningsbegränsningar i internationella avtal m.m. I återstående kapitel, kapitel 7–21, redovisas våra överväganden och förslag i fråga om en generell, enhetlig och samlad reglering för myndigheters behandling av personuppgifter.

I viss utsträckning förekommer en del upprepningar vad gäller redovisning av gällande rätt m.m. Avsikten med detta är att under- lätta separat läsning av varje kapitel utan alltför omfattande hänvis- ningar till tidigare kapitel i betänkandet.

Det kan observeras att vi i det följande omväxlande använder termerna persondataskyddsreglering och dataskyddsreglering som benämning på det rättsområde med särskild inriktning på att reg- lera behandling av personuppgifter som är helt eller delvis auto- matiserad eller som ingår i manuella register. Någon betydelseskill- nad mellan termerna är inte avsedd.

Det kan också noteras att vi i det följande använder benäm- ningen ”brottsbekämpande verksamhet” i en tämligen vidsträckt bemärkelse. Vad som avses är sådan verksamhet som inte omfattas av kommissionens förslag till uppgiftsskyddsförordning utan av ett förslag till Europaparlamentets och rådets direktiv om skydd för enskilda personer med avseende på behöriga myndigheters behand- ling av personuppgifter för att förebygga, utreda, avslöja eller lag- föra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter.

52

Flertalet myndigheter har numera webbaserade e-tjänster som vänder sig till medborgare och företag. Några exempel är Skatte- verkets och Försäkringskassans e-tjänster för skattedeklarationer, begäran om sjukpenning m.m. Hos många kommuner kan invån- arna via internet ha kontakt med vård och skola, ansöka om eko- nomiskt bistånd eller bygglov m.m. Vid årsskiftet 2013/14 hade ca 30 procent av myndigheterna s.k. mobila appar, drygt 70 procent använde sociala medier i kontakten med enskilda och över hälften av myndigheterna använde sig av s.k. molntjänster i någon form (Skr. 2013/14:155 s. 27). Digitala ärendehanteringssystem där all information i ett ärende samlas i en elektronisk akt blir allt van- ligare. Ett digitalt ärendehanteringssystem består normalt av ett elektroniskt diarium, ett elektroniskt system för handläggning i elektroniska akter där även skannade inlagor på papper lagras och ett digitalt arkiv. I dag används it både för att hantera information om verksamheten och som en del i verksamheten som sådan. Inom exempelvis den offentliga hälso- och sjukvården sker såväl vård- dokumentation, patientjournalföring m.m. som faktiskt utförande av vård, t.ex. vid ultraljudsundersökningar och operationer, med användning av it.

3.1.2Aktuell it-politik och strategi

Ett nytt mål för it-politiken beslutades av riksdagen 2011 (prop. 2011/2012:1, 2011/12:TU1). Målet är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. För att uppnå detta krävs ökad digital delaktighet så att fler vill och vågar använda digitala tjänster. Det krävs även fler tjänster som gör att människor upplever att de verkligen har nytta av att använda internet. Ett delmål är att Sverige ska ha bredband i världsklass. Alla hushåll och företag bör ha goda möjligheter att använda sig av elektroniska samhällstjänster och service via bredband (prop. 2009/10:193). Målet gäller fortfarande (2014/15:TU1 s. 15 f., jfr prop. 2014/15:1 utgiftsområde 22 s. 126).

I september 2011 beslutade regeringen om en ny strategi för it- politiken, It i människans tjänst – en digital agenda för Sverige (dnr N2011/342/ITP). Agendan är en sammanhållen strategi för it- politiken som syftar till att statens befintliga resurser ska utnyttjas

56

bättre. I den digitala agendan har regeringen presenterat ambitioner och insatser som tillvaratar de möjligheter som digitaliseringen ger. För att nå det ovannämnda it-politiska målet har med utgångs- punkt i it-användarens perspektiv fyra strategiska områden identi- fierats i agendan: 1. lätt och säkert att använda, 2. tjänster som skapar nytta, 3. det behövs infrastruktur och 4. it:s roll för samhällsutveck- lingen.

I juni 2012 tillsatte regeringen Digitaliseringskommissionen som har i uppdrag att verka för att det it-politiska målet i agendan uppnås och att regeringens ambitioner inom området fullföljs (dir. 2012:61). En del av kommissionens uppdrag är att ta fram indika- torer för att mäta måluppfyllelsen. Slutredovisning av uppdraget ska ske senast den 31 december 2015.

3.1.3Förvaltningspolitik och e-förvaltning

Hur den offentliga förvaltningen utvecklas, organiseras och styrs har stor betydelse för myndigheternas informationshantering. I 2010 års förvaltningspolitiska proposition lade regeringen fram mål och riktlinjer för det fortsatta arbetet med i första hand den statliga förvaltningen. Det övergripande målet för förvaltningspolitiken ska vara en innovativ och samverkande statsförvaltning som är rätts- säker och effektiv, har en väl utvecklad kvalitet, service och tillgäng- lighet och därigenom bidrar till Sveriges utveckling och ett effektivt EU-arbete. Målet har antagits av riksdagen och är alltjämt gällande (prop. 2009/10:175 samt prop. 2014/15:1 utgiftsområde 2). Sam- verkan, inte minst myndigheter emellan, ska ytterligare utvecklas, dels av effektivitetsskäl, dels för att medborgare, företagare och andra förväntar sig att staten uppträder samordnat. Förstärkt samverkan mellan statsförvaltningen och kommunerna inom vissa områden finns också på den förvaltningspolitiska dagordningen. Elektronisk förvaltning (e-förvaltning) ska bidra till det förvaltningspolitiska målet.

E-förvaltning är ett begrepp som används för att beskriva en form av verksamhetsutveckling inom den offentliga förvaltningen som innebär att myndigheterna drar nytta av it och kombinerar den nya tekniken med organisatoriska förändringar och satsningar på kompetensutveckling i syfte att förbättra effektiviteten i sina respek-

57

tive verksamheter. Benämningen e-förvaltning används också för att beskriva statsförvaltningens användning av it för utbyte av infor- mation och tjänster med medborgare, företag och andra delar av förvaltningen. E-förvaltning är också en viktig del i den digitala agendans strategiska område 2. ”tjänster som skapar nytta”.

I januari 2008 fastställde regeringen en nationell handlingsplan för den svenska e-förvaltningen (Fi2008/491). I denna anges det övergripande målet för e-förvaltningen vara att arbetet ska leda till att det ska vara så enkelt som möjligt för så många som möjligt att utöva sina rättigheter och fullgöra sina skyldigheter samt ta del av förvaltningens service. Service till medborgare och företag står i fokus. Det övergripande målet ska uppnås med hjälp av insatser inom följande fyra områden; regelverk för myndighetsövergripande samverkan och informationshantering, tekniska förutsättningar och it-standardisering, gemensamma verksamhetsstöd, kompetens- försörjning och samlad uppföljning samt förvaltningens kontakter med medborgare och företag. Det gemensamma arbetet är inriktat mot tre målbilder; en enklare vardag för företag och privatpersoner, en öppnare och smartare förvaltning som stödjer innovation och delaktighet samt en effektivare offentlig verksamhet (prop. 2011/12:1 utgiftsområde 22 s. 85). I mars 2009 tillsattes E-delegationen som ett led i genomförandet av handlingsplanen för e-förvaltning.

Den 17 december 2012 presenterade regeringen en ny strategi: Med medborgaren i centrum – Regeringens strategi för en digitalt samverkande statsförvaltning (N2012/6402/ITP). I strategin beskrivs regeringens målsättningar för arbetet med att styra och förstärka myndigheternas förmåga att samverka digitalt i förvaltningsgemen- samma it-frågor. Den enskilda medborgarens och företagarens be- hov ska därvid vara i centrum för utvecklingen av framtidens digi- tala samhällsservice. Fler förvaltningsgemensamma digitala tjänster ska bidra till att förenkla vardagen för privatpersoner och företag. De ska utformas efter användarnas behov, vara enkla och säkra att använda och lätta för medborgare att hitta. Genom att göra det lättare att hitta och använda sådan statlig information som kan vidareutnyttjas och sådana statliga tjänster som har gränssnitt som kan användas av andra system ska innovation stödjas. Publicering av offentlig information via internet och användning av sociala medier ska öka möjligheterna till insyn och delaktighet. Kvaliteten och effektiviteten i statsförvaltningen ska öka genom standardiserad

58

informationshantering, förbättrad informationssäkerhet och digi- taliserade processer. En viktig utgångspunkt i all utveckling av stats- förvaltningens tjänster är att effektivitet och service alltid måste vägas mot skyddet för den enskildes integritet och behov av sekre- tesskydd. Målen ska ligga till grund för regeringens koordinering och prioritering av förvaltningsgemensamma utvecklingsprojekt.

I budgetpropositionen för 2015 annonserade regeringen en för- stärkt styrning och samordning av den övergripande it-använd- ningen i statsförvaltningen genom en fyraårig satsning under åren 2015–2018. Syftet är att nå målen för e-förvaltningen samt främja utvecklingen och användningen av gemensamma lösningar. Sats- ningen omfattar ett flertal insatser, bl.a. avser regeringen öka styr- ningen av myndigheters anslutning till gemensamma e-tjänster och peka ut förvaltningsansvar för gemensamma lösningar och förmågor som krävs för en digitalt samverkande förvaltning. Vidare ska upp- följningen av myndigheternas it-användning förstärkas. I december 2014 beslutade riksdagen tillföra ytterligare medel till satsningen (2014/15:TU1 s. 51 anslaget 2:6 Gemensamma e-förvaltningspro- jekt av strategisk betydelse, jfr prop. 2014/15:1 utgiftsområde 2 s. 68 och utgiftsområde 22 s. 148 f.).

I vårt delbetänkande Överskottsinformation vid direktåtkomst (SOU 2012:90) har vi i korthet beskrivit några exempel på aktuella aktörer och initiativ eller utvecklingsprojekt inom e-förvaltningen som pågått parallellt med vårt arbete, vi hänvisar till den beskriv- ningen (a. bet. s. 29 f.).

3.1.4E-förvaltning inom EU

Inom EU bedrivs ett aktivt arbete med att främja utvecklingen av informationssamhället inom Europa. Den 29 april 2010 lade Euro- peiska kommissionen fram en digital agenda för Europa som är ett av sju ”flaggskeppsinitiativ” i EU:s övergripande strategi för tillväxt EU2020 (KOM[2010] 245 slutlig respektive KOM[2010] 2020 slutlig). Det huvudsakliga målet med agendan är att utveckla en digital inre marknad för att styra Europa mot en smart och hållbar tillväxt för alla. Utvecklandet av en modern e-förvaltning är en vik- tig del i den digitala agendan.

59

Den 15 december 2010 lade kommissionen fram en handlings- plan 2011–2015 för e-förvaltning (KOM[2010] 743 slutlig). Syftet med planen är att främja framväxten av en ny generation av öppna, flexibla och samverkande e-förvaltningstjänster för medborgare och företag. Dessa tjänster ska kunna öka medborgarnas och företagarnas egenmakt, öka rörligheten på den inre marknaden och sörja för att den offentliga sektorn stödjer en ekonomi baserad på framtida nätverk. Handlingsplanen identifierar fyra politiska prioriteringar. Medlemsstater ska använda e-förvaltning för följande ändamål: 1. öka medborgares och företags egenmakt, 2. öka rörligheten på den inre marknaden, 3. öka effektiviteten i offentlig sektor och 4. skapa nödvändiga möjliggörare och förutsättningar för att detta ska kunna ske.

Utöver den digitala agendan och handlingsplanen finns ett antal EU-direktiv och andra rättsakter, ytterligare handlingsplaner eller rekommendationer och pågående projekt och andra samarbeten mellan EU:s medlemsstater.

3.2Rättslig reglering till skydd för personuppgifter

3.2.1Internationella åtaganden avseende dataskydd

Förenta Nationernas allmänna förklaring om de mänskliga rättigheterna m.m.

Förenta nationernas (FN) generalförsamling antog år 1948 en uni- versell deklaration om de mänskliga rättigheterna – Förenta Nationer- nas allmänna förklaring om de mänskliga rättigheterna. Deklara- tionen är inte formellt bindande för medlemsstaterna, men har be- tydelse som ett uttryck för vad den internationella opinionen kräver. I artikel 12 sägs att ingen ”må utsättas för godtyckliga ingripanden i fråga om privatliv, familj, hem eller korrespondens, ej heller angrepp på heder och anseende” samt att envar har rätt till lagens skydd mot sådana ingripanden eller angrepp. Vidare sägs i artikel 29 att endast sådana inskränkningar i de i deklarationen angivna fri- och rättigheterna är tillåtna som fastställts i lag i ute- slutande syfte att trygga tillbörlig hänsyn till och respekt för andras fri- och rättigheter samt för att tillgodose det demokratiska sam- hällets rättmätiga krav på moral, allmän ordning och allmän välfärd.

60

Inom FN har också utarbetats en internationell konvention om medborgerliga och politiska rättigheter, som antogs av general- församlingen år 1966. Sverige anslöt sig till konventionen år 1971, varefter konventionen trädde i kraft år 1976. I konventionen be- handlas vad som hör till skyddet för den personliga integriteten främst i artikel 17. Enligt denna artikels punkt 1 bör ingen utsättas för godtyckliga eller olagliga ingripanden i sitt privat- och familje- liv, sitt hem eller sin korrespondens, ej heller för olagliga angrepp på sin heder och sitt anseende. Vidare sägs i punkt 2 att envar har rätt till lagens skydd mot sådana ingripanden eller angrepp. De stater som har tillträtt konventionen åläggs således vissa skyldig- heter. Ett särskilt inrättat organ benämnt Kommittén för de mänsk- liga rättigheterna (Human Rights Committee) övervakar att de till konventionen anslutna staterna efterlever sina skyldigheter. Förenta nationernas generalförsamling antog även år 1990 riktlinjer om datoriserade register med personuppgifter.

Europakonventionen

Den europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) är sedan den 1 januari 1995 inkorporerad i svensk rätt och gäller här i landet som lag (prop. 1993/94:117, 1993/94:KU24). Den har alltså inte getts ställning som grundlag. I 2 kap. 19 § RF har emellertid införts en bestämmelse om att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtagan- den på grund av konventionen.

Av betydelse för skyddet för den personliga integriteten är framför allt artikel 8 i konventionen. Där stadgas att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korre- spondens. En offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demo- kratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Det står klart att behandling av personuppgifter och t.ex. rätt till tillgång till registrerade personuppgifter i och för sig kan falla inom

61

tillämpningsområdet för artikel 8 i Europakonventionen. All slags behandling av personuppgifter omfattas dock inte, utan frågan måste gälla privatliv, familjeliv, hem eller korrespondens. Primärt innebär artikel 8 att staten ska avhålla sig från ingrepp i den skyddade rättig- heten. Artikeln innebär även en skyldighet för staten att vidta posi- tiva åtgärder för att skydda den enskildes privatsfär. Sådana positiva åtgärder kan utgöras av lagstiftning, men också ha till ändamål att på annat sätt tillförsäkra medborgarna skydd mot övergrepp i sär- skilda situationer (Hans Danelius, Mänskliga rättigheter i europeisk praxis, 4 uppl. 2012, s. 347). I sin praxis har Europadomstolen också framhållit att kravet på att ingreppet ska vara nödvändigt inte är synonymt med ”oundgängligt”. Vad som krävs är däremot att det finns ett ”angeläget samhälleligt behov”. Inskränkningen i den grundläggande rättigheten måste vidare stå i rimlig proportion till det syfte som ska tillgodoses genom inskränkningen. Varje konven- tionsstat har själv en viss frihet att avgöra om en inskränkning är nödvändig. Europadomstolen förbehåller sig dock rätten att över- vaka om denna frihet utnyttjas på ett rimligt sätt.

EU-domstolen har slagit fast att bestämmelserna i artikel 8 i Europakonventionen har betydelse vid sidan av det s.k. dataskydds- direktivet vid bedömningen av nationella regler som tillåter behand- ling av personuppgifter (dom den 20 maj 2003 i mål C-465/00, C- 138 och 139/01, Österreichiscer Rundfunk m.fl.)

Europarådets dataskyddskonvention

Europarådets ministerkommitté antog år 1981 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av person- uppgifter, den s.k. dataskyddskonventionen (se prop. 1981/82:189). Konventionen trädde i kraft den 1 oktober 1985. Konventionens syfte är att säkerställa respekten för grundläggande fri- och rättig- heter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Utgångspunkten är att vissa av den enskildes rättigheter kan behöva skyddas i för- hållande till den princip om fritt flöde av information, oberoende av gränser, som finns inskriven i internationella överenskommelser om mänskliga rättigheter. Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk

62

databehandling av personuppgifter i allmän och enskild verksam- het. I konventionen anges krav på beskaffenheten av de person- uppgifter som undergår automatisk databehandling, bl.a. krav på att uppgifterna ska inhämtas och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet, att vissa typer av uppgifter inte får undergå automatisk databehandling om inte den nationella lagen ger ett ändamålsenligt skydd, samt att lämpliga säkerhets- åtgärder ska vidtas för att skydda personuppgifter gentemot oav- siktlig eller otillåten förstörelse. Inom Europarådet pågår en över- syn av konventionen.

Inom Europarådet har vidare utarbetats ett flertal rekommenda- tioner på dataskyddsområdet.

Riktlinjer från OECD

Inom Organisationen för ekonomiskt samarbete och utveckling, OECD, har en expertgrupp utarbetat vissa riktlinjer i fråga om integritetsskyddet och persondataflödet över gränserna. Riktlinjerna antogs år 1980 av OECD:s råd tillsammans med en rekommen- dation till medlemsländernas regeringar om att beakta riktlinjerna i nationell lagstiftning. Samtliga medlemsländer, däribland Sverige, har godtagit rekommendationen och åtagit sig att följa denna. Rikt- linjerna är tillämpliga på personuppgifter inom både den offentliga och privata sektorn. De gäller både för uppgifter som lagras auto- matiskt och som förs manuellt. Syftet är emellertid att undvika de risker för personlig integritet och individens frihet som person- uppgifter kan utgöra på grund av det sätt på vilket de behandlas, på grund av uppgifternas natur eller på grund av de sammanhang i vilka de används. År 2013 reviderades riktlinjerna genom införan- det av vissa nyheter och förändringar.

EU:s stadga om de grundläggande rättigheterna

Lissabonfördraget innebär att Europeiska unionens stadga om de grundläggande rättigheterna, tillkännagiven av parlamentet, rådet och kommissionen den 7 december 2000 och anpassad den 12 decem- ber 2007, numera är rättsligt bindande. En referens till stadgan har införts i artikel 6.1 i unionsfördraget. I stadgan bekräftas de rättig-

63

heter som har sin grund i medlemsstaternas gemensamma författ- ningstraditioner och internationella förpliktelser, Europakonven- tionen, unionens och Europarådets sociala stadgor samt rättspraxis från Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Stadgans syfte är att kodifiera de grundlägg- ande fri- och rättigheter som EU redan erkänner.

I stadgans artikel 7 föreskrivs att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sin korrespondens. I artikel 8 föreskrivs vidare att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.

Stadgan riktar sig till verksamhet som utförs av EU:s egna organ och institutioner och den blir tillämplig för medlemsstaterna endast i de fall där de tillämpar EU-rätten (artikel 51).

När det gäller de garanterade rättigheternas räckvidd följer av artikel 52 i stadgan att varje begränsning i utövningen av de rättig- heter och friheter som erkänns i stadgan ska vara föreskriven i lag och vara förenlig med proportionalitetsprincipen och det väsentliga innehållet i fri- och rättigheterna. I den mån rättigheterna i stadgan motsvarar rättigheter som skyddas av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen. Stadgans artiklar får inte tolkas som att de inskränker eller inkräktar på rättigheter enligt andra konventioner eller överenskommelser om fri- och rättigheter.

Dataskyddsdirektivet m.m.

Den 24 oktober 1995 antogs Europaparlamentets och rådets direk- tiv 95/46/EG om skydd för enskilda personer med avseende på be- handling personuppgifter och om det fria flödet av sådana upp- gifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Medlemsstaterna får inom den ram

64

som anges i direktivet närmare precisera villkoren för när behand- ling av personuppgifter får förekomma. Sådana preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen. Direktivet gäller inte för behandling av personuppgifter på områden som faller utanför unionsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.

Dataskyddsdirektivet är endast tillämpligt på behandling av upp- gifter om fysiska personer och berör alltså inte skyddet för juri- diska personer. Direktivet omfattar inte bara automatiserad behand- ling, utan också manuell behandling av personuppgifter som ingår eller kommer att ingå i ett register. Direktivet omfattar inte be- handling av personuppgifter för privat bruk.

Enligt dataskyddsdirektivet måste all behandling av personupp- gifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligt angivna vid tiden för insamling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.

Personuppgifter får enligt direktivet behandlas bara i vissa fall. Personuppgifter får bl.a. behandlas om den registrerade otvetydigt har lämnat sitt samtycke, om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åligger den registeransvarige eller är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning. Personuppgifter får även behandlas om intresset av att den registeransvarige får behandla uppgifterna väger tyngre än den registrerades intresse av att de inte behandlas.

Vissa särskilda i direktivet angivna kategorier av uppgifter får som huvudregel inte behandlas. Det gäller uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I direktivet görs dock undan- tag från denna regel i vissa särskilt angivna situationer, bl.a. om det finns uttryckligt samtycke från den registrerade.

Dataskyddsdirektivet föreskriver att den registeransvarige ska informera den registrerade om att personuppgifter är föremål för behandling och därvid redogöra för ändamålet med behandlingen. Har uppgifterna inte samlats in från den registrerade själv behöver

65

den registeransvarige dock inte lämna någon information, om den registrerade redan känner till informationen eller om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Vidare har den regi- strerade rätt att få sådana uppgifter som inte har behandlats i enlig- het med direktivet rättade, utplånade eller blockerade. Direktivet innehåller även regler om säkerhet vid behandlingen.

På EU-nivå finns även kompletterande rättsakter till dataskydds- direktivet, bl.a. det s.k. dataskyddsrambeslutet med särskilda regler om skydd för personuppgifter i frågor som rör polisiärt och straff- rättsligt samarbete (rådets rambeslut 2008/977/RIF av den 27 novem- ber 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete).

För närvarande pågår inom EU en övergripande översyn av bl.a. dataskyddsdirektivet, se avsnitt 3.3.

3.2.2Nationell reglering

Regeringsformen

Grundläggande bestämmelser om skydd för den personliga integri- teten finns i regeringsformen. I målsättningsstadgandet i 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. I 2 kap. 4 och 5 §§ finns bestämmelser om absolut skydd mot allvarliga fysiska integritetsintrång bl.a. döds- och kropps- straff. Enligt 6 § samma kapitel är var och en därutöver skyddad gentemot det allmänna mot bl.a. påtvingande kroppsliga ingrepp.

Den 1 januari 2011 trädde en ny bestämmelse, 2 kap. 6 § andra stycket RF, i kraft. Enligt bestämmelsen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Bestäm- melsen innebär alltså att enskilda är skyddade mot åtgärder från det allmännas sida men träffar inte åtgärder som en enskild vidtar i för- hållande till en annan enskild. Bakgrunden till bestämmelsen är att det ansågs finnas vissa brister i lagstiftning som innefattade intrång

66

i den enskildes personliga integritet. Dessa brister bestod i att de avvägningar mellan olika motstående intressen som normalt ska göras i lagstiftningsärenden i vissa fall var bristfälligt redovisade och att det i första hand var de negativa effekterna av olika integritets- begränsande åtgärder som var knapphändigt belysta (prop. 2009/10:80 s. 175 f.). Av bl.a. dessa skäl ansågs det därför finnas ett behov av att stärka skyddet av den personliga integriteten i grund- lag. Det stärkta grundlagsskyddet består i att en begränsning av det skydd som bestämmelsen föreskriver endast får göras i form av lag och under de förutsättningar som anges 2 kap. 21–22 §§ RF.

Personuppgiftslagen

Dataskyddsdirektivet har genomförts i svensk rätt genom person- uppgiftslagen (1998:204). Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga inte- gritet kränks genom behandling av personuppgifter. Liksom den tidigare datalagen (1973:289), vilken upphävdes i och med person- uppgiftslagens införande, är personuppgiftslagen generellt tillämp- lig och gäller både för myndigheter och enskilda som behandlar personuppgifter. Rent privat behandling av personuppgifter är dock undantagen.

Personuppgiftslagen är subsidiär i förhållande till annan lag eller förordning (2 §). Vid lagens införande anfördes att det traditionella svenska systemet med särregler i särskilda författningar var att föredra framför generella undantag från den nya lagen (prop. 1997/98:44 s. 41).

Personuppgiftslagen, som i huvudsak följer dataskyddsdirektivets text och disposition, omfattar all helt eller delvis automatiserad be- handling av personuppgifter (5 § första stycket). Lagen är teknik- oberoende i den meningen att den i fråga om automatiserad be- handling inte begränsas till dataregister. All automatiserad behand- ling omfattas, alltså även personuppgifter som framgår av bilder och ljud. Begreppet register saknar betydelse för lagens tillämp- ning. Det avgörande är att personuppgifterna är föremål för auto- matiserad behandling, inte om de är ordnade i ett register eller inte. Det är vidare tillräckligt att behandlingen av personuppgifter delvis är automatiserad för att den ska falla under lagens bestämmelser.

67

Om uppgifter samlas in manuellt och sedan behandlas automati- serat är även insamlandet en sorts behandling som omfattas av lagen. På samma sätt faller t.ex. ett utlämnande genom manuella utskrifter från ett automatiserat register in under lagens bestämmelser. Per- sonuppgiftslagen gäller även för manuella register med personupp- gifter som är strukturerade eller ordnade så att de är sökbara på person (5 § andra stycket).

Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 §). Be- greppet behandling av personuppgift är ett vitt begrepp och om- fattar varje åtgärd eller serie av åtgärder som vidtas i fråga om per- sonuppgifter, vare sig det sker på automatisk väg eller inte. Exempel på behandling av personuppgifter är insamling, registrering, organi- sering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring (3 §).

Det finns några viktiga undantag från personuppgiftslagens tillämpningsområde. Lagen gäller t.ex. inte vid behandling av per- sonuppgifter som en fysisk person utför som ett led i en verksam- het av rent privat natur (6 §). Bestämmelserna i lagen tillämpas inte heller i den utsträckning det skulle strida mot grundlagsbestäm- melserna om tryck- och yttrandefrihet (7 § första stycket). I prin- cip ska inte heller personuppgiftslagens bestämmelser tillämpas vid journalistisk, konstnärlig eller litterär verksamhet (7 § andra stycket). Vidare anges i personuppgiftslagen att lagen inte gäller i den mån det skulle inskränka offentlighetsprincipen (8 § första stycket).

Behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökningen efter eller sammanställningen av personuppgifter omfattas inte av flertalet av de hanteringsregler som anges i personuppgiftslagen. Det som i stället avgör om en sådan behandling är tillåten eller inte är om behandlingen innebär en kränkning av den registrerades personliga integritet (5 a §).

I 9 § ges vissa grundläggande krav på all behandling av person- uppgifter som omfattas av lagen. Den personuppgiftsansvarige, vilken oftast är det organ där personuppgifterna behandlas, ska se till att personuppgifter behandlas bara om det är lagligt samt att personuppgifter alltid behandlas på ett korrekt sätt och i enlighet

68

med god sed. Vidare ska personuppgifter samlas in bara för sär- skilda, uttryckligt angivna och berättigade ändamål. Ändamålet med en behandling av personuppgifter måste bestämmas redan när upp- gifterna samlas in. Den personuppgiftsansvarige ska definiera avsik- ten med insamlingen och användningen av personuppgifterna på ett så precist sätt som möjligt. Personuppgifterna får inte sedan behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (finalitetsprincipen). Det sistnämnda kan bli aktuellt att pröva när personuppgifter lämnas ut till tredje man. Ett sådant utlämnande får alltså inte vara oförenligt med det ända- mål för vilket uppgifterna ursprungligen samlades in. Om person- uppgifter lämnas ut i form av allmänna handlingar med stöd av bestämmelserna i 2 kap. TF blir en sådan prövning dock inte aktuell.

De personuppgifter som behandlas ska vara adekvata och rele- vanta i förhållande till ändamålen med behandlingen. Med detta krav avses att personuppgifterna ska vara av sådant slag att de hör till saken (relevanta) och är ägnade att uppnå det mål man har med behandlingen (adekvata). Inte heller får fler personuppgifter behand- las än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Därutöver ska de uppgifter som behandlas vara rik- tiga och, om det är nödvändigt, aktuella. Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Personuppgifter får inte heller bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med be- handlingen.

Varje behandling av personuppgifter måste kunna hänföras till någon av de situationer som anges i personuppgiftslagens regler om när behandling av personuppgifter är tillåten. Av 10 § följer att personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen, behandlingen är nödvändig för att ett avtal med den registrerade ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas, den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldig- het, vitala intressen för den registrerade ska kunna skyddas, en arbetsuppgift av allmänt intresse ska kunna utföras, den person- uppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myn- dighetsutövning, eller ett ändamål som rör ett berättigat intresse

69

hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

Enligt 11 § får inte personuppgifter behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den person- uppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling. Inte heller får personuppgifter behandlas i de fall där behandling bara är tillåten när den registrerade har lämnat sitt samtycke och han eller hon har återkallat detta (12 §). Utöver vad som följer av 11 och 12 §§ har den enskilde ingen rätt att mot- sätta sig sådan behandling av personuppgifter som är tillåten enligt lagen.

Enligt 13 § är det generellt sett förbjudet att behandla känsliga personuppgifter. Med känsliga personuppgifter avses sådana person- uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening eller som rör hälsa eller sexualliv. Från förbudet att behandla käns- liga personuppgifter finns, utöver när den registrerade har lämnat sitt samtycke (15 §), vissa undantag (16–20 §§).

Särskilda bestämmelser om uppgifter om lagöverträdelser och behandling av personnummer finns i 21 och 22 §§.

Bestämmelser om i vilka fall information om behandling av personuppgifter ska lämnas till den enskilde finns i 23–27 §§, rätt att begära rättelse och omprövning av automatiserade beslut finns i 28 och 29 §§ och föreskrifter om säkerheten vid behandling av personuppgifter finns i 30–32 §§.

Enligt 33 § är det förbjudet att till tredjeland, dvs. ett land utan- för EU eller ESS, föra över personuppgifter som är under behand- ling, om landet inte har en adekvat nivå för skydd av personupp- gifter. Förbudet gäller i princip alla slag av personuppgifter och är alltså inte begränsat till exempelvis kategorierna känsliga person- uppgifter eller uppgifter om lagöverträdelser. Trots förbudet är det enligt 34 § tillåtet att under vissa förutsättningar föra över uppgifter till tredjeland men det förutsätter antingen att den registrerade gett sitt samtycke till överföringen eller att överföringen är nödvändig bl.a. för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras eller att vitala intressen för den registrerade ska kunna skyddas. Vidare är det tillåtet att föra över personuppgifter för

70

användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention. Regeringen får meddela föreskrifter om ytter- ligare undantag från förbudet mot överföring (35 §).

Vidare finns det i lagen bl.a. bestämmelser om anmälan till tillsynsmyndigheten, tillsyn, skadestånd och straff.

Sekretess

I offentlighets- och sekretesslagen (2009:400) finns ett stort antal bestämmelser om sekretess till skydd för uppgift om enskilds per- sonliga förhållanden, vilka syftar till att skydda enskilds personliga integritet. Av dessa bör i detta sammanhang särskilt nämnas 21 kap. 7 § OSL, den s.k. PuL-sekretessen. Enligt bestämmelsen gäller sekretess för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgifts- lagen. Bestämmelsen tar inte sikte på uppgifterna som sådana utan på vad mottagaren tänker göra med dem. Bestämmelsen avser alltså att ge ett skydd mot otillåten behandling av personuppgifter. Be- stämmelsen är tillämplig hos alla myndigheter och vid alla utläm- nanden som innefattar personuppgifter men den risk för skada som anges i bestämmelsen aktualiseras främst vid utlämnanden av en större mängd uppgifter i form av massuttag av allmänna handlingar. Också ett utlämnande av selekterade uppgifter, t.ex. uppgifter om personer med viss inkomst eller med viss politisk tillhörighet, kan indikera risk för den skada som anges i bestämmelsen.

Registerförfattningar

De s.k. registerförfattningarna har till huvudsakligt syfte att reglera inrättandet och användningen av viktigare register eller andra per- sonuppgiftssamlingar inom den offentliga sektorn.

Registerförfattningarna reglerar myndigheternas behandling av personuppgifter och är tänkta att ge ett anpassat integritetsskydd vid myndighetens hantering av personuppgifter då behov finns att avvika från eller komplettera det integritetsskydd som personuppgifts- lagen annars ger.

En utgångspunkt vid utarbetandet av registerförfattningar har varit att regleringen så långt som möjligt ska vara i överensstäm-

71

melse med personuppgiftslagen och därmed med dataskyddsdirek- tivets materiella bestämmelser samt att behovet av särregler i för- hållande till personuppgiftslagen bör övervägas noga (prop. 1997/98:44 s. 41 och Sören Öman, Särskilda registerförfattningar, Festskrift till Peter Seipel, s. 694 f.).

En omständighet som ansetts tala för en särreglering i förhåll- ande till personuppgiftslagen är att en särskild författning under vissa förutsättningar anses innebära en bättre garanti för utform- ningen av integritetsskyddet vad gäller särskilt känsliga register eller andra personuppgiftssamlingar.

Exempel på fall då en särskild författningsreglering i form av en registerförfattning har ansetts motiverad är vidare när en nödvändig behandling av personuppgifter över huvud taget inte är tillåten enligt personuppgiftslagen, när personuppgiftslagen visserligen reglerar ett visst förhållande men det finns anledning att avvika från eller precisera den regleringen, när personuppgiftslagens bestämmelser kan ge upphov till tolkningsproblem och det finns anledning att ha tydliga bestämmelser, när det finns anledning att begränsa möjlig- heterna till behandling av uppgifter av integritetsskäl i fråga om myndigheters registrering och åtkomst till stora och känsliga upp- giftsmängder eller när det finns anledning att vara särskilt tydlig gentemot allmänheten, t.ex. i fråga om vilka uppgifter om enskilda som en myndighet registrerar.

Registerförfattningar har ofta getts lagform trots att detta rent normgivningstekniskt inte har varit nödvändigt. Den bakomliggande tanken har emellertid varit att myndighetsregister med ett stort antal registrerade och med ett känsligt innehåll ska regleras särskilt genom lag (prop. 1990/91:60 s. 50, KU 1990/91:11 s. 11, se även prop. 1997/98:44 s. 41).

3.3Pågående reformarbete inom EU

3.3.1Allmänt

Den 25 januari 2012 presenterade kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personupp- gifter. Förslaget omfattar dels en förordning med en generell reg- lering som ska ersätta dataskyddsdirektivet, kallad allmän uppgifts- skyddsförordning, dels ett nytt direktiv med särregler för den brotts-

72

bekämpande sektorn som ska ersätta det gällande dataskyddsram- beslutet (rambeslut 2008/977/RIF). Det föreslagna direktivet är mera vidsträckt till sitt tillämpningsområde än dataskyddsram- beslutet i det att direktivet inte bara omfattar utbyte av information över gränserna utan även nationell personuppgiftsbehandling inom den brottsbekämpande sektorn.

Det huvudsakliga syftet med kommissionens förslag till uppgifts- skyddsförordning är att ytterligare harmonisera och effektivisera skyddet av personuppgifter i syfte att förbättra den inre mark- nadens funktion och öka enskildas kontroll över sina personupp- gifter. Enligt kommissionen kommer förslaget att undanröja den fragmentariska dataskyddsreglering som nu finns inom EU, vilket både förenklar för företagen och stärker den enskildes rätt till skydd för sina personuppgifter. Eftersom regleringen föreslås få formen av en förordning blir den direkt tillämplig i medlemsstaterna när den trätt i kraft.

Förslaget till uppgiftsskyddsförordning baseras till stor del på den struktur och reglering som finns i det nu gällande dataskydds- direktivet. Den föreslagna förordningen är liksom dataskyddsdirek- tivet utformad enligt en hanteringsmodell som innebär att själva hanteringen av personuppgifter regleras från det att uppgifterna samlas in till dess att de utplånas. Förordningen innehåller dock även en rad nyheter jämfört med dataskyddsdirektivet.

3.3.2Förslaget till uppgiftsskyddsförordning

Syfte och tillämpningsområde

I förordningens första kapitel slås syftet och tillämpningsområdet fast, vilka är i princip desamma som dataskyddsdirektivets (artik- larna 1–3). Det territoriella tillämpningsområdet utvidgas dock till att även omfatta uppgiftsbehandling som sker utanför EU så länge behandlingen utförs av företag som t.ex. erbjuder varor eller tjänster till EU-medborgare.

I kapitlet finns också en rad definitioner av begrepp som an- vänds i förordningen (artikel 4). Många av definitionerna motsvarar vad som gäller enligt dataskyddsdirektivet men vissa av defini- tionerna har ändrats och andra har tillkommit, t.ex. definitioner av personuppgiftsbrott samt genetiska och biometriska uppgifter. Defi-

73

nitionen av samtycke har ändrats på så sätt att ett samtycke alltid måste vara uttryckligt för att det ska anses utgöra ett giltigt sam- tycke i förordningens mening.

Principer och krav på behandlingen av personuppgifter

Det andra kapitlet innehåller de principer som ska styra behand- lingen av personuppgifter. Principerna motsvarar i stora drag de som redan gäller enligt dataskyddsdirektivet vad gäller t.ex. rättsliga grunder för behandling och behandling av känsliga personupp- gifter. En nyhet är införandet av en princip om att behandling av personuppgifter måste ske på ett öppet sätt (artikel 5). Det slås vidare fast att behandling efter en intresseavvägning inte kan åbe- ropas som rättslig grund vid myndigheters behandling av person- uppgifter i deras myndighetsutövning (artikel 7.1 f). En ytterligare nyhet är att en registeransvarig inte är skyldig att skaffa fram ytterligare information för att kunna identifiera en registrerad en- bart för att kunna iaktta någon bestämmelse i förordningen (arti- kel 10).

Den enskildes rättigheter

Det tredje kapitlet innehåller bestämmelser om den enskildes rättig- heter. Först och främst slås fast att den registeransvarige ska ha tydliga och lättillgängliga riktlinjer och vara skyldig att ge klar och tydlig information till den enskilde vad gäller behandlingen av personuppgifter samt informera mottagare av uppgifter under vissa villkor (artiklarna 11–13). Den enskildes rätt till information bygger i stor utsträckning på direktivets bestämmelser. I likhet med vad som redan gäller har den registrerade också rätt att få felaktiga uppgifter rättade samt att få ofullständiga uppgifter kompletterade (artiklarna 14–16).

Den nuvarande rätten att få uppgifter raderade vidareutvecklas genom förordningen till att även avse en rätt att bli ”glömd”. Detta innebär att den registeransvarige inte endast ska radera person- uppgifter som inte längre får behandlas. Om uppgifterna har gjorts offentliga ska den registeransvarige dessutom vidta alla rimliga åtgärder för att informera dem som uppgifterna spridits till att den

74

enskilde vill bli glömd. En begäran om att få bli glömd innebär som huvudregel att uppgifterna ska raderas utan dröjsmål. Endast i vissa särskilt uppräknade undantagsfall får uppgifter behållas trots den enskildes begäran om att bli glömd (artikel 17).

I förordningen införs också en rätt för den enskilde att få en kopia av de personuppgifter som behandlas samt en rätt att få person- uppgifter överförda från en registeransvarig, t.ex. en tjänsteleveran- tör, till en annan, s.k. dataportabilitet (artikel 18).

Kapitlet innehåller vidare bestämmelser som vidareutvecklar nu gällande reglering om den enskildes rätt att invända mot uppgifts- behandling och att i viss utsträckning inte bli utsatt för s.k. profi- lering, dvs. automatisk behandling av uppgifter i syfte att bedöma personliga egenskaper hos den enskilde som exempelvis arbets- prestationer eller kreditvärdighet (artiklarna 19 och 20).

Slutligen ges medlemsstaterna befogenhet att för vissa särskilt uppräknade ändamål inskränka vissa av rättigheterna och skyldig- heterna i förordningen genom nationell lagstiftning. En förutsätt- ning för att få införa sådana inskränkningar är dock att de är nöd- vändiga och proportionella i förhållande till det eftersträvade ända- målet (artikel 21). Bestämmelsen motsvarar artikel 13 i dataskydds- direktivet.

Skyldigheter för den som behandlar personuppgifter

Det fjärde kapitlet i förordningen innehåller bestämmelser om vilka skyldigheter som den registeransvarige och den som behandlar upp- gifterna för dennes räkning, dvs. registerföraren (personuppgifts- biträdet enligt personuppgiftslagen) har.

Även om många av skyldigheterna har motsvarigheter i data- skyddsdirektivet innebär förslaget att skyldigheterna utökas och vidareutvecklas. Exempelvis fastställs den registeransvariges skyldig- heter som följer av principerna om inbyggt uppgiftsskydd och upp- giftsskydd som standard (artikel 23). Således ska den personupp- giftsansvarige, både i samband med att det bestäms hur behand- lingen ska utföras och vid tidpunkten för själva behandlingen, vidta åtgärder för att säkerställa att kraven i förordningen uppfylls (”data protection by design”). Den registeransvarige ska även säkerställa att behandlingen, som standard, endast får avse de personuppgifter

75

som är nödvändiga i förhållande till syftet med behandlingen (”data protection by default”).

Vidare klargörs gemensamma registeransvarigas ansvar vad gäller förhållandena dem emellan och gentemot den registrerade (arti- kel 24).

Registerförarens ställning och skyldigheter regleras avsevärt mera utförligt i förordningen än i dataskyddsdirektivet (artikel 26). Exempelvis klargörs att en registerförare som behandlar andra uppgifter än de som anges i den registeransvariges instruktioner ska anses som gemensamt registeransvarig. Över huvud taget följer av flera bestämmelser i förordningen ett medansvar för registerförare som är nytt i förhållande till dataskyddsdirektivet. Exempelvis kan även en registerförare bli skadeståndsskyldig gentemot den regi- strerade vid otillåten behandling (artikel 77).

Den registeransvarige och registerföraren är vidare skyldig, på liknande sätt som gäller enligt direktivet, att vidta lämpliga säkerhetsåtgärder för att skydda de personuppgifter som behandlas (artikel 30). Det införs också en skyldighet för den registeransva- rige att utan dröjsmål, om möjligt inom 24 timmar, underrätta till- synsmyndigheten om ett inträffat personuppgiftsbrott, t.ex. ett dataintrång (artikel 31). I vissa fall krävs det även att de enskilda som berörs av personuppgiftsbrottet underrättas (artikel 32).

Den registeransvarige ska dessutom i vissa fall låta göra en konsekvensanalys avseende integritetsriskerna med en planerad upp- giftsbehandling (artikel 33). Den generella skyldigheten enligt data- skyddsdirektivet att anmäla behandling av personuppgifter till den nationella tillsynsmyndigheten har tagits bort. Enligt förordningen ska det endast finnas anmälningsskyldighet och krav på förhands- tillstånd i fråga om personuppgiftsbehandling som innebär sär- skilda risker (artikel 34). I stället ska det föras och bevaras en detal- jerad dokumentation om den uppgiftsbehandling som genomförs (artikel 28). Denna dokumentation ska efter begäran göras tillgäng- lig för tillsynsmyndigheten.

Varje myndighet samt alla företag med minst 250 anställda eller vars huvudsakliga verksamhet är sådan att den kräver regelbunden övervakning av enskilda ska även utse ett uppgiftsskyddsombud. Uppgiftsskyddsombudet ska utses för en period om minst två år och ges möjlighet att på ett självständigt sätt övervaka att myndig- heten eller företaget uppfyller förordningens krav (artiklarna 35–37).

76

Överföring av uppgifter till länder och internationella organisationer utanför EU

I förordningens femte kapitel regleras under vilka förutsättningar personuppgifter får överföras till tredjeland eller till en internatio- nell organisation utanför EU. Den föreslagna regleringen innebär en vidareutveckling av motsvarande reglering i dataskyddsdirek- tivet. Liksom enligt direktivet är det ett grundläggande krav för så- dan överföring att det mottagande tredjelandet säkerställer en adekvat skyddsnivå för uppgifterna. I regel är det kommissionen som ska besluta om ett tredjeland uppfyller detta krav eller inte (artiklarna 40 och 41). Om kommissionen har beslutat att ett tredjeland inte har en adekvat skyddsnivå så innebär detta ett förbud för överföring av uppgifter dit. Har kommissionen inte fattat något beslut i frågan finns det möjlighet att överföra uppgifter till tredjeland om vissa juridiskt bindande skyddsåtgärder vidtas, som t.ex. användandet av vissa godkända standardavtalsklausuler, eller med stöd av vissa direkta undantag (artikel 42–44).

Tillsynsmyndigheter

I det sjätte kapitlet finns bestämmelser om den nationella tillsyns- myndigheten. Reglerna påminner i stort om regleringen i data- skyddsdirektivet. Tillsynsmyndigheten ges dock vissa nya skyldig- heter och befogenheter, som t.ex. en skyldighet att pröva klagomål om uppgiftsbehandling och en befogenhet att väcka talan i domstol vid överträdelser mot bestämmelserna i förordningen (artikel 52). Genom förslaget införs också en befogenhet för de nationella till- synsmyndigheterna att besluta om administrativa sanktionsavgifter (artikel 53).

Tillsynsmyndigheternas samarbete och åtgärder för en konsekvent tillämpning

Genom bestämmelserna i det sjunde kapitlet i förordningen (artik- larna 55–72) införs uttryckliga regler om tillsynsmyndigheternas samarbete över nationsgränserna. Vidare föreslås en särskild meka- nism som ska garantera att förordningen tillämpas på ett konse-

77

kvent sätt i hela EU. För att uppnå detta syfte ska det bland annat inrättas en europeisk dataskyddsstyrelse bestående av representanter för de nationella dataskyddsmyndigheterna. Dataskyddsstyrelsen ersätter Arbetsgruppen för uppgiftsskydd, den s.k. Artikel 29- gruppen, som tillskapats enligt dataskyddsdirektivet. De nationella tillsynsmyndigheterna är skyldiga att samråda med dataskydds- styrelsen innan de vidtar någon åtgärd som kan få effekter i flera medlemsstater. Dataskyddsstyrelsen ska i sådana fall utfärda ett yttrande som den nationella tillsynsmyndigheten måste ta hänsyn till. Även kommissionen ges rätt att utfärda sådana yttranden som den nationella tillsynsmyndigheten måste beakta.

Rättsmedel, ansvar och sanktioner

Bestämmelserna i det åttonde kapitlet bygger på och utvecklar motsvarande reglering i dataskyddsdirektivet. I kapitlet slås fast att enskilda ska ha rätt att klaga hos en nationell tillsynsmyndighet om de anser att behandlingen av deras personuppgifter inte följt reg- leringen i förordningen (artikel 73).

Den enskilde ska dessutom ges rättsmedel för att kunna få till- synsmyndigheten att agera utifrån ett klagomål som framförts till myndigheten (artikel 74). I likhet med vad som redan gäller ska den enskilde även ha rätt att väcka talan vid domstol mot en register- ansvarig. En nyhet är att rätten gäller även gentemot en register- förare (artikel 75).

Om en enskild har drabbats av en skada på grund av en otillåten behandling av personuppgifter ska denne ha rätt till skadestånd från den som är ansvarig för behandlingen, den registeransvarige eller registerföraren (artikel 77). I övrigt är det medlemsstaterna som ska fastställa de sanktioner som ska komma i fråga vid överträdelser av förordningens bestämmelser. Sanktionerna måste dock vara effek- tiva, proportionerliga och avskräckande (artikel 78). En nyhet är att de nationella tillsynsmyndigheterna är skyldiga att besluta om admini- strativa sanktionsavgifter vid vissa överträdelser av förordningen. De belopp som ska dömas ut anges i förordningen och kan uppgå till en miljon euro, eller två procent av ett företags globala omsätt- ning, vid de allvarligaste överträdelserna av förordningens bestäm- melser (artikel 79).

78

Behandling av personuppgifter för vissa särskilda ändamål

I det nionde kapitlet finns bestämmelser om behandling av person- uppgifter för vissa särskilda ändamål. För att skapa en balans mellan skyddet för personuppgifter och yttrandefriheten anges exempelvis att medlemsstaterna ska lagstifta om undantag från vissa av förord- ningens bestämmelser för sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller för konst- närligt eller litterärt skapande (artikel 80). Det finns även särskilda bestämmelser som närmare reglerar behandling av uppgifter om hälsa samt behandling för statistiska, historiska eller vetenskapliga forskningsändamål (artikel 81 respektive 83). Medlemsstaterna får även lagstifta om sådan behandling av enskildas personuppgifter som har samband med anställning (artikel 82).

Kommissionens rätt att utfärda delegerade akter och genomförandeakter

En betydelsefull skillnad i förhållande till dataskyddsdirektivet är att kommissionen i ett stort antal bestämmelser i förordningen föreslås ges rätt att anta delegerade akter och genomförandeakter. Det handlar exempelvis om att utfärda rättsakter som närmare speci- ficerar innebörden av vissa krav som enligt förordningen ställs på behandling av uppgifter samt rätt att utfärda olika standardformu- lär och procedurregler som ska gälla vid tillämpningen av förord- ningen. Bestämmelserna i det tionde kapitlet reglerar de närmare villkoren för dessa delegerade befogenheter.

Ikraftträdande m.m.

Det elfte kapitlet innehåller förordningens avslutande bestämmelser. Det föreslås bland annat att kommissionen ska utvärdera förord- ningen och rapportera till ministerrådet och Europaparlamentet. För- ordningen ska enligt förslaget börja tillämpas två år efter att den offentliggjorts (artikel 91).

79

3.3.3Förhandlingsarbetet

Europaparlamentet

I Europaparlamentet behandlas dataskyddsreformen i utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE-utskottet). Rapportören för uppgiftsskyddsförordningen, Jan Philipp Albrecht, lade fram ett förslag till betänkande i decem- ber 2012 och den 22 oktober 2013 röstade LIBE-utskottet fram ett förslag. Den 12 mars 2014 antog Europarlamentet en resolution efter en omröstning som resulterade i en mycket stark majoritet för förslaget till uppgiftsskyddsförordning, 621 ja-röster, 10 nej-röster och 22 nedlagda röster. Förslaget till direktiv för den brotts- bekämpande verksamheten antogs med 371 ja-röster, 276 nej-röster och 30 nedlagda röster.

I resolutionen beträffande uppgiftsskyddsförordningen har Europaparlamentet föreslagit ett flertal ändringar och tillägg. Gene- rellt föreslår parlamentet ett betydligt snävare utrymme för kom- missionen att anta delegerade akter och genomförandeakter.

LIBE-utskottet, med rapportören Jan Philipp Albrecht, är även efter parlamentets resolution och EU-valet våren 2014 ansvarigt för uppgiftsskyddsförordningen i parlamentet. Något nytt ställnings- tagande har emellertid inte gjorts efter valet utan man avvaktar att rådet ska bli klart med sina förhandlingar.

Ministerrådet

Alltsedan år 2012 har uppgiftsskyddsförordningen förhandlats i Rådet för rättsliga och inrikes frågor, RIF-rådet. Förhandlingarna pågår fortfarande. Hittills har emellertid tre delöverenskommelser uppnåtts.

Redan initialt i förhandlingarna om förordningen framkom att det tycktes föreligga relativt stor enighet inom rådet om att det finns behov av att skapa ytterligare flexibilitet för den offentliga sektorn. Detsamma gällde även för behovet av att införa en mer riskbaserad ansats. Vid ett möte i RIF-rådet i juni 2013 infördes efter förslag från bl.a. Sverige en särskild artikel om tillgång till all- männa handlingar. Vid RIF-rådet i juni 2014 träffades en överens- kommelse om partiell allmän inriktning när det gäller förordningens

80

kapitel V, som innehåller bestämmelser om överföring av person- uppgifter till länder och internationella organisationer utanför EU och EES. Vid RIF-rådet i oktober 2014 träffades en överenskom- melse om partiell allmän inriktning när det gäller kapitel IV, som främst innehåller bestämmelser om de personuppgiftsansvarigas skyldigheter. Vid det senaste mötet i december 2014 uppnåddes en överenskommelse om partiell allmän inriktning med ändringar i artiklarna 1(2)a, 6(3) och 21 och hela kapitel 9. De aktuella änd- ringarna i bestämmelserna reglerar hur förordningens regelverk förhåller sig till nationella regleringar om den offentliga sektorn och vilket utrymme medlemsstaterna ska ha att i vissa situationer och vid viss personuppgiftsbehandling anta specifika, och även i vissa fall avvikande, bestämmelser i förhållande till förordningens regelverk. Syftet med ändringarna är att skapa ytterligare flexibilitet för den offentliga sektorns behandling av personuppgifter.

Vad händer nu?

Den fortsatta processen med uppgiftsskyddsförordningen är alltså beroende av att förhandlingarna inom rådet kan slutföras. EU:s nuvarande ordförandeland, Lettland, har som ambition att RIF- rådet i juni 2015 ska kunna besluta om en allmän inriktning om hela uppgiftsskyddsförordningen, dvs. rådets förslag till förord- ningstext. Det förslaget kommer sedan att vara utgångspunkten för rådets förhandlingar, trilogen, med Europaparlamentet och kom- missionen om uppgiftsskyddsförordningen. Europeiska rådet (stats- och regeringscheferna) har ställt i utsikt att man bör kunna nå fram till en överenskommelse mellan institutionerna under 2015.

Ett införande av förordningen har bedömts viktigt för att förverkliga ambitionen om en ”digital inre marknad” (Digital Single Market), vilken är av pelarna i den gällande digitala agendan för EU samt också en prioriterad fråga i kommissionens arbetsprogram för 2015. Ambitionen synes således vara att lagstiftningsprocessen ska drivas med inriktning på ett slutförande och ett beslut om införande av förordningen inom en inte alltför avlägsen tid. Enligt kom- missionens förslag ska uppgiftsskyddsförordningen börja tillämpas två år efter offentliggörandet. Europaparlamentet har inte föreslagit

81

någon ändring därvidlag och frågan har, såvitt framkommit, inte blivit föremål för någon delöverenskommelse inom rådet.

82

emellertid i dag kallas registerförfattningar har sin bakgrund i sam- hällets tilltagande datorisering under 1900-talets senare hälft och den integritetsdebatt som följde i spåren på denna utveckling.

Redan på 1960-talet började datoriseringens inverkan på sam- hället debatteras i många länder. Till en början handlade den svenska debatten om teknikens inverkan på offentlighetsprincipen. Det var emellertid 1970 års folk- och bostadsräkning som kom att spela rollen av utlösande faktor för en allmän debatt i Sverige om auto- matisk databehandling (ADB) och dess användning för personregi- strering. Myndigheternas insamlande av uppgifter om människor och deras levnadsförhållanden ansågs öka myndigheternas makt och möjlighet att styra enskildas handlingar. Även försäljningen av personuppgifter från myndigheter till enskilda, som sedan användes för selektiv reklam, utsattes för häftig kritik. År 1971 fick Offent- lighets- och sekretesslagstiftningskommittén i uppdrag att behandla frågan om lagstiftning rörande personorienterad ADB-information. Kommittén kom därmed att bli den första integritetsutredningen på dataområdet.

Offentlighets- och sekretesslagstiftningskommittén bedömde att ADB-teknikens utveckling, innebärande att stora mängder infor- mation kan föras samman i en enda enhet och därur göras analyser och sammanställningar, medförde nya faror för otillbörliga intrång i den personliga integritetssfären (SOU 1972:47 s. 56 ff.). Kom- mittén framhöll att det inte bara var betydelsefullt att förhindra reella risker för otillbörliga intrång. Beaktas borde även de psyko- logiska effekterna som vetskapen om ADB-användningen med- förde med åtföljande behov hos enskilda av att kunna lita på att det privata området verkligen respekterades av myndigheter och orga- nisationer. I detta sammanhang påtalades dock att rädslan för miss- bruk av datalagrad information inte fick undanskymma det förhåll- andet att ADB-teknikens utökade användning också hade haft mycket positiva effekter, både för samhällsekonomin och för samhälls- planeringen i stort.

Någon enhetlig definition av vad som avses med personlig inte- gritet fanns inte då och finns inte heller i dag. Begreppet har upp- märksammats i flera statliga utredningar och blivit föremål för en del ingående analyser och attitydundersökningar (se bl.a. SOU 2007:22 s. 52 f. och 77 f.). Offentlighets- och sekretesslagstift- ningskommittén hänvisade som bakgrund till sina överväganden

84

om en lagstiftning rörande personorienterad ADB-information till det i amerikansk juridisk doktrin utbildade rättsliga begreppet ”privacy” (SOU 1972 s. 56 f.). Grundtanken med begreppet är att den enskilde bör ha tillgång till en fredad sektor inom vilken han eller hon kan avvisa sådan inblandning både från det allmänna och från andra som uppfattas som otillbörlig. Rätten att bli lämnad i fred kan dock aldrig vara absolut i ett samhälle. Samhällets krav på insatser från den enskilde i fråga om t.ex. arbete och skatter måste begränsa den privata sektorn. Att närmare ange innehållet i den fredade sektorn ansåg Offentlighets- och sekretesslagstiftnings- kommittén vara svårt att göra, bl.a. eftersom man måste räkna med att det som bör skyddas efterhand kommer att förskjutas. Fakta om begångna brott, sjukdomar, mottagen socialhjälp angavs som exempel på typfall av information som det är ofrånkomligt att vissa myndigheter måste registrera för att uppfylla sina arbetsuppgifter, men som ur den enskildes synpunkt upplevs som ömtålig. Även enskildas åsikter gavs som exempel på ömtålig information. Kom- mittén underströk att inte bara vilken typ av information som av- sågs var av betydelse utan även insamlande och hantering av ett stort antal i och för sig banala uppgifter kunde i samband med ADB-teknikens möjligheter medföra negativa konsekvenser för den personliga integriteten (a.a. s. 60). Spridning och fortsatt använd- ning var också av stor betydelse.

Offentlighets- och sekretesslagstiftningskommittén bedömde att det fanns ett nära samband mellan anspråket på en fredad sektor och kravet från enskilda att bli bedömda efter relevanta kriterier. Om man vet att en myndighet har tillgång till omfattande infor- mation om enskildas personliga förhållanden ligger det nära till hands, menade kommittén, att misstänka att informationen utnyttjas till ställningstaganden som den inte är avsedd för. Vidare föreligger risk att ofördelaktiga uppgifter om en persons förflutna i otillbörlig grad kommer att påverka hans eller hennes möjligheter i framtiden. Samhällets krav på solidaritet och ekonomisk effektivitet måste därför begränsas, bl.a. genom att övervakningen av den enskilde inte tillåts bli fullständigt effektiv (SOU 1972:47 s. 63 f.).

Kommittén konstaterade att det system av befintliga skydds- regler som fanns genom bl.a. bestämmelserna om offentlighet- och sekretess och vissa straffbestämmelser, t.ex. brott mot post- och telehemlighet, var användbart mot integritetsintrång vid manuell

85

informationsbehandling. Däremot ansågs dessa bestämmelser komma till korta gentemot den automatiska databehandlingen. Särskilda regler för att möta det nya hotet ansågs därför påkallade. För att komma till rätta med riskerna med ADB-teknikens utveckling och de därmed sammanhängande riskerna för otillbörliga intrång i den personliga integriteten avseende registrering av personuppgifter lade kommittén fram ett förslag till en datalag. Förslaget ledde till genomförandet av den numera upphävda datalagen (1973:289).

Datalagen och statsmaktsregister

Datalagens syfte var att hindra att hanteringen av ADB-förda per- sonregister medförde otillbörliga intrång i den personliga integri- teten. Registrering skulle få förekomma, men det krävdes att vissa regler iakttogs. Lagen var tillämplig inom både den offentliga och privata sektorn och byggde på ett tillståndssystem. Enligt lagens ursprungliga lydelse krävdes – med visst undantag – tillstånd av den då nyinrättade Datainspektionen för att starta eller föra ett person- register med ADB. Detta gällde register hos såväl myndigheter som privata aktörer. Tillståndskravet kom senare att i vissa fall ersättas av ett anmälningsförfarande. Utöver tillstånd förutsattes Datainspek- tionen meddela föreskrifter om registrets ändamål, vilka person- uppgifter som fick ingå samt, vid behov, föreskrifter om bl.a. in- hämtandet av personuppgifter, tillåtna ADB-bearbetningar, utläm- nande av personuppgifter, bevarande och gallring eller kontroll och säkerhet.

Offentlighets- och sekretesslagstiftningskommittén hade före- slagit att Datainspektionens tillståndsprövning även skulle omfatta personregister vars inrättande beslutats av statsmakterna, dvs. av riksdagen eller regeringen. I motiven till datalagen uttalade emeller- tid departementschefen att det av flera skäl torde vara nödvändigt att särbehandla vissa statliga personregister och anförde vidare följ- ande (prop. 1973:33 s. 97).

För det första bör riksdagen kunna besluta om inrättande av person- register för riksdagens egen verksamhet eller verksamheten hos organ som är underställt riksdagen. Vidare förekommer på den offentliga sek- torn personregistrering av sådan vikt från allmän och enskild synpunkt att det är nödvändigt att frågan om registrens inrättande förbehålls statsmakterna själva. Ofta ges föreskrifter för registrering i form av lag

86

eller annan författning som meddelas av riksdagen och Kungl. Maj:t eller endera av dem. Exempel på register av denna typ finns bl.a. på rättsväsendets område.

Från datalagens krav på tillstånd kom alltså personregister vars in- rättande beslutats av riksdagen eller regeringen, s.k. statsmakts- register, att undantas (2 § datalagen, sedermera 2 a §). Enligt motiven gällde undantaget oberoende av om beslutet om registrets inrätt- ande gavs formen av lag eller annan författning eller kom till ut- tryck på annat sätt (prop. 1973:33 s. 97). Innan sådant beslut fattades skulle dock yttrande inhämtas från Datainspektionen. När Datainspektionen avgav ett sådant yttrande skulle en bedömning av registret ske enligt samma grunder som vid prövning av ett till- ståndsärende. Datainspektionen kunde även meddela föreskrifter för registret i den mån riksdagen eller regeringen inte hade gjort det, t.ex. om ändamål eller bevarande och gallring. Dessutom om- fattades även statsmaktsregister av Datainspektionens tillsyn enligt datalagen.

För övriga personregister som en kommunal eller statlig myn- dighet kunde inrätta krävdes tillstånd från Datainspektionen. När det gällde personregister som innehöll uppgifter om bl.a. straff- processuella eller administrativa frihetsberövanden eller någons sjukdom eller hälsotillstånd, dvs. registrering av uppgifter som be- dömdes vara av särskilt känslig natur, infördes dock särskilda restriktioner för att tillstånd till registerföringen skulle kunna med- ges annan än myndighet som enligt lag eller annan författning hade att föra förteckning över sådana uppgifter (4 § datalagen). Indirekt förutsattes alltså redan vid datalagens tillkomst att förandet av per- sonregister med särskilt integritetskänsligt innehåll hade uttryck- ligt författningsstöd. Det kan påpekas att det redan innan data- lagens tillkomst fanns författningar med enstaka bestämmelser om t.ex. gallring, inhämtande och spridande av uppgifter i register som motiverades av hänsyn till de registrerades integritet. Exempel på sådana registerförfattningar var lagen (1963:197) om allmänt krimi- nalregister och lagen (1965:94) om polisregister. I huvudsak hand- lade dock äldre registerlagar om att ett register av visst innehåll skulle föras för att tillgodose något allmännyttigt syfte eller lik- nande. Det primära målet i dessa äldre författningar var således inte att värna om integriteten.

87

Några förarbetsuttalanden från datalagens tid

Även efter datalagens införande fortsatte datoranvändningen och den personliga integriteten att debatteras i samhället och nya utred- ningar tog vid efter Offentlighets- och sekretesslagstiftnings- kommittén.

Datalagstiftningskommittén fick 1976 uppdraget att göra en översyn av bl.a. datalagen. I sitt delbetänkande Personregister – datorer – integritet (SOU 1978:54) behandlade kommittén bl.a. frågor om samkörning av olika personregister och användning av personnummer (s. 85–112). I detta sammanhang redogjorde kom- mittén för de risker för otillbörligt intrång i den personliga inte- griteten som kan uppkomma genom att uppgifter som ursprung- ligen samlats in för ett ändamål senare används för ett annat ända- mål. Ett sådant utnyttjande ansågs i otillbörlig grad minska den enskildes möjligheter att överblicka hur uppgifter som den enskilde själv en gång lämnat kan komma att användas. Även information som var harmlös i sig ansågs kunna innebära intrång i den enskildes integritet eftersom sammanställningar från olika register kunde leda till en kartläggning av en persons enskilda förhållanden. Likaså påtalades risken för utlämnande av den enskilde individen. Vidare framfördes farhågor om att det vid samkörning av register kunde vara svårt att kontrollera att uppgifterna var korrekta och aktuella. Därutöver aktualiserades mera abstrakta integritetsintrång, t.ex. att bara vetskapen om att de uppgifter man lämnat till en myndighet överförs mellan olika register kunde väcka obehag.

Datalagstiftningskommittén konstaterade att samkörningsfrågor alltmer aktualiserades vid myndigheternas handläggning av ansök- ningar från enskilda om behovsprövade förmåner och inom skatte- administrationen (a.a. s. 108 f.). Enligt kommittén väckte det frågor om vilka metoder att kontrollera enskildas uppgifter som var accep- tabla. Intressekonflikten mellan behovet av effektiva kontroller och enskildas krav på personlig integritet medförde dock svåra avväg- ningsproblem. Hur intresseavvägningen skulle utfalla kunde dock inte en gång för alla slås fast genom en regel i datalagen. Det var snarare en fråga som måste avgöras från fall till fall grundade på politiska överväganden. Enligt kommittén var det väsentligt att be- slut om inrättandet och användandet av offentliga personregister, som gav en djupare inblick i enskilda medborgares privata förhåll-

88

anden, fattades av riksdag eller regering och inte av de myndigheter som skulle använda registren. Detta borde gälla även ifråga om användning av register för nya ändamål. Över huvud taget för- ordade kommittén att ändamålen för statliga register angavs så tyd- ligt som möjligt av riksdag eller regering samt att det skulle klar- göras att registren inte fick användas för andra ändamål utan med- givande av riksdag eller regering. Kommittén uttalade vidare följ- ande (a.a. s. 110).

En metod att göra detta är att, såsom ibland redan skett, reglera registren genom lagar eller förordningar och att därvid meddela så långt möjligt uttömmande föreskrifter om användningen. Man bör alltså var för sig på ett i vart fall något sånär enhetligt sätt författningsreglera alla stat- liga register av betydelse i sammanhanget. Om det därefter uppkom- mer behov av att använda registren för andra syften än de som ur- sprungligen var aktuella får sådana behov prövas och avgöras från fall till fall enligt samma ordning. DALK [Datalagstiftningskommittén] för- ordar denna lösning.

Även Data- och offentlighetskommittén behandlade i delbetänk- andet Integritetsskyddet i informationssamhället 4 (SOU 1987:31 s. 157 f.) frågor om samkörning, personnummeranvändning samt författningsreglering av personregister. I en kartläggning av person- registreringen konstaterade kommittén att register i en del fall har stöd i lag eller annan författning men att dessa ofta var föråldrade, t.ex. därför att de skapats för manuell registerhantering, eller sak- nade mera detaljerad reglering. Vidare var det mindre vanligt med författningar som beslutats av riksdagen (a.a. s. 47). Enligt kom- mittén måste målsättningen vara att personregister som är särskilt känsliga från integritetssynpunkt regleras av riksdagen i syfte att stärka skyddet av enskilda registrerades integritet. Beslut om ny eller utökad personregistrering föregås då av ordentlig utredning av konsekvenserna från integritetssynpunkt, vilket är av betydelse för att en reell intresseavvägning ska kunna göras. De register som sär- skilt utpekades var socialstyrelsens register, landstingens register, kommunernas register inom socialtjänsten och skolhälsovården samt Riksförsäkringsverkets och försäkringskassornas register. Vidare anfördes att Datainspektionen fortlöpande borde vara uppmärksam på om ytterligare register behöver specialreglering i lag. Om helt nya register som omfattar stora delar av befolkningen och inne- håller integritetskänsliga uppgifter skapas i framtiden borde dessa

89

alltid lagregleras redan från början, menade kommittén. När det gällde frågan om lagstiftningsteknik anförde kommittén bl.a. följ- ande (a.a. s. 159).

Vi har övervägt möjligheten att sammanföra alla registerförfattningar under ett paraply. En sådan lösning skulle medverka till enhetlig utformning av lagstiftningen och ge utrymme för såväl behövlig modernisering av befintliga författningar som en ny reglering på de områden där sådan behövs. I en gemensam registerlag blir det emeller- tid svårt att reglera sådana centrala frågor som de olika registrens ändamål och innehåll. Det är också troligt att en för alla special- reglerade register gemensam registerlag blir alltför svåröverskådlig för att fylla sitt syfte. En möjlighet vore att ge registerlagen karaktären av ramlag och att komplettera med registerförordningar eller föreskrifter från DI [Datainspektionen] för varje enskilt register. En sådan ramlag skulle t.ex. kunna innehålla föreskrifter om vilka frågor som skall regleras i olika registerförfattningar. I princip ger dock datalagen redan vägledning på den punkten. Denna lösning ger också riksdagen mindre inflytande än vad som har varit fallet vid tillkomsten av befintliga registerlagar.

Data- och offentlighetskommittén stannade således för att fortsatta särförfattningar var att föredra samt att sådana skulle ges i lagform i fråga om register med kvalificerat känsliga personuppgifter som får en extern spridning som inte är obetydlig. Dock varnades för register- lagar utformade efter mall. I varje enskilt fall, framhöll kommittén, krävs en noggrann och individuell prövning. En registerlag som enbart syftar till att fungera som ett alibi för att verksamheten är under kontroll löser inte integritetsproblemen menade kommittén (SOU 1987:31 s. 161 f.).

Data- och offentlighetskommitténs överväganden kom att i den fortsatta framväxten av registerlagstiftningen få stor betydelse. I det efterföljande lagstiftningsarbetet anslöt sig regeringen liksom konstitutionsutskottet till kommitténs tankar om lämplig normgiv- ningsnivå och gjorde uttalanden som ofta åberopats i senare lag- stiftningsärenden som vägledande för att välja lagform för register- författningsreglering (prop. 1990/91:60 s. 58 och KU 1990/91:11 s. 11).

Under 1990-talet tillkom, mot bakgrund av nyss nämnda lag- stiftningsärende, allt fler registerlagar. Det finns fortfarande register- lagar i kraft som tillkom som särlagstiftning i förhållande till data- lagen. Lagen (1996:1156) om receptregister är ett exempel.

90

4.1.2Registerförfattningarna och personuppgiftslagen

Dataskyddsdirektivets genomförande

Dataskyddsdirektivets genomfördes i svensk lagstiftning genom personuppgiftslagen. Personuppgiftslagen trädde i kraft den 24 okto- ber 1998 och ersatte då datalagen. Som har framgått är person- uppgiftslagen till skillnad från datalagen teknikoberoende i den meningen att den i fråga om automatiserad behandling inte begrän- sas till dataregister. All automatiserad behandling omfattas, alltså även personuppgifter som framgår av bild eller ljud. Det avgörande är att personuppgifterna är föremål för automatiserad behandling, inte om de är ordnade i ett register eller inte. Till skillnad från datalagen innehåller personuppgiftslagen vidare inget krav på till- stånd för inrättande och förande av personregister. I stället inne- håller lagen en rad hanteringsregler för behandling av personupp- gifter.

Liksom datalagen utgör personuppgiftslagen emellertid en gene- rellt tillämplig reglering som gäller för såväl myndigheter som enskilda vilka behandlar personuppgifter. I motiven till personupp- giftslagen diskuterades om lagens tillämpningsområde borde begrän- sas i några avseenden, bl.a. till att enbart omfatta verksamheter som omfattas av unionsrätten. En sådan begränsning ansågs dock strida mot vad som tillämpats under lång tid i Sverige, nämligen ett system som utgår från en generell lag kompletterad med särregler i s.k. registerförfattningar för viktigare och känsligare register. Person- uppgiftslagen är därför generellt tillämplig och omfattar även verk- samheter som faller utanför unionsrättens område (prop. 1997/98:44 s. 40 f.).

Av 2 § PuL följer vidare att om det i en annan lag eller förord- ning finns bestämmelser som avviker från lagen, ska de bestäm- melserna gälla. Det är således endast särregler i lag eller förordning som tar över bestämmelserna i personuppgiftslagen. Inte bara sär- bestämmelser i registerförfattningar avses i 2 §. Även bestämmelser i andra slags lagar och förordningar om t.ex. uppgiftsskyldighet gäller före bestämmelserna i personuppgiftslagen (prop. 1997/98:44 s. 116).

91

Fortsatt särreglering i registerförfattningar

I motiven till personuppgiftslagen (prop. 1997/98:44 s. 40 f.) anförde regeringen bl.a. följande.

Registerförfattningarna innehåller många preciserade och viktiga regler som inte rimligen kan ersättas av de generella bestämmelser som den nya lagen innehåller. Samtidigt står det klart att det är nödvändigt med särregler i förhållande till den nya lagen på flera viktiga områden, t.ex. beträffande polisens verksamhet. Frågan är därför om det redan i den nya lagen skall göras undantag för vissa verksamheter eller om nöd- vändiga särregler för dessa verksamheter liksom hittills skall ges i sär- skilda författningar som får gälla framför den nya lagen. […].

Vi anser att det traditionella svenska systemet med särregler i särskilda författningar är att föredra framför generella undantag från den nya lagen. Det är i stort sett bara verksamhet inom den offentliga sektorn som med hänsyn till EG-direktivet skulle kunna undantas från den nya lagen. Inom den sektorn förekommer det t.ex. ofta stora mängder känsliga uppgifter och uppgifter som har hämtats in med stöd av straffsanktionerad uppgiftsplikt. Därför är det särskilt viktigt med ett starkt integritetsskydd när det gäller uppgifter inom all offentlig verk- samhet. Om viss offentlig verksamhet skulle generellt undantas från lagen, finns det risk för att viss behandling inom den sektorn inte kommer att omfattas av någon lagstiftning med motsvarande syfte som den nya lagen. Genom att det krävs en särskild författning för att av- vika från det integritetsskydd som den nya lagen ger, garanteras däremot att behovet av särregler alltid övervägs noga i den ordning som gäller för författningsgivning. Målet har också varit att myndig- hetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras särskilt i lag (prop. 1990/91:60 s. 50 och KU 1990/91:11 s. 11). Det finns inte anledning att nu avvika från det målet.

Den nya lagen bör således vara generellt tillämplig och omfatta även sådan verksamhet som faller utanför EG-rätten samtidigt som avvik- ande bestämmelser i lag eller förordning skall gälla framför den nya lagen. Detta innebär också att den nya lagen i princip bara bör inne- hålla generella regler och att behovet av undantag och särregler för mer speciella områden får tillgodoses genom andra författningar.

Såsom Datalagskommittén och flera remissinstanser har påpekat krävs det en anpassning av befintliga registerförfattningar och en översyn av vilka särregler som bör gälla i förhållande till den nya lagen. Vi avser att snarast påbörja ett sådant anpassnings- och översynsarbete.

92

Under övergångsperioden fram till den 30 september 2001 då per- sonuppgiftslagen trädde i full kraft antogs ett flertal nya register- författningar som kom till genom den i motiven aviserade över- synen. Vissa av dessa hade en annorlunda utformning jämfört med den som varit vanlig i tidigare registerförfattningar. Denna nya typ av registerförfattning har inte begränsats till att reglera viss person- registerföring utan särreglerar automatiserad personuppgiftsbehand- ling i viss verksamhet alldeles oavsett om den sker i register eller liknande informationssamlingar.

Offentlig verksamhet som inte är registerförfattningsreglerad

Det finns emellertid många myndigheter vars verksamhetsrela- terade personuppgiftsbehandling bara regleras genom personupp- giftslagen och inte särskilt i någon registerförfattning. Hur stor andel av den offentliga sektorns samlade personuppgiftsbehandling som inte är särreglerad är svårt att kvantifiera men så mycket står klart att den ”icke särreglerade” personuppgiftsbehandlingen sammantaget är omfattande.

På det statliga området finns t.ex. en förhållandevis stor mängd förvaltningsmyndigheter, i vart fall mer än hundratalet, som till övervägande del enbart tillämpar personuppgiftslagen i den behand- ling av personuppgifter som verksamheten föranleder. Till den kategorin hör stora myndigheter såsom universitet och högskolor. Visserligen finns särregler om viss registerföring över studieresul- tat, antagningsförhållanden m.m. i förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor, men det är ingen heltäckande författning för den behandling av person- uppgifter som förekommer inom området och som inte bara avser studerande utan också exempelvis forskningspersoner vars person- uppgifter, med eller utan den personens informerade samtycke, används inom ramen för olika forskningsprojekt eller studentarbeten.

Många statliga myndigheter som saknar registerförfattningar är jämförelsevis små men kan behöva hantera ganska känslig informa- tion i sin verksamhet. Inspektionen för vård- och omsorg, som be- driver tillsyn över hälso- och sjukvården och socialtjänsten och till vilken enskilda kan göra anmälningar om klagomål på vården m.m. liksom Ersättningsnämnden, som är tillfälligt inrättad för att han-

93

tera vissa anspråk på ersättning för vanvård av fosterbarn, samt Diskrimineringsombudsmannen är exempel på sådana myndig- heter. Exempel på mycket små myndigheter som knappast torde ha anledning att behandla personuppgifter annat än i klart begränsad omfattning är Nämnden för hemslöjdsfrågor och Lagrådet.

På det kommunala området är skolverksamheten ett område som i stort sett saknar särreglering i förhållande till personuppgifts- lagen men som sammantaget medför omfattande personuppgifts- behandlingar. Hit hör både ärendehantering och faktisk verksam- het som skolmyndigheter ansvarar för och som bl.a. sker inom för- skolan, fritidshemmen, grund- och gymnasieskolan och kommunal vuxenutbildning.

Kommunerna är vidare skyldiga enligt lag att bedriva vissa verk- samheter t.ex. rörande stadsplanering och byggfrågor, renhållning, räddningstjänst och biblioteksverksamhet vilka alla föranleder viss personuppgiftsbehandling. Även kommunernas frivilliga verksam- het med kultur- och fritidsverksamhet kan nämnas som exempel på verksamhet där personuppgiftslagen tillämpas fullt ut.

4.2Vår inventering av registerförfattningarna

4.2.1Allmänt

Registerförfattningar förekommer både i form av lag och förordning. Som har framgått har det länge varit en ambition att särskilt integritetskänslig registerföring ska regleras i lag, främst därför att en sådan normgivningsnivå borgar för att det görs en grundlig ut- redning och en ingående avvägning mellan integritetsintresset och de intressen som talar för registerföringen. Detta har gällt alldeles oavsett att lagform inte har varit nödvändig från rent normgiv- ningsteknisk utgångpunkt. Det har emellertid framhållits att man inte har varit helt konsekvent vad gäller valet av normgivningsnivån i det översyns- och anpassningsarbete som inleddes i samband med

personuppgiftslagens införande (Öman/Lindblom, s. 33).

Ganska ofta kompletteras en registerlag med en förordning som innehåller utfyllande bestämmelser. Vidare är det inte ovanligt att registerförfattningar innehåller bemyndiganden för utpekade myndig- heter att meddela föreskrifter med närmare bestämmelser i vissa

94

frågor eller bestämmelser om undantag i olika avseenden. Myndig- hetsföreskrifter är alltså en tredje förekommande normgivningsnivå.

Vi har i enlighet med uppdraget enligt våra direktiv gjort en översiktlig inventering av gällande registerförfattningar. En inled- ande fråga vi ställde oss var hur många sådana författningar det finns. Den frågan kan förefalla vara enkel att besvara men vi har funnit att så inte är fallet. Svaret är nämligen helt beroende av hur man väljer att avgränsa begreppet registerförfattning, vilket är en komplex fråga. Är det t.ex. en registerförfattning bara därför att en myndighet åläggs att föra ett visst register oavsett om detta inne- håller personuppgifter eller inte eller ska bara författningar med bestämmelser rörande ett register där vissa personuppgifter kan förekomma omfattas av begreppet?

Ett exempel på en svårklassificerad författning är förordningen (2011:93) om stöd till insatser på livsmedelsområdet som föreskriver att Jordbruksverket ska föra ett register över stödmottagare. Det sägs inget om att registret får eller inte får föras elektroniskt och specifika bestämmelser om dataskydd saknas helt. Samma förhåll- ande gäller för det centrala passregistret som Polismyndigheten ska föra enligt passförordningen (1979:664).

Det finns vidare många författningar vars enda inslag av data- skyddsreglering är att ange att personuppgiftslagens bestämmelser om skadestånd och rättelse gäller även för informationshantering enligt författningen i fråga eller att det föreskrivs ett undantag från personuppgiftslagens grundläggande förbud mot överföring av per- sonuppgifter till tredje land. Det finns också exempel på författ- ningar där det finns enstaka bestämmelser om personuppgifts- behandling, vilka dock inte riktar sig till myndigheter utan till enskilda aktörer, se t.ex. 6 kap. 1–8 §§ lagen (2010:751) om betaltjänster. Vidare finns författningar som innehåller bestämmelser om person- uppgiftsbehandling men som helt saknar reglering av registerföring som sådan.

Av huvudsakligt intresse för vårt arbete är regler om person- dataskydd vid helt eller delvis elektronisk informationshantering hos myndigheter. Vi har därför valt att i vårt arbete låta begreppet registerförfattning omfatta författningar som i något avseende innehåller särbestämmelser i förhållande till eller hänvisningar till personuppgiftslagen alldeles oavsett om författningen i fråga rör registerföring eller inte. Den avgränsningen tycks också stå bäst i

95

överensstämmelse med den allmänna uppfattningen rörande vad som numera utmärker en registerförfattning. Enbart det förhållan- det att en viss registerföring regleras i en författning innebär alltså inte att författningen nödvändigtvis är att se som en registerförfatt- ning i nu aktuell mening.

Det är alltså regler av dataskyddsrättslig natur, dvs. bestäm- melser som avser att skydda enskildas personliga integritet, och som är föranledda av ett behov av att avvika från eller komplettera det integritetsskydd som personuppgiftslagen annars ger som vi haft som främsta urvalskriterium när vi gjort vår inventering. Med detta kriterium omfattas både sådana bestämmelser som syftar till ge författningsstöd åt en personuppgiftsbehandling som inte hade varit tillåten enligt personuppgiftslagen, t.ex. utökade möjligheter att behandla känsliga personuppgifter, eller som syftar till att i för- hållande till personuppgiftslagen begränsa myndigheternas möjlig- heter att behandla personuppgifter t.ex. genom att endast tillåta registrering av vissa slags personuppgifter.

Initialt har vi gått till väga på det viset att vi gjort sökningar i rättsdatabaser med användande av olika sökord för att få fram för- fattningar som kan utgöra särregleringar i förhållande till person- uppgiftslagen. Exempelvis har vi använt sökbegrepp såsom ”$register”, ”$registret”, ”personuppgift$”, ”databas”, ”direktåtkomst”, ”sök- begr$”, gallr$” m.fl. begrepp, för separat sökning eller i kombina- tioner.

Resultatet av våra sökningar bildar en brokig karta av författ- ningar i form av lagar eller förordningar som sinsemellan företer mer eller mindre stora likheter och olikheter, även efter det att alla träffar som helt saknar intresse för utredningsuppdraget sorterats bort. Bland bortsorterade författningar ingår dels sådana som helt saknar bestämmelser om behandling av personuppgifter eller annan reglering av dataskyddskaraktär, dels sådana som enbart reglerar förhållanden hos enskilda aktörer.

4.2.2Tre kategorier registerförfattningar

Vi har valt att sortera de författningar som vi har bedömt vara att betrakta som registerförfattningar i tre någorlunda avgränsade kategorier, nämligen som endera a) renodlade registerförfattningar,

96

b) informationshanteringsförfattningar och c) annan reglering med inslag av dataskyddsbestämmelser. Vi har däremot inte sett det som meningsfullt att kategorisera författningarna utifrån normhierarkisk nivå, dvs. som lagar respektive förordningar eller utifrån olika sak- liga verksamhetssektorer exempelvis såsom rörande statlig respek- tive kommunal verksamhet osv. Det ska dock framhållas att våra sorteringskategorier är ganska trubbiga och att många författningar skulle kunna bedömas falla inom mer än en kategori.

Renodlade registerförfattningar

Den första kategorin registerförfattningar utmärks av att tillämp- ningsområdet endast avser inrättandet, förandet och användningen av något enstaka register eller annan bestämd informationssamling. En del sådana registerförfattningar är förhållandevis gamla, ett exem- pel är förordningen (1970:517) om rättsväsendets informations- system, men det tillkommer fortlöpande nya författningar av detta slag. Förordningen (2014:885) om register över vigselförrättare, som förs av Kammarkollegiet, är ett sådant exempel.

Renodlade registerförfattningar handlar ofta om register som enligt statsmakterna ska föras och som ska ha ett visst obligatoriskt innehåll. Genom en sådan registerförfattning åläggs en myndighet att föra ett visst register, registerföringen blir alltså genom författ- ningsregleringen en del i myndighetens uppdrag. Den verksamhets- reglering som registerförfattningen därigenom kan sägas avse kring- gärdas emellertid ofta av dataskyddsreglering som syftar till att garantera enskilda registrerade ett skydd för deras personliga inte- gritet i hanteringen av personuppgifter i samband med register- föringen. Lagen (2001:558) om vägtrafikregister med anknytande förordning är ett exempel härpå. Det finns dock exempel på för- fattningar i denna kategori där anslaget är ett annat genom att det regleras att register får, inte ska, föras eller vad de får innehålla, se t.ex. lagen (1998:543) om hälsodataregister med anslutande för- ordningar för specifika hälsodataregister (t.ex. för Socialstyrelsens patientregister, cancerregister, läkemedelsregister m.fl.). Det hör dock till bilden att det i praktiken oftast tycks vara underförstått att sådana register som det talas om att myndigheter får föra, fak- tiskt också ska föras. Detta kan t.ex. framgå av föreskrifter om

97

skyldigheter för andra aktörer att inrapportera vissa uppgifter till den registerförande myndigheten. En skillnad mellan författningar som föreskriver att register ska föras i förhållande till sådana som talar om att register får föras är att de senare normalt har en tyd- ligare prägel av att utgöra dataskyddsreglering snarare än verksam- hetsreglering.

Vi har identifierat uppemot ett 70-tal författningar som vi hän- fört till kategorin renodlade registerförfattningar. I de allra flesta fall är det fråga om förordningar. I de fall sådana författningar har lagform så har i allmänhet åberopats riksdagens och regeringens ställningstagande i början av 1990-talet om att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll bör regleras särskilt i lag i syfte att stärka skyddet för de registrerades integritet. Exempel på detta är lagen om vägtrafikregister och lagen (2009:619) om djurskyddskontrollregister (prop. 2000/01:95 s. 55 och prop. 2008/09:143 s. 18 f.). Av nyare datum är lagen (2012:453) om register över nationella vaccinationsprogram (vaccinations- registret). I motiven till den sistnämnda lagen motiverades lag- formen för registret med att det därigenom upprättades ett starkare skydd för hanteringen av data som är av stor betydelse för den personliga integriteten (prop. 2011/12:123 s. 67).

Variationerna inom sorteringskategorin renodlade registerförfatt- ningar är emellertid stora. I ganska många författningar spelar den dataskyddande regleringen inte någon särskilt framträdande roll i jämförelse med den verksamhetsreglering som författningarnas bestämmelser i övrigt ger uttryck för, t.ex. i fråga om anmälnings- eller ansökningsförfaranden och i fråga om att det finns kataloger över vilka uppgifter som ska registreras. Exempel härpå är författ- ningar för de s.k. publicitetsregistren som har till syfte att förse all- mänheten med information om vissa förhållanden, t.ex. rörande aktiebolag, fordon, patent m.m., och där registreringen i sig medför vissa rättsverkningar. Dock är det vanligt att det såvitt avser person- uppgifter finns bestämmelser om registrets ändamål, personupp- giftsansvar, sökbegränsningar, direktåtkomst, utlämnande på medium för automatiserad behandling, rättelse och skadestånd samt gall- ring. Det kan också finnas bestämmelser om t.ex. vilka avgifter som får eller ska tas ut vid utlämnande av uppgifter och handlingar i elektronisk form.

98

Ett antal renodlade registerförfattningar har emellertid en tydlig prägel av att i allt väsentligt utgöra en dataskyddsreglering, dvs. där inslaget av verksamhetsreglering m.m. inte dominerar utan där det framgår att syftet med regleringen är att ge mer preciserade eller avvikande bestämmelser i förhållande till personuppgiftslagen. Den nyss nämnda lagen om register över nationella vaccinationsprogram är ett exempel på en sådan författning liksom lagen om hälsodata- register. Andra exempel är lagen om receptregister och lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Denna typ av registerförfattningar ligger till struktur och innehåll relativt nära det vi kallar informa- tionshanteringsförfattningar. En skillnad gentemot informations- hanteringsförfattningarna är dock att registerförfattningar av detta sistnämnda slag genomgående konstruerats så att det uttryckligen anges att personuppgiftslagen gäller i den mån registerförfatt- ningen i fråga inte innehåller avvikande bestämmelser. I register- författningar som främst syftar till att reglera en viss verksamhet, nämligen att bedriva ett visst register, förekommer däremot att förhållandet till personuppgiftslagen inte berörs alls. I sak torde detta dock inte innebära någon egentlig skillnad.

Vissa myndigheters verksamheter är till stor del knutna till och styrda av renodlade registerförfattningar, t.ex. verksamheten hos Lantmäteriet (fastighetsregistret, pantbrevsregistret, lägenhetsregistret m.fl.), Bolagsverket (aktiebolagsregistret, handelsregistret m.fl.) och Transportstyrelsen (vägtrafikregistret m.fl.) För andra myn- digheter är registerförfattningar om förandet av vissa register mindre styrande för verksamheten som helhet, t.ex. för Finansinspek- tionen (insiderregistret, krigsskaderegistret m.fl.) eller Jordbruks- verket (djurskyddskontrollregistret m.fl.). Mellanformer finns där tillämpning av registerförfattningar dominerar delar av en myndig- hets verksamhet såsom t.ex. är fallet med Socialstyrelsens verksam- het med hälsodataregister.

Som tidigare berörts är det inga vattentäta skott mellan de sor- teringskategorier som vi använder oss av. Ett exempel på detta är förordningen (2001:720) om behandling av personuppgifter i verk- samhet enligt utlännings- och medborgarskapslagstiftningen. Den reglerar Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas personuppgiftsbehandling i verksam- het enligt den nämnda lagstiftningen. Förordningen reglerar en

99

mycket omfattande personuppgiftsbehandling hos myndigheterna men är enligt sin ordalydelse begränsad till att reglera vissa register, verksamhetsregister samt Migrationsverkets rättsfallsregister, finger- avtrycksregister samt landinformationsregister. Förordningen före- ter emellertid i realiteten starka drag av informationshanterings- författning.

Informationshanteringsförfattningar

Den andra sorteringskategorin började förekomma i samband med personuppgiftslagens införande. Dessa författningar har som över- gripande funktion att utöver eller i stället för personuppgiftslagen särreglera personuppgiftsbehandling i stort inom vissa utpekade verksamheter eller myndigheter. Här handlar det alltså inte bara om att viss registerföring ska eller får ske. Oftast omfattar regleringen såväl registerföring, ärendehanteringssystem eller andra struktu- rerade personuppgiftssamlingar liksom annan slags behandling utan koppling till ärendehanteringssystem, exempelvis behandling i löp- ande text. I och med att tillämpningsområdet är vidare än att enbart reglera personuppgifter i register är det i egentlig mening miss- visande att kalla dem för registerförfattningar men uttryckssättet har levt kvar och kommit att omfatta även denna kategori författ- ningar.

Utmärkande för denna kategori är att de i huvudsak reglerar vilken personuppgiftsbehandling myndigheter får utföra inom ramen för författningens tillämpningsområde. Inte sällan finns dock sär- bestämmelser rörande vissa register, databaser eller gemensamt tillgängliga uppgiftssamlingar som får eller ska finnas i den aktuella myndighetens verksamhet.

Informationshanteringsförfattningar har i allmänhet form av lag som kompletteras av förordningar med närmare bestämmelser. Det finns också fristående förordningar som är att betrakta som informa- tionshanteringsförfattningar. Så är t.ex. fallet när det gäller nu gäll- ande registerförfattningar på domstolarnas område respektive inom åklagarväsendet.

Till kategorin informationshanteringsförfattningar har vi, med bortseende från den brottsbekämpande sektorn, bl.a. hänfört följ- ande författningar.

100

•Lagen (1998:938) om behandling av personuppgifter om total- försvarspliktiga med förordning, gäller för Totalförsvarets plikt- verk

•Lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet med förordning

•Lagen (2001:182) om behandling av personuppgifter i Skatte- verkets folkbokföringsverksamhet med förordning

•Lagen (2001:183) om behandling av personuppgifter i verksam- het med val och folkomröstningar med förordning, gäller för Valmyndigheten

•Lagen (2001:184) om behandling av uppgifter i Kronofogde- myndighetens verksamhet med förordning

•Lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet med förordning

•Lagen om behandling av personuppgifter inom socialtjänsten (2001:454) med förordning, gäller för kommunala myndigheter, Statens Institutionsstyrelse samt enskilda aktörer

•De s.k. Veraförordningarna (2001:639–642), gäller för dom- stolarna och hyres- och arrendenämnderna

•Lagen (2002:546) om behandling av personuppgifter inom den arbetsmarknadspolitiska verksamheten med förordning, gäller för Arbetsförmedlingen

•Lagen (2006:469) om behandling av personuppgifter vid Inspek- tionen för arbetslöshetsförsäkringen med förordning

•Lagen (2007:258) om behandling av personuppgifter i Försvars- maktens försvarsunderrättelseverksamhet och militära säkerhets- tjänst med förordning

•Lagen (2007:259) om behandling av personuppgifter i Försva- rets radioanstalts försvarsunderrättelse- och utvecklingsverk- samhet med förordning

•Patientdatalagen (2008:355) med förordning, gäller för kommu- nala och landstingskommunala hälso- och sjukvårdsmyndigheter och andra sorters myndigheter som bedriver hälso- och sjuk-

101

vård, t.ex. inom skolhälsovård, Kriminalvården, Försvarsmakten, Statens institutionsstyrelse m.fl. Lagen gäller även för enskilda vårdgivare.

•Studiestödsdatalagen (2009:287) med förordning, gäller för Centrala studiestödsnämnden

•Förordningen (2011:306) om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet

•Kustbevakningsdatalagen (2012:145) i den mån lagen avser annat än brottsbekämpning, gäller för Kustbevakningen

•Lagen (2012:741) om behandling av personuppgifter vid Insti- tutet för arbetsmarknads- och utbildningspolitisk utvärdering med förordning

Även när det gäller denna sorteringskategori förekommer relativt stora variationer. Något som har varit särskilt omdiskuterat genom åren är att författningarna systematiskt har utformats på olika sätt när det gäller förhållandet till personuppgiftslagen. Även ändamåls- bestämmelser har utformats på olika sätt och begrepp har använts med delvis olika innebörd m.m.

Dock finns även många likheter. Särskilt gäller detta vilka slags frågor som i allmänhet regleras i författningarna, nämligen frågor om tillämpningsområde, varvid det förekommer föreskrifter om att vissa bestämmelser ska gälla även vid hantering av uppgifter om avlidna eller juridiska personer, personuppgiftsansvar, tillåtna ända- mål för dels insamling och myndighetens egen användning av per- sonuppgifter (primära ändamål) dels tillhandahållande av person- uppgifter till externa mottagare (sekundära ändamål), vilka person- uppgifter som får behandlas, betydelsen av den registrerades inställ- ning till behandlingen, sökbegrepp, specifika hanteringsregler för register, databaser eller andra uppgiftssamlingar, säkerhetfrågor så- som begränsningar av tillgången till lagrade personuppgifter, direkt- åtkomst och annat elektroniskt utlämnande, bevarande och gallring samt frågor om rättelse, skadestånd och överklagande. Detaljerings- graden varierar emellertid betydligt. Vissa författningar har mer har karaktären av ramlagar med generella bestämmelser, t.ex. patient- datalagen med anknytande förordning, medan andra har en jäm-

102

förelsevis detaljerad reglering rörande bl.a. vilka uppgifter om vilka kategorier av personer som får behandlas, t.ex. lagen om behandling av personuppgifter inom den arbetsmarknadspolitiska verksamheten med anknytande förordning.

På de områden där det finns mer eller mindre heltäckande in- formationshanteringsförfattningar för berörda myndigheters verk- samhet brukar det indirekt av de beskrivna tillämpningsområdena och genom förarbetsuttalanden framgå att myndigheternas personal- och ekonomiadministration inte omfattas av regleringen i fråga. I den verksamheten ska i stället personuppgiftslagen tillämpas. Ett exempel härpå är 1 § studiestödsdatalagen enligt vilken lagen ska tillämpas vid behandling av personuppgifter i Centrala studiestöds- nämndens studiestödsverksamhet. I motiven har beskrivits vad som närmare avses med studiestödsverksamheten. Vidare har angetts att behandling av personuppgifter som sker inom ramen för myndig- hetens interna administration inte omfattas av lagen (prop. 2008/09:96 s. 33 f.).

Det kan ibland förekomma ytterligare särreglering av viss per- sonuppgiftsbehandling inom en myndighet parallellt med sådan mer övergripande särreglering av myndighetens personuppgiftsbehand- ling genom en informationshanteringsförfattning. Exempel härpå är Skatteverkets verksamheter med äktenskapsregistret respektive med identitetskort för folkbokförda i Sverige som omfattas av sär- skilda registerförordningar samt med verksamheten rörande förmedlingen av elektroniska försändelser från myndigheter till enskilda i e-tjänsten Mina meddelanden (förordningen [1987:1022] om äktenskapsregistret, förordningen [2009:284] om identitetskort för folkbokförda i Sverige samt förordningen [2003:770] om stat- liga myndigheters elektroniska informationsutbyte).

Annan reglering med inslag av dataskyddsbestämmelser

Den tredje sorteringskategorin är med vårt synsätt egentligen inte registerförfattningar alls. Till den kategorin hör olika slags författ- ningar som inte syftar till att främst reglera ett visst register eller annan behandling av personuppgifter, utan bara till en mindre del innehåller bestämmelser som rör personuppgiftsbehandling och i den delen utgör särreglering i förhållande till personuppgiftslagen.

103

Sådan reglering kan t.ex. gälla förandet av ett visst register. Exem- pel härpå är bestämmelser om viss registerföring i skogsvårdslagen (1979:429), vapenlagen (1996:67), konkurslagen (1987:672), bio- bankslagen (2002:297) och alkohollagen (2010:1622). Det kan också handla om författningar med enstaka undantag från personupp- giftslagens bestämmelser, t.ex. i fråga om förbudet mot att överföra personuppgifter till tredjeland såsom i lagen (2012:318) om 1996 års Haagkonvention. Den lagen hänvisar även till användnings- begränsningar i konventionen ifråga.

Vi har identifierat mer än ett hundratal författningar som hör till denna kategori. Men vi utesluter inte att det finns ytterligare för- fattningar som är av det här slaget. Vi har t.ex. bortsett från sådana författningar som bara i något visst hänseende har relevans för myn- digheters personuppgiftsbehandling t.ex. författningar som före- skriver olika slags uppgiftsskyldigheter eller förfaranderegleringar. En författning av sistnämnt slag är rättegångsbalken som kan sägas innehålla en specifik reglering av dataskyddande karaktär i 27 kap. 24 § som avser bevarande respektive förstöring av upptagningar från hemliga tvångsmedel.

Myndigheter såsom exempelvis Centrala studiestödsnämnden, Försäkringskassan och Pensionsmyndigheten är statistikansvariga myndigheter rörande officiell statistik och har i den verksamheten att följa de särregler om behandling av personuppgifter som följer av lagen (2001:99) om officiell statistik med anknytande förord- ning. Den sistnämnda lagen och förordningen tillhör den kategori författningar som väsentligen utgör verksamhetsreglering men där det finns vissa regler om personuppgiftsbehandling som gäller för statistikansvariga myndigheter. Vad beträffar t.ex. Försäkrings- kassan och Centrala studiestödsnämnden omfattas sakverksamheten av annan särreglering men så är dock inte alltid fallet, t.ex. i fråga om Brottsförebyggande rådet eller Tillväxtverket. Det kan nämnas att det oftast är förutsatt att statistikansvariga myndigheters verk- samhet med den officiella statistiken ska vara en självständig verk- samhetsgren inom sådana myndigheter som bedriver annan huvud- saklig verksamhet än statistikverksamhet.

Lagen (1998:112) om ansvar för elektroniska anslagstavlor kan vidare nämnas i detta sammanhang eftersom den har betydelse för alla myndigheters verksamhet på sociala medier. Bland annat inne- håller lagen särskilda skyldigheter att informera och gallra på myn-

104

dighetens egna sociala medier, t.ex. om myndigheten har en inter- aktiv chattfunktion på den egna webbplatsen. Detta torde utgöra en viss särreglering i förhållande till personuppgiftslagen trots att det inte tycks ha varit ett uttalat syfte med lagen. Här kan även nämnas 6 kap. 18 § lagen (2003:389) om elektronisk kommunika- tion enligt vilken den som tillhandahåller en webbplats är skyldig att informera om ändamålen med och inhämta samtycke till använd- ningen av s.k. cookies. Det kravet gäller även för myndigheter.

Kameraövervakningslagen (2013:460) är en generellt tillämplig lag som uttryckligen gäller i stället för personuppgiftslagen – vad avser behandling av personuppgifter i ljud och bild – och som kan bli tillämplig hos alla myndigheter förutsatt att myndigheten be- driver sådan kameraövervakning med övervakningsutrustning som avses i lagen.

Registerförfattningar – ett rörligt rättsområde

Registerförfattningsbeståndet är i hög grad varierande även i det avseendet att det fortsatt tillkommer nya registerförfattningar med särregleringar för olika delar av den offentliga sektorn. Den anpass- ning och översyn av registerförfattningsområdet som vidtogs i samband med personuppgiftslagens införande har inneburit ett om- fattande arbete som kan sägas fortfarande pågå. Det ligger i sakens natur att registerförfattningsbeståndet aldrig kan bli ”färdigt” eftersom den offentliga verksamheten genomgår ständiga föränd- ringar.

Bland registerförfattningar som införts parallellt med vårt utred- ningsarbete kan nämnas lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa med anknytande förordning. Denna författning hör till kategorin ren- odlade registerförfattningar. Under år 2014 har vidare några för- fattningar beslutats vari bestämmelser om vissa myndigheters per- sonuppgiftsbehandling införts, nämligen lagen (2014:51) om infra- strukturavgifter på väg, som gäller viss registerföring m.m. hos Transportstyrelsen, och lagen (2014:105) om insyn i finansiering av partier, som medger Kammarkollegiet möjlighet att behandla käns- liga personuppgifter som lämnats i en intäktsredovisning eller som annars är nödvändiga för att Kammarkollegiet ska kunna fullgöra

105

sina skyldigheter enligt lagen. Dessa båda sistnämnda lagar tillhör det slags författningar som vi kategoriserar som annan reglering med inslag av dataskyddsbestämmelser.

Som exempel på pågående lagstiftningsarbete kan nämnas 2014 års utlänningsdatautredning (Ju 2014:11) som har i uppdrag att ut- arbeta förslag till en lag om behandling av personuppgifter i verk- samhet enligt utlännings- och medborgarskapslagstiftningen som ska ersätta förordningen (2001:720) om behandling av personupp- gifter i verksamhet enligt utlännings- och medborgarskapslagstift- ningen (dir. 2014:76).

4.3En problembeskrivning

4.3.1Tidigare kritik

De särskilda registerförfattningarna har på olika sätt kritiserats under ganska lång tid. Kritiken har riktats både mot systemet med register- författningar som sådant och mot brister i författningarnas kon- struktion, val av begreppsapparat m.m. I våra direktiv anges som en bakgrund till vårt uppdrag att se över registerlagstiftningen att en sådan översyn har efterlysts av bl.a. flera utredningar. I det följande presenteras vissa synpunkter som har framförts tidigare i olika sammanhang.

Toppledarforum

Redan på datalagens tid påtalade Toppledarforum – ett samarbets- organ som under mitten av 1990-talet sysslade med verksamhets- utveckling i offentlig verksamhet med stöd av informationsteknik – att systemet med registerförfattningar medförde vissa problem. Bland annat anfördes att författningsmetodiken var ologisk, om- ständlig och tidsödande. Vidare framhölls att systemändringar även av detaljkaraktär, t.ex. på grund av ändringar i en verksamhet eller den tekniska utvecklingen, ofta måste föregås av ändringar i register- författningar, vilket tar tid och kräver resurser inom riksdag, rege- ringen och den berörda myndigheten. Angelägna projekt försenas eller blir inte av. Behovet av befintliga registerförfattningar borde därför omprövas och nya registerförfattningar enligt den gamla

106

modellen borde inte införas, även om undantag kunde tänkas för mycket speciella verksamheter såsom säkerhetspolisen och delar av sjukvården (Toppledaforum, LEXIT – förstudie, 1995 s. 37 f.).

Massmedia

Journalistförbundet har i en framställan till regeringen (Ju2006/4517/L6) anfört att den omfattande regleringen i register- författningar medför att undersökningar av stora material försvåras eller omöjliggörs, vilket hotar medias möjligheter att granska hur makten utövas och förvaltas. Framställan gjordes bl.a. mot bakgrund av förbundets egen utredning Registerlagarna – den absoluta sekre- tessen (2006-04-19). Enligt förbundet är det främst registerförfatt- ningarnas bestämmelser om sökförbud och begränsningar i fråga om utlämnande på medium för automatiserad behandling som har dessa effekter.

Offentlighets- och sekretesskommittén

I sitt huvudbetänkande Ny sekretesslag (SOU 2003:99) berörde Offentlighets- och sekretesskommittén förhållandet mellan sekre- tesslagstiftningen och förekomsten i registerförfattningar av bestäm- melser om tillåtna ändamål för personuppgiftsbehandlingen. Enligt kommittén finns det oklarheter angående sambandet mellan register- författningar och den s.k. finalitetsprincipen enligt dataskydds- direktivet när det gäller uppgiftslämnande mellan myndigheter.

Integritetsskyddskommittén

Integritetsskyddskommittén kritiserade registerförfattningarna på ett antal punkter i sitt delbetänkande Skyddet för den personliga integriteten (SOU 2007:22 s. 461 f.). Bland annat pekade kom- mittén på att den reformering av registerförfattningarna som har skett efter personuppgiftslagens ikraftträdande har skett utan egent- lig samordning. Skiftande lagstiftningsteknik har använts för att reglera registerförfattningarnas förhållande till personuppgiftslagen. Det förekommer att olika begrepp används för att beskriva samma

107

företeelser. Exempelvis används begreppet databas i en del författ- ningar, medan man i andra har hållit fast vid det sedan tidigare etablerade begreppet register. Det förekommer dessutom att samma begrepp används i olika betydelser i skilda författningar, t.ex. begreppet direktåtkomst som inte alltid avser utlämnande på elek- troniskt medium. Vidare har skilda tekniker använts för att be- skriva de ändamål för vilka verksamheten, och därigenom behand- lingen av personuppgifter, bedrivs. I en del registerförfattningar har ändamålen delats upp i primära och sekundära registerförfattningar där de sistnämnda syftar till att bl.a. beskriva de ändamål för vilka uppgifter får lämnas ut från den aktuella verksamheten. Detta har i sin tur medfört att oklarheter har uppstått bl.a. om hur sådana bestämmelser förhåller sig till finalitetsprincipen. Dessa brister i samordning och enhetlighet har lett till oklarheter i tillämpningen och svårigheter att överblicka regelverket, vilket i sin tur innebär en risk för onödiga integritetsförluster.

Kommittén framhöll också att i den mån det finns bestämmelser i en registerförfattning som inskränker integritetsskyddet borde det framgå av reglerna vari inskränkningen består och hur stor den är. Så är dock inte alltid fallet. Ett exempel på detta var regleringen av direktåtkomst.

Enligt kommitténs sammanfattande analys skulle skyddet för den personliga integriteten väsentligt förbättras om registerförfatt- ningarna utformades enhetligare, tydligare och mer i överensstäm- melse med sekretesslagstiftningen.

2005 års informationsutbytesutredning

Även 2005 års informationsutbytesutredning riktade i sitt betänk- ande Utökat elektroniskt informationsutbyte (SOU 2007:45) kritik mot registerförfattningarna. Utredningen konstaterade att register- författningarna bör ses över för att skapa förutsättningar för ett samordnat och enhetligt regelverk som främjar utvecklingen av elektronisk förvaltning och minskar riskerna för oacceptabla intrång i den personliga integriteten. Utredningen anförde bl.a. följande (a. bet. s. 394).

Begreppsbildningen på området är oklar och framtagen under en tid av helt andra och mer begränsade möjligheter till elektroniskt informa- tionsutbyte. Dessa förhållanden skapar onödiga hinder för utveck-

108

lingen. Enligt vår mening är det en avgörande förutsättning för ett väl fungerande elektroniskt informationsutbyte och elektronisk förvaltning överhuvudtaget att det finns ett samordnat regelverk med enhetlig struktur för alla myndigheter, utan otydliga begrepp och andra onödiga hinder för önskvärd utveckling. Även från integritetsskyddssynpunkt medför den bristande strukturen i författningarna och den oklara begreppsbildningen tillämpningssvårigheter som innebär ökade risker för oacceptabla intrång i den personliga integriteten.

E-delegationen

E-delegationen föreslog i delbetänkandet Strategi för myndigheter- nas arbete med e-förvaltning (SOU 2009:86) att regeringen skulle tillsätta en utredning med uppdrag att göra en översyn av register- författningarna och lämna förslag till bestämmelser som är samord- nade, enhetliga och tydliga och där det ingår att lämna förslag till hur regelkonflikter inom register- och sekretesslagstiftningen ska lösas. En sådan reform av registerförfattningarna krävs, påpekade E-delegationen, för att möjliggöra en utveckling i riktning mot en flexibel e-förvaltning. E-delegationen framhöll att i en elektronisk förvaltning måste olika intressen balanseras mot varandra, nämligen intresset av effektivitet, integritet och öppenhet. Dessa tre begrepp borde enligt E-delegationen vara ledord för översynen av register- författningarna (a. bet. s. 65 f.).

E-offentlighetskommittén

E-offentlighetskommittén hade bl.a. i uppdrag att överväga om det i sekretesslagstiftningen eller i annan lag skulle införas en skyldig- het för myndigheter att lämna ut elektroniskt lagrade allmänna hand- lingar i elektronisk form. I sitt slutbetänkande Allmänna handlingar i elektronisk form – offentlighet och integritet (SOU 2010:4) gjorde kommittén bedömningen att det befintliga regelverket till skydd för den personliga integriteten i samband med utlämnande av all- männa handlingar inte säkerställer en godtagbar skyddsnivå i fråga om intrång i enskildas personliga integritet vid ett införande en elektronisk offentlighetsprincip. Den främsta orsaken till det var, menade kommittén, de brister som finns inbyggda i det omfattande regelverk som registerförfattningarna utgör (a. bet. s. 15 f. och 290 f.).

109

Det var framför allt två slags brister som påtalades. För det första konstaterade kommittén att registerförfattningars sökbegränsningar i vissa fall inte utformats på sätt som gjorde att de träffas av den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket TF trots att avsikten torde ha varit att så skulle ske. De begränsningar som finns var dessutom svåra att överblicka. För det andra fann kommittén ett flertal brister eller oklarheter i registerförfattningars bestämmelser om utlämnande av allmänna handlingar i elektronisk form, i den mån sådana alls förekom. Enligt kommitténs bedömning fanns det troligen många fall där förbud mot elektroniskt utlämnande inte har ansetts motiverat, eller helt enkelt förbisetts, men där det i specifika fall inte borde ske utlämnande i elektronisk form (a. bet. s. 293). I övrigt instämde kommittén med de kritiska påpekanden som framförts av bl.a. Integritetsskyddskommittén och framhöll för egen del det angelägna i en allmän översyn av gällande register- författningar och av begreppsbildningen på området för att komma till rätta med de problem som regleringen innebär.

4.3.2Några ytterligare iakttagelser

Vi återkommer i det följande till redan påtalade specifika problem liksom till problem som vi själva iakttagit och som hänger samman med den befintliga registerförfattningsregleringen.

Vi vill emellertid redan här framhålla att vår inventering av gäll- ande registerförfattningar och vårt övriga arbete – bl.a. i form av kontakter med olika myndigheter och enskilda aktörer – har bekräftat bilden av registerlagstiftningen som ett svåröverblickbart och frag- menterat rättsområde. Redan begreppet registerförfattning, oavsett hur det avgränsas, är tvetydigt. Det som avses utgörs av en täm- ligen brokig samling författningar som spänner över disparata verk- samhetsområden inom hela den offentliga sektorn.

Komplexiteten i regleringen är generellt sett hög, vilket bl.a. be- ror på att registerförfattningsregleringen bara är en del av det regel- verk som styr en myndighets informationshantering. Parallellt med registerförfattningar måste myndigheterna även följa 2 kap. TF, sekretesslagstiftningen liksom förvaltningslagen, arkivlagstiftningen samt annan generell eller myndighetsspecifik reglering som direkt eller indirekt har betydelse för informationshanteringen. Som an-

110

förs i våra direktiv är det för effektiviseringen av förvaltningen med hjälp av modern informationsteknik viktigt dels att respektive regel- verk är väl genomtänkt och så enkelt som möjligt att tillämpa, dels att dessa regelverk är förenliga med varandra. Det är emellertid uppenbart att en anpassning till andra parallella och för informa- tionshanteringen centrala regelverk inte alltid getts tillräcklig upp- märksamhet i lagstiftningsarbetet. Resultatet är bl.a. förekomsten av överlappningar och verkliga eller uppfattade motstridigheter i regleringen vilket medför risk för tillämpningsproblem. Det upp- levs dessutom förekomma glapp i regleringen utifrån de behov av informationshantering som finns, vilket leder till osäkerhet och därmed knappast främjar servicen eller effektiviteten i förvalt- ningen. Det sagda gäller både myndighetsintern informations- hantering och vid olika slags informationsutbyten.

Komplexiteten i registerförfattningsregleringen beror emellertid också på inkonsekvenser i regeltekniska strukturer och begrepps- användning m.m. Samarbeten som myndigheterna åläggs av stats- makterna kan försvåras av olikheter i registerförfattningar som inte är, eller i vart fall inte förefaller vara, kompatibla med varandra.

Till detta kommer att den befintliga regleringen – som alltså är svåröverskådlig redan för lagstiftare och tillämpare – för den en- skilde registrerade torde framstå som i det närmaste ogenom- tränglig. Möjligheten för den enskilde att kunna förstå vilka data- skyddsregler som styr informationshanteringen av uppgifter om honom eller henne hos respektive myndighet är central. Överskåd- lighet och begriplighet är viktiga komponenter för enskilda regi- strerade som vill göra gällande sina rättigheter enligt det dataskydds- rättsliga regelverket. Även i detta avseende finns uppenbara brister.

Den splittrade och ibland inkonsekventa regleringen försvårar också för allmänheten att sätta sig in i vad som gäller på olika områden, vilket är särskilt olyckligt när det handlar om utövandet av den grundlagsskyddade rätten till insyn i myndigheternas all- männa handlingar. Vi har t.ex. erfarit att det är ett problem vid s.k. vidareutnyttjande av offentlig information att det splittrade sättet att reglera myndigheters registerföring gör att det krävs resurser att sätta sig in i nya förutsättningar varje gång en ny myndighet ska kontaktas.

Utöver de problem med registerförfattningar som beskrivits ovan har vi i vårt arbete kunnat konstatera att det finns en särskild

111

problembild som hör samman med att den allmänna regleringen i personuppgiftslagen har utformats utan närmare hänsyn till de för- hållanden som gäller för myndigheternas personuppgiftsbehand- ling. Personuppgiftslagen är väsentligen utformad som en civilrätts- lig reglering. För myndigheter i allmänhet, alltså inte bara sådana som omfattas av särskild registerförfattningsreglering, präglas person- uppgiftsbehandlingen emellertid av att den sker i författnings- reglerade verksamheter med skyldigheter för myndigheterna och rättigheter för enskilda. Personuppgiftslagen är dock – med vissa undantag – i grunden inte anpassad till detta.

112

Därför var det inte påkallat att redan i delbetänkandet, innan vårt arbete med en samlad översyn av registerlagstiftningen var klart, göra några slutgiltiga ställningstaganden eller lägga fram några kon- kreta förslag till ny regleringsmodell på området. Vi avsåg därför att återkomma till frågan i slutbetänkandet.

5.2Nuvarande regler som i allmän mening styr uppgiftsutbyte mellan myndigheter

5.2.1Samverkan enligt förvaltningslagen

Enligt 6 § FL, ska varje myndighet lämna andra myndigheter hjälp inom ramen för den egna verksamheten.

Ytterligare bestämmelser om samverkan mellan förvaltnings- myndigheter under regeringen finns i 6 § myndighetsförordningen (2007:515). Enligt stadgandets andra stycke ska en myndighet verka för att genom samarbete med myndigheter och andra ta till vara de fördelar som kan vinnas för enskilda samt för staten som helhet. Vidare sägs i tredje stycket att myndigheten ska tillhandahålla infor- mation om myndighetens verksamhet.

Utrymmet för samverkan mellan myndigheterna enligt de ovan nämnda bestämmelserna påverkas av innehållet i annan lagstiftning, exempelvis regler om sekretess. En samverkan får inte heller ta sig sådana former att de medverkande myndigheternas olika funktioner blandas samman och inte klart kan urskiljas (se JO 1993/94 s. 458).

5.2.2Offentlighets- och sekretesslagen

I offentlighets- och sekretesslagen finns flera regler som påverkar möjligheterna för myndigheter att utbyta uppgifter med varandra. I vissa fall innebär dessa regler också rättigheter respektive skyldigheter för myndigheter vid sådant utbyte. Nedan redogörs för de regler i offentlighets- och sekretesslagen som har betydelse för ett uppgiftsutbyte, nämligen bestämmelser om informations- skyldighet, sekretess mellan myndigheter, i vilka fall sekretess bryts och överföring av sekretess.

116

Informationsskyldighet mellan myndigheter

Enligt 6 kap. 5 § OSL ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång.

Bestämmelsen kan ses som en precisering av myndigheters skyldighet att samverka enligt 6 § FL. Den skyldighet att lämna information till andra myndigheter som bestämmelsen föreskriver avser varje uppgift som myndigheten förfogar över och alltså inte bara uppgifter ur allmänna handlingar. Skyldigheten är således mer vidsträckt än den som gäller gentemot allmänheten (Lenberg m.fl., kommentaren till 6 kap. 5 §).

I vissa fall kan en mer långtgående skyldighet att lämna upp- gifter gälla gentemot andra myndigheter enligt särskilda före- skrifter, s.k. sekretessbrytande bestämmelser (jfr 10 kap. 15 § och 28 § första stycket).

Sekretess mellan myndigheter

Enligt 8 kap. 1 § OSL får en uppgift för vilken sekretess gäller en- ligt den lagen inte röjas för andra myndigheter, om inte annat anges i den lagen eller i lag eller förordning som lagen hänvisar till.

Av 8 kap. 2 § följer att vad som föreskrivs om sekretess mot andra myndigheter i 1 § och vad som föreskrivs i andra bestäm- melser om uppgiftslämnande till andra myndigheter och överföring av sekretess mellan myndigheter, gäller också mellan olika verk- samhetsgrenar inom en myndighet när de är att betrakta som själv- ständiga i förhållande till varandra.

Bestämmelsen har sin motsvarighet i 2 kap. 8 § TF om när en handling blir allmän när den överlämnats mellan organ inom samma myndighetsorganisation. Det avgörande är även i detta fall att organen uppträder som självständiga i förhållande till varandra.

Frågan om när organ eller verksamhetsgrenar inom samma myn- dighetsorganisation är att betrakta som självständiga i förhållande till varandra kan vara svårbedömd. Den har diskuterats både i lagstiftningsarbetet (se exempelvis prop. 2007/08:126 s. 162 f. om kommunal hälso- och sjukvård) och i rättspraxis (HFD 2013 ref. 40) samt inom ramen för JO:s tillsyn (se exempelvis JO 1995/96 s. 431

117

om stöd och service till funktionshindrade kunde ses som en själv- ständig verksamhetsgren i förhållande till socialtjänsten).

Sekretessbrytande bestämmelser

Enligt 12 kap. 2 § andra stycket OSL kan en enskild helt eller delvis häva sekretess som gäller till skydd för honom eller henne, om inte annat anges i den lagen. I 10 kap. 1 § samma lag erinras om att sekretess till skydd för enskild alltså inte hindrar att en uppgift lämnas till en annan enskild eller en myndighet, om den enskilde samtycker till det.

Av 10 kap. 2 § OSL följer att sekretess inte hindrar att en upp- gift lämnas till en enskild eller en annan myndighet, om det är nöd- vändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Bestämmelsen bör tillämpas restriktivt (prop. 1979/80:2 Del A s. 465 och 494). Avsikten är inte att rena effektivitetsskäl ska utgöra tillräckliga skäl att bryta sekretessen. Det är ett behov hos den utlämnande myndigheten som kan utgöra skäl att bryta sekre- tessen, däremot inte att den mottagande myndigheten behöver uppgiften för sin verksamhet.

I 10 kap. 27 § OSL finns en bestämmelse, den s.k. general- klausulen, som enbart tar sikte på att i visst fall bryta sekretess mellan myndigheter. Den kan således inte tillämpas vid utlämnande till en enskild. Enligt bestämmelsen får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Viss sekretess har undantagits från bestämmelsens tillämpningsområde (se andra stycket), exempelvis sekretess inom hälso- och sjukvården och socialtjänsten.

Har det i lag eller förordning föreskrivits att uppgifter ”bör” eller ”får” lämnas från en myndighet till en annan, finns det särskild anledning att anse att generalklausulen är tillämplig. Riksdagens eller regeringens föreskrifter med en sådan innebörd bör ju vara grundade på den bedömningen att intresset av att ett uppgifts- utbyte sker har företräde framför sekretessintresset (Lenberg m.fl., kommentaren till 10 kap. 27 §). Även om utgångspunkten är att ett rutinmässigt uppgiftsutbyte ska vara författningsreglerat hindrar inte generalklausulen att sådant utbyte sker även utan stöd av en

118

särskild författningsreglering. I de undantagsfall när rutinmässigt uppgiftsutlämnande inte är författningsreglerat men likväl kan an- ses tillräckligt motiverat måste den intresseavvägning som ska göras enligt generalklausulen ske på förhand och behöver inte avse en prövning i enskilda fall (prop. 1979/80:2 Del A s. 326).

Om det finns förutsättningar att lämna ut en sekretessbelagd uppgift med stöd av generalklausulen är den myndighet som för- varar uppgiften enligt 6 kap. 5 § OSL skyldig att lämna ut den.

I 10 kap. 28 § första stycket OSL stadgas att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgifts- skyldighet följer av lag eller förordning.

Det finns inte något konstitutionellt hinder mot att regeringen medger att annars sekretessbelagda uppgifter lämnas mellan myn- digheter eller självständiga verksamhetsgrenar inom en myndighet. I förarbetena till motsvarande bestämmelse i den tidigare sekretess- lagen (1980:100) anfördes att det däremot från saklig synpunkt i vissa fall kan te sig tveksamt att regeringen kan tunna ut en av riks- dagen i lag beslutad sekretess till skydd för enskilda genom före- skrifter som medger att information lämnas från en myndighet till en annan eller mellan självständiga verksamhetsgrenar inom en myndighet (a. prop. s. 322). Regeringen kan dock inte genom före- skrifter i en förordning sätta åt sidan bestämmelser i lag som exklu- sivt reglerar uppgiftsutbytet mellan myndigheter.

För att det ska vara fråga om uppgiftsskyldighet i den mening som avses i paragrafen krävs att bestämmelsen i fråga uppfyller vissa krav på konkretion. Den kan ta sikte på utlämnande av upp- gifter av ett speciellt slag, gälla en viss myndighets rätt att få del av uppgifter i allmänhet eller avse en skyldighet för en viss myndighet att lämna andra myndigheter information (Lenberg m.fl., kommen- taren till 10 kap. 28 §).

En föreskrift som mera generellt anbefaller samverkan mellan myndigheter är däremot inte av sådant slag att den kan anses ålägga en uppgiftsskyldighet i den mening som avses i paragrafen. Exem- pelvis är bestämmelserna i 6 kap. 5 § OSL och 6 § FL inte av det slaget.

Ytterligare sekretessbrytande bestämmelser som tar sikte på upp- giftsutbyte mellan myndigheter i vissa fall finns också i 10 kap. 15– 26 §§ OSL, bl.a. för brottsbekämpande ändamål.

119

Överföring av sekretess

När en sekretessbelagd uppgift lämnas från en myndighet till en annan är huvudregeln att sekretessen inte följer med uppgiften. Det har emellertid införts bestämmelser om överföring av sekretess inom vissa områden.

Ett exempel på en bestämmelse om överföring av sekretess är 11 kap. 4 § OSL. Där föreskrivs i första stycket att om en myn- dighet har elektronisk tillgång till en upptagning för automatiserad behandling hos en annan myndighet och en uppgift i denna upptag- ning är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Enligt andra stycket ska första stycket inte tillämpas på en uppgift som ingår i ett beslut hos den mottagande myndigheten.

Bakgrunden till bestämmelsen i 11 kap. 4 § första stycket OSL är att en myndighet som medgetts direktåtkomst kan behöva få teknisk tillgång till fler uppgifter än de uppgifter som myndigheten behöver och därmed har rätt att behandla, s.k. överskottsinforma- tion (prop. 2007/08:160 s. 75).

Av 11 kap. 8 § följer att 4 § inte ska tillämpas om det finns en s.k. primär sekretessbestämmelse som redan är tillämplig på upp- gifterna hos den mottagande myndigheten. Vi har i vårt delbetänk- ande Överskottsinformation vid direktåtkomst (SOU 2012:90) före- slagit att det ska införas ett andra stycke i 11 kap. 8 §, där det före- skrivs att första stycket inte ska tillämpas på en uppgift som är till- gänglig för en myndighet på sätt som anges i 11 kap. 4 § första stycket och som den mottagande myndigheten enligt lag eller för- ordning inte får behandla.

5.2.3Personuppgiftslagen

I personuppgiftslagen finns inga bestämmelser som direkt tar sikte på uppgiftsutbyte mellan myndigheter. Flera av bestämmelserna i lagen har dock betydelse för i vilken omfattning ett utbyte av per- sonuppgifter mellan myndigheter är möjligt. Både bestämmelserna med grundläggande krav på personuppgiftsbehandling i 9 § och regler om vilka typer av behandlingar som är tillåtna i 10 § och 13– 22 §§ påverkar möjligheterna till sådant utbyte. Dessa krav gäller dock inte enligt det allmänt gällande undantaget i 5 a § – den s.k.

120

missbruksregeln – som tar sikte på behandling i ostrukturerat mate- rial. Detta undantag har dock genom en inkonsekvent reglering i särskilda registerförfattningar kommit att gälla för vissa myndig- heter men inte för andra.

5.3Uppgiftsutbyte genom direktåtkomst

5.3.1Begreppet direktåtkomst

Det finns ingen legaldefinition av begreppet direktåtkomst. I tidi- gare registerförfattningar användes begreppet terminalåtkomst. Exempelvis föreskrevs i 10 och 12 §§ i den numera upphävda skatte- registerlagen (1980:343) vilka myndigheter som skulle få ha ter- minalåtkomst till det centrala skatteregistret respektive ett regionalt skatteregister.

Sedan slutet av 1990-talet används i stället begreppet direkt- åtkomst, eftersom terminaler hade kommit att användas alltmer sällan och begreppet terminalåtkomst därför ansågs föråldrat (se t.ex. prop. 1997/98:97 s. 88). Med direktåtkomst avses vanligtvis att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen (se bl.a. prop. 2009/10:85 s. 168). I begreppet ligger också att den som är personuppgifts- ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av (prop. 2011/12:45 s. 133). Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar således inte något beslut om utläm- nande av de uppgifter som den som har direktåtkomst tar del av i varje enskilt fall.

I förarbetena till 11 kap. 4 § OSL, som alltså reglerar överföring av sekretess vid direktåtkomst, uttalade sig regeringen om hur direkt- åtkomst bör definieras (prop. 2007/08:160 s. 164). Med en sådan åtkomst avsågs enligt regeringen att en upptagning är tillgänglig hos den mottagande myndigheten på ett sådant sätt som avses i 2 kap. 3 § andra stycket första meningen TF, dvs. upptagningen ska vara tillgänglig med tekniska hjälpmedel som myndigheten själv ut- nyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas.

121

Högsta förvaltningsdomstolen fann i rättsfallet HFD 2011 ref. 52 att det förhållandet att handlingar i en databas gjorts tekniskt tillgängliga för en annan myndighet för bl.a. statistikframställning innebar att handlingarna måste anses expedierade i den mening som avses i 2 kap. 7 § TF. Av rättsfallet framgår att det är själva till- gången till handlingarna som innebär att de anses expedierade till den andra myndigheten. Huruvida den myndigheten i något kon- kret fall faktiskt hade använt sig av tillgången har således inte någon betydelse för bedömningen av om handlingarna var att anse som expedierade.

Den i rättsfallet aktuella begäran om att få ta del av allmänna handlingar gällde uppgifter som förts in i databasen från en myn- dighet. Frågan var om uppgifterna ingick i allmänna handlingar hos den myndigheten. Högsta förvaltningsdomstolen hade inte anled- ning att uttala sig beträffande frågan om det också var en allmän handling hos den mottagande myndigheten. Av domstolens slut- sats att handlingarna gjorts tillgängliga för den myndigheten på ett sådant sätt att de hade expedierats, följer emellertid att de därmed är att anse som förvarade hos den mottagande myndigheten i den mening som avses i 2 kap. 3 § andra stycket TF.

Den omständigheten att direktåtkomst till en viss mängd upp- gifter innebär att de handlingar i vilka uppgifterna ingår anses expedierade till den mottagande myndigheten medför alltså i sin tur att handlingarna är att anse som förvarade, och därmed också som huvudregel som inkomna, hos den myndigheten i den mening som avses i 2 kap. 3 och 6 §§ TF. Handlingarna utgör genom direkt- åtkomsten således allmänna handlingar även hos den mottagande myndigheten. En direktåtkomst till sekretessreglerade uppgifter inne- bär vidare att det krävs en sekretessbrytande regel för att utläm- nandet av uppgifterna inte ska innebära ett brott mot den sekretess som annars gäller.

5.3.2Hur regleras en myndighets direktåtkomst till en annan myndighets informationssamlingar?

Vid vår genomgång av registerförfattningar har det kommit fram att utlämnande i form av direktåtkomst regleras på i huvudsak tre olika sätt. Ett sätt är att i författning beskriva några fall då direkt- åtkomst får medges. Ett exempel på detta förfaringssätt är den

122

direktåtkomst som får medges till Skatteverkets beskattningsdata- bas. I 7–8 a §§ lagen (2001:181) om behandling av uppgifter i Skatte- verkets beskattningsverksamhet regleras vilka myndigheter, eller självständiga verksamhetsgrenar inom Skatteverket, som får ha direkt- åtkomst till beskattningsdatabasen. Förutom att föreskriva vilka myndigheter som ”får ha” direktåtkomst, anges också vilka upp- gifter som direktåtkomsten får omfatta. Det anges också att rege- ringen meddelar närmare föreskrifter om vilka uppgifter och hand- lingar direktåtkomsten får omfatta.

I förordningen (2001:588) om behandling av uppgifter i Skatte- verkets beskattningsverksamhet finns i 4–8 §§ bestämmelser om när uppgiftsskyldighet finns i förhållande till uppräknade myndig- heter. I 8 a § erinras vidare om att uppgiftsskyldighet föreskrivs också i vissa omnämnda författningar.

Ett annat sätt är att uttömmande reglera i vilka fall direkt- åtkomst får medges. Denna lagstiftningsteknik har använts exem- pelvis i fråga om socialförsäkringsdatabasen som innehåller person- uppgifter i Försäkringskassans och Pensionsmyndighetens verk- samhet. I 114 kap. 18–23 §§ SFB finns bestämmelser om direkt- åtkomst till socialförsäkringsdatabasen. Av 2 och 5 §§ framgår att socialförsäkringsdatabasen utgörs av den samling av uppgifter som med hjälp av automatiserad behandling används gemensamt för handläggning av förmåner m.m. som utförs av Försäkringskassan och Pensionsmyndigheten.

Enligt 18 § är direktåtkomst till socialförsäkringsdatabasen endast tillåten i den utsträckning som anges i lag eller förordning. I 19– 23 §§ finns därefter bestämmelser om vissa myndigheter eller organ med myndighetsuppgifter som, förutom Försäkringskassan och Pensionsmyndigheten, får ha sådan direktåtkomst och att det gäller i den utsträckning det behövs för särskilt nämnda ärendeslag eller ändamål. Vad gäller ändamålen hänvisas till 8 § där s.k. sekundära ändamål räknas upp, dvs. som tar sikte på tillhandahållande av in- formation som behövs i annan verksamhet än den som bedrivs av Försäkringskassan och Pensionsmyndigheten. I 3–4 §§ förordningen (2003:766) om behandling av personuppgifter i socialförsäkringens administration finns ytterligare föreskrifter om direktåtkomst. Be- stämmelser om uppgiftsskyldighet på socialförsäkringsområdet som knyter an till bestämmelserna om direktåtkomst i 114 kap. SFB finns vidare i förordningen (1980:995) om skyldighet för

123

Försäkringskassan och Pensionsmyndigheten att lämna uppgifter till andra myndigheter, den s.k. uppgiftslämnarförordningen. Sådana bestämmelser finns också i vissa fall i författningar som gäller den myndighet som medgetts direktåtkomst till socialförsäkringsdata- basen.

Direktåtkomst kan också regleras på det sättet att författningen ger uttryck för när direktåtkomst inte får förekomma, dvs. i form av förbud mot direktåtkomst. Så är fallet med direktåtkomst till personuppgifter inom socialtjänsten. Enligt 11 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten bemyndigas regeringen att meddela föreskrifter om bl.a. direktåtkomst. I 24 § förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten föreskrivs att Socialstyrelsen får i verksamhet som avses i lagen (2007:606) om utredningar avseende vissa dödsfall inte medge andra myndigheter eller enskilda direktåtkomst till person- uppgifter. I övrigt saknas bestämmelser om direktåtkomst. I den nya lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna finns bestämmelser som innebär att vissa myndigheter inte bara får, utan ska, medges direktåtkomst (6 och 7 §§). Att man reglerar direktåtkomsten på ett sådant sätt hör emellertid till undantagen.

Det finns också exempel på att en myndighet har gett en annan myndighet direktåtkomst utan att det särskilt har reglerats. Ett sådant exempel är att Transportstyrelsen, efter samråd med Data- inspektionen, har gett bl.a. Luftfartsverket direktåtkomst till luft- fartsregistret. Det finns ingen särskild registerförfattning som reg- lerar behandling av personuppgifter i det registret, utan i stället gäller personuppgiftslagen. Att registret ska föras framgår dock av 2 kap. 1 § luftfartslagen (2010:500).

5.4Uppgiftsutbyte genom utlämnande på medium för automatiserad behandling

5.4.1Begreppet

Begreppet utlämnande på medium för automatiserad behandling används i registerförfattningar utan att begreppet har getts någon legaldefinition. Uttrycket ”automatiserad behandling” finns i flera paragrafer i personuppgiftslagen, t.ex. 5 §. I den tidigare datalagen

124

(1973:289) användes begreppet automatisk databehandling. Vid per- sonuppgiftslagens införande konstaterade Lagrådet att det begrep- pet var väl inarbetat, men att ett sådant uttryckssätt förde tanken till en behandling som sker automatiskt efter en viss händelse eller tidpunkt e.d. oavsett hur behandlingen utförs. I stället borde ut- trycket ”automatiserad behandling” användas. Regeringen instämde i denna bedömning (prop. 1997/98:44 s. 38 f. och 240). Begreppet automatiserad behandling har sedan kommit att användas i de registerförfattningar som tillkommit efter personuppgiftslagens införande. Även i 2 kap. TF används begreppet automatiserad be- handling, i t.ex. 3 och 13 §§ talas om ”upptagning för automatiserad behandling”. Skälet är att man velat ansluta till terminologin i register- författningarna (prop. 2001/02:70 s. 23).

Vad som avses med ett medium för automatiserad behandling som kan användas för utlämnande av information har varierat bero- ende på informationsteknikens utveckling. I äldre förarbeten talades det exempelvis om magnetband, skivminnen eller en handling med visuellt läsbar text, om texten var maskinläsbar och avsikten var att avläsning skulle ske maskinellt (prop. 1979/80:146 s. 48). I senare motivuttalanden anfördes att utlämnande kunde ske genom filöver- föring, på diskett eller på annat sätt med hjälp av automatisk data- behandling (prop. 1995/96:201 s. 31).

Med dagens teknik kan utlämnande av information ske exem- pelvis genom e-post, på ett usb-minne eller genom direkt över- föring från ett datorsystem till ett annat via ett elektroniskt kom- munikationsnät. Vid ett mer omfattande uppgiftsutbyte mellan myn- digheter är det ofta den senare metoden som används.

I studiestödsdatalagen skiljer man på begreppen utlämnanden på medium för automatiserad behandling och utlämnanden via elek- tronisk kommunikation (se 13 §). Med medium för automatiserad behandling avses ett fysiskt medium såsom diskett, usb-minne eller cd-skiva, medan utlämnanden via elektronisk kommunikation tar sikte på exempelvis e-post, sms eller skriftlig dialog i realtid via internet (prop. 2008/09:96).

125

5.4.2Hur regleras utlämnande på medium för automatiserad behandling?

Frågan om utlämnande på medium för automatiserad behandling har behandlats på olika sätt i registerförfattningarna. I vissa för- fattningar har man uttryckligen reglerat när ett sådant utlämnande får ske. Ett sådant exempel är utlämnanden från socialförsäkrings- databasen, som regleras i 114 kap. 24 § SFB. Enligt den bestäm- melsen får personuppgifter i socialförsäkringsdatabasen som får lämnas ut till den registrerade lämnas ut till denne på medium för automatiserad behandling. I övrigt får personuppgifter ur data- basen lämnas ut på sådant medium endast om det behövs för något av de ändamål som anges i 8 och 9 §§, dvs. för ett av de där upp- räknade tillåtna ändamålen för att tillhandahålla information – s.k. sekundära ändamål. Ett annat exempel där lagstiftaren har valt att reglera i vilka fall utlämnande på medium för automatiserad be- handling ska vara tillåtet är studiestödsdatalagen (2009:287). Enligt 10 § är elektroniskt utlämnande tillåtet bara i den utsträckning som anges i lag eller förordning. Som ytterligare förutsättningar gäller att bestämmelserna om tillåtna ändamål i 4 § följs. Detsamma gäller bestämmelserna om särskilda begränsningar, samtycke och sök- begrepp i 6–8 §§. Av 13 § följer emellertid att när personuppgifter får lämnas ut till någon genom direktåtkomst, får de också på något annat sätt lämnas ut elektroniskt till mottagaren. Vidare får per- sonuppgifter även i andra fall lämnas ut på medium för automati- serad behandling eller via elektronisk kommunikation i enskilda fall.

I andra författningar saknas det regler om utlämnande på medium för automatiserad behandling. Av förarbetena framgår att man då ansett att en sådan reglering inte är nödvändig för att ett utläm- nande ska kunna ske. Som exempel kan nämnas utlämnanden från beskattningsdatabasen. Enligt 2 kap. 6 § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet får uppgifter i databasen lämnas ut till enskild på medium för automatiserad be- handling endast om regeringen har meddelat föreskrifter om det. För sådant utlämnande till en myndighet saknas däremot regler. Ett annat exempel där det inte bedömts nödvändigt att särskilt reglera utlämnanden på medium för automatiserad behandling för att det ska vara tillåtet är patientdatalagen (2008:355). I lagen har i stället införts en bestämmelse, 5 kap. 6 §, som föreskriver att om en

126

personuppgift får lämnas ut, kan det ske på medium för automati- serad behandling. Det uppställda villkoret syftar på att uppgiften inte kan lämnas ut om utlämnandet inte är en tillåten behandling av personuppgifter eller sekretess hindrar utlämnandet (prop. 2007/08:126 s. 77 och 246 f.).

Ett fåtal författningar innehåller förbud mot utlämnanden på medium för automatiserad behandling. Ett sådant exempel är utläm- nanden från passagerarregistret. Enligt 7 § lagen (2006:444) om passagerarregister är det förbjudet att lämna ut personuppgifter ur registret på medium för automatiserad behandling. Bakgrunden till bestämmelsen behandlas inte närmare i förarbetena (prop. 2005/06:129). Det konstateras emellertid att en myndighet som begär att få ut uppgifter ur registret med stöd av den s.k. general- klausulen i 10 kap. 27 § OSL således inte kan få uppgifterna ut- lämnande på medium för automatiserad behandling (a. prop. s. 79).

5.5Den tekniska utvecklingen

5.5.1Tidigare uttalanden om den tekniska utvecklingens betydelse för begreppens innebörd

I våra direktiv anförs att den tekniska utvecklingen har inneburit att det numera finns betydligt fler sätt att överföra uppgifter elek- troniskt än tidigare och att nya åtkomstmetoder alltjämt tillkom- mer. Detta har medfört att det uppfattas som oklart hur begreppen direktåtkomst och utlämnande på medium för automatiserad be- handling ska tillämpas på modernare metoder för informations- utbyte.

I prop. 2007/08:160 behandlades frågan om ett utökat elektroniskt informationsutbyte mellan Migrationsverket, Försäkringskassan, Skatteverket, Kronofogdemyndigheterna, Statens Pensionsverk, Centrala studiestödsnämnden, Arbetsförmedlingen, arbetslöshets- kassorna och kommunernas socialnämnder. Regeringen drog här slutsatsen att utgångspunkten för det utökade elektroniska infor- mationsutbytet bör vara att utlämnandet av uppgifter ska ske genom att direktåtkomst medges (a. prop. s. 56 f.). När det gällde utläm- nande som inte sker genom direktåtkomst utan på medium för automatiserad behandling anförde regeringen att den teknik som i dag används för sådan elektronisk informationsöverföring nor-

127

malt innebär att data utbyts nattetid och att begärd information skickas från de interna registren till en brevlåda hos den myndighet som ska lämna ut uppgifterna (a. prop. s. 58). Regeringen påpekade att den fördröjning i uppgiftslämnandet som är inbyggd i tekniken innebär en teoretisk möjlighet för utlämnaren att kontrollera vilken information som ska lämnas ut. Sekretessprövningen sker dock i praktiken i samband med att förbindelsen upprättas. Någon ytter- ligare prövning av uppgifterna i samband med utlämnandet sker inte vid överföringar via telenätet, även om det på grund av fördröj- ningen i systemen är teoretiskt möjligt att göra en sådan prövning. Regeringen ansåg att den tekniska utvecklingen har lett till att skill- naderna mellan direktåtkomst och annat utlämnande på automati- serad väg har blivit så små att det kan vara svårt att dra en gräns mellan direktåtkomst och andra former för utlämnande.

I samma proposition påpekade regeringen vidare att s.k. batch- körningar, som ofta användes för utlämnande på medium för auto- matiserad behandling, har en tidsfördröjning på ett dygn (prop. 2007/08:160 s. 60). Detta innebär att de uppgifter som hämtats in från en annan myndighets system är i vart fall en dag gamla när handläggaren av ett ärende fattar beslut med stöd av dessa.

E-offentlighetskommittén påpekade i sitt betänkande Allmänna handlingar i elektronisk form – offentlighet och integritet (SOU 2010:4) att den tekniska utvecklingen har fört med sig att gränsen mellan de metoder för utlämnande i elektronisk form som före- kommer i registerförfattningarna i viss mån har suddats ut (s. 366). Kommittén hänvisade i denna del till SAMSET-rapport 2006:1, Elektroniskt informationsutbyte – myndighetsgemensamma rätts- frågor, s. 78 ff.

Vi har i vårt delbetänkande berört frågan om vilka begrepp som används vid elektroniska utlämnandeformer och konstaterade där att begreppet utlämnande på medium för automatiserad behandling i takt med att tekniken utvecklats har getts en vidare innebörd än att avse ett överlämnande av elektroniskt lagrade uppgifter via något slags medium för lagring eller överföring (SOU 2012:90 s. 198 f.). Med hänvisning till uttalanden i förarbeten nämnde vi som exempel på detta s.k. batch-körningar.

E-delegationens expertgrupp för rättsliga frågor har i en rapport från mars 2012 presenterat en juridisk modell för on-lineliknande utlämnanden som syftar till att inte komma i konflikt med de krav i

128

författning som gäller för direktåtkomst, uppfylla erforderliga krav på persondataskydd och informationssäkerhet och inte leda till att överskottsinformation hos mottagande myndighet uppstår. Expert- gruppen anför i rapporten att den snabba tekniska utvecklingen har möjliggjort att nya metoder för utlämnanden av myndighets- information kan innefatta reella och automatiserade kontroller som görs i varje enskilt fall, i likhet med vad som sker vid automati- serade beskattningsbeslut. Enligt expertgruppens bedömning kan ett fullt utvecklat stöd för automatiserade beslut, som leder till reella prövningar och individuella förvaltningsbeslut i varje enskilt fall innan uppgifter lämnas ut, ges en sådan utformning att infor- mationsutbytet inte bör anses utgöra direktåtkomst.

5.5.2Uppgiftsutbyte mellan Försäkringskassan och kommunala nämnder

För närvarande pågår en process i allmän förvaltningsdomstol mellan Försäkringskassan och Datainspektionen där frågan berörs om ett uppgiftsutbyte mellan Försäkringskassan och kommunala nämnder är att anse som direktåtkomst eller utlämnande på medium för automatiserad behandling. Uppgiftsutbytet sker genom datasystemet LEFI Online, som är en automatiserad onlinetjänst som bl.a. ger socialnämnder åtkomst till viss information. Det är en fråga/svars- tjänst med fördefinierade frågor och svar. Mottagaren skickar en frågefil avseende en viss person i taget som innehåller uppgifter om personnummer och efterfrågade förmåner för en viss period. För- säkringskassans it-system hämtar in informationen från olika interna källor och sammanställer ett svar. En behörighetskontroll och två sekretesskontroller genomförs automatiserat under processen. En svarsfil skickas sedan till mottagaren.

I sak rör målet om Datainspektionen, som anser att det upp- giftsutbyte som sker genom LEFI-Online är direktåtkomst, haft fog för ett föreläggande mot Försäkringskassan att upphöra med att ge socialnämnder åtkomst till uppgifter i socialförsäkringsdata- basen till dess att en sådan försäkran som avses i 114 kap. 22 § SFB har hämtats in från socialnämnderna.

I en dom den 19 december 2012 (mål nr 9049-11) fann Förvalt- ningsrätten i Stockholm att det måste vara fråga om ett beslut som baseras på en reell prövning i det enskilda fallet för att det ska vara

129

fråga om utlämnande på medium för automatiserad behandling och inte direktåtkomst. Det bör enligt förvaltningsrätten krävas att en sådan prövning inte endast innebär i princip detsamma som en på förhand genomförd prövning vid direktåtkomst till fördefinierade uppgifter. Domstolen instämde därför i Datainspektionens bedöm- ning att det var fråga om direktåtkomst och ansåg att det därmed saknades anledning att invända mot Datainspektionens förelägg- ande.

Försäkringskassan överklagade domen till Kammarrätten i Stockholm, som i en dom den 14 februari 2014 avslog överklag- andet (mål nr 189-13). Som skäl för sitt avgörande anförde kam- marrätten bl.a. följande. För att det ska vara fråga om ett utläm- nande på medium för automatiserad behandling krävs antingen att det är fråga om en s.k. batch-körning eller att utlämnandet baseras på en reell prövning i det enskilda fallet. Med en reell prövning avses att den utlämnande myndigheten i varje enskilt fall gör en sekretessprövning av om uppgifter kan lämnas ut. I målet var det inte fråga om en batch-körning. Vad gällde frågan om en reell sekretessprövning görs vid utlämnande av uppgifterna, framgick av handlingarna i målet att Försäkringskassan inte fattar något indi- viduellt beslut, automatiserat eller inte, för varje enskild begäran. Vid en sammantagen bedömning av de behörighets- och sekretess- kontroller som utförs i systemet LEFI Online av de fördefinierade uppgifterna fann kammarrätten att de inte kan anses tillräckliga för att det ska anses som att det sker ett utlämnande på medium för automatiserad behandling, utan att utlämnandet som sker genom systemet sker genom direktåtkomst.

Försäkringskassan har överklagat kammarrättens dom till Högsta förvaltningsdomstolen som beslutade att meddela prövningstill- stånd den 21 januari 2015 (mål nr 1356-14).

5.5.3Självbetjäningstjänster

En del myndigheter har infört servicesystem som innebär att myn- digheter och enskilda medges en automatiserad tillgång till upp- gifter hos myndigheten som inte är sekretessreglerade, dvs. som inte omfattas av någon sekretessbestämmelse. Ett exempel är att man kan få tillgång till uppgifter i vägtrafikregistret genom själv-

130

betjäningstjänster via Transportstyrelsens hemsida. Möjligheten för Transportstyrelsen att medge direktåtkomst till registret är begrän- sad enligt särskilda bestämmelser i lagen (2001:558) om vägtrafik- register och den anknytande förordningen (2001:650). Transport- styrelsen har i en framställan till regeringen den 16 juni 2014 uppmärksammat att det nuvarande regelverket inte ger ett tydligt stöd för de redan befintliga servicetjänsterna och är ett hinder för fortsatt utveckling av dessa (dnr TSV 2014-1642). Myndigheten föreslår därför vissa ändringar i nämnda registerförfattningar, bl.a. att direktåtkomst till enstaka personuppgifter som gäller registrering av fordon, felparkeringsavgifter samt trängselskatt och som inte är integritetskänsliga ska vara tillåtna utan något särskilt medgivande och utan att ändamålen med åtkomsten behöver prövas.

Många myndigheter ger enskilda möjlighet att via en ”allmän- hetens terminal” själva söka i myndighetens diarier och andra infor- mationssamlingar med offentliga uppgifter som myndigheten gjort tillgängliga för sökning i terminalen. En sådan ”allmänhetens ter- minal” kan ses som ett praktiskt sätt att lösa den skyldighet för myndigheten som följer av 6 kap. 6 § OSL och som innebär att en myndighet som huvudregel ska ge enskilda tillfälle att själva an- vända tekniska hjälpmedel för att kunna ta del av myndighetens elektroniska handlingar. Detta sätt att erbjuda enskilda en teknisk möjlighet att direkt hos myndigheten ta del av elektroniska hand- lingar har ibland inte ansetts utgöra direktåtkomst (se t.ex. Ds 2013:10 s. 138). I andra sammanhang har ”allmänhetens termi- nal” emellertid betraktats som direktåtkomst (se t.ex. JK:s beslut den 20 januari 2010, dnr 7004-13-28).

5.6Effektivitetsvinster och integritetsrisker

5.6.1Uppdraget

I våra direktiv sägs att vi mot bakgrund av gränsdragningsproble- matiken i fråga om direktåtkomst och utlämnande på medium för automatiserad behandling ska analysera vilka effektivitetsvinster och integritetsrisker som är förknippade med olika former av elek- troniskt informationsutbyte.

131

5.6.2Effektivitetsvinster

I syfte att effektivisera förvaltningen har riksdag och regering åter- kommande i olika lagstiftningsärenden infört bestämmelser som ska möjliggöra ett utökat elektroniskt informationsutbyte mellan olika myndigheter. En utgångspunkt har därvid ofta varit att det utökade elektroniska utbytet ska ske i form av direktåtkomst. I exempelvis prop. 2007/08:160 s. 56 f. om ett utökat elektroniskt informationsutbyte mellan Migrationsverket, Försäkringskassan, Skatteverket, Kronofogdemyndigheten, Statens pensionsverk, Cen- trala studiestödsnämnen, Arbetsförmedlingen, arbetslöshetskassorna och socialnämnder bedömdes att enbart den föreslagna elektro- niska hanteringen av informationsutbytet mellan Försäkringskassan och Migrationsverket skulle frigöra ca 15 årsarbetskrafter från ett rutinbetonat uppgiftsinhämtande över telefon till mer kvalificerade arbetsuppgifter.

Riksrevisionen har i sin rapport RiR 2010:18 redovisat sin gransk- ning av om möjligheterna till effektivisering har utnyttjats när det gäller informationsutbytet mellan myndigheter med ansvar för trygghetssystem. Enligt Riksrevisionens bedömning hade myndig- heterna inte utnyttjat alla möjligheter som lag och teknik erbjuder. Ett införande av elektroniskt informationsutbyte mellan kommu- ner och myndigheter skulle kunna medföra en årlig nettobesparing på 150 miljoner kronor per år. Granskningen visade att det fort- farande fanns en stor utvecklingspotential i informationsutbytet mellan myndigheterna och att regeringens insatser på området inte hade nått ända fram. Enligt Riksrevisionen utgör den svåröver- skådliga strukturen i lagstiftningen ett hinder för utbytet eftersom den skapar en osäkerhet hos myndigheterna om vilken information som får utbytas. De är vidare svårt att bedöma om det finns restrik- tioner i lagstiftningen när det gäller på vilket sätt det elektroniska utbytet får ske. Modellen med förvaltningsmyndigheter under regeringen och kommunalt självstyre innebar enligt Riksrevisionens bedömning att regeringen behövde bli bättre på att samordna re- surser och att skapa ekonomiska incitament för myndigheterna. Elektroniskt informationsutbyte bör ske enligt gemensam standard så att säkerhet och därmed integritetsskyddet säkerställs i informa- tionsöverföringen. En standardiserad kommunikationslösning bör bygga på modern och kostnadseffektiv teknik.

132

Riksrevisionen konstaterade vidare att det fanns exempel på att informationsutbyten inte har blivit av på grund av att myndig- heterna hade problem med att tolka lagstiftningen om hur informa- tion får överföras, men att myndigheterna inte hade informerat regeringen om väsentliga problem med lagstiftning och resurser. En annan anledning till uteblivet informationsutbyte var kommu- nernas bristande samordning. Enligt Riksrevisionens uppfattning har myndigheterna ett gemensamt ansvar för att se till att viktiga informationsutbyten kommer till stånd samt att de bör skapa direktåtkomst för att effektivisera elektroniska utbyten i de fall det är ekonomiskt lönsamt. När det gällde problem i de elektroniska informationsutbyten som myndigheterna redan hade skapat visade granskningen att det förekom att informationen kunde utebli eller innehålla fel. Utbyte av information genom översändningar av batchfiler en gång per dygn medförde vidare en fördröjning av vik- tig information som behövs i handläggningen. Enligt Riksrevi- sionen borde sådana brister i det befintliga elektroniska informa- tionsutbytet kunna åtgärdas genom en uppgradering av de tekniska systemen så att aktörerna får direktåtkomst till informationen.

I sin uppföljningsrapport år 2013 redovisade Riksrevisionen vilka åtgärder som vidtagits efter 2010 års granskning av informations- utbytet mellan myndigheter med ansvar för trygghetssystem. Riks- revisionen konstaterade bl.a. att regeringen i budgetpropositionen för år 2013 delade revisionens slutsats att myndigheternas hand- läggning kan effektiviseras, att regeringen under 2011 och 2012 tillsatt två utredningar med koppling till informationsutbytet (bl.a. Informationshanteringsutredningen), att E-delegationen i betänk- andet Vägen till en effektivare e-förvaltning (SOU 2011:67) tagit fram en juridisk modell för en on-lineliknande åtkomst samt att Sveriges Kommuner och Landsting hade tagit fram ett strategi- dokument i syfte att stödja kommuner och landstings utveckling av e-förvaltning samt skapat ett programkontor med samordnings- ansvar.

I rapporten ESV 2014:2 redovisade Ekonomistyrningsverket sitt regeringsuppdrag att följa upp realiseringen av ekonomiska nyttor från e-förvaltningsprojekten Elektroniska fakturor, Elektroniska beställningar, Elektroniska legitimationer och Säker myndighets- gemensam meddelandeförmedling. Ekonomistyrningsverket redo- visade i rapporten att det inte varit möjligt att sammanställa eko-

133

nomiska nyttor från de fyra initiativ som uppdraget omfattat. Den viktigaste orsaken var att initiativen fortfarande befann sig i en genomförandefas. Många myndigheter saknade vidare mätningar för genomförandet. Flera myndigheter hade också lyft fram att det saknades tillräckliga incitament för samverkan över myndighets- gränserna och för att mäta de ekonomiska nyttorna från dessa gemensamma satsningar.

På uppdrag av E-delegationen bedriver Centrala studiestöds- nämnden projektet Effektiv informationsförsörjning. Projektets syfte är att ta fram en tjänst som möjliggör för kommuner att via en anslutning elektroniskt inhämta information från flera myndigheter samt Arbetslöshetskassornas samorganisation. Med den nya tjänsten kommer handläggaren att i stället för manuellt via brev, fax eller telefon kunna inhämta uppgifter från myndigheter och a-kassor på elektronisk väg. Tjänsten sattes i produktion i maj 2014 och bygger på Försäkringskassans befintliga it-tjänst LEFI-Online. Sveriges Kommuner och Landsting kommer att förvalta tjänsten. Utveck- lingen sker i etapper och en pilotverksamhet startade våren 2014.

E-delegationen har utarbetat en vägledning för digital samver- kan (uppdaterad senast i september 2014) som är ett första steg i att stödja organisationer som samverkar vid utveckling av gemen- samma lösningar för informationssystem.

5.6.3Integritetsrisker

Som vi har redovisat i vårt delbetänkande är det ett särskilt problem att s.k. överskottsinformation kan uppstå vid direktåtkomst. Detta beror på att när direktåtkomsten etableras det ofta inte går att av- göra exakt vilka specifika uppgifter i en värdmyndighets informa- tionssamlingar som en mottagarmyndighet kan komma att ha an- ledning att ta del av. En sådan myndighet kan alltså behöva ha tillgång till uppgifter om personer som visar sig aldrig bli aktuella i myndighetens verksamhet. Detta kan redan i sig innebära vissa integritetsrisker. Det kan också få negativa konsekvenser för enskildas personliga integritet att överskottsinformation på detta sätt blir allmän handling hos mottagarmyndigheter redan då den tekniska möjligheten att ta del av informationen etableras.

134

En direktåtkomst kan också upplevas utgöra en risk för enskildas integritet i ett mer övergripande perspektiv, eftersom en sådan åt- komst aktualiserar särskilda frågor om informationssäkerhet på grund av att de inblandade aktörernas informationssystem i viss utsträck- ning kopplas samman.

Utlämnanden av personuppgifter i elektronisk form på annat sätt än genom direktåtkomst innebär däremot inte i sig att det upp- står vare sig problem med s.k. överskottsinformation eller sådana säkerhetsrisker som har samband med att informationssystemen kopplas samman. Däremot finns det integritetsrisker förknippade även med sådana former av informationsutbyte som bl.a. innebär att överväganden behöver göras så att information som behöver skyddas kan förmedlas på ett säkert sätt.

5.7Våra överväganden

Bedömning: Direktåtkomst innebär rättsligt att gränsen mellan de uppgiftsutbytande myndigheterna i viss omfattning tas bort, vilket inte är en konsekvens av annat elektroniskt utlämnande. Hur den mottagande myndigheten väljer att använda direkt- åtkomsten har den utlämnande myndigheten inte någon befogen- het att påverka, eftersom de handlingar som omfattas av åtkomsten redan har lämnats ut. Korresponderande sekretessfrågor måste därför vara lösta på förhand liksom behov av sökbegränsningar hos den mottagande myndigheten, vilket kan medföra krav på lagstiftningsåtgärder. Både principiella och rättsliga skäl talar därför för att en åtskillnad mellan direktåtkomst och annat utlämnande i elektronisk form görs.

Vidare utgör varken den tekniska utvecklingen eller effektivi- tetsvinster och integritetsrisker som kan förknippas med olika åtkomstmetoder skäl för att utmönstra den begreppsmässiga åtskillnaden.

Ett sådant utlämnande i elektronisk form som inte är direkt- åtkomst innebär – oavsett på vilket sätt det sker – alltså inte att myndigheternas verksamhet rättsligt sett blandas samman. Något behov av att rättsligt skilja olika sådana former åt finns därför inte.

135

I våra direktiv sägs att vi ska ta ställning till om det finns skäl för att i registerförfattningar upprätthålla en skillnad mellan direkt- åtkomst och andra former av elektroniskt utlämnande eller om denna skillnad bör utmönstras. Vi uppfattar vårt uppdrag i denna del som att en analys bör göras av om det i lagstiftningssamman- hang finns anledning att också i fortsättningen skilja på begreppen, dvs. att analysen bör ta sikte på begreppens rättsliga innebörd.

5.7.1Att enbart beskriva direktåtkomst som en form av elektroniskt utlämnande ger en otillräcklig bild av vad åtkomsten rättsligt innebär

Visserligen kan direktåtkomst kort och gott beskrivas som en form av elektroniskt utlämnande. På detta sätt beskrivs begreppen också i flera förarbeten, exempelvis i motiven till studiestödsdatalagen (prop. 2008/09:96 s. 57 f.). Från en principiell och rättslig utgångs- punkt ger den beskrivningen enligt vår mening emellertid en otill- räcklig och alltför begränsad bild av vad en sådan åtkomst innebär. Termen direktåtkomst som sådan beskriver på ett bättre sätt vad det är frågan om, varvid nyckelordet är ”direkt”. Det tar sikte på att den utlämnande myndigheten bildligt talat öppnar sina dörrar för den mottagande myndigheten. Den mottagande myndigheten tillåts träda in innanför dörrarna och själv få, i den omfattning som med- getts, söka fritt i den utlämnande myndighetens informationssam- lingar. Från ett principiellt perspektiv är den omständigheten att åtkomsten är direkt, dvs. att ”dörrarna öppnas”, det mest betydelse- fulla, eftersom det innebär att den utlämnande myndigheten redan vid den tidpunkt då åtkomsten etableras har lämnat ut berörda uppgifter till den mottagande myndigheten. Denna omständighet gör att direktåtkomst är en betydligt mer vittomfattande form av elektroniskt utlämnande än andra sådana former av utlämnanden. Att direktåtkomsten är en speciell företeelse visas av att det uppstår både rättsliga och sakliga konsekvenser som inte uppkommer vid andra former av utlämnanden.

136

Konsekvenser såvitt avser allmänna handlingar och sekretess

En rättslig konsekvens är, som framgått ovan (avsnitt 5.3.1), att de upptagningar/handlingar hos den utlämnande myndigheten som direktåtkomsten omfattar blir expedierade i den mening som avses i 2 kap. 7 § TF redan i och med att åtkomsten etablerats, dvs. i den stund då upptagningarna är tekniskt tillgängliga för den mottag- ande myndigheten så att de kan läsas, avlyssnas eller på annat sätt uppfattas. Att en expediering sker innebär att handlingarna är att anse som allmänna både hos den utlämnande och mottagande myn- digheten. Huruvida den mottagande myndigheten genom någon åt- gärd faktiskt har använt sig av direktåtkomsten har ingen betydelse för denna fråga. Genom att åtkomsten etablerats är handlingarna alltså att anse som inkomna till och förvarade hos den mottagande myndigheten.

I och med att den mottagande myndigheten är insläppt och är ”innanför dörrarna” hos den utlämnande myndigheten kan den bland de uppgifter som direktåtkomsten omfattar själv välja om och i så fall vilka uppgifter den vill hämta hem till sina egna informations- samlingar genom någon form av faktiskt överföring för att därefter bearbeta uppgifterna där. Vad myndigheten väljer att göra har den utlämnande myndigheten inte någon rättslig befogenhet att påver- ka, eftersom handlingarna redan har lämnats ut till den mottagande myndigheten i 2 kap. TF:s mening genom att åtkomsten etablerats.

Till detta kommer att om man planerar att en direktåtkomst ska omfatta uppgifter hos en myndighet som är sekretessreglerade, är det nödvändigt att i förväg få klarlagt att åtkomsten är förenlig med den sekretess som gäller för respektive myndighets område. Dessa frågor måste alltså vara lösta innan direktåtkomsten etableras. För det första behöver det bedömas om det finns ett tillfredsställande sekretesskydd för uppgifterna hos den mottagande myndigheten eller om ett sådant skydd behöver införas. Det måste i så fall ske genom reglering i offentlighets- och sekretesslagen, dvs. genom lag. För det andra behöver det bedömas om det finns en sekretess- brytande regel som möjliggör att de sekretessreglerade uppgifterna lämnas ut till den mottagande myndigheten. Om inte, måste även en sådan föreskrift införas. Det kan ske i form av lag eller förord- ning. Eftersom en sekretessbrytande regel ska syfta till att göra direktåtkomsten möjlig måste en sådan regel ta sikte på direkt-

137

åtkomsten i dess hela vidd. Eftersom ett utlämnande sker av samt- liga uppgifter som omfattas av direktåtkomsten i det ögonblick åtkomsten etableras, måste den sekretessbrytande regeln alltså möj- liggöra hela detta utlämnande. Det är m.a.o. inte tillräckligt att en sekretessbrytande regel möjliggör ett utlämnande i de enskilda fall då den mottagande myndigheten genom en faktisk överföring använder sig av direktåtkomsten och hämtar vissa av de uppgifter som åtkomsten omfattar. Samtliga uppgifter har ju redan lämnats ut till den myndigheten i och med att direktåtkomsten har etable- rats.

En rättslig konsekvens av en direktåtkomst är alltså att korren- sponderande sekretessfrågor måste vara lösta i förväg, dvs. innan åtkomsten faktiskt etableras, vilket i sin tur i förekommande fall kan kräva författningsändringar.

I underlaget för bedömningen av vilken omfattning en sekre- tessbrytande regel ska ha, dvs. vilka uppgifter som ska lämnas ut genom direktåtkomsten utan hinder av sekretess, torde det i de flesta fall även behöva finnas med en analys av hur direktåtkomsten kan ordnas rent tekniskt. Först när en sådan analys är gjord torde man kunna ta ställning till hur omfattande direktåtkomsten behöver vara för att det planerade uppgiftsutbytet ska vara möjligt.

Konsekvenser såvitt avser behandling av personuppgifter och personuppgiftsansvar

Det finns också anledning att analysera vad en planerad direkt- åtkomst innebär i fråga om vilka behandlingar av personuppgifter som behöver ske samt när personuppgiftsansvaret aktualiseras och vad det tar sikte på. En direktåtkomst innebär att en rad förbered- ande åtgärder behöver vidtas som bl.a. inbegriper behandling av personuppgifter redan innan utlämnandet av uppgifterna sker. Det är en avgörande skillnad i förhållande till ett utlämnande av person- uppgifter på automatiserat medium, som är begränsat till en behand- ling som innebär att uppgifter sänds över elektroniskt till mottag- aren.

Vid en direktåtkomst behöver förberedande tekniska åtgärder vidtas för att direktåtkomsten, när den väl etableras, ska ta sikte på endast de personuppgifter som åtkomsten får omfatta. Det utgör en form av behandling av personuppgifter. Även andra förbered-

138

ande åtgärder behöver vidtas som har samband med inblandade myndigheters personuppgiftsansvar, även om de inte i sig innebär en behandling av personuppgifter. Det behöver exempelvis göras säkerhetsanalyser och krävs att eventuella behövliga åtgärder där- efter vidtas för att motverka de risker för myndigheternas informa- tion som kan uppstå på grund av att deras tekniska system, och därmed verksamheter, i viss mån kopplas ihop genom direkt- åtkomsten. Andra förberedande åtgärder som den mottagande myn- digheten behöver ägna sig åt i egenskap av personuppgiftsansvarig är att vidta tekniska och andra åtgärder, t.ex. fördelning av behörig- het och åtkomstbegränsningar, för att säkerställa att endast de tjänstemän som har behörighet att använda sig av direktåtkomsten kommer att kunna göra det och att det kan kontrolleras och följas upp hur åtkomsten används. De inblandade myndigheterna har alltså ett gemensamt ansvar för att de säkerhets- och kontrollfrågor som direktåtkomsten ger upphov till är på ömse håll analyserade och lösta innan direktåtkomsten etableras. Frågor av dessa slag behandlas närmare i avsnitt 10.1.4 och 10.2.5.

När direktåtkomsten väl etableras sker också en behandling av personuppgifter, nämligen att samtliga uppgifter som omfattas av åtkomsten lämnas ut till den mottagande myndigheten genom att de vid etableringen blir tillgängliga för den myndigheten. Det är alltså något annat än den behandling av personuppgifter som sker när uppgifterna rent faktiskt förs över till den myndigheten. I den mån sådana faktiska överföringar sker är det behandlingar som utförs av den mottagande myndigheten när den använder sig av sin direktåtkomst. Det är också den myndigheten som enligt vad vi föreslår ska vara personuppgiftsansvarig för dessa behandlingar, se avsnitt 10.1.4. Detta är också en viktig skillnad i förhållande till hur ett s.k. utlämnande på automatiserat medium går till, då det är den utlämnande myndigheten som genomför och ansvarar för att per- sonuppgifter faktiskt sänds över till den mottagande myndigheten.

En direktåtkomst som är igång innebär att de myndigheter som ingår i uppgiftsutbytet kommer att samtidigt utföra behandlingar av personuppgifter i den informationssamling som genom åtkomsten i viss mån blir gemensam. Både den utlämnande och mottagande myndigheten kommer alltså i olika delar och på olika nivåer att vara personuppgiftsansvariga för behandlingar som utförs. Den utläm- nande myndigheten ansvarar exempelvis för innehållet i databasen

139

och för att kontrollera att det är rätt mottagande myndighet som använder direktåtkomsten. Den mottagande myndigheten i sin tur har t.ex. att svara för att det är en behörig handläggare som använ- der sig av åtkomsten för att hämta hem personuppgifter till de egna informationssamlingarna.

Frågor av detta slag kräver i allmänhet inte särskilt författ- ningsstöd för att möjliggöra en direktåtkomst. Av 31 § PuL följer emellertid ett krav på den personuppgiftsansvarige att skydda de personuppgifter som ska behandlas genom åtgärder som ger en lämplig säkerhetsnivå. I samband med direktåtkomst måste alltså ställningstaganden och behövliga åtgärder av detta slag vidtas i förväg på myndighetsnivå. I den enskilde registrerades perspektiv är det vidare av stor vikt att det alltid ska vara tydligt vem som är personuppgiftsansvarig för en viss behandling. Den informationen ska vara lätt tillgänglig för den enskilde registrerade som alltid ska kunna veta vart man ska vända sig för att göra anspråk på sina rättigheter, exempelvis i form av rättelse eller skadestånd.

Konsekvenser såvitt avser användningen av sökbegrepp

Genom direktåtkomst blir den utlämnande myndighetens informa- tionssamlingar i viss omfattning tillgängliga för den mottagande myndigheten på så sätt att den fritt kan söka och föra över upp- gifter för att användas i den egna verksamheten. Dessa aktiviteter sker i den mottagande myndighetens verksamhet och omfattas så- ledes av de regler som gäller för den verksamheten och inte för den utlämnande myndighetens verksamhet. Det innebär vanligtvis att de eventuella sökbegränsningar som styr vilka sökningar och samman- ställningar som kan göras i samband med den utlämnande myndig- hetens behandling av personuppgifter inte gäller för den mottag- ande myndigheten trots att denna genom direktåtkomsten får åtkomst till samma uppgifter. En fråga som därför också behöver analyseras i förväg innan en direkåtkomst medges är om det behövs regler som begränsar användningen av sökbegrepp för att uppnå ett tillfredsställande skydd för personuppgifter även hos den mottag- ande myndigheten. Det är ytterligare en rättslig konsekvens av direkt- åtkomst som inte uppstår i samband med ett utlämnande på medium för automatiserad behandling. I avsnitt 9.4 behandlar vi vilka sök-

140

begränsningar som generellt bör gälla vid myndigheters behandling av personuppgifter. Frågan om hur sökbegränsningar bör regleras vid direktåtkomst övervägs närmare i avsnitt 11.3.

Sammanfattning

I samband med direktåtkomst väcks alltså både principiella och rättsliga frågor som har sin grund i att gränsen mellan de uppgifts- utbytande myndigheterna i viss utsträckning tas bort. I förekom- mande fall krävs därför att ny sekretess respektive att en sekretess- brytande regel införs. En annan rättslig fråga är att det behöver övervägas om den mottagande myndighetens användning av de personuppgifter som blir åtkomliga genom direktåtkomst behöver begränsas genom förbud att använda vissa sökbegrepp. Inför eta- bleringen av en direktåtkomst uppstår också ett behov av att in- blandade myndigheter, i egenskap av verksamhets- och personupp- giftsansvariga, analyserar det tekniska genomförandet av åtkomsten samt vidtar förberedande åtgärder bl.a. för att åstadkomma en lämplig säkerhetsnivå på ömse håll. Samtliga dessa frågor, som alltså innebär att åtgärder behöver vidtas i vart fall på myndighetsnivå och eventuellt även av lagstiftaren, måste således vara lösta innan den mottagande myndigheten ”släpps in” hos den utlämnande myn- digheten genom att direktåtkomsten etableras. Detta är en avgör- ande skillnad i förhållande till annat utlämnande som sker genom att uppgifter förmedlas i elektronisk form till mottagaren.

5.7.2Annat utlämnande i elektronisk form ger inte i sig upphov till att särskilda åtgärder behöver vidtas

Vid utlämnanden i elektronisk form som inte sker genom direkt- åtkomst är det hela tiden den utlämnande myndigheten som rätts- ligt förfogar över frågan om och i så fall vilka uppgifter som ska lämnas ut genom att sändas över till den mottagande myndigheten. På detta sätt skiljer sig sådana utlämnanden i principiell mening från direktåtkomst. Bildligt talat kan det sägas innebära att den utläm- nande myndigheten inte släpper in den mottagande myndigheten. Den mottagande myndigheten får i stället vänta ”utanför dörrarna” tills begärda uppgifter lämnas ut.

141

Konsekvenser såvitt avser allmänna handlingar och sekretess

I och med att den mottagande myndigheten inte släpps in till den utlämnande myndigheten uppstår inget behov av att analysera och eventuellt införa nya sekretessbestämmelser på grund av att gränsen mellan myndigheterna öppnas upp. Utlämnandet är alltså inte av ett sådant ingripande slag att det i sig, såsom vid direktåtkomst, medför ett behov av att i förväg analysera om författningsändringar behövs. Ett utlämnande sker i stället efter att den utlämnande myn- digheten gjort en bedömning med utgångspunkt i de bestämmelser som är tillämpliga i det enskilda fallet. En helt annan sak är att det måhända kan finnas sekretessbestämmelser som kan tyckas i en oönskad utsträckning hindra ett visst uppgiftsutbyte mellan myn- digheter.

Vid ett uppgiftsutbyte mellan två myndigheter som avses ha en någorlunda stor omfattning väcks den mer grundläggande frågan om det behövs regler för att styra huruvida sekretessreglerade upp- gifter rutinmässigt kan lämnas ut till en annan myndighet. Den frågan bör övervägas skild från frågan om på vilket sätt uppgifter kan lämnas ut. Frågorna har emellertid ett samband på det sättet att om det finns behov av ett rutinmässigt uppgiftsutbyte, torde det utbytet kunna effektiviseras genom att utlämnandet sker i elek- tronisk form.

Ett rutinmässigt utlämnande av uppgifter till en annan myndig- het kan regleras på så sätt att det införs en särskild sekretess- brytande regel för de myndigheter som ska utbyta information. Om så inte sker kan ett rutinmässigt utlämnande i stället äga rum med stöd av den s.k. generalklausulen i 10 kap. 27 § OSL, dvs. efter en avvägning mellan intresset av att skydda uppgifterna hos den utlämnande myndigheten och intresset hos den mottagande myn- digheten av att få ut uppgifterna. Det kräver i sig alltså ingen särskild författningsreglering. Bestämmelserna i 10 kap. 27 § OSL bygger emellertid på att ett rutinmässigt utlämnande av sekretess- reglerade uppgifter ska vara författningsreglerat (se avsnitt 5.2.2). Har det i en lag eller författning föreskrivits att uppgifter ”bör” eller ”får” lämnas ut får det antas att lagstiftaren har bedömt att intresset av att uppgifter lämnas mellan myndigheter har företräde framför sekretessintresset. Även om det inte är frågan om en sådan absolut uppgiftsskyldighet som avses i 10 kap. 28 § OSL, torde det

142

finnas ett relativt begränsat utrymme för den utlämnande myndig- heten att i en konkret utlämnandesituation göra en annan bedöm- ning. I rättslig mening är det dock den utlämnande myndigheten som förfogar över och beslutar om uppgifterna faktiskt ska lämnas ut. Även vid ett rutinmässigt utlämnande som får stöd i en författ- ningsbestämmelse som föreskriver att uppgifter ”får” lämnas ut, är det alltså den utlämnande myndigheten som hela tiden rättsligt förfogar över frågan om uppgifterna ska lämnas ut.

I den händelse avsikten är att ett rutinmässigt uppgiftsutbyte ska äga rum mellan myndigheter och detta avser sekretessreglerade uppgifter, bör således utgångspunkten vara att uppgiftsutbytet bör komma till uttryck genom föreskrifter i lag eller förordning där det uttrycks att en myndighet ”bör” eller ”får” lämna ut uppgifter till en annan myndighet. Ett sådant behov av en författningsreglering har emellertid, som redan påpekats, inte något egentligt samband med frågan om på vilket sätt utlämnandet avses ske.

Konsekvenser såvitt avser behandling av personuppgifter och personuppgiftsansvar

Ett utlämnande i elektronisk form, som inte sker genom direkt- åtkomst utan genom att uppgifter elektroniskt sänds över till den mottagande myndigheten, medför inte samma krav på att förbered- ande analyser och åtgärder vidtas. Det enda som ska ske rent tek- niskt är att uppgifterna i någon form sänds över från den utläm- nande till den mottagande myndigheten. Några förberedande behand- lingar av personuppgifter behöver alltså inte ske. Det är också endast översändandet som behöver analyseras från säkerhetssynpunkt och det resultatet kan styra i vilken form översändandet bör ske för att inga säkerhetsrisker ska uppstå för vare sig uppgifterna eller myn- digheten. Det kan exempelvis innebära att uppgifter som avses sändas över via e-post bör krypteras.

Den utlämnande och den mottagande myndigheten behandlar inte heller vid något tillfälle de aktuella personuppgifterna samtidigt såsom är fallet vid direktåtkomst. Det uppstår alltså inte heller några frågor om hur personuppgiftsansvaret ska eller bör fördelas vid sådan samtidig behandling.

143

Konsekvenser såvitt avser användningen av sökbegrepp

Som redan påpekats är ett annat utlämnande i elektronisk form än genom direktåtkomst endast att se som en fråga om på vilket sätt uppgifter ska sändas över från en myndighet till en annan. I sig påkallar alltså inte utlämnandet några överväganden om vilka sök- begrepp den mottagande myndigheten ska få använda då den be- handlar de uppgifter som hämtas in.

Sammanfattning

De frågor som väcks i samband med ett utlämnande i elektronisk form, som inte sker genom direktåtkomst, är väsentligen av annat slag och påkallar normalt sett inte åtgärder från lagstiftaren i det enskilda fallet. De frågor som uppstår begränsar sig till vad som har samband med det som saken rent faktiskt rör, nämligen att på ett eller annat sätt förmedla eller vidaresända personuppgifter elektro- niskt. Några förberedande analyser och åtgärder behöver alltså inte vidtas annat än för att den utlämnande myndigheten ska kunna för- säkra sig om att översändandet sker på ett säkert sätt. De rättsliga frågor som uppstår är vidare av ett mer allmänt slag. Det kan exempelvis röra förvaltningsrättsliga frågor om vem som är behörig att på myndighetens vägnar fatta beslut om utlämnande, motivering av beslut om en begäran helt eller delvis inte bifalls och möjlighet för den myndighet som nekas att få ut uppgifter att överklaga (jfr 6 kap. 7 § andra stycket OSL).

5.7.3Vilken betydelse har den tekniska utvecklingen?

Av 8 kap. 1 § OSL följer att sekretess gäller även mellan myndig- heter. Vidare framgår av 2 § att detsamma gäller också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra. Dessa bestämmelser innebär att det finns gränser myndigheterna emellan, och vissa fall också inom myndigheterna, som begränsar deras möjligheter att fritt ut- byta sekretessreglerade uppgifter. Att motsvarande gränser i prin- cip gäller även vid överlämnande av handlingar mellan och inom myndigheter på så sätt att ett överlämnande över myndighetsgräns-

144

erna innebär att handlingarna anses inkomna och upprättade och därmed som allmänna framgår av 2 kap. 8 § TF.

I rättsfallet HFD 2011 ref. 52 kom alltså Högsta förvaltnings- domstolen fram till att en myndighets tillgång till en annan myn- dighets databas på så sätt att den förstnämnda myndigheten där kunde ta del av uppgifter ”i läsbart skick” innebar att uppgifterna skulle anses expedierade i den mening som avses i 2 kap. 7 § TF och därmed utgöra en upprättad allmän handling. Den omständigheten att den mottagande myndigheten har getts en tillgång som innebär att den kunde läsa uppgifter i databasen innebär i sin tur att hand- lingar hade överlämnats till den myndigheten och därmed finns i dess förvar. Högsta förvaltningsdomstolen använder inte begreppet direktåtkomst, men kan anses indirekt konstatera att en direkt- åtkomst är för handen när det finns en sådan teknisk tillgång som avses i 2 kap. 3 § andra stycket TF. Domstolen får därmed upp- fattas ha bekräftat den definition av direktåtkomst som getts i för- arbetena till 11 kap. 4 § OSL, som reglerar överföring av sekretess vid direktåtkomst. Där anförde regeringen (prop. 2007/08:160 s. 164) att med sådan åtkomst avses att en upptagning är tillgänglig hos den mottagande myndigheten på ett sådant sätt som avses i 2 kap. 3 § andra stycket första meningen TF, dvs. upptagningen ska vara tillgänglig med tekniska hjälpmedel som myndigheten själv ut- nyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Rättsfallet kan också sägas bekräfta det som enligt andra förarbetsuttalanden anses känneteckna en direktåtkomst, nämligen att den mottagande myndigheten har en direkt tillgång till någon annans register eller databas och på egen hand kan söka information och att den utlämnande myndigheten inte har någon kontroll över vad mottagaren vid ett visst söktillfälle tar del av (se t.ex. prop. 2011/12:45 s. 133). Båda dessa omständigheter kan sägas vara ett resultat av att de upptagningar som omfattas av direkt- åtkomsten finns i den mottagande myndighetens förvar i den stund åtkomsten etableras.

De uttalanden som gjorts i förarbetena till 11 kap. 4 § OSL, vilka som vi ser det får anses ha bekräftats i rättsfallet HFD 2011 ref. 52, kan således sägas ge en definition av direktåtkomst, dvs. att en sådan åtkomst är för handen när den mottagande myndigheten har en sådan teknisk tillgång till den utlämnande myndighetens upp- tagningar som avses i 2 kap. 3 § andra stycket TF.

145

Rättspraxis ger däremot inte något omedelbart svar på hur man bör se på sådana former av elektroniskt utlämnande som ansetts befinna sig i en ”gråzon” mellan direktåtkomst och annat elektroniskt utlämnande, exempelvis s.k. batch-körningar och olika former av fråga/svar-tjänster. De nämnda företeelserna kan sägas vara känne- tecknade av att den mottagande myndigheten har getts en möjlig- het att tekniskt ansluta sig till den utlämnande myndighetens infor- mationssamlingar, men möjligheten att genom en faktisk över- föring hämta hem uppgifter är i någon mening inte direkt. Exem- pelvis sker ett utlämnande av begärda uppgifter först efter en viss tidsfördröjning eller efter att vissa automatiserade kontroller gjorts. Denna typ av omständigheter har ibland ansetts tala för att det inte är frågan om direktåtkomst utan om annat elektroniskt utläm- nande, även om det är fråga om helt automatiserade system för utbyte av uppgifter mellan myndigheter. I den mån så skulle vara fallet, är det alltså endast den mängd uppgifter som överförs i de enskilda fallen som anses utlämnade till och därmed utgör allmänna handlingar hos den mottagande myndigheten. Att den mottagande myndigheten tekniskt sett har ”kopplat upp sig” mot den andra myndighetens uppgiftssamlingar och därigenom getts möjlighet att genom ett tekniskt förfarande begära ut uppgifter skulle vid ett sådant synsätt inte i sig anses innebära något utlämnande av upp- gifter i tryckfrihetsförordningens mening.

Det är alltså inte givet i vilken utsträckning detta slags omstän- digheter har betydelse för frågan om den mottagande myndigheten har en sådan teknisk tillgång till uppgifter som avses i 2 kap. 3 § andra stycket TF, dvs. vad de betyder för frågan om en upptagning är att anse som förvarad hos den mottagande myndigheten genom att den kan läsas, avlyssnas eller på annat sätt uppfattas. Med andra ord står det inte helt klart vilka krav som formuleringen ”läsas, avlyssnas eller på annat sätt uppfattas” innefattar för att en teknisk åtkomst ska anses ”direkt”.

Den tekniska utvecklingen har även inneburit att myndigheterna har utvecklat tjänster som ger enskilda möjligheter att genom ett automatiserat förfarande ta del av myndigheternas informations- samlingar. Som exempel kan nämnas s.k. självbetjäningstjänster via myndigheternas hemsidor. Sådana former av tillgång till myndig- heters uppgifter har ibland inte betecknats som direktåtkomst, trots att det i praktiken knappast kan vara frågan om något annat. En

146

möjlig förklaring kan vara att det då är fråga om offentliga upp- gifter medan begreppet direktåtkomst har tenderat att förbehållas de fall där en automatiserad åtkomst kan anses särskilt känslig, t.ex. om en åtkomst tar sikte på sekretessreglerade uppgifter eller av annat skäl anses känslig från integritetsskyddssynpunkt.

Både den rättsliga och den tekniska utvecklingen kan således eventuellt komma att innebära att begreppet direktåtkomst inte kan göras liktydigt med automatiserat uppgiftsutlämnande, utan att begreppet bör ges en snävare innebörd. Oavsett hur denna fråga kan komma att besvaras i praxis kan det konstateras att det ändå kommer att finnas former av uppgiftsutbyte som tveklöst är att betrakta som direktåtkomst. I fråga om sådant uppgiftsutbyte finns det alltså anledning att också i fortsättningen principiellt och rätts- ligt skilja direktåtkomst från andra former av elektroniskt utläm- nande. Det finns också i fortsättningen behov av att skilja på den ingripande form av utlämnande som en direktåtkomst innebär, som principiellt och rättsligt innebär att gränsen mellan de inblandade myndigheterna i viss mån försvinner, från andra elektroniska utläm- nanden som inte har samma ingripande rättsliga konsekvenser och som inte i sig medför att det uppstår rättsliga frågor som måste lösas på förhand. Den tekniska utvecklingen utgör alltså i sig inget skäl för att utmönstra begreppet direktåtkomst.

5.7.4Effektivitetsvinster och integritetsrisker

I flera lagstiftningsärenden som syftat till att utöka informations- utbytet mellan myndigheter har framhållits att utbytet kan effek- tiviseras om utbytet sker elektroniskt och i synnerhet om det sker genom direktåtkomst. Även Riksrevisionen bedömde i sin gransk- ningsrapport från år 2010 (RiR 2010: 18) om informationsutbytet mellan myndigheter med ansvar för trygghetssystem att direkt- åtkomst medförde en större effektivisering än det elektroniska informationsutbyte som vid denna tid redan ägde rum i andra for- mer.

Arbetet med att effektivisera myndigheternas verksamhet genom elektroniskt informationsutbyte har fortskridit och pågår alltjämt, bl.a. genom E-delegationens arbete. Under senare år har nya tek- niska former för sådant utbyte tagits fram som, oavsett om det är

147

fråga om direktåtkomst eller inte, innebär effektiviseringar i för- hållande till hur utbytet tidigare ägde rum.

Mot bakgrund av de utredningar som har gjorts i fråga om hur myndigheternas informationsutbyte kan effektiviseras och om eko- nomiska nyttoeffekter av sådana projekt synes frågan om hur den bästa effektiviteten kan uppnås för närvarande inte handla så mycket om vilken elektronisk utlämnandeform som bör väljas utan mer om myndigheternas möjlighet att över huvud taget åstadkomma det informationsutbyte som regeringen eller de själva vill ska ske. Problem med att åstadkomma en önskad effektivisering förefaller till viss del handla om legala förutsättningar för ett visst infor- mationsutbyte, men det kan också handla om brist på resurser i fråga om medel och kompetens samt att nödvändig samverkan inte kan åstadkommas.

En vanlig utgångspunkt är att direktåtkomst antas vara det mest effektiva sättet att utbyta information. Huruvida det också är det mest kostnadseffektiva sättet att utbyta information kan emellertid endast bedömas utifrån omständigheterna i det enskilda fallet. I fråga om ett visst informationsutbyte kan alltså andra former av elektroniskt informationsutbyte än direktåtkomst vara det mest effektiva. Vilken form av elektroniskt informationsutbyte som är mest effektiv, inbegripet ett kostnadsperspektiv, behöver alltså be- dömas utifrån vilket konkret informationsutbyte det handlar om och i vilka former detta sker. Av betydelse är vidare vilken förmåga inblandade myndigheter har att åstadkomma det som faktiskt önskas av dem, det gäller inte minst i form av medel och resurser i övrigt. Till detta kommer att, även i de fall lagstiftaren väljer att i författ- ning reglera ett visst informationsutbyte, det i slutändan regel- mässigt står den enskilda myndigheten fritt att bestämma vilken utlämnandeform som ska väljas inom ramen för befintliga legala och andra förutsättningar.

Enligt vår bedömning går det inte att generellt uttala sig om vilken form av elektroniskt informationsutbyte som är det mest effektiva. Vi ser alltså ingen anledning att från ren effektivitets- synpunkt förorda någon viss metod.

De särskilda integritetsrisker som anses förknippade med direkt- åtkomst har samband med vilka tekniska åtgärder som vidtas för att så långt som möjligt minimera s.k. överskottsinformation, att överväga behovet av sekretesskydd i tillräcklig utsträckning och att

148

överväga vilka sökbegränsningar som bör gälla hos den myndighet som tar emot information genom sådan åtkomst. Vi redovisar i avsnitt 11.1 och 11.3 våra överväganden om hur sådana frågor bör regleras. I avsnitt 11.2 finns våra överväganden i frågan om andra elektroniska utlämnanden behöver en särskild reglering för att ge personuppgifter ett tillfredsställande skydd.

Sammanfattningsvis bedömer vi att det kan finnas effektivitets- vinster och integritetsrisker med alla former av elektroniskt utläm- nande. Vilka vinster eller risker som uppstår hör emellertid inte så mycket samman med vilken form som väljs, utan vilket konkret informationsutbyte det är frågan om samt vilka förutsättningar det finns för aktuella myndigheter att över huvud taget välja utläm- nandeform och att åstadkomma det informationsutbyte som till- godoser krav på både effektivitet, även ur ett kostnadsperspektiv, och integritetsskydd. Varken effektivitetsvinster eller integritets- risker utgör således skäl för att utmönstra en åtskillnad mellan olika elektroniska utlämnandeformer eller att förorda att ett elek- troniskt informationsutbyte generellt bör ske i en viss form.

5.7.5Principiella och rättsliga skäl samt krav på förberedande analyser och åtgärder medför behov av en fortsatt åtskillnad

En utgångspunkt för utredningens samtliga överväganden i de rätts- liga frågor som ingår i uppdraget är bl.a. att så långt som möjligt underlätta en mer effektiv förvaltning, dvs. att så långt det är möj- ligt och lämpligt undanröja onödiga legala hinder.

Behovet av att rättsligt upprätthålla gränserna mellan myndigheter

Som har framgått är det med hänsyn till bestämmelserna i 2 kap. TF och offentlighets- och sekretesslagen av stor betydelse att det klargörs att direktåtkomst har omedelbara konsekvenser för frågor som rör myndigheternas gränser, vilken myndighet som förfogar över vilka uppgifter och problemet med överskottsinformation. Samma frågeställningar har också stor betydelse från en rent förvalt- ningsrättslig utgångspunkt. Det är bl.a. av vikt att det alltid står klart vad som hör till den verksamhet som en viss myndighet

149

ansvarar för. Att myndigheternas gränser i rättslig mening upprätt- hålls är således ett starkt rättssäkerhetskrav. Det kravet ställer i sin tur krav på inblandade myndigheter att på ömse håll agera i förväg och vidta nödvändiga åtgärder innan en direktåtkomst faktiskt med- ges, bl.a. för att säkerställa att en sådan åtkomst är förenlig med bestämmelser om sekretess.

Direktåtkomst medför krav på förberedande åtgärder ur verksamhets- och personuppgiftsansvarsperspektiv

Direktåtkomst innebär att viss behandling av personuppgifter be- höver ske inför den faktiska etableringen och att inblandade myn- digheter analyserar och löser de särskilda säkerhets- och kontroll- frågor som direktåtkomst från ett dataskyddsperspektiv ger upp- hov till. Även myndighetens personuppgiftsansvar innebär således att det ställs krav på att inblandade myndigheter gör klart för sig vilka åtgärder som behöver vidtas på ömse håll och hur ansvaret fördelar sig mellan dem. Detta utgör också skäl för att behålla en åtskillnad mellan direktåtkomst och annat elektroniskt utlämnande. Hur ett ansvar för skydd av personuppgifter ska fördelas mellan inblandade myndigheter vad gäller de olika åtgärder som behöver vidtas inom ramen för en direktåtkomst är emellertid inte givet. Denna fråga behandlas dock inte vidare här. Vi återkommer till den i kapitel 10.

Varken den tekniska utvecklingen eller effektivitetsvinster eller integritetsrisker utgör skäl för att utmönstra begreppet direktåtkomst

Som framgått anser vi att inte heller att den tekniska utvecklingen som sådan innebär att det finns skäl för att utmönstra begreppet direktåtkomst för att i stället generellt tala om elektroniskt utläm- nande.

Inte heller de effektivitetsvinster eller integritetsrisker som kan uppstå vid olika former av elektroniska utlämnanden utgör skäl för att utmönstra begreppet direktåtkomst.

Direktåtkomst brukar beskrivas som en särskilt känslig form av uppgiftsutbyte, eftersom den anses innebära större risker för den enskildes integritet än då uppgifter lämnas ut efter en bedömning i

150

enskilda fall. Vi menar dock att en väl analyserad och förberedd direktåtkomst där man övervägt och löst frågor som rör sekre- tesskydd på ömse håll, vidtagit behövliga säkerhetsåtgärder, begränsat överskottsinformationen samt övervägt frågan om eventuella begräns- ningar i den mottagande myndighetens möjlighet att använda sig av de uppgifter som blir åtkomliga, inte behöver innebära större risker för den enskildes integritet än ett annat elektroniskt utlämnande av personuppgifter.

Vad som däremot kan innebära risker för den enskildes integri- tet i samband med direktåtkomst är att man inte beaktar de särskilda frågor och krav på skydd som den ger upphov till samt att man inte ägnar uppmärksamhet åt frågor som sammanhänger med att myn- digheternas gränser öppnas upp och att därmed inblandade myn- digheters ansvar för både verksamhet, säkerhet och personupp- gifter behöver klargöras. Om man inte behåller en åtskillnad mellan begreppen direktåtkomst och annat elektroniskt utlämnande finns det enligt vår mening en risk för att dessa frågor inte får den upp- märksamhet som behövs för att på ett tillfredsställande sätt skydda den enskildes integritet.

Annat elektroniskt utlämnande än direktåtkomst medför inte behov av att klargöra myndigheters förhållande till varandra

Enligt vår uppfattning är det alltså den rättsliga skiljelinjen mellan direktåtkomst och annat elektroniskt utlämnande som är betydelse- full att behålla, eftersom den tydliggör vikten av att det ska stå klart i vilket förhållande de myndigheter som ingår i ett visst uppgifts- utbyte står till varandra. Utan den distinktionen riskerar myndig- heternas respektive ansvar i olika hänseenden att bli otydligt. När det gäller olika former av andra elektroniska utlämnanden, dvs. vad som i dag betecknas som utlämnanden på medium för automati- serad behandling och som innebär att uppgifter i någon form sänds över eller förmedlas elektroniskt, uppstår inte samma behov av att klargöra frågor av det slaget. Ett sådant utlämnande innebär ju inte att myndigheternas verksamhet blandas samman rättsligt sett, oav- sett på vilket sätt uppgifterna distribueras. De skillnader beträff- ande säkerhetsrisker som olika sätt att sända över uppgifter elek- troniskt kan innebära utgör enligt vår mening inte något skäl till att göra någon rättslig åtskillnad mellan dem.

151

Vår bedömning är alltså att det från både principiella och rätts- liga synpunkter finns starkt vägande skäl för att behålla en begrepps- mässig skillnad mellan å ena sidan direktåtkomst och å andra sidan annat utlämnande i elektronisk form. Både principiella och rättsliga skäl samt konkreta krav på förberedande analyser och åtgärder talar med styrka för detta.

Som framgått har vi redan ovan redovisat en viss uppfattning för hur begreppet direktåtkomst bör avgränsas i förhållande till annat elektroniskt utlämnande. Vi återkommer i avsnitt 11.1 och 11.2 till hur begreppet direktåtkomst bör definieras och hur en generell reg- lering på myndighetsområdet rörande elektroniskt utlämnande bör se ut.

152

av nu nämnda användningsbegränsningar. Om vi finner att en så- dan justering bör ske, ska författningsförslag lämnas.

6.1.2Nuvarande bestämmelser

Informationsskyldigheten enligt 6 kap. 5 § OSL

Enligt 6 kap. 5 § OSL ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång.

Bestämmelsen har redan behandlats i avsnitt 5.2, bl.a. vad avser förhållandet mellan informationsskyldigheten enligt paragrafen och föreskrifter om uppgiftsutlämnande enligt bl.a. 10 kap. 16–27 §§ OSL.

Informationsskyldigheten enligt 6 kap. 5 § OSL gäller för en uppgift som inte är sekretessbelagd, dvs. en uppgift för vilken sekretess inte gäller i den aktuella situationen. En myndighet kan alltså vara skyldig att lämna en uppgift till en annan myndighet som begär att få den om uppgiften inte alls är sekretessreglerad, dvs. om det inte finns någon bestämmelse om sekretess som är tillämplig på uppgiften. En skyldighet att lämna ut uppgiften finns också om den i och för sig är sekretessreglerad, men det inte innebär någon skada eller något men att lämna uppgiften till myndigheten i fråga. Det kan också finnas en skyldighet att lämna ut uppgiften till den andra myndigheten även om sekretess gäller för uppgiften under förut- sättning att det finns en sekretessbrytande regel som är tillämplig i förhållande till den myndigheten.

Om man vill förhindra ett uppgiftsutbyte mellan myndigheter, är det alltså inte tillräckligt att införa en ny sekretessbestämmelse. Det måste också införas bestämmelser som föreskriver att de sekre- tessbrytande reglerna i 10 kap. OSL inte ska gälla.

Begränsningar i lag om en myndighets möjlighet att använda uppgifter från en myndighet i en annan stat

I 9 kap. 2 § OSL räknas ett antal lagar upp som innehåller bestäm- melser som begränsar möjligheterna att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i annan stat. Det rör sig bl.a. om lagen (1990:314) om ömsesidig handräckning i

154

skatteärenden, lagen (2000:343) om internationellt polisiärt sam- arbete och lagen (2000:344) om Schengens informationssystem.

Bestämmelsen utgjorde tidigare tredje stycket i dåvarande 1 kap. 4 § SekrL (numera 7 kap. 1 § OSL). I första stycket samma paragraf föreskrevs att om förbud gäller enligt denna lag mot att röja upp- gift, får uppgiften inte heller i övrigt utnyttjas utanför den verk- samhet i vilken sekretess gäller för uppgiften. I andra och tredje styckena fanns hänvisningar till olika lagar med bestämmelser om förbud mot eller begränsningar i möjligheten att utnyttja vissa uppgifter. Det tredje stycket infördes i samband med att lagen (1991:1342) med vissa bestämmelser om internationellt samarbete på brottmålsområdet infördes. I den lagen fanns bestämmelser som begränsade möjligheterna att utnyttja vissa uppgifter som en svensk myndighet har fått från en annan stat. I specialmotiveringen till bestämmelsen i det då nya tredje stycket i 1 kap. 4 § SekrL anfördes (prop. 1990/91:131 s. 26) att en av principerna bakom regleringen i sekretesslagen är att alla tystnadsplikter inom det allmännas verk- samhet ska framgå av lagen antingen direkt eller genom en hän- visning till en annan lag. Myndigheterna skulle komma att omfattas av begränsningar i möjligheterna att utnyttja information enligt be- stämmelserna i den nu föreslagna lagen om internationellt sam- arbete på brottmålsområdet. Det var därför naturligt att det av 1 kap. 4 § SekrL, där det redan fanns en hänvisning till insiderlagen och dess regler om förbud att utnyttja information, skulle framgå att ett förbud för myndigheter att utnyttja uppgifter också fanns i lagen med vissa bestämmelser om internationellt samarbete på brott- målsområdet.

Det kan konstateras att det ovan återgivna uttalandet är något missvisande i så måtto att bestämmelsen inte i sig innebär någon tystnadsplikt i den meningen att den föreskriver sekretess för vissa uppgifter, även om bestämmelsen i och för sig finns i offentlighets- och sekretesslagen. Däremot erinrar bestämmelsen om att det i andra lagar finns bestämmelser som begränsar svenska myndigheters möj- lighet att använda vissa uppgifter. Dessa begränsningar gäller alltså oavsett om de omnämns i 9 kap. 2 § OSL. Det är således inte fråga om någon sådan hänvisning i offentlighets- och sekretesslagen till en annan lag som enligt 2 kap. 2 § TF kan utgöra hinder mot att lämna ut uppgiften enligt rätten att ta del av allmänna handlingar. Sådana begränsningar i möjligheten att använda vissa uppgifter som avses i

155

de lagar som räknas upp i 9 kap. 2 § OSL innebär alltså inte någon begränsning i den enskildes rätt att enligt 2 kap. TF att ta del av allmänna handlingar (Lenberg m.fl., kommentaren till 9 kap. 2 §).

Eftersom 9 kap. 2 § inte innebär att någon sekretess gäller utan enbart upplyser om att användningsbegränsningar finns i andra lagar, utgör sådana begränsningar inte heller något sekretesshinder som kan begränsa en myndighets informationsskyldighet gentemot en annan myndighet enligt 6 kap. 5 § OSL. Om det inte finns någon sekretessbestämmelse som är tillämplig på en uppgift som begärs ut av en annan myndighet eller om det finns en sekretessbrytande regel som kan tillämpas i förhållande till den myndigheten, ska uppgift- erna alltså lämnas ut enligt 6 kap. 5 § OSL, såvida inte utlämnandet hindrar arbetets behöriga gång.

Begränsningar i att utnyttja vissa uppgifter enligt de lagar som räknas upp i 9 kap. 2 § OSL är emellertid i allmänhet utformade så att de inte enbart tar sikte på den svenska myndighet som tar emot uppgifter från en myndighet i en annan stat. I regel har bestäm- melsen i den aktuella lagen utformats så att begränsningarna gäller för alla svenska myndigheter. Det får till följd att inte heller en annan svensk myndighet än den som fått uppgifterna från den ut- ländska myndigheten kan utnyttja uppgifterna i sin verksamhet, även om myndigheten i och för skulle ha rätt att få ut dem efter en begäran enligt 6 kap. 5 § OSL. Det torde därför i praktiken bli aktuellt för en svensk myndighet att begära ut uppgifter som om- fattas av användningsbegränsningar från en annan myndighet bara när myndigheten behöver ta del av uppgifterna för ett ändamål som inte omfattas av begränsningarna (jfr prop. 2012/13:4 s. 90 f.). I praktiken uppstår därför inte någon konflikt mellan lagbestämmelser om användningsbegränsningar och informationsskyldigheten enligt 6 kap. 5 § OSL.

Sammanfattningsvis kan det alltså konstateras att 9 kap. 2 § OSL inte i sig innebär något hinder mot att lämna ut uppgifter till en annan myndighet. I bestämmelsen erinras emellertid om att det i andra lagar finns bestämmelser som begränsar möjligheterna för svenska myndigheter att använda sig av uppgifter som ursprungligen kom- mer från en myndighet i en annan stat.

I sammanhanget kan påpekas att 9 kap. 2 § OSL enbart upplyser om användningsbegränsningar som finns i andra lagar. Det finns i och för sig inget som hindrar att regeringen meddelar föreskrifter

156

om begränsningar i möjligheterna att använda vissa uppgifter som en svensk myndighet har fått från en utländsk myndighet och som i så fall, på samma sätt som en bestämmelse i lag, blir bindande för alla myndigheter. I vilken utsträckning regeringen har meddelat så- dana föreskrifter är inte känt för utredningen.

Den nya bestämmelsen om sekretess i det internationella samarbetet

Den 1 januari 2014 trädde en ny sekretessbestämmelse i kraft i syfte att utgöra en generellt tillämplig bestämmelse till skydd för uppgifter som utbyts inom ramen för Sveriges internationella rela- tioner. Bestämmelsen har förts in i 15 kap. 1 a § OSL och innebär att sekretess gäller för en uppgift som en myndighet har fått från ett utländskt organ på grund av en bindande EU-rättsakt eller ett av EU ingånget eller av riksdagen godkänt avtal med en annan stat eller mellanfolklig organisation. Som en förutsättning för sekretess gäller att det kan antas att Sveriges möjlighet att delta i det inter- nationella samarbete som avses i rättsakten eller avtalet försämras om uppgiften röjs. Motsvarande sekretess ska gälla för en uppgift som en myndighet har inhämtat i syfte att överlämna den till ett ut- ländskt organ i enlighet med en sådan rättsakt eller ett sådant avtal.

Om sekretess gäller enligt bestämmelsen, får de sekretessbryt- ande bestämmelserna i 10 kap. 15–27 §§ och 28 § första stycket inte tillämpas (15 kap. 1 a § tredje stycket).

Bestämmelsens tillämpningsområde är alltså begränsat till upp- gifter som en myndighet antingen har fått från ett utländskt organ eller har inhämtat i syfte att överlämna till ett sådant organ på grund av en bindande EU-rättsakt eller ett avtal som har ingåtts av EU eller av Sverige med en annan stat eller en mellanfolklig orga- nisation. I det sistnämnda fallet gäller emellertid som förutsättning att riksdagen har godkänt avtalet. Sekretessbestämmelsen är således inte tillämplig på uppgifter som finns hos en myndighet på grund av internationella avtal som ingåtts av en förvaltningsmyndighet eller av regeringen utan godkännande av riksdagen. I förarbetena anför- des att en sådan ordning hade varit problematisk ur ett principiellt perspektiv för en sekretessbestämmelse med generell räckvidd (prop. 2012/13:192 s. 31). Regeringen hänvisade också till att några

157

remissinstanser hade ifrågasatt om en sådan bestämmelse hade varit förenlig med lagkravet i 2 kap. 2 § TF.

I offentlighets- och sekretesslagen finns flera bestämmelser som föreskriver sekretess i samband med vissa internationella sam- arbeten där något traditionellt skaderekvisit inte finns (se t.ex. 17 kap. 7 § andra stycket, 17 kap. 7 a § och 18 kap. 17 §). Enligt den nya bestämmelsen i 15 kap. 1 a § gäller emellertid ett rakt skade- rekvisit. Den svenska myndigheten ska alltså göra en självständig bedömning av om ett utlämnande i det enskilda fallet kan antas försämra Sveriges möjligheter att delta i det aktuella samarbetet. I förarbetena påpekas att det inte finns något som hindrar den svenska myndigheten att vid sekretessprövningen kontakta den utlämnande utländska myndigheten för att utreda om sekretess bör gälla i det enskilda fallet. Om sekretess gäller för uppgifterna hos den ut- ländska myndigheten är utgångspunkten typiskt sett att skaderekvi- sititet är uppfyllt (a. prop. s. 34 f.). Enligt regeringen kommer en tillämpning av sekretessbestämmelsen normalt inte att aktualiseras i sådana situationer då avtalet eller EU-rättsakten inte innehåller någon tydlig sekretessbestämmelse, även om en sådan inte utesluts av dess ordalydelse. Regeringen anser att det då ligger närmare till hands att tillämpa bestämmelsen om utrikessekretess i 15 kap. 1 § OSL. Bestämmelser i EU-rättsakter eller internationella avtal om begränsningar i för vilka ändamål uppgifter får användas, dvs. den typen av begränsningar som 9 kap. 2 § OSL tar sikte på, bör enligt regeringen inte heller aktualisera en tillämpning av den nya sekre- tessbestämmelsen (a. prop. s. 35).

I förarbetena till den nya sekretessbestämmelsen för informa- tionsutbyte vid internationellt samarbete i 15 kap. 1 a § OSL finns en utförlig beskrivning av överenskommelser om sådant utbyte som kan finnas i avtal och EU-rättsakter (prop. 2012/13:192 s. 10 f.). Vi hänvisar till den redovisningen och lämnar alltså inte någon egen redovisning här.

158

6.2Våra överväganden

Bedömning: Det finns inte något tillräckligt stort behov av att ändra 6 kap. 5 § OSL så att paragrafen står i bättre överens- stämmelse med användningsbegränsningar som kan förekomma i samband med internationella åtaganden.

6.2.1Behovet av en ny bestämmelse

I våra direktiv konstateras att 9 kap. 2 § OSL visserligen ger en upplysning om att användningsbegränsningar införts i vissa andra författningar. Det påpekas att uppräkningen emellertid inte är hel- täckande och att det inte finns någon formell koppling mellan den bestämmelsen och 6 kap. 5 § OSL (jfr prop. 1990/91:131 s. 25). Den beskrivna frågeställningen har enligt regeringen en sådan betyd- else för uppgiftsutbytet mellan myndigheter att det bör övervägas om 6 kap. 5 § OSL bör justeras så att den står i bättre överens- stämmelse med förekomsten av nu nämnda användningsbegräns- ningar.

Vår uppgift i denna del är inte att överväga behovet av en ny sekretessbestämmelse som kan hindra utlämnanden både till enskilda, med stöd av 2 kap. TF eller på annan grund, och till myndigheter. Uppdraget avser enbart att överväga en eventuell begränsning som kan utgöra hinder för en myndighet att lämna uppgifter till en annan myndighet.

Betydelsen av uppräkningen i 9 kap. 2 § OSL

Bestämmelsen i 9 kap. 2 § OSL erinrar om att det i andra lagar finns bestämmelser som begränsar en svensk myndighets användning av vissa uppgifter. Uppräkningen i paragrafen av lagar där sådana användningsbegränsningar finns utgör alltså en upplysning och syftar inte till att i sig reglera något. Sådana begränsningar gäller alltså för svenska myndigheter till följd av regleringen i den särskilda lagen och inte på grund av att sådana lagar räknas upp i 9 kap. 2 § OSL. Att uppräkningen i 9 kap. 2 § OSL inte är uttömmande har således inte någon betydelse för om en myndighet är skyldig att följa en sådan användningsbegränsning eller inte. Däremot kan det vara svårt

159

för myndigheter att hålla reda på de användningsbegränsningar som gäller enligt särskilda lagar, om de inte finns samlade på något sätt.

Det kan emellertid konstateras att om en användningsbegräns- ning har reglerats i en lag på ett sådant sätt att den gäller för alla svenska myndigheter, förefaller det knappast finnas något praktiskt behov av att justera 6 kap. 5 § OSL så att den paragrafen också hindrar ett utlämnande av uppgifter till en annan myndighet på grund av en sådan användningsbegränsning. Som påpekats i flera lagstift- ningsärenden torde det inte bli aktuellt för en myndighet att begära ut uppgifter från en annan myndighet med stöd av 6 kap. 5 § OSL om man ändå inte får använda sig av uppgifterna. I dessa fall har det ansetts tillräckligt i praktiken att användningsbegränsningen gäller enligt den särskilda lagen. Något faktiskt behov av att justera 6 kap. 5 § OSL så att paragrafen kan sägas bättre stå i överensstämmelse med förekomsten av sådana särskilt reglerade användningsbegräns- ningar förefaller alltså inte finnas. Däremot saknas alltså, som på- pekas i våra direktiv, en formell koppling mellan 6 kap. 5 § OSL och sådana svenska författningsbestämmelser som begränsar en myndig- hets möjlighet att använda vissa uppgifter som inhämtats genom ett internationellt informationsutbyte.

Som redan påpekats har det ingen betydelse för frågan om en användningsbegränsning gäller för en myndighet eller inte om den särskilda lag där begränsningen föreskrivs räknas upp i 9 kap. 2 § OSL. Däremot skulle en komplett sådan uppräkning naturligtvis innebära en bättre möjlighet för myndigheter att själva hålla reda på i vilka situationer användningsbegränsningar gäller.

Användningsbegränsningar i EU-rättsliga lagstiftningsakter

I våra direktiv nämns att sektorspecifika EU-rättsakter kan inne- hålla artiklar om att en myndighet bara får använda uppgifter som erhålls enligt rättsakten för vissa angivna ändamål eller i viss verk- samhet.

Om det är frågan om en EU-förordning gäller den för svenska myndigheter utan att dess artiklar behöver genomföras i svensk rätt genom inhemsk lagstiftning. I den mån en EU-förordning inne- håller sådana användningsbegränsningar som gäller för alla myndig- heter finns således inte, i likhet med vad som gäller användnings-

160

begränsningar i särskilda lagar, något praktiskt behov av att göra en justering av 6 kap. 5 § OSL. Inte heller i dessa fall torde det ju bli aktuellt för en myndighet att begära ut uppgifter som omfattas av en sådan användningsbegränsning, eftersom myndigheten ändå inte får använda sig av uppgifterna.

Om användningsbegränsningar finns i ett EU-direktiv i stället för i en förordning, måste direktivet genomföras i svensk rätt genom inhemsk lagstiftning i den mån direktivet inte kan anses gälla redan enligt svenska regler. Användningsbegränsningar som gäller enligt ett EU-direktiv kommer alltså till uttryck genom en svensk för- fattning. Sådana användningsbegränsningar kan därigenom komma att gälla för alla svenska myndigheter. Inte heller i ett sådant fall finns det alltså något praktiskt behov av att justera 6 kap. 5 § OSL.

Det förtjänar att påpekas att några av de särskilda lagar som räk- nas upp i 9 kap. 2 § OSL är lagar som har införts för att genomföra ett EU-direktiv. Som exempel kan nämnas lagen (2012:843) om admi- nistrativt samarbete inom Europeiska unionen i fråga om beskattning.

Användningsbegränsningar som inte är författningsreglerade

Det förekommer att EU beslutar andra bindande rättsakter än lag- stiftningsakter i form av delegerade akter och genomförandeakter (se t.ex. prop. 2012/13:192 s. 43). EU ingår också avtal med tredje land för medlemsstaternas räkning genom sin på vissa områden exklusiva kompetens, exempelvis på det handelspolitiska området. I andra fall ingår respektive land för egen del bilaterala avtal med en utländsk aktör. Ibland är det då fråga om s.k. blandade avtal, där EU också för egen del har träffat avtal. Så är fallet exempelvis när det gäller avtal som träffas inom ramen för WTO, där både med- lemsstaterna och EU är medlemmar. Ett annat exempel är fri- handelsavtal som träffas med en del tredjeländer (se vidare a. prop. s. 10). Svenska myndigheter kan också träffa internationella avtal som behandlar frågor om informationsutbyte.

En bindande EU-rättsakt som inte är en lagstiftningsakt är bind- ande för Sverige såsom medlemsstat, men innebär inte i sig att rättsakten måste komma till uttryck i svensk lagstiftning eller på annan grund tillämpas av svenska myndigheter. Ett internationellt avtal som EU eller Sverige för egen del eller en svensk myndighet

161

träffar kan innehålla bestämmelser som reglerar frågor om informa- tionsutbyte. Om bestämmelser som reglerar informationsutbyte i ett avtal inte har kommit till uttryck i någon svensk föreskrift utan endast i avtalet, kan de bestämmelserna inte binda någon annan än den som har ingått avtalet. Det innebär att om EU har ingått avtalet är det bindande för Sverige antingen direkt eller efter att det ratificerats av Sverige, eventuellt efter godkännande av riksdagen. Det är då bindande för Sverige som stat i folkrättslig bemärkelse, men gäller inte direkt för svenska myndigheter. Detsamma gäller för sådana internationella avtal som Sverige för egen del ingår. Om ett avtal har ingåtts av en svensk myndighet är avtalet enbart bind- ande för den myndigheten. Ett avtal som har ingåtts av EU, av Sverige som stat eller av en svensk myndighet är alltså inte bind- ande för samtliga svenska myndigheter. Om det innehåller bestäm- melser som innebär begränsningar i att använda uppgifter, är andra svenska myndigheter än den som mottagit uppgiftena från den utländska aktören således inte skyldiga att följa bestämmelserna.

Eftersom alla myndigheter inte är skyldiga att iaktta använd- ningsbegränsningar som enbart kommit till uttryck i en bindande EU-rättsakt som inte är en lagstiftningsakt eller i ett avtal, finns det inget praktiskt hinder för en myndighet att begära ut uppgifter från en annan myndighet som för egen del har att iaktta sådana begräns- ningar enligt EU-rättsakten eller det internationella avtalet. I det fallet finns det alltså i praktiken inget som hindrar den myndighet som begär ut uppgifterna att också använda dem. Det kan då upp- fattas som ett problem att en myndighet, som eventuellt själv har ingått avtalet i fråga, och tagit emot uppgifter från en utländsk aktör på de villkor som angetts i ett internationellt avtal, saknar möjlighet att iaktta de användningsbegränsningar som angetts i avtalet om en annan myndighet begär ut uppgifter med stöd av 6 kap. 5 § OSL. För denna situation kan det alltså anses finnas ett praktiskt behov – inte bara ett formellt sådant – av att justera 6 kap. 5 § OSL så att den bestämmelsen generellt kan förhindra att uppgifter lämnas ut till en myndighet i sådana situationer där användningsbegränsningar av det nu aktuella slaget föreligger.

162

6.2.2Hur kan 6 kap. 5 § OSL justeras?

Bestämmelser om användningsbegränsningar i föreskrifter som svenska myndigheter är skyldiga att följa

I våra direktiv påtalas att det är ett problem att det inte finns någon formell koppling mellan 6 kap. 5 § och 9 kap. 2 § OSL. Tanken bakom detta synes vara att om en sådan formell koppling kan åstadkommas skulle användningsbegränsningar som finns i de lagar som räknas upp i paragrafen begränsa, liksom sekretess, den infor- mationsskyldighet i förhållande till en annan myndighet som annars gäller enligt 6 kap. 5 § OSL.

Om syftet är att alla användningsbegränsningar som kommit till uttryck i en svensk lag också ska innebära att det finns ett hinder mot att lämna ut uppgifterna enligt 6 kap. 5 § OSL kan man emellertid sätta i fråga om det är tillräckligt att åstadkomma en formell kopp- ling mellan 6 kap. 5 § och 9 kap. 2 §. Som framgår av redovisningen ovan reglerar inte 9 kap. 2 § i sig frågan om en uppgift kan användas eller inte i en viss verksamhet. Den bestämmelsen innehåller enbart upplysningar om att det finns andra lagar som innehåller bestäm- melser om sådana användningsbegränsningar. I våra direktiv kon- stateras att uppräkningen inte är uttömmande. Vi har för egen del inte undersökt i vilken omfattning det förekommer lagar med be- stämmelser om sådana användningsbegränsningar som inte finns med i uppräkningen i 9 kap. 2 § OSL.

Ett annat problem med 9 kap. 2 § OSL, dvs. förutom att para- grafen inte på ett fullständigt sätt räknar upp de lagar där bestäm- melser om användningsbegränsningar finns, är att den inte heller upplyser om att användningsbegränsningar finns i vissa EU-förord- ningar. Om bestämmelser om användningsbegränsningar finns i sådana förordningar kan svenska myndigheter vara skyldiga att följa dem när det gäller uppgiftsutbyte med andra myndigheter på samma sätt som användningsbegränsningar som föreskrivits i en svensk lag.

Som framgår av redovisningen ovan kan det inte anses innebära något praktiskt problem att det saknas en formell koppling mellan 6 kap. 5 § och 9 kap. 2 § OSL, eftersom det saknas skäl för en myn- dighet att begära ut uppgifter från en annan myndighet som den ändå inte får använda. I dessa fall uppstår det alltså normalt inte någon sådan situation där en myndighet måste uppfylla sin infor- mationsskyldighet enligt 6 kap. 5 § OSL. Om man ändå anser att

163

det finns ett behov av att formellt säkerställa att en myndighet inte ska behöva lämna ut uppgifter i de fall då användningsbegräns- ningar finns enligt uppräkningen i 9 kap. 2 § OSL och inför en sådan bestämmelse i 6 kap. 5 §, innebär det att en konflikt mellan dessa bestämmelser inte längre finns. Däremot skulle en regelkon- flikt kvarstå mellan 6 kap. 5 § OSL och övriga föreskrifter som innebär att svenska myndigheter är skyldiga att följa användnings- begränsningar, dvs. då sådana föreskrifter finns i EU-förordningar samt i lagar som inte räknas upp i 9 kap. 2 § OSL. Detsamma gäller för det fall det skulle vara så att regeringen i något eller några fall har meddelat föreskrifter om sådana användningsbegränsningar.

Att åstadkomma en formell koppling mellan 6 kap. 5 § och 9 kap. 2 § OSL leder alltså endast till en viss förbättrad systematik i formellt hänseende. Det löser emellertid inte hela den konflikt som kan uppfattas finnas mellan svenska regler som å ena sidan säger att en myndighet har rätt att få ut uppgifter från en annan myndighet, medan andra regler föreskriver att myndigheten inte får använda uppgifterna. För att denna konflikt helt ska lösas bör i stället 6 kap. 5 § OSL formellt kopplas direkt till bestämmelser om användnings- begränsningar snarare än till 9 kap. 2 § OSL. Om man ändå skulle överväga en koppling till den senare bestämmelsen måste para- grafen kompletteras så att den på ett uttömmande sätt upplyser om samtliga användningsbegränsningar som svenska myndigheter är skyl- diga att följa.

Bestämmelser om användningsbegränsningar som inte är bindande för alla myndigheter

Som har framgått finns det EU-rättsakter som visserligen är bind- ande för Sverige som medlemsstat, men inte är lagstiftningsakter som måste tillämpas av svenska myndigheter på grund av att de genomförts i svensk lagstiftning eller på annan grund. Om de inne- håller bestämmelser om användningsbegränsningar gäller de alltså inte för alla myndigheter. Ett internationellt avtal som EU eller Sverige för egen del eller en svensk myndighet träffar kan också innehålla bestämmelser som reglerar frågor om informationsutbyte. Om sådana bestämmelser inte har kommit till uttryck i någon svensk föreskrift utan endast i avtalet, kan de bestämmelserna inte binda någon annan än den som har ingått avtalet. De gäller alltså i

164

så fall inte för alla svenska myndigheter, utan endast för den svenska myndighet som tar emot uppgifter från den utländska aktören.

När det gäller denna typ av användningsbegränsningar finns det alltså inte någon konflikt mellan svenska författningsbestämmelser som å ena sidan säger att uppgifter ska lämnas ut till en annan myndighet och å andra sidan att den myndigheten inte får använda uppgifterna. I detta fall finns ju inte några svenska bestämmelser som innebär begränsningar i möjligheterna för alla myndigheter att använda sig av uppgifter som härrör från det internationella infor- mationsutbytet. Däremot kan det uppfattas finnas en konflikt mellan informationsskyldigheten enligt 6 kap. 5 § OSL och de åtaganden som Sverige som stat eller som medlemsstat i EU eller som en svensk myndighet har gjort i ett internationellt samarbete, om den svenska parten i ett sådant samarbete har åtagit sig att se till att uppgifter som en svensk myndighet kan få genom samarbetet endast ska användas för vissa ändamål.

Ett sätt att lagstiftningsvägen lösa den konflikt som nu är i fråga skulle kunna vara att föra in en bestämmelse i 6 kap. 5 § OSL som innebär att en myndighet är förhindrad att lämna ut en uppgift till en annan myndighet, om myndigheten har fått uppgiften genom ett internationellt samarbete på villkor att uppgifterna endast får an- vändas för vissa ändamål. Det som skiljer detta fall från situationen ovan är att den myndighet som begär att få uppgifter med stöd av 6 kap. 5 § OSL inte är förbjuden att använda sig av uppgifterna enligt någon författningsbestämmelse. En ny föreskrift i 6 kap. 5 § OSL som hindrar ett utlämnande i dessa situationer skulle alltså inte enbart ta sikte på den formella frågan utan skulle innebära en reell inskränkning i myndigheters informationsskyldighet enligt 6 kap. 5 § OSL.

Om det införs en föreskrift i 6 kap. 5 § OSL som generellt hänvisar till användningsbegränsningar som har kommit till uttryck i ett internationellt samarbete som Sverige som stat eller en svensk myndighet deltar i, dvs. oavsett om begränsningarna också kommit till uttryck i en föreskrift som alla myndigheter är skyldiga att följa, innebär det exempelvis att en svensk myndighet skulle kunna avtala om villkor som får till effekt att informationsskyldigheten i 6 kap. 5 § OSL inskränks. En sådan ordning kan anses problematisk från principiella utgångspunkter. I sammanhanget kan nämnas att den nya generella sekretessbestämmelsen i 15 kap. 1 a § OSL om sekre-

165

tess i det internationella samarbetet har avgränsats så att om en myndighet har fått en uppgift på grund av ett internationellt avtal, är bestämmelsen endast tillämplig om avtalet har ingåtts av EU eller godkänts av riksdagen. I förarbetena anfördes att detta innebar en väsentlig inskränkning av bestämmelsens tillämpningsområde och skulle i praktiken göra att sekretess för uppgifter som utbyts enligt ett visst avtal endast skulle primärt komma att gälla hos ett begränsat och överblickbart antal myndigheter (prop. 2012/13:192 s. 32). Det finns emellertid även bestämmelser om sekretess till följd av internationella avtal som inte uppställer något krav på att avtalet ska ha godkänts av riksdagen. Enligt exempelvis 30 kap. 7 § första stycket andra meningen OSL gäller sekretess hos Finans- inspektionen för uppgifter som inspektionen har fått från en ut- ländsk myndighet eller ett utländskt organ enligt ett avtal. Som förutsättning gäller emellertid att regeringen har meddelat före- skrifter om detta (se 8 § offentlighets- och sekretessförordningen).

6.2.3Vår bedömning

I de fall det finns bestämmelser om användningsbegränsningar en- ligt en EU-förordning eller en svensk författningsbestämmelse sker i normalfallet i praktiken inte något uppgiftsutbyte på grund av informationsskyldigheten enligt 6 kap. 5 § OSL. Skälet till det är, som redovisats ovan, att myndigheter inte begär ut uppgifter från en annan myndighet med stöd av den bestämmelsen om de ändå inte får använda uppgifterna. I dessa fall förefaller det alltså inte finnas något reellt behov av att justera 6 kap. 5 § OSL för att und- vika en konflikt med internationella åtaganden. Vi kan emellertid inte se att det skulle finnas några systematiska eller liknande skäl som talar emot att 6 kap. 5 § OSL justeras så att man åstadkommer en formell koppling mellan den bestämmelsen och andra bestäm- melser om användningsbegränsningar, vilka myndigheterna ändå är skyldiga att följa.

Det förefaller däremot inte ändamålsenligt att åstadkomma en formell koppling mellan 6 kap. 5 § och 9 kap. 2 § OSL, eftersom det inte skulle innebära att samtliga fall då det finns bestämmelser som begränsar myndigheters möjlighet att använda vissa uppgifter fångas upp.

166

Den nya bestämmelsen om sekretess i samband med internatio- nellt samarbete i 15 kap. 1 a § OSL har avgränsats så att den enbart ska tillämpas på uppgifter som utbyts på grund av en bindande EU- rättsakt eller ett avtal som har ingåtts av EU eller av riksdagen godkänt avtal med en annan stat eller en mellanfolklig organisation. Som har framgått anfördes som skäl för denna avgränsning bl.a. att en ordning där uppgifter som finns hos en myndighet på grund av andra internationella avtal än sådana som har godkänts av riksdagen också skulle omfattas av den nya sekretessbestämmelsen skulle vara problematisk ur ett principiellt perspektiv för en bestämmelse med generell räckvidd. Några remissinstanser hade också satt i fråga om en sådan bestämmelse hade varit förenlig med lagkravet enligt 2 kap. 2 § TF.

Den bestämmelse som nu är i fråga i 6 kap. 5 § OSL innebär visserligen inte några begränsningar av den grundlagsstadgade rätten för var och en att ta del av allmänna handlingar utan reglerar enbart utbytet av uppgifter mellan myndigheter. Det kan emellertid kon- stateras att det svenska förvaltningsrättsliga systemet bygger på att myndigheter så långt möjligt ska samverka, även när det gäller utbyte av information (jfr 6 § FL). Regleringen bygger på principen att det är en fråga för lagstiftaren att avgöra när en sådan skyldighet ska finnas. Det bör således inte vara upp till den enskilda myn- digheten att bedöma när information som myndigheten har tillgång till ska utbytas med en annan myndighet. Om 6 kap. 5 § OSL skulle justeras på ett sådant sätt att det generellt skulle finnas ett hinder mot att lämna ut uppgifter till andra myndigheter då det inom ramen för ett internationellt informationsutbyte har uppställts villkor om användningsbegränsningar, dvs. även om dessa begräns- ningar inte har kommit till uttryck i en föreskrift utan enbart i ett avtal som en enskild myndighet har slutit, skulle emellertid en enskild myndighet ha befogenhet att själv styra över vad den ska dela med sig av till andra myndigheter av den information som den fått genom ett internationellt avtal. Enligt vår uppfattning skulle en sådan ordning få alltför långtgående och principiellt betänkliga effekter. En bestämmelse med en sådan innebörd bör alltså inte in- föras. I sammanhanget kan det konstateras att det i och för sig saknas hinder för regeringen att genom en föreskrift bestämma att användningsbegränsningar som enbart kommit till uttryck i ett

167

internationellt avtal mellan exempelvis en svensk myndighet och en utländsk myndighet också ska gälla för andra myndigheter.

När det gäller andra bindande EU-rättsakter än lagstiftnings- akter samt avtal som ingåtts av EU eller Sverige har vi inte erfarit att det i sådana sammanhang förekommer regler eller villkor om användningsbegränsningar i en sådan omfattning att detta påkallar en begränsning av informationsskyldigheten enligt 6 kap. 5 § OSL.

Sammanfattningsvis kan alltså konstateras att i fråga om bestäm- melser om användningsbegränsningar i en EU-förordning eller en svensk författningsbestämmelse det saknas ett praktiskt behov av att ändra 6 kap. 5 § OSL. Det finns vidare principiella betänklig- heter mot att ändra 6 kap. 5 § OSL så att användningsbegräns- ningar som inte kommit till uttryck i en föreskrift utan enbart i ett avtal som en enskild myndighet har slutit skulle begränsa informa- tionsskyldigheten i förhållande till andra myndigheter. När det gäller andra bindande EU-rättsakter än lagstiftningsakter samt avtal som EU eller Sverige ingår har vi inte erfarit att det finns något påtagligt behov av en lagändring.

Vi lämnar därför inte något förslag till en ändring av 6 kap. 5 § OSL.

I den händelse det ändå bedöms finnas ett behov av en sådan ändring förordar vi att den enbart tar sikte på att åtgärda det formella behov av en ändring som kan uppfattas finnas i fråga om bestämmelser om användningsbegränsningar i en EU-förordning eller en svensk författningsbestämmelse. I så fall skulle 6 kap. 5 § OSL kunna ges följande lydelse:

En myndighet ska på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller inte får användas av den andra myndigheten enligt lag eller förordning. En uppgift behöver inte heller lämnas om det skulle hindra arbetets be- höriga gång.

Med uttrycket att en myndighet inte får använda uppgiften enligt lag avses också en bestämmelse i en EU-förordning (se prop. 1999/2000:126 s. 272 och 283).

Vi vill avslutningsvis framhålla att det under alla förhållanden inte kan anses vara en tillfredsställande ordning att uppräkningen av lagar med bestämmelser om användningsbegränsningar i 9 kap. 2 § OSL inte är fullständig. Om bestämmelsen ska kunna fylla sin funk- tion att upplysa om sådana användningsbegränsningar bör uppräk-

168

ningen givetvis vara komplett. Vi har emellertid inte sett det som en uppgift för oss att komplettera uppräkningen i bestämmelsen.

169

sättningarna för att skapa en generell, enhetlig och – helt eller i vart fall delvis – samlad reglering för myndigheternas behandling av personuppgifter. Tanken är att en sådan samlad reglering också är mer ändamålsenlig för att kunna möta den förändring som förmod- ligen kommer att ske inom EU genom en förordning som ersätter dataskyddsdirektivet. En samlad reglering kan fungera som ett komplement till eller, vid behov, genomföra delar av den unions- rättsliga regleringen på området. Vidare framhålls i direktiven att det också behöver göras en bedömning av vilket utrymme förord- ningen ger för att i nationell rätt göra undantag från förordningens bestämmelser för myndigheternas personuppgiftsbehandling.

Om vi bedömer att det finns förutsättningar att skapa en sådan samlad reglering, ska vi enligt direktiven lämna de författnings- förslag som kan anses motiverade. Personuppgiftsbehandlingen inom den brottsbekämpande sektorn omfattas inte av utrednings- uppdraget, eftersom den behandlingen inte omfattas av kommis- sionens förslag till en allmän uppgiftsskyddsförordning utan av ett förslag till ett direktiv.

Av våra direktiv följer vidare att vi ska överväga hur en generell reglering bör utformas utifrån vad som är lämpligt från bl.a. norm- givningstekniska och systematiska utgångspunkter. I direktiven på- pekas att även om personuppgiftsbehandling inom den brotts- bekämpande verksamheten undantagits från utredningens arbete, behöver man vid utformningen av en ny reglering emellertid ta hänsyn till hur regleringen på såväl detta som andra områden är utformad för att regelverken inte ska komma i konflikt med var- andra. Den generella regleringen bör om möjligt vara utformad så att den kan tillämpas på ett enhetligt sätt av myndigheter vars verksamhet i vissa delar kommer att omfattas av tillämpnings- området för uppgiftsskyddsförordningen och i andra delar omfattas av tillämpningsområdet för EU-direktivet för den brottsbekämpande sektorn.

Av direktiven framgår slutligen att vi i vårt arbete noga ska följa den fortsatta behandlingen inom EU av förslaget till reformerad dataskyddsreglering. De förslag till författningsreglering som läm- nas ska vara väl anpassade till denna översyn och dess resultat.

174

7.1.2Förutsättningarna för en generell reglering

Automatiserad behandling är en integrerad del av myndigheters verksamhet

När personuppgiftslagen trädde i kraft den 24 oktober 1998 var den elektroniska förvaltningen fortfarande i början av sin uppbyggnad. I prop. 1997/98:136 En statlig förvaltning i medborgarnas tjänst redovisade regeringen ett handlingsprogram för bl.a. förvaltningens informationsförsörjning. Enligt detta program borde förvaltningen, med beaktande av integritets- och säkerhetsaspekter ta tillvara in- formationsteknikens möjligheter att förenkla och förbättra kon- takterna för medborgare och företag med myndigheterna, öka all- mänhetens insyn i och kontroll av myndigheternas verksamhet, effektivisera samverkan mellan myndigheter, med övrig offentlig sektor samt med EU-institutioner och andra länders förvaltning (a. prop. s. 54 f.). I programmet slogs vidare fast att den tekniska infrastrukturen för statsförvaltningens kommunikation med med- borgare och företag borde bygga på internet, statliga myndigheter borde använda säker överföring av dokument och meddelanden i den öppna it-infrastrukturen samt att myndigheter vars verksamhet riktar sig främst till företag och medborgare borde erbjuda elek- troniska tjänster för självbetjäning som komplement till traditio- nella tjänster. Regeringen uttalade också att en enkel, säker och kostnadseffektiv tillgång till samhällets grundläggande information är ett offentligt åtagande av väsentlig betydelse för den offentliga förvaltningen, för medborgarna och för företagen.

I dag är en elektronisk förvaltning en självklarhet för varje myn- dighet, statlig som kommunal. Handlingar framställs inom en myn- dighets verksamhet i princip uteslutande i elektronisk form och lagring sker på både kort och på lång sikt elektroniskt, även om det också förekommer lagring i pappersform. Ärenden handläggs elek- troniskt och beslut fattas inom vissa myndigheters verksamhet, t.ex. Försäkringskassan och Skatteverket, i stor omfattning med beslutsstöd i automatiserad form. Handlingar kommer också in till myndigheterna på elektronisk väg i stor omfattning och expedieras från myndigheterna på samma sätt i allt högre grad. Arbetet med att öka effektiviteten i myndigheternas verksamhet och samverkan mellan myndigheterna samt att ge medborgarna en förbättrad ser- vice är i princip helt inriktat på att detta ska ske på elektronisk väg.

175

Det finns därför anledning att fråga sig om det fortfarande finns skäl att tala om en elektronisk förvaltning. Den elektroniska för- valtningen är ju inte längre någon särskild del av myndigheternas verksamhet, utan utgör i själva verket förvaltningen.

Användning av it genomsyrar i dag en myndighets hela verk- samhet och utgör således basen för framställning av dokument, ärendehantering, lagring, kommunikation och samverkan. På mot- svarande sätt kan myndigheternas automatiserade behandling av personuppgifter beskrivas, dvs. sådan behandling utgör det sätt på vilket myndigheterna hanterar personuppgifter. Vid tiden för person- uppgiftslagens införande fanns det emellertid fortfarande anledning att tala om s.k. manuell hantering av personuppgifter, t.ex. för att handlägga ett ärende, som ett alternativ till automatiserad behand- ling. Detta betraktelsesätt har länge präglat lagstiftning som rör be- handling av personuppgifter. I dag är den automatiserade behand- lingen av personuppgifter alltså inte en del av en myndighets verk- samhet som utförs åtskild från verksamheten i övrigt och därför kräver andra regler än de som i övrigt reglerar verksamheten. Där- emot är det självfallet så att användningen av it fortfarande innebär att särskilda integritetsaspekter måste beaktas, bl.a. i form av regler om skydd för personuppgifter. Den elektroniska hanteringen med- för också att myndigheterna behöver ta särskild hänsyn till säker- hetsaspekter, beträffande såväl personuppgifter som annan infor- mation som finns hos myndigheterna.

7.1.3En generell reglering?

Bedömning: Vi menar att det finns förutsättningar för en sam- lad reglering beträffande myndigheters behandling av person- uppgifter och vi kan inte se några bärande skäl som talar emot att en sådan nu införs.

Det brukar anföras som skäl för att införa särskilda registerlagar att man på så sätt åstadkommer en heltäckande, tydlig och uttöm- mande reglering av vad som ska gälla i fråga om personuppgifts- behandling hos en viss myndighet eller inom en viss samhälls- sektor. Det ligger uppenbarligen ett värde i detta. Samtidigt är det

176

tydligt att det finns klara nackdelar förenade med den reglerings- modellen.

Som vi har berört i avsnitt 4.3.2 – och som vi närmare kommer att redovisa i följande kapitel – finns det ett antal generella problem förenade med det svåröverblickbara och fragmenterade rättsområde som registerlagstiftningen har kommit att bli. Registerförfattning- arna har kommit att utformas utan tillräcklig inre konsekvens och enhetlighet i fråga om struktur, normtekniska lösningar eller be- träffande hur enskilda kategorier av bestämmelser har utformats. Med tiden har detta bl.a. medfört relativt stora tillämpningsproblem i olika avseenden, inte minst vid uppgiftsutbyten mellan myndig- heter. Samtidigt finns det påfallande många likheter mellan register- författningarna – inte minst beträffande de vi kallar informations- hanteringsförfattningar – när det t.ex. gäller vilka slags frågor som regleras, varianter på begrepp och normtekniska lösningar. Det är i hög grad fråga om ”dubbelreglering” i den meningen att likartade bestämmelser finns intagna i ett stort antal författningar.

Ett annat problem med den nuvarande dataskyddsregleringen – och som gäller i lika hög grad även för de myndigheter som inte omfattas av någon registerförfattning utan enbart tillämpar person- uppgiftslagen – är att tillräcklig uppmärksamhet inte ägnats åt anpass- ningen av dataskyddsregleringen till annan central reglering för myndigheters verksamhet och informationshantering. Myndig- heters personuppgiftsbehandling skiljer sig nämligen på ett markant sätt från vad som normalt gäller i enskilda verksamheter. En myn- dighet som behandlar personuppgifter i sin verksamhet har inte bara att följa personuppgiftslagen eller en eventuell registerförfatt- ning i sin informationshantering. Myndigheters personuppgifts- behandling sker i verksamheter som är författningsreglerade, oftast i fråga om såväl vad som ska göras som hur det ska göras. Dess- utom styrs personuppgiftsbehandlingen parallellt av annan central reglering för myndigheternas informationshantering än den data- skyddsrättsliga, bl.a. reglerna om handlingsoffentlighet och sekre- tess samt förvaltningslagen. Med ett fåtal undantag är personupp- giftslagens bestämmelser inte anpassade till dessa särskilda förhåll- anden.

Inom ramen för en samlad reglering skulle det finnas förutsätt- ningar att åstadkomma den enhetlighet och konsekvens i regle- ringen av myndigheternas personuppgiftsbehandling som den nuvar-

177

ande splittrade regleringen saknar. Genom en samlad reglering skulle det vidare finnas förutsättningar att på ett betydligt mer ändamåls- enligt sätt beakta de särskilda förutsättningar som gäller beträffande personuppgiftsbehandling på myndighetsområdet. Därtill kommer att en samlad reglering skulle i betydande mån minska det framtida behovet av att behålla eller införa nya sektorspecifika bestämmel- ser. Viss särreglering kommer givetvis att behövas även med en generell reglering men kan då utformas som särbestämmelser som innehåller undantag från huvudregler. Regelmassan vad gäller data- skyddsbestämmelser skulle alltså totalt sett minska väsentligt.

Genom att regelverket blir tydligare i den meningen att det klargörs vad som utgör ett berättigat dataskydd och hur detta ska åstadkommas på myndighetsområdet, främjas skyddet för person- uppgifter. Samtidigt ger ett sådant regelverk klarare besked om i vilken utsträckning dataskyddshänsyn inte påverkar övriga regelverk som reglerar myndigheternas verksamhet och de intressen som där värnas. En tydligare dataskyddsreglering på myndighetsområdet innebär t.ex. att förhållandet mellan dataskyddsregler och regler om sekretess blir klarare, vilket som vi ser det kommer att vara till gagn för offentlighet och insyn. En tydligare reglering ökar också i betydande grad förutsättningarna för att anpassa offentlighets- principen till moderna elektroniska kommunikationsformer. Huvud- ambitionen att på ett mer effektivt sätt tillgodose allmänhetens berättigade anspråk på insyn i den offentliga förvaltningen uppfylls därför också genom den generella regleringen.

Vi kan för vår del inte se några bärande skäl som talar mot en generell reglering beträffande myndigheters behandling av person- uppgifter. Vi menar alltså att det finns förutsättningar för en sådan samlad reglering.

En utgångspunkt för arbetet med en generell reglering om myn- digheters behandling av personuppgifter bör vara att den inte till någon del ska syfta till att reglera en myndighets verksamhet. Reg- leringen bör i stället utformas så att den enbart tar sikte på att reg- lera dataskyddsrättsliga frågor, dvs. i första hand frågor rörande det behov av skydd för enskilda registrerades personliga integritet som den automatiserade behandlingen av personuppgifter ger upphov till. Förändringar som sker beträffande myndigheters faktiska, organisatoriska eller rättsliga förutsättningar ska därmed inte ha betydelse på det sättet att innehållet i den generella lagen behöver

178

ändras. Vidare ska regleringen vara helt teknikneutral. Den ska ute- slutande bygga på rättsliga gränsdragningar, inte tekniska sådana. Som vi ser det är det bara på det sättet det är möjligt att åstad- komma en reglering som blir hållbar över tid.

Vilka regelverk ska bilda en fungerande helhet?

I våra direktiv framhålls att de grundläggande reglerna i tryckfri- hetsförordningen och offentlighets- och sekretesslagen samt den principiella uppbyggnaden av registerförfattningarna bör vara an- passade till varandra för att möjliggöra en ytterligare effektivisering av e-förvaltningen.

Som framgått ovan är en generell utgångspunkt för vårt arbete att myndigheters behandling av personuppgifter inte längre kan betraktas som en separat del av en myndighets verksamhet av det enda skälet att behandlingen är automatiserad. Det innebär att vi i arbetet med att principiellt bygga upp den generella regleringen för att åstadkomma en fungerande helhet tillsammans med andra regel- verk inte enbart kan ta hänsyn till att reglerna ska vara anpassade till tryckfrihetsförordningen och offentlighets- och sekretesslagen. De behöver alltså också vara anpassade till de regler som på ett mer allmänt plan styr en myndighets verksamhet. För att åstadkomma en fungerande helhet behöver även t.ex. förvaltningslagen, arkiv- lagen, myndighetsförordningen m.m. samt andra regelverk och dokument som i olika hänseenden styr myndigheternas verksamhet beaktas. När det övervägs i vilken mån en tänkt generell reglering i ett visst avseende behöver innehålla regler för att ge person- uppgifter det skydd som den elektroniska hanteringen ger upphov till, behöver detta alltså ske också mot bakgrund av sådana regler om rättigheter för enskilda och skyldigheter för myndigheter som finns i det förvaltningsrättsliga regelverket i stort.

Att behovet av regler till skydd för personuppgifter på myndig- hetsområdet övervägs i förhållande till hur myndigheters verksam- het är reglerade i övrigt och de intressen som bär upp sådana regler är helt i överensstämmelse med de grunder som dataskyddsdirek- tivet bygger på och ger uttryck för. Exempelvis innebär de grund- läggande krav som alltid ska iakttas i samband med en viss enskild behandling, krav på lämpliga säkerhetsåtgärder och reglerna om

179

behandling av känsliga personuppgifter att frågan om en viss behand- ling är tillåten ska avgöras mot bakgrund av vilken verksamhet det rör och vilka avvägningar mellan olika intressen som behöver göras i den verksamheten och i det konkreta fallet. Vilka resultat sådana avvägningar kan få på myndighetsområdet kommer däremot inte till uttryck i direktivet. Arbetet med att ta fram en generell reg- lering för myndigheters behandling av personuppgifter innebär emellertid att dataskyddsdirektivets implementering kan konkreti- seras och förtydligas på hela myndighetsområdet. Därmed minskar behovet av särskilda registerförfattningar i motsvarande mån.

En ambition med den generella regleringen är alltså att i så hög grad som möjligt fånga upp och formulera regler till skydd för personuppgifter som generellt utgör en ändamålsenlig reglering för myndigheters verksamhet, för att i så stor utsträckning som möjligt minska behovet av särreglering. På så sätt, och genom att den gene- rella regleringen anpassas till samtliga relevanta regelverk på myndig- hetsområdet, skapas en tydligare och mer lättillämpad helhet när det gäller hantering av personuppgifter på hela myndighetsområdet.

Hur bör förslaget till uppgiftsskyddsförordning beaktas vid utformningen av en generell reglering?

Som redovisats ovan är ett av skälen till utredningens uppdrag att försöka skapa en samlad reglering för myndigheternas behandling av personuppgifter att en sådan kommer att vara mer ändamålsenlig för att möta den förändring som kan antas komma att ske på det unionsrättsliga området genom en förordning som ersätter data- skyddsdirektivet. En samlad reglering kan fungera som ett komple- ment till eller, vid behov, genomföra delar av den unionsrättsliga regleringen på området.

I skrivande stund pågår arbetet fortfarande med att inom EU förhandla fram förslaget till en uppgiftsskyddsförordning och det går knappast att göra några säkra prognoser om när det arbetet kommer att vara slutfört. Det förefaller mot den bakgrunden inte vara lämpligt att utforma den nya regleringen så att den nu utgör ett komplement till en kommande uppgiftsskyddsförordning. I så fall skulle väsentliga delar av personuppgiftsskyddet som kan för- väntas komma att exklusivt regleras i förordningen, exempelvis de grundläggande krav som ska gälla vid all behandling av person-

180

uppgifter och tillsynsmyndighetens befogenheter, inte kunna reg- leras i den generella lagen. Ett förslag till en ny reglering skulle i så fall inte kunna innehålla något förslag om en tidpunkt för ikraft- trädande, utan den tidpunkten skulle få göras beroende av om och när en uppgiftsskyddsförordning beslutas. Det skulle i sin tur kunna leda till att någon ny generell reglering om myndigheters behand- ling av personuppgifter inte kan införas förrän i en obestämd framtid. Vad som nu sagts talar för att införandet av en generell reglering inte bör göras beroende av om en uppgiftsskyddsförord- ning införs.

Vi ser det inte heller som möjligt att nu utforma ett förslag till en reglering som skulle kunna utgöra ett komplement till en kom- mande uppgiftsskyddsförordning, eftersom förordningens innehåll i skrivande stund inte i alla delar fullt ut kan överblickas, i synner- het inte på myndighetsområdet. Det kan emellertid redan nu konstateras att förordningen kan antas lämna öppningar för med- lemsstaterna att på myndighetsområdet införa en särreglering beträffande frågor som då kan utformas mot bakgrund av natio- nella regelverk och andra speciella förutsättningar för de egna myn- digheternas verksamhet. Om och när en förordning införs kan det därför antas inte behöva göras några genomgripande ändringar i en ny generell reglering. Även denna omständighet talar alltså för att det saknas tillräckliga skäl för att låta införandet av en generell reg- lering vänta på att en förordning träder i kraft. Tvärtom kommer det nödvändiga anpassningsarbetet att bli betydligt enklare om en sådan reglering redan finns på plats.

Vår ambition vid utformningen av den generella regleringen har därför varit att i stället relatera våra förslag till det som hittills är känt om uppgiftsskyddsförordningens föreslagna innehåll och redo- visa ett resonemang om hur en reglering utifrån gällande rätt kan komma att te sig vid ett införande av förordningen. Vi kommer också att i samband med att vi redovisar konsekvenserna av vårt förslag beskriva hur en anpassning av regleringen kan göras då förord- ningen införs (se avsnitt 19.2).

För att förverkliga en tydligare och mer ändamålsenlig reglering av myndigheters behandling av personuppgifter bör utgångspunk- ten således vara att den generella regleringen ska kunna träda i kraft så snart som möjligt. Detta talar, menar vi, för att vårt förslag bör ta sikte på att den generella regleringen till form och innehåll ska

181

förhålla sig till gällande rätt på området, dvs. dataskyddsdirektivet och personuppgiftslagen.

7.2En generell lag för myndigheters behandling av personuppgifter

7.2.1En generell reglering bör ha form av lag

Förslag: Den nya generella regleringen bör ha form av lag. Lagen bör heta myndighetsdatalagen.

En generell reglering av vad som ska gälla beträffande myndig- heters personuppgiftsbehandling bör ges form av lag. Detta följer redan av att tillämpningsområdet för en sådan reglering bör vara i princip detsamma som förvaltningslagens, dvs. även kommunala förvaltningsmyndigheter bör omfattas liksom myndigheterna under riksdagen. Till detta kommer att lagformen av flera skäl framstår som det naturliga för en reglering av nu aktuellt slag.

Vi redovisar nedan hur vi ser på den lagtekniska utformningen av den generella lagen och hur den förhåller sig till de särregler som kan behövas för vissa myndigheters behandling av personuppgifter. I ett därpå följande avsnitt lämnar vi en utförlig redovisning av vår bedömning när det gäller frågan om på vilken normgivningsnivå en särreglering kan ges, dvs. om särregler kan ges i förordning eller om de behöver ha form av lag.

En allmän utgångspunkt för våra överväganden är, som framgått av avsnitt 7.1, att den generella lagen enbart ska innehålla regler om persondataskydd. Vi föreslår därför att den nya lagen benämns ”myn- dighetsdatalag”. Namnet är också kort, vilket är ändamålsenligt med tanken på att lagen avses vara tillämplig för i princip alla myndig- heter.

Vid personuppgiftslagens införande övervägdes även namnet persondatalag. Skälet till att det namnet inte valdes var bl.a. att det på ett missvisande sätt kunde leda tanken till enbart datorlagrade personuppgifter, trots att lagen inte bara omfattar automatiserad behandling i datorer utan även viss manuell behandling av person- uppgifter (prop. 1997/98:44 s. 42). Eftersom myndigheterna i dag i

182

princip uteslutande hanterar personuppgifter med it-stöd, anser vi att namnet myndighetsdatalag inte gärna kan uppfattas som missvisande.

7.2.2Kort om lagens innehåll och den lagtekniska utformningen

Vilka frågor bör regleras i lagen?

Vi har ovan redovisat att utgångspunkten för vårt arbete med den generella lagen är att den enbart ska ta sikte på att reglera frågor om det behov av skydd som den automatiserade behandlingen av per- sonuppgifter ger upphov till när myndigheterna hanterar person- uppgifter i sin verksamhet. Lagen ska alltså enbart innehålla be- stämmelser som utgör dataskyddsregler.

Det innebär att lagen för det första bör innehålla regler som rör frågor där personuppgiftslagens bestämmelser inte på ett tillräck- ligt tydligt sätt uttrycker vad som gäller för myndigheters behand- ling av personuppgifter. Det handlar alltså om bestämmelser som särskilt reglerar vad som gäller för myndigheter i en viss fråga till skillnad från vad enskilda personuppgiftsansvariga har att iaktta.

I registerförfattningarna förekommer även bestämmelser som reglerar behandling av personuppgifter utan att de syftar till att införliva dataskyddsdirektivet i något visst avseende. Det är alltså bestämmelser som inte har någon motsvarighet i personuppgifts- lagen. Det har ändå ansetts finnas ett behov av att denna typ av bestämmelser för att tydliggöra vad som gäller i förhållande till andra regelverk, framför allt beträffande offentlighets- och sekre- tesslagens bestämmelser om utbyte av uppgifter i förhållande till både enskilda och andra myndigheter. Som exempel på sådana bestämmelser kan nämnas regler om utlämnande av personupp- gifter i elektronisk form, bl.a. genom direktåtkomst. Som har fram- gått av kapitel 5 menar vi att det finns skäl att upprätthålla den rättsliga skillnaden mellan direktåtkomst och andra former av elek- troniskt utlämnande. Bestämmelser rörande detta bör alltså införas även i den generella lagen.

Ett annat exempel på en typ av bestämmelser som vanligen före- kommer i registerförfattningar och som inte kan sägas ha sin omedelbara motsvarighet i dataskyddsdirektivet är s.k. sökbegräns- ningar. Sådana bestämmelser ger emellertid uttryck för den pro-

183

portionalitetsprincip som alltid måste iakttas när det gäller behand- ling av personuppgifter och inte minst på myndighetsområdet. Även regler om sökbegränsningar har därför sin plats i en generell lag.

Det kan konstateras att lagen således kommer att få en utform- ning som i hög grad liknar en författning av den kategori vi be- nämnt informationshanteringsförfattning, låt vara att denna ”register- författning” syftar till att generellt reglera myndigheters behandling av personuppgifter.

Den lagtekniska utformningen

Vi har ovan redovisat vår huvudambition med den generella lagen att i så hög grad som möjligt fånga upp och uttrycka regler till skydd för personuppgifter som generellt utgör en ändamålsenlig reglering för myndigheterna, för att i motsvarande mån minska behovet av särreglering. Det innebär att vi ser framför oss ett rela- tivt begränsat behov av särreglering som kommer att avse för- hållandevis få frågor i jämförelse med den regelmassa som i dag finns i registerförfattningarna. Vi bedömer att det därför – på sikt – inte alls kommer att behövas fullständiga registerförfattningar i den utsträckning som är fallet i dag. Författningar som syftar till att reglera regelrätta register, exempelvis fastighetsregistret och aktie- bolagsregistret, påverkas dock endast delvis eftersom de typiskt sett syftar till att reglera annat än dataskydd, nämligen verksam- hetsfrågor kring ett visst register. Sådana verksamhetsregler utgör ingen särreglering i förhållande till personuppgiftslagen och påver- kas därmed inte av den nya lagen. Detta slags registerförfattningar kan alltså inte ersättas av den nya lagen. Inget hindrar dock att dataskyddsregleringen i den nämnda sortens registerförfattning – som efter en översyn fortfarande anses behövas – separeras från författningen och särregleras i anslutning till den nya lagen. Vi åter- kommer till denna fråga i kapitel 8.

Den generella lagen bör lagtekniskt utformas så att den i sin huvuddel innehåller de bestämmelser som generellt reglerar myndig- heternas behandling av personuppgifter i olika avseenden. I en eller flera bilagor till lagen kan därefter tabellvis redovisas sådana sär- regler för enskilda myndigheter som bör – eller undantagvis behöver

184

– ges i form av lag. Det kan exempelvis handla om vissa fall av direktåtkomst eller mer tillåtande regler för att behandla känsliga personuppgifter som kan behövas på vissa myndighetsområden och som bedöms kräva lagstöd. Till lagen bör det också finnas en anslutande förordning som innehåller de särregler som kan ges på förordningsnivå. Vi bedömer att den helt övervägande delen av sådan utfyllande reglering kan ges i förordning. I avsnittet nedan redogör vi mer utförligt för vår bedömning av vilken normgiv- ningsnivå som normalt krävs för de särregler som kan behövas.

7.3Normgivningsnivå för särreglering

7.3.1Bakgrund

Av 8 kap. 1 § första stycket RF framgår att föreskrifter meddelas av riksdagen genom lag och av regeringen genom förordning. Före- skrifter ska meddelas genom lag om de avser bl.a. skyldigheter för enskilda eller ingrepp i enskildas personliga eller ekonomiska för- hållanden (8 kap. 2 § första stycket 2). Kravet på att en sådan före- skrift ska ha form av lag är emellertid inte obligatoriskt, utan riks- dagen kan bemyndiga regeringen att meddela den typen av före- skrifter (8 kap. 3 §).

Enligt 8 kap. 7 § RF får regeringen bl.a. meddela föreskrifter som inte enligt grundlag ska meddelas av riksdagen. Att regeringen meddelar föreskrifter i ett visst ämne hindrar inte att riksdagen meddelar föreskrifter i samma ämne (8 kap. 8 §).

Av 8 kap. 10 och 11 §§ RF följer att en vidaredelegation till en förvaltningsmyndighet att meddela föreskrifter också kan medges av riksdagen eller, i fråga om regeringens primärområde, av rege- ringen själv.

De s.k. registerförfattningarna är ett exempel på en grupp författ- ningar där lagformen ofta valts trots att detta enligt regerings- formen rent normgivningstekniskt i allmänhet inte har varit nöd- vändigt. Att det allmänna registrerar personuppgifter om enskilda innebär ingen skyldighet för den enskilde. Det har heller normalt sett inte ansetts som ett ingrepp i enskildas personliga förhållanden i den mening som avses i 8 kap. 2 § första stycket 2 RF (Anders Eka m.fl., Regeringsformen – med kommentarer, 2012, s. 311). Registerförfattningarna har därmed i princip ansetts höra till rege-

185

ringens primärområde – i vart fall såvitt avser myndigheter under regeringen – och således kunnat regleras i förordningsform. Som har berörts tidigare har det under åren emellertid i ett antal olika lagstiftningsärenden som rört myndigheters personuppgiftsbehand- ling framhållits att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i lag (se t.ex. prop. 1997/98:44 s. 41, 1997/98:KU18 s. 43 och prop. 1999/2000:39 s. 78).

Enligt 8 kap. 18 § RF får en lag inte ändras eller upphävas på annat sätt än genom lag. Det är den formella lagkraftens princip som på så sätt kommer till uttryck i regeringsformen. Den formella lagkraftens princip innebär att en föreskrift som en gång beslutats som lag inte kan ändras eller upphävas på annat sätt än genom en ny lag. Regeln om den formella lagkraften får bl.a. den effekten att regeringen inte kan hindra eller upphäva en lag som riksdagen stiftat inom ett område som annars enligt grundlag primärt faller inom regeringens kompetensområde. Inte heller kan regeringen så länge lagen gäller meddela föreskrifter i ämnet i strid med lagen. Riksdagen tar på så vis i anspråk en del av regeringens primär- område. Detta innebär att i den mån myndigheters personuppgifts- behandling har reglerats genom lag så krävs lagstiftning också för att ändra regleringen.

Enligt 2 kap. 6 § andra stycket RF är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integri- teten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Av 2 kap. 20 § följer att skyddet mot övervakning och kartläggning av den enskildes personliga förhållanden får begränsas genom lag i den utsträckning det är tillåtet enligt de allmänna förutsättningarna för begränsning av fri- och rättigheter som anges i 21 §. Vid antagande av sådan lag som avses i 20 § är enligt 22 § det s.k. kvalificerade förfarandet tillämpligt. Detta innebär att ett förslag till rättighets- begränsande lag ska, om det inte avslås av riksdagen, på yrkande av lägst tio av dess ledamöter vila i minst tolv månader från det att det första utskottsyttrandet över förslaget anmäldes i riksdagens kam- mare.

186

Motivuttalanden på registerförfattningsområdet rörande normgivningsnivå

De ovan berörda motivuttalandena om att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett sär- skilt känsligt innehåll ska regleras i lag tillkom i samband med det grundlagstiftningsärende där bl.a. Data- och offentlighetskommitténs slutbetänkande behandlades.

Prop. 1990/91:60 innehöll förslag som syftade till att stärka offentlighetsprincipen i fråga om ADB-upptagningar och till att förbättra integritetsskyddet för uppgifter i personregister. Där före- slogs vissa ändringar i tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet – bl.a. beträffande den s.k. biblio- teksregeln – samt ändringar i sekretesslagstiftningen som innebar preciseringar av det krav på ”god offentlighetsstruktur” som gällde för myndigheternas ADB-verksamhet. Vidare föreslogs bl.a. ändringar i datalagen (1973:289) i syfte att reglera och begränsa användningen av personnummer i personregister. Propositionen behandlades av konstitutionsutskottet i betänkandet 1990/91:KU11.

Vid den aktuella tidpunkten krävdes alltså normalt tillstånd från Datainspektionen för att inrätta och föra särskilt integritetskänsliga ADB-register, dvs. personregister som innehöll ömtåliga uppgifter om enskilda personer. Om inrättandet av ett sådant register beslu- tades av riksdagen eller regeringen – s.k. statsmaktsregister – räckte det dock med att beslutet föregicks av ett yttrande från Data- inspektionen. I debatten hade då och då rests krav på att register av detta slag borde vara lagreglerade, vilket skulle innebära att det skulle krävas ett särskilt riksdagsbeslut för att en myndighet skulle få föra ett personregister som innehöll särskilt integritetskänsliga uppgifter.

I prop. 1990/91:60 gjorde föredragande statsrådet – i likhet med Data- och offentlighetskommittén – bedömningen att som ett led i en allmän strävan att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av känsliga personuppgifter i vissa myndighetsregister på sikt vissa register hos Socialstyrelsen, landstingen, kommunerna och dåvarande Riksförsäkringsverket borde regleras i särskilda registerlagar. Vidare uttalades följande (a. prop. s. 57 f.).

Som framgått av min redovisning är redan i dag vissa stora person- register med integritetskänsligt innehåll inom den offentliga sektorn författningsreglerade i större eller mindre mån. Flera av de viktigaste

187

registren saknar emellertid författningsstöd och några av dem har inte heller tillstånd från datainspektionen eftersom de är undantagna från tillståndsplikt till följd av 2 a § tredje stycket datalagen.

Bland de register som sålunda undantagits från tillståndsplikt kan näm- nas personregister som förs av myndigheter inom hälso- och sjuk- vården för vård- eller behandlingsändamål. I dessa register finns upp- gifter om enskildas sjukdomar och hälsotillstånd […]. Vidare kan nämnas de sociala myndigheternas personregister som innehåller uppgifter om att någon fått ekonomisk hjälp eller vård inom social- tjänsten […]. Också dessa personregister har generellt sett ett mycket integritetskänsligt innehåll.

I likhet med [kommittén] och remissinstanserna anser jag att en målsättning bör vara att i de fall ett register med ett stort antal regi- strerade och ett särskilt känsligt innehåll inrättas, bestämmelser ska meddelas i form av lag. Detta gäller särskilt i de fall uppgifterna i registret sprids externt i icke obetydlig omfattning.

Om uppgifter används för strikt avgränsade ändamål i ett register där de primärt har registrerats, t.ex. inom försvaret eller arbetsmarknads- utbildningen och i många kommunala sammanhang behövs däremot i regel ingen specialreglering. I dessa register kan integritetsskyddet, enligt min mening, tillgodoses genom datainspektionens tillstånds- prövning. Om de uppgifter som ingår i registret i sådana fall inte är sekretesskyddade, kan det övervägas om en utvidgning av bestämmel- serna i sekretesslagen är en väg att uppnå ett bättre integritetsskydd.

Vidare fördes i propositionen resonemang om behovet av reglering på vissa angivna områden såsom landstingens och kommunernas barnavårds- och skolhälsoregister, Riksförsäkringsverkets och de dåvarande försäkringskassornas register, det s.k. FAS 90 m.fl., samt konstaterades att en reglering var möjlig bara på sikt och att det återstod att närmare överväga vilka register inom de angivna om- rådena som borde regleras.

Konstitutionsutskottet uttalade som sin mening att det allmänt sett var av stor betydelse att en författningsreglering av ADB-register kommer till stånd i syfte att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av känsliga upp- gifter i myndighetsregister. Som anförts i propositionen borde register hos Socialstyrelsen, landstingskommunerna, kommunerna och Riksförsäkringsverket regleras i särskilda registerlagar. Utskottet delade departementschefens uppfattning att det krävdes ingående

188

överväganden i fråga om vilka register inom dessa områden som borde regleras (1990/91:KU11 s. 11).

I lagstiftningsärendet rörande personuppgiftslagen fördes ett resonemang beträffande registerförfattningarna. Det konstaterades att dessa innehöll många preciserade och viktiga regler som inte rimligen kunde ersättas av de generella bestämmelser som den nya lagen innehöll. Samtidigt stod det klart att det var nödvändigt med särregler i förhållande till den nya lagen på flera viktiga områden, t.ex. beträffande polisens verksamhet. Frågan var därför om det redan i den nya lagen skulle göras undantag för vissa verksamheter eller om nödvändiga särregler för dessa verksamheter liksom dittills skulle ges i särskilda författningar som fick gälla framför den nya lagen.

Regeringen fann att det traditionella svenska systemet med sär- regler i särskilda författningar var att föredra framför generella undantag från den nya lagen. Eftersom det skulle krävas en särskild författning för att avvika från det integritetsskydd som den nya lagen skulle ge, garanterades att behovet av särregler alltid övervägs noga i den ordning som gäller för författningsgivning. Vidare ut- talades – med hänvisning till de uttalanden som gjorts i 1991 års grundlagsstiftningsärende (prop. 1990/91:60 s. 50 och 1990/91:KU11 s. 11) – att målet också har varit att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag. Det fanns inte anledning att nu avvika från det målet (prop. 1997/98:44 s. 41).

I konstitutionsutskottets betänkande rörande personuppgifts- lagen påpekades med anledning av en motion att i den utsträckning som det är befogat med ett ställningstagande från riksdagens sida, finns det alltid möjlighet att ge regleringen på ett visst område i lag. I sådant fall är normgivning på lägre nivå i strid med lagregleringen utesluten, om inte annat följer av den aktuella lagen. Utskottet ville också för egen del framhålla att det saknades anledning att nu avvika från den tidigare fastlagda målsättningen att myndighets- register med att stort antal registrerade och ett särskilt känsligt inne- håll ska regleras särskilt i lag (1997/98:KU18 s. 43).

De uttalanden som gjordes beträffande behovet av lagform vid 1991 års grundlagsstiftningsärende och som bekräftades i samband med införandet av personuppgiftslagen har alltså under åren åbe- ropats i ett stort antal lagstiftningsärenden i samband med över- väganden kring frågan varför en viss registerförfattning borde ges

189

lagform (se t.ex. prop. 1999/2000:39 s. 78, prop. 2000/01:80 s. 131, prop. 2000/01:95 s. 55 och prop. 2002/03:135 s. 39).

Den tidigare grundlagsregleringen beträffande skyddet för den personliga integriteten

Under 1980-talet inträffade en rad händelser som väckte misstro mot den då ännu förhållandevis nya datatekniken och det sätt på vilket staten använde sig av denna för att registrera medborgarna. Exempelvis orsakade planer på en ny typ av folk- och bostads- räkning, benämnt Fobalt, byggd på samkörning av redan befintliga register, så häftiga protester att projektet inte kunde genomföras. År 1986 avslöjades att det sociologiska forskningsprojektet Metro- polit med Datainspektionens medgivande under lång tid hade sam- lat in och registrerat stora mängder känsliga persondata avseende cirka 15 000 utvalda svenskar och deras familjer. Avslöjandet ledde till ytterst skarp kritik i medierna och fick också politiska återverk- ningar.

Den år 1984 tillkallade Data- och offentlighetskommittén sökte fånga upp den utbredda oro för myndigheternas registerutnyttjande som fanns vid denna tid genom att i delbetänkandet Integritets- skyddet i informationssamhället 3, Grundlagsfrågor (Ds Ju 1987:8) föreslå en ny regel i regeringsformens fri- och rättighetskapitel av innebörd att varje medborgare skulle vara ”tillförsäkrad skydd mot registrering av uppgifter om honom med hjälp av automatisk data- behandling enligt bestämmelser som meddelas i lag”. Av delbetänk- andet framgår att kommittén var väl medveten om att ett sådant lagstadgat skydd redan fanns, främst genom datalagen och sekre- tesslagen, och att det föreslagna stadgandet i regeringsformen därför inte syftade till att stärka det materiella skyddet för den personliga integriteten utan i stället borde ses som en markering av vilken vikt samhället tillmätte själva frågan. Regeringen instämde i allt väsentligt i Data- och offentlighetskommitténs bedömningar. Föredragande statsrådet anförde att regeringens utgångspunkt var att ”ge grundlagsförankring åt det skydd för medborgarna som redan finns genom vanlig lagstiftning och på detta sätt befästa det rådande rättsläget”. Den reella innebörden var enligt förarbetena att riksdagen måste vara aktiv genom att stifta och vidmakthålla en datalagstiftning (prop. 1987/88:57 s. 9 och 11).

190

Lagförslaget antogs av riksdagen och innebar att, med ikraft- trädande den 1 januari 1989, ett nytt andra stycke infördes i 2 kap. 3 § RF med följande lydelse.

Varje medborgare skall i den utsträckning som närmare angives i lag skyddas mot att hans personliga integritet kränkes genom att uppgifter om honom registreras med hjälp av automatisk databehandling.

Bestämmelsen kom att gälla oförändrad fram till den 1 januari 2011. År 1994 infördes i regeringsformen (dåvarande 8 kap. 7 §) en

möjlighet för riksdagen att till regeringen eller den myndighet som regeringen bestämmer delegera rätten att meddela föreskrifter om skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehandling, varvid regeln i 2 kap. 3 § andra stycket inte ansågs hindra sådan delegation (prop. 1993/94:116 s. 15). I samband med införandet av personuppgiftslagen ändrades delegationsbestämmelsen i 8 kap. RF. Däremot gjordes alltså inga ändringar i 2 kap. 3 §.

Den nu gällande regleringen

Våren 2004 tillkallades en parlamentariskt sammansatt kommitté – Integritetsskyddskommittén – som bl.a. fick i uppgift att kartlägga och analysera sådan lagstiftning som rör den personliga integri- teten, överväga om regeringsformens bestämmelse om skyddet för den personliga integriteten i dåvarande 2 kap. 3 § andra stycket RF borde ändras och i så fall föreslå en ny grundlagsreglering.

I januari 2008 överlämnade Integritetsskyddskommittén sitt slut- betänkande SOU 2008:3. I betänkandet uttalades bl.a. att kom- mitténs kartläggning och analys hade visat att lagstiftaren inte lägger tillräcklig vikt vid integritetsskyddsaspekter när ny lagstiftning arbetas fram. Även rent allmänt värderades integritetsskyddet förhållandevis lågt i lagstiftningen. En bidragande orsak till detta fick anses vara att det i grundlagen inte fanns någon rättsligt verk- ande bestämmelse om medborgarnas rätt till skydd för personlig integritet som balanserar de övriga fri- och rättigheter som med- borgarna är tillförsäkrade. Enligt kommittén var det sammanfatt- ningsvis tydligt att det på grundlagsnivå behövde ges uttryck för en större respekt än för närvarande för den enskildes rätt till personlig integritet. Bestämmelser som ger ett utvidgat materiellt integritets-

191

skydd borde därför införas i regeringsformens kapitel om grund- läggande fri- och rättigheter (SOU 2008:3 s. 255 f.).

Integritetsskyddskommittén föreslog att ett nytt andra stycke av följande lydelse skulle införas i 2 kap. 6 §:

Även i annat fall än som avses i första stycket är varje medborgare gentemot det allmänna skyddad mot intrång, om det sker i hemlighet eller utan samtycke och i betydande mån innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

Beträffande den föreslagna bestämmelsens tillämpning på hantering av personuppgifter i omfattande informationssamlingar gjorde kom- mittén följande uttalanden (a. a. s. 271).

Det allmännas hantering av uppgifter om enskilds personliga förhåll- anden sker inte sällan utan samtycke från den enskilde och kan till och med ske i hemlighet. Sådan hantering kan ha som uttalat syfte att kartlägga den enskildes personliga förhållanden. Som exempel på en hantering som rör uppgifter om enskilda personer som både sker i hemlighet och innebär en kartläggning av den enskildes personliga förhållanden av sådan omfattning att den bör omfattas av det nya grundlagsskyddet kan nämnas Säkerhetspolisens hantering av person- uppgifter. Som ett annat exempel kan nämnas polisens personuppgifts- hantering i underrättelseverksamhet och under en brottsutredning.

[…]

Som exempel på myndigheter eller myndighetsområden som har informationssamlingar beträffande enskildas personliga förhållanden som kan sägas ha en sådan omfattning att de i praktiken innebär en kartläggning, och i hög utsträckning består av uppgifter som ansetts särskilt skyddsvärda, kan nämnas Skatteverket, Kronofogdemyndig- heten, Försäkringskassan och socialtjänsten. En personuppgiftshante- ring som uteslutande sker av administrativa skäl, vilken regelmässigt brukar omfattas av svag eller ingen sekretess, kan däremot inte anses ha ett sådant skyddsvärde att den bör omfattas av ett grundlagsskydd för den personliga integriteten.

När det gäller hantering av personuppgifter i de informationssamlingar som kommer att omfattas av det utvidgade grundlagsskyddet är det självfallet så att inte alla led i hanteringen är att betrakta som sådana intrång som behöver omfattas av de särskilda förutsättningar som gäller för att intrång i den grundlagsskyddade rättigheten skall vara tillåtet. De från integritetsskyddssynpunkt viktigaste momenten i hanteringen handlar om hur uppgifter om enskilda får samlas in, ända- målet med behandlingen och i vilken utsträckning uppgifter på grund av uppgiftsskyldighet, som alltså bryter sekretess som gäller för

192

uppgifterna, skall lämnas ut till andra för samkörning med uppgifter i andra myndighetsregister eller av andra skäl.

2010 års ändringar av regeringsformen

I prop. 2009/10:80 lade regeringen fram förslag till omfattande änd- ringar av regeringsformen som väsentligen byggde på Grundlags- utredningens förslag. I samma lagstiftningsärende föreslog rege- ringen en ny bestämmelse i 2 kap. RF som väsentligen byggde på Integritetsskyddskommitténs förslag. Förslaget antogs av riksdagen och den nya bestämmelsen i 2 kap. 6 § andra stycket RF trädde – liksom övriga grundlagsändringar – i kraft den 1 januari 2011.

Den nya bestämmelsen är utformad så att den reglerar förhåll- andet mellan den enskilde och det allmänna och sägs utgöra en be- gränsning av statsmakternas normgivningsbefogenheter inom ramen för rättighetsskyddet (prop. 2009/10:80 s. 176). Den är alltså av- sedd att få sin huvudsakliga innebörd genom de begränsningar som gäller för riksdagen att inskränka fri- och rättigheter (20–22 §§). Det finns däremot inte några sådana särskilda begränsningsförutsättningar som finns för bl.a. begränsningar av yttrande- och informations- friheten (jfr 2 kap. 23 och 24 §§).

Bestämmelsen innebär enligt sin ordalydelse att enskilda är skyddade mot åtgärder från det allmännas sida som innefattar be- tydande intrång i den personliga integriteten, om intrånget sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. I motiven förs resonemang om hur dessa olika kriterier är avsedda att förstås (prop. 2009/10:80 s. 177 f.).

Uttrycket ”personliga förhållanden” avses ha samma innebörd som i tryckfrihetsförordningen och offentlighets- och sekretess- lagen (2009:400). Det innebär att regleringen kan komma att om- fatta vitt skilda slag av information som är knuten till den enskildes person, t.ex. uppgifter om namn och andra personliga identifika- tionsuppgifter, adress, familjeförhållanden, hälsa och vandel. Även fotografisk bild samt uppgifter som inte är direkt knutna till den enskildes privata sfär, t.ex. uppgift om anställning, omfattas av ut- trycket. Liksom vid tillämpningen av offentlighets- och sekretess- lagstiftningen får vid prövningen av uttryckets närmare innebörd

193

vägledning hämtas från vad som enligt normalt språkbruk kan läggas i dess betydelse.

Vid behandlingen av uppgifter som rör den enskilde får ett inte- gritetsintrång normalt anses större om behandlingen sker utan den enskildes samtycke än om det sker efter dennes medgivande. Inne- börden av kravet på samtycke bör enligt motiven bedömas på samma sätt som motsvarande krav enligt bestämmelsen om förbud mot åsiktsregistrering i regeringsformen (2 kap. 3 §). Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är inte dess huvudsakliga syfte utan vilken effekt åtgärden har. Vad som avses med övervakning respektive kartläggning får bedömas med utgångspunkt från vad som enligt normalt språkbruk läggs i dessa begrepp (prop. 2009/10:80 s. 250). Beträffande ”kartläggning” görs i motiven vidare följande uttalande (a. prop. s. 180).

En åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall, exempelvis insamling av uppgifter av visst slag för beslut om t.ex. beskattning eller liknande, kan – även om avsikten inte är att kartlägga enskilda – i många fall anses innebära kartläggning av enskildas förhållanden. Så torde fallet vara i fråga om ett stort antal uppgiftssamlingar som det allmänna förfogar över. En mycket stor mängd information som rör enskildas personliga förhållanden finns t.ex. lagrad i Skatteverkets, Tullverkets, Försäkringskassans och Kronofogdemyndighetens olika databaser. Även Statistiska centralbyrån och andra statistikansvariga myndigheter, t.ex. Socialstyrelsen och Brottsförebyggande rådet, lagrar och bearbetar stora mängder uppgifter om enskildas personliga förhållanden i sina databaser. Flera av dessa uppgiftssamlingar omfattar en stor andel av landets hela befolkning och flera av dem innehåller också till viss del mycket integritetskänsliga uppgifter. Myndighets- specifika verksamhetsregister och databaser med information som är knuten till en myndighets ärendehantering förekommer inom i stort sett all statlig och kommunal förvaltning. Särskilda föreskrifter som anger de närmare förutsättningarna för informationshanteringen finns för t.ex. socialtjänsten, studiestödsverksamheten, Kriminalvården och den brottsbekämpande verksamheten hos såväl polismyndigheterna, Tullverket och åklagarmyndigheterna som Skatteverket och Kust- bevakningen samt hos domstolarna. I flertalet fall är uppgifterna till- gängliga för myndigheterna på sådant sätt att lagringen och behand- lingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat. Det förekommer även att uppgiftssamlingar inrättas och utformas i syfte att fungera som mer utpräglade personregister. Som exempel kan nämnas polisens belastningsregister. Registreringen av personuppgifter i registret kan sägas innebära en kartläggning av alla dem som har

194

dömts eller på annat sätt lagförts för brott, även om registrets uttalade ändamål är att ge information åt olika myndigheter om belastnings- uppgifter som behövs bl.a. för att utreda brott och bestämma straff samt vid lämplighets- och tillståndsprövning av skilda slag. På liknande sätt förhåller det sig med många andra register som används i den brottsbekämpande verksamheten, t.ex. polisens misstankeregister, finger- avtrycks- och DNA-register m.m. I detta sammanhang kan även näm- nas de olika associationsrättsliga register som Bolagsverket ansvarar för, bl.a. aktiebolagsregistret, handelsregistret och föreningsregistret. En omfattande behandling av personuppgifter sker vidare inom t.ex. hälso- och sjukvården.

Vid bedömning av vilka åtgärder som kan anses utgöra ett ”betyd- ande intrång” ska enligt motiven både åtgärdens omfattning och arten av det intrång åtgärden innebär beaktas. Även åtgärdens ända- mål och andra omständigheter kan ha betydelse.

Några exempel på tillämpningen

Datalagringsdirektivet

I prop. 2010/11:46 lämnades förslag till genomförande av Europa- parlamentets och rådets direktiv 2006/24/EG om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller all- männa kommunikationsnät och om ändring av direktiv 2002/58/EG. Direktivet syftade till att harmonisera medlemsstaternas regler om skyldigheter för leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät att lagra trafik- och lokaliseringsuppgifter samt uppgifter som behövs för att identifiera en abonnent eller användare för att säkerställa att uppgifterna finns tillgängliga för avslöjande, utredning och åtal av allvarliga brott.

Direktivet föreslogs bli genomfört i svensk rätt genom regler intagna i lagen (2003:389) om elektronisk kommunikation, LEK. Lagringsskyldig skulle enligt 6 kap. 16 a § LEK den vara som be- driver anmälningspliktig verksamhet enligt 2 kap. 1 § samma lag. Därigenom omfattas leverantörer av allmänt tillgängliga kommu- nikationsnät.

I yttrande till justitieutskottet gjorde konstitutionsutskottet be- dömningen att det var fråga om mycket omfattande informations-

195

samlingar som delvis avser integritetskänsliga uppgifter, nämligen om vem som kommunicerade med vem, när det skedde, var de som kommunicerade befann sig och vilken typ av kommunikation som användes. Enligt utskottets mening sker ett integritetsintrång redan genom att uppgifterna lagras, även om merparten av de uppgifter som föreslås ska lagras troligen aldrig kommer att begäras ut för brottsutredningar. I likhet med regeringen ansåg därför utskottet att lagringen av trafikuppgifter medför ett intrång i enskildas per- sonliga integritet. Intrånget måste, mot bakgrund av den mängd trafikuppgifter om en enskild som kan komma att lagras, anses vara betydande. Den lagring av trafikuppgifter som föreslogs i proposi- tionen omfattades därför enligt utskottets mening av regerings- formens skydd i 2 kap. 6 § andra stycket för den personliga inte- griteten (2010/11:JuU14).

Det aktuella lagförslaget förklarades i mars 2011 vilande enligt 2 kap. 22 § RF. I mars 2012 avgav justitieutskottet i enlighet med dåvarande 4 kap. 9 § RO ett nytt betänkande i ärendet (2011/12:JuU28). Utskottet fann vid sin förnyade beredning av ärendet inte skäl att frångå den bedömning som gjordes i betänk- ande 2010/11:JuU14. Lagändringarna trädde i kraft den 1 maj 2012 (SFS 2012:126 och 127).

Den 8 april 2014 meddelade EU-domstolen dom i de förenade målen C-293/12 och C594/12, Digital Rights Ireland m.fl. I domen förklarade EU-domstolen datalagringsdirektivet ogiltigt. I Ds 2014:23 har gjorts en analys av vad domen får för konsekvenser för svensk rätt.

Kustbevakningsdatalagen

I prop. 2011/12:45 lade regeringen fram förslag till en lag om be- handling av personuppgifter i Kustbevakningens verksamhet, en kustbevakningsdatalag. Syftet med den föreslagna lagen var att ge Kustbevakningen möjlighet att behandla personuppgifter på ett effektivt och ändamålsenligt sätt i sin verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Den föreslagna lagen reglerar, med några få undantag, all behandling av personuppgifter i Kustbevakningens operativa

196

verksamhet. Lagen ersatte förordningen (2003:188) om behandling av personuppgifter inom kustbevakningen.

Kustbevakningens verksamhet kan, något förenklat, delas in under de två huvudrubrikerna sjöövervakning och räddningstjänst. Kust- bevakningens uppgifter regleras primärt i förordningen (2007:853) med instruktion för Kustbevakningen, men även i de särskilda lagar och förordningar som innehåller bestämmelser om verksamheten samt i regleringsbrev och enskilda regeringsbeslut. Nämnas kan t.ex. lagen (1982:395) om Kustbevakningens medverkan vid polisiär övervakning, lagen (2000:1225) om straff för smuggling, narkotika- strafflagen (1968:64), sjölagen (1994:1009), lagen (2003:778) om skydd mot olyckor och fartygssäkerhetslagen (2003:364).

Beträffande behovet av en ny lagstiftning rörande Kustbevak- ningens personuppgiftsbehandling gjordes bl.a. följande uttalande (prop. 2011/12:45 s. 62).

Personuppgiftslagen gäller generellt för all behandling av personupp- gifter, såvida det inte finns avvikande regler i lag eller förordning. I det lagstiftningsärende som föregick personuppgiftslagen uttalade rege- ringen att lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får till- godoses genom andra författningar (prop. 1997/98:44 s. 40 f.). Sådan författningsreglering, främst i form av s.k. registerlagar, har skett utifrån det principiella ställningstagandet att myndighetsregister med ett stort antal registrerade personer och ett integritetskänsligt innehåll bör regleras i lag.

Sedan den 1 januari 2011 är enskilda skyddade gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär kartläggning eller övervakning av personliga förhållanden (2 kap. 6 § RF). Inskränkningar i detta skydd kan enbart ske i lag och bara för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle (2 kap. 20 och 21 §§ RF). Utgångspunkten för behovet av och villkoren för lagregleringen av behandling av person- uppgifter som utförs av myndigheter bör således numera tas i rege- ringsformens bestämmelser om integritetsskydd. Med hänsyn till omfattningen och arten av Kustbevakningens verksamhet, den ingrip- ande myndighetsutövning som ingår i uppgiften samt behovet av att kunna behandla personuppgifter även av känsligare slag inom främst den brottsbekämpande verksamheten anser regeringen att stora delar av Kustbevakningens personuppgiftsbehandling innefattar sådan inte- gritetskänslig informationshantering som enskilda är skyddade mot enligt 2 kap. 6 § andra stycket RF. Det finns därför ett behov av en särskild författningsreglering i lag av behandlingen av personuppgifter i Kustbevakningens verksamhet.

197

Uppgiftsutlämnande till utlandet m.m.

I prop. 2010/11:129 lämnades förslag på de lagändringar som krävdes för att genomföra det automatiserade utbyte av DNA-profiler, fingeravtryck och fordonsuppgifter som föreskrivs i EU:s råds- beslut om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och annan gränsöverskridande brottslig- het, det s.k. Prümrådsbeslutet.

Medlemsstaterna ska enligt rådsbeslutet ge varandra tillgång till uppgifter i de nationella DNA-, fingeravtrycks- och fordonsregistren. Uppgifterna ska utbytas via nationella kontaktställen som ska kunna göra automatiska sökningar i övriga medlemsstaters register.

Mot bakgrund av 2 kap. 6 § andra stycket RF gjordes i proposi- tionen den bedömningen att utländska myndigheters direktåtkomst till svenska register och svenska myndigheters direktåtkomst till utländska register bör regleras i lag (prop. 2010/11:129 s. 49 f).

Beträffande frågan om hur utbyte av uppgifter ur kriminal- register mellan EU:s medlemsstater i olika hänseenden förhåller sig till kravet på lagform enligt 2 kap. 6 § andra stycket RF, se prop. 2011/12:163 s. 26 f.

7.3.2Våra överväganden

Bedömning: Det torde höra till undantagen att en behandling av personuppgifter sedd för sig kan anses utgöra ett ingrepp i enskildas personliga förhållanden och därför kräver stöd i lag enligt 8 kap. 2 § första stycket 2 RF för att vara tillåten. Från normgivningssynpunkt saknas det därför som huvudregel hinder mot att bestämmelser som avviker från eller kompletterar inne- hållet i den generella lagen i form av t.ex. myndighetsspecifika föreskrifter om sökbegränsningar, direktåtkomst, behandling av känsliga personuppgifter m.m. ges i förordningsform.

I den mån sådana myndighetsspecifika föreskrifter av något skäl ändå bedöms utgöra ingrepp i enskilds personliga förhållan- den och därför kräver lagform kan de tas in i bilaga till den generella lagen eller i annan lag.

Bortsett från de brottsbekämpande myndigheterna torde det bara vara i rena undantagsfall som behandling av personuppgifter

198

hos myndigheter kan anses innehålla några sådana särskilda moment som är av det slaget att behandlingen måste ha stöd i en sådan lag som endast får beslutas enligt reglerna i 2 kap. RF.

Den nya grundlagsbestämmelsen med ett kompletterande skydd för den personliga integriteten i 2 kap. 6 § andra stycket RF om- fattar ett skydd mot betydande intrång. En fråga i detta samman- hang är därför vad som över huvud taget är att betrakta som in- trång i den personliga integriteten när det gäller automatiserad behandling av personuppgifter. Den frågan har inte behandlats när- mare i förarbetena till bestämmelsen. Bestämmelsen tar inte heller sikte specifikt på sådan behandling, utan i allmän mening använd- ning av information som rör vars och ens personliga förhållanden. I förarbetena anförs att grundlagsbestämmelsen är tillämplig när det är frågan om ett betydande ingrepp i den enskildes privata sfär (prop. 2009/10:80 s. 250). Vi har alltså anledning att inledningsvis ställa oss frågan när en automatiserad behandling alls kan utgöra ett ingrepp i den enskildes privata sfär. Först därefter kan ställning tas till när en behandling av personuppgifter också är att anse som ett betydande ingrepp.

Utgångspunkten i flera av de internationella konventioner och andra dokument som Sverige har förbundit sig att följa på data- skyddets område är att den enskildes rätt till sin personliga inte- gritet kan behöva skyddas i förhållande till principen om ett fritt flöde av information, oberoende av gränser, som också finns in- skriven i många internationella överenskommelser om fri- och rättig- heter. Så är exempelvis fallet med Europarådets konvention om skydd för enskilda vid automatisk databehandling (CETS 108) och dataskyddsdirektivet.

För svenskt vidkommande är utgångspunkten i normgivnings- hänseende – i vart fall såvitt avser myndigheter under regeringen – att det förhållandet att det allmänna registrerar personuppgifter om enskilda inte innebär några skyldigheter för den enskilde och inte heller i övrigt avser ingrepp i enskildas personliga förhållanden i den mening som avses i 8 kap. 2 § första stycket 2 RF. Bestäm- melser om behandling av personuppgifter är i stället i princip att anse som bestämmelser som införs för att skydda den enskilde. Registerförfattningar som reglerar behandling av personuppgifter hos de statliga myndigheter som lyder under regeringen anses

199

därför i princip kunna ha form av förordning enligt 8 kap. 7 § första stycket 2, dvs. de hör till regeringens primärområde.

Föreskrifter om behandling av personuppgifter anses alltså i princip ha till effekt att skydda den enskilde från en annars fri användning av uppgifterna. Frågan om när en automatiserad be- handling av personuppgifter kan utgöra ett intrång i den enskildes personliga integritet kan emellertid inte besvaras så enkelt som att så är fallet om behandlingen strider mot meddelade dataskydds- bestämmelser. Även bestämmelser som tillåter en viss behandling kan i princip innebära ett intrång i den enskildes personliga inte- gritet. Det hör samman med att varken vars och ens rätt till respekt för sitt privat- och familjeliv enligt artikel 8 i Europakonventionen eller den mer begränsade rätten till grundlagsskydd för den per- sonliga integriteten i 2 kap. RF utgör några absoluta rättigheter. De är i stället att betrakta som s.k. relativa rättigheter, eftersom de kan inskränkas i de fall och på det sätt som anges i respektive regelverk. Man måste alltså skilja på tillåtna och otillåtna intrång i den en- skildes personliga integritet.

Av Europadomstolens praxis rörande artikel 8 kan läsas ut att behandling av personuppgifter som är av känslig art i många fall kan anses beröra rätten till respekt för privatlivet. Beroende på omständigheterna kan artikeln anses ställa krav på behandlingen av sådana uppgifter i tre avseenden; dels i fråga om det berättigade i att alls registrera dem, dels i fråga om rätt för den enskilde att själv få ta del av uppgifterna och dels slutligen i fråga om skydd mot att andra får tillgång till uppgifterna (SOU 2008:3 s. 78 f.). I sina avgör- anden har domstolen först tagit ställning till om behandlingen av personuppgifter i sig har utgjort ett intrång i den enskildes privat- liv. Om ett intrång föreligger, har domstolen därefter bedömt om intrånget har haft ett legitimt intresse och i övrigt uppfyllt förut- sättningarna för att intrånget ska anses förenligt med konventio- nen. Först om det har varit frågan om ett intrång som inte upp- fyller konventionens krav har intrånget varit att anse som ett brott mot konventionen, varmed den enskilde har rätt till kompensation för kränkningen (se t.ex. målet Segerstedt-Wiberg m.fl. mot Sverige, dom den 6 juni 2006).

Europakonventionen utgör sedan år 1995 svensk lag. Rättigheterna i konventionen har vidare bekräftats i EU:s rättighetsstadga, som gjorts bindande för medlemsstaterna genom att en hänvisning till

200

stadgan har införts i artikel 6.1 i EU-fördraget. I rättighetsstadgan anges i artikel 7 att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Vidare före- skrivs i artikel 8 att var och en har rätt till skydd för de person- uppgifter som rör honom eller henne. Dessa uppgifter ska behand- las lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim eller lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. I artikeln anges också att en oberoende tillsynsmyndighet ska se till att dessa regler efter- levs.

Sett i perspektivet av den enskildes numera lagstadgade rätt till skydd för sitt privatliv i samband med behandling av personupp- gifter kan en bestämmelse som exempelvis tillåter det allmänna att utan samtycke från den enskilde behandla känsliga personuppgifter utgöra ett intrång i den enskildes personliga integritet. En sådan bestämmelse är alltså inte någon skyddsbestämmelse, utan skyddet i det fallet ligger i rättighetsbestämmelsen. En helt annan sak är att det ändå kan vara frågan om ett tillåtet intrång, om det uppfyller Europakonventionens krav på legitimitet och proportionalitet. Samma resonemang torde exempelvis kunna föras i fråga om dataskydds- direktivets möjlighet för medlemsstaterna att besluta om undantag från förbudet mot att utan samtycke behandla känsliga personupp- gifter om det finns ett viktigt allmänt intresse. Om ett undantag beslutas, torde det alltså i och för sig utgöra ett intrång i den enskildes rätt till en privat sfär, men det kan vara ett tillåtet intrång. I detta fall är det alltså bestämmelsen i direktivet – införlivad i den nationella lagstiftningen – som utgör skyddsbestämmelsen, medan den bestämmelse som medger ett undantag med hänsyn till ett viktigt allmänt intresse är att se som ett intrång i den enskildes rätt.

En föreskrift som tillåter ett intrång i den enskildes rätt till per- sonlig integritet, exempelvis genom att känsliga personuppgifter får behandlas utan samtycke, är rimligen också att se som ett ingrepp i enskilds personliga förhållanden. Det följer därmed av 8 kap. 2 § första stycket 2 RF att en sådan föreskrift ska ha form av lag eller i vart fall stöd av lag (jfr 8 kap. 3 § RF).

När registerlagar beslutas har det i allmänhet inte diskuterats i förarbetena huruvida lagnivån har betingats av att regleringen inte bara innehåller renodlade skyddsbestämmelser, som i och för sig

201

skulle kunna meddelas i form av en förordning, utan för att den också innehåller bestämmelser som tillåter ett ingrepp i den enskil- des personliga förhållanden. Vanligt är i stället att den ovan redo- visade motivledes uttalade ambitionen från tidigt 1990-tal åberopas, som innebär att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i lag. Denna uttalade ambition har med åren kommit att appliceras inte bara på förandet av regelrätta register, utan i vissa fall också på myndigheters per- sonuppgiftsbehandling som sådan. Om behandlingen t.ex. har innefattat stora mängder uppgifter eller särskilt känsliga uppgifter har det ofta ansetts föreligga ett behov av lagstöd även utan någon koppling till företeelsen ”register”. Något klart uttalande om huru- vida det finns moment i författningen som innebär att det enligt 8 kap. RF krävs lagstöd eller om det snarare är frågan om en poli- tisk ambition att skyddsregler i dessa fall bör finnas på denna nivå har således i allmänhet inte lämnats. Efter personuppgiftslagens införande har det inte heller förts några resonemang om huruvida den lagen skulle kunna anses utgöra ett tillräckligt lagstöd.

Som exempel på de resonemang i normgivningsfrågan som brukar föras i lagstiftningsärenden om nya registerförfattningar kan nämnas att Lagrådet i samband med införandet av registerförfatt- ningar för Skatteverket, Kronofogdemyndigheten och Tullverket uttalade att svensk rätt i och för sig inte fordrar att föreskrifter av det slag som fanns i de föreslagna lagarna ges form av lag. Det medförde att de normgivningsbemyndiganden som kunde finnas i förslagen i princip var onödiga (prop. 2000/01:33 s. 345). Rege- ringen kommenterade inte Lagrådets uttalande på annat sätt än att bestämmelser i de olika lagarna om att regeringen meddelar när- mare föreskrifter hade utformats i enlighet med Lagrådets syn- punkter (se t.ex. a. prop. s. 202). Det innebär emellertid att rege- ringen i och för sig får anses ha instämt i bedömningen att bestäm- melserna inte till någon del omfattades av ett krav enligt 8 kap. RF på att välja lagformen för de aktuella författningarna, men att den formen ändå valdes (jfr a. prop. s. 121). När nya registerförfatt- ningar införs handlar resonemangen kring normnivå också vanligt- vis om vad författningen som sådan anses kräva, i stället för vilka enskilda föreskrifter som eventuellt ska meddelas i form av lag.

Att resonemangen om normnivå för registerförfattningar har en politisk snarare än en rättslig prägel torde ha sin bakgrund i att de

202

första uttalandena om denna politiska ambition gjordes vid en tid då skyddet för den enskildes integritet hade fått en ökad aktualitet genom en allmän debatt där myndigheternas användning av person- uppgifter i vissa register kritiserades. Då fanns emellertid ännu inte någon rättsligt bindande regel som innebar ett allmänt skydd för personlig integritet i svensk lagstiftning, eftersom Europakonven- tionen ännu inte var inkorporerad. Det som fanns i form av en generell regel var målsättningsstadgandet i 1 kap. 2 § fjärde stycket RF som föreskriver att det allmänna ska verka för att demokratins idéer blir vägledande inom samhällets alla områden samt värna den enskildes privatliv och familjeliv.

Den nya bestämmelsen i 2 kap. 6 § andra stycket RF om ett generellt, om än begränsat, skydd för den personliga integriteten syftar alltså inte till att ange vilka föreskrifter om exempelvis be- handling av personuppgifter som ska ha form av lag i stället för förordning. Snarare torde bestämmelsen, som vi ser det, såvitt avser behandling av personuppgifter primärt ha funktionen att bland sådana intrång som omfattas av lagkravet enligt 8 kap. 2 § första stycket 2 RF skilja ut de intrång som är så kvalificerade att de ska omfattas av de särskilda begränsningar som enligt 2 kap. 20–22 §§ gäller för riksdagens möjligheter att besluta om en rättighets- inskränkande lag. Samtidigt följer det av regleringen rörande ikraft- trädandet av 2 kap. 6 andra stycket RF – äldre föreskrifter som ger stöd för åtgärder som innebär betydande intrång i den personliga integriteten behåller under en övergångsperiod sin giltighet även om föreskrifterna inte uppfyller regeringsformens krav på lagform

– att lagstiftaren har utgått från att det kan finnas regler som omfattas av bestämmelsen utan att för den skull också omfattas av något lagkrav enligt 8 kap. RF.

Utgångspunkten är emellertid att integritetsintressen som faller utanför grundlagsbestämmelsens tillämpningsområde, exempelvis vid behandling av personuppgifter, alltså inte behöver sakna skydd utan att där ändå kan gälla ett krav på att ett intrång tillåts enbart i form av lag (jfr prop. 2009/10:80 s. 177). Utrymmet för åtgärder som innebär begränsningar i den enskildes rätt till respekt för privatlivet begränsas vidare genom de krav som följer av Europakonventionen.

203

Vad får den höga detaljeringsgraden på lagnivå för konsekvenser?

Det kan visserligen hävdas att den uttalade ambitionen att myndig- hetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i lag i principiell mening har varit en god sak från integritetsskyddssynpunkt. Emellertid torde det enbart vara ett fåtal föreskrifter om myndigheters behandling av personupp- gifter som i rättslig mening kräver lagstöd. I stället torde merparten kunna meddelas i form av förordning. Vi återkommer till denna fråga nedan.

Ambitionen att ha samtliga de föreskrifter som behövs för ett visst verksamhetsområde eller en viss myndighets behandling av personuppgifter i en särskild författning på lagnivå har emellertid medfört uppenbara olägenheter för utvecklingen av en effektiv för- valtning eftersom det har inneburit en onödigt hög detaljeringsgrad på lagnivå. Reformarbeten som syftar till att effektivisera myndig- heternas hantering av sina ärenden, att ge en förbättrad service när det gäller enskildas insyn allmänt och i egna ärenden och att sam- verka med myndigheter och andra aktörer, och som inte i något avseende innebär ett intrång i de registrerades integritet, kompli- ceras av eller riskerar att inte alls bli av på grund av att den aktuella registerlagen i alltför hög grad detaljstyr behandlingen av person- uppgifter.

Att bedöma vilken normnivå som krävs för föreskrifter om behandling av personuppgifter utifrån den uttalade politiska ambi- tionen kan, som redan påpekats, i principiell mening vara bra för skyddet av enskildas personliga integritet. Den omständigheten att resonemang om normnivå enbart har denna utgångspunkt, och att de dessutom snarare handlar om att ha en uppfattning om författ- ningen som sådan än om de enskilda frågor den reglerar, riskerar enligt vår mening emellertid att leda till att de integritetsfrågor som skulle behöva bli belysta från ett rättighetsperspektiv inte får den uppmärksamhet de förtjänar. Det leder i sin tur till att det blir än svårare att identifiera i vilka fall det särskilda skyddet i 2 kap. 6 § andra stycket RF verkligen ska tillämpas.

Den uttalade ambitionen att vissa registerförfattningar ska ha form av lag kan alltså paradoxalt nog leda till en sämre rättslig ana-

204

lys av vilka intrång i den enskildes personliga integritet som en viss behandling av personuppgifter faktiskt kan innebära.

Finns det några typfall då en behandling av personuppgifter kan anses utgöra ett intrång och därför kräva stöd i lag?

Allmänt

Den omständigheten att personuppgifter behandlas på ett sätt som omfattas av dataskyddsdirektivet kan inte i sig anses utgöra ett intrång. Det är det sammanhang där behandlingen sker som avgör om behandlingen sedd för sig kan anses utgöra ett intrång i den enskildes rätt till en privat sfär. Föreskrifter om myndigheters behandling av personuppgifter reglerar i allmänhet inte vad en myndighet ska eller tillåts göra i sin verksamhet. Detta regleras i andra regelverk som föreskriver exempelvis vilka uppgifter och vilka befogenheter myndigheten har, vilka personuppgifter och andra uppgifter som ska samlas in och från vem samt vilka uppgifter som ska lämnas till andra utanför myndighetens verksamhet. Före- skrifter om behandling av personuppgifter handlar i stället i allmän- het om vilka krav som ska ställas på sådan behandling när myndig- heten utför sina uppgifter. I den mån det allmänna tillåts att göra intrång i enskildas privata sfär för att en myndighet ska kunna utföra en viss uppgift, exempelvis genom att enskilda åläggs en skyldighet att lämna uppgifter om personliga förhållanden till myn- digheten, regleras detta alltså i allmänhet i något annat regelverk än i en renodlad registerförfattning. Det innebär att föreskrifter om hur behandling av personuppgifter ska gå till i allmänhet kan med- delas i form av förordning genom regeringens egen rätt att besluta föreskrifter enligt 8 kap. 7 § RF, dvs. utan att något bemyndigande om detta i lag krävs.

Det torde alltså höra till undantagen att en behandling av per- sonuppgifter sedd för sig kan anses utgöra ett ingrepp i enskildas personliga förhållanden och därför kräver stöd i lag enligt 8 kap. 2 § första stycket 2 RF för att behandlingen ska vara tillåten.

Vad som nu sagts gäller normalt också i de fall en behandling får ske utan samtycke från den enskilde. Det finns emellertid några typsituationer där det kan finnas anledning att särskilt överväga om

205

det behövs stöd i lag för den avsedda behandlingen av personupp- gifter.

Som redan framgått är behandling av känsliga personuppgifter utan samtycke från den enskilde ett område som enligt Europa- domstolens praxis kan aktualisera frågor om intrång i den enskildes rätt till en privat sfär. Beträffande sådana uppgifter krävs därför särskilt noggranna överväganden i frågan om det behövs ett ut- tryckligt stöd i lag för den avsedda behandlingen. Det kan vidare konstateras att uppgiftsutbyte genom direktåtkomst, som alltså normalt medför krav på en sekretessbrytande regel som möjliggör åtkomsten, vanligtvis hämtar sitt stöd i en författning som reglerar behandling av personuppgifter. Bestämmelser som uttryckligen medger utökade befogenheter att sammanställa känsliga person- uppgifter eller uppgifter om brottslighet hämtar också vanligtvis sitt stöd i en s.k. registerförfattning. Nedan behandlas mer utförligt dessa typsituationer med avseende på när det kan vara frågan om ett intrång i den enskildes personliga integritet.

Personuppgifter med ett känsligt innehåll

Behandling av känsliga personuppgifter och även uppgifter om brottslighet kan i många fall anses beröra rätten till respekt för privatlivet enligt artikel 8 i Europakonventionen. Av dataskydds- direktivet följer att behandling av känsliga personuppgifter i princip är förbjuden, om inte den enskilde har samtyckt till behandlingen. Denna huvudregel gäller även myndigheter. I direktivet räknas upp vissa undantagsfall då en behandling utan samtycke emellertid kan vara tillåten. Vidare ger direktivet medlemsstaterna möjlighet att i sin nationella lagstiftning eller genom beslut av tillsynsmyndigheten besluta om ytterligare undantag med hänsyn till ett viktigt allmänt intresse.

I 20 § PuL har det tagits in ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela undan- tag från förbudet att behandla känsliga personuppgifter om det behövs med hänsyn till ett viktigt allmänt intresse. Det kan konsta- teras att bestämmelsen utgör ett sådant bemyndigande i lag som krävs enligt 8 kap. 3 och 10 §§ RF i den mån den avsedda behand-

206

lingen av känsliga personuppgifter utgör ett sådant ingrepp i en- skilds personliga förhållanden som avses i 2 § första stycket 2.

Genom 20 § PuL är det alltså möjligt att meddela bestämmelser som tillåter en myndighet att behandla känsliga personuppgifter med hänsyn till ett viktigt allmänt intresse i form av förordning.

Som kommer att framgå i det följande föreslår vi att det i den generella lagen ges ett generellt stöd för myndigheter att behandla känsliga personuppgifter som motiveras med att det behövs med hänsyn till ett viktigt allmänt intresse. Det kommer alltså att finnas ett uttryckligt stöd för alla myndigheter att i viss omfattning behandla känsliga personuppgifter utan samtycke från den enskilde. Bestämmelsen kompletteras med ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela före- skrifter om ytterligare undantag i de fall det behövs för en viss myndighet eller en viss sektorsvis verksamhet. Det kan därför här finnas anledning att överväga i vilken utsträckning en sådan bestäm- melse faktiskt innebär ett sådant intrång i enskilds personliga för- hållanden som avses i 8 kap. 2 § första stycket 2 RF.

Det kan då inledningsvis konstateras att det inte kan anses givet att en behandling av känsliga personuppgifter som tillåts med hän- syn till ett viktigt allmänt intresse utgör ett intrång i den enskildes personliga integritet. I vilken mån så är fallet får bedömas utifrån det sammanhang där föreskriften ges. Om myndighetens verksam- het i övrigt är reglerad så att det redan finns bestämmelser som förutsätter eller tillåter att myndigheten använder sig av känsliga personuppgifter för att den ska kunna utföra sina uppgifter, kan det inte behövas något ytterligare stöd för det genom en bestäm- melse i lag som tillåter att uppgifterna hanteras genom automati- serad behandling, dvs. elektroniskt. Exempelvis torde den behand- ling av känsliga personuppgifter som sker hos Försäkringskassan vara en nödvändig följd av den verksamhet som myndigheten genom andra regelverk är ålagd att utföra. Den omständigheten att uppgifterna hanteras automatiserat torde alltså inte i sig innebära ett ingrepp i enskilds personliga förhållanden. Det förhållandet att Försäkringskassans verksamhet innebär att myndigheten samlar in och bevarar känsliga personuppgifter om en stor del av befolk- ningen torde emellertid innebära att särskilda överväganden be- höver göras beträffande ingrepp i enskilds personliga förhållanden om det exempelvis skulle bli aktuellt att ge en annan myndighet,

207

som inte tidigare har haft befogenhet att själv samla in den typen av uppgifter, en omfattande tillgång till Försäkringskassans informa- tionssamlingar.

Till skillnad från det som vi betecknar som informationshante- ringsförfattningar innehåller regelrätta registerförfattningar ofta en bestämmelse som föreskriver att registret i fråga ska föras. Stödet att få behandla personuppgifter i registret ges alltså i samma för- fattning som registret har inrättats genom. Om registret innehåller känsliga personuppgifter kan därmed de föreskrifter som innebär stöd för att föra registret i sig utgöra ett ingrepp i enskilds per- sonliga förhållanden. Ett exempel på ett sådant register med ett känsligt innehåll är belastningsregistret. Bestämmelserna i lagen (1998:620) om belastningsregister som reglerar registrets ändamål, innehåll och vilka som har rätt att få uppgifter från registret torde vara att anse som ingrepp i enskilds personliga förhållanden som kräver stöd i lag enligt 8 kap. 2 § första stycket 2 RF, medan bestämmelserna om gallring, tystnadsplikt, rätt till skadestånd m.m. syftar till att skydda den enskilde.

Andra myndigheter än den som har till uppgift att föra belast- ningsregistret torde sällan ha något behov av att på motsvarande sätt samla uppgifter om brottslighet. Enligt dataskyddsdirektivet är det, till skillnad från vad som gäller i fråga om känsliga person- uppgifter, inte förbjudet för myndigheter att behandla personupp- gifter som rör lagöverträdelser. Av de grundläggande kraven som ska vara uppfyllda vid behandling av personuppgifter torde det emellertid i allmänhet följa begränsningar i myndigheters möjlig- heter att i den omfattning som är syftet med belastningsregistret sammanställa den typen av uppgifter. Om någon annan myndighet än den som för belastningsregistret ska tillåtas att i en större omfatt- ning sammanställa uppgifter om brottslighet torde det alltså behöva övervägas om det innebär ett ingrepp i enskilds personliga förhåll- anden som i så fall kräver stöd i lag. Av dataskyddsdirektivet följer vidare att det är förbjudet för medlemsstaterna att tillåta att ett fullständigt register över brottmålsdomar förs under kontroll av någon annan än en myndighet (artikel 8.5).

208

Direktåtkomst

Bestämmelser som medger direktåtkomst till känsliga personupp- gifter förutsätter i allmänhet att det finns en sekretessbrytande bestämmelse som medger att uppgifterna utan någon ytterligare prövning kan lämnas ut till den som medgetts en sådan åtkomst. En sådan sekretessbrytande bestämmelse kan därför beroende på omständigheterna i det enskilda fallet utgöra ett ingrepp i den en- skildes personliga förhållanden, eftersom den innebär att den sekre- tess som normalt ska skydda uppgifterna inte längre ska gälla i för- hållande till en viss aktör som befinner sig utanför myndighetens verksamhet.

En direktåtkomst medges ofta för att effektivisera ett uppgifts- utbyte mellan myndigheter som redan äger rum. Om det tidigare uppgiftsutbytet sker med stöd av en sekretessbrytande bestäm- melse som medger att uppgifter lämnas ut utan hinder av sekretess, torde den omständigheten att uppgiftsutbytet nu ska ske genom direktåtkomst inte i sig innebära att det sker något ingrepp i enskilds personliga förhållanden. Att direktåtkomst får anses vara en mer ingripande form av uppgiftsutbyte än annat elektroniskt utlämnande hänger samman med att den väcker mer allmänna frågor om verksamhetsansvar och rättsäkerhet samt – beroende på omständig- heterna – i ett mer övergripande perspektiv kan sägas påverka den enskildes rätt till skydd för sina personuppgifter därför att särskilda frågor om informationssäkerhet aktualiseras (se vidare kapitel 5).

Ett uppgiftsutbyte av sekretessreglerade uppgifter som sker med stöd av den s.k. generalklausulen i 10 kap. 27 OSL, dvs. efter en avvägning mellan intresset av sekretess och den mottagande myn- dighetens behov av uppgifter, torde ofta inte kunna effektiviseras genom direktåtkomst utan att en ny mer definitivt sekretessbryt- ande bestämmelse införs som möjliggör sådan åtkomst. Eftersom en sådan sekretessbrytande bestämmelse innebär att någon intresse- avvägning i det enskilda fallet inte längre ska göras, kan det upp- fattas innebära en försvagning av sekretesskyddet vilket i sin tur kan utgöra ett ingrepp i enskilds personliga förhållanden. Ett upp- giftsutbyte mellan myndigheter med stöd av 10 kap. 27 § OSL kan emellertid ofta vara av sådant slag att det redan finns författnings- stöd för det genom en bestämmelse i lag eller förordning som med- ger att uppgifter rutinmässigt får lämnas ut. Utbytet kan också ha

209

sådan karaktär att uppgifter efter en intresseavvägning i praktiken alltid kan lämnas ut. Den omständigheten att en ny sekretess- brytande bestämmelse behöver införas för att möjliggöra att utbytet effektiviseras genom direktåtkomst behöver i ett sådant fall inte heller innebära ett ingrepp i enskildas personliga förhållanden.

Den omständigheten att direktåtkomst medges torde alltså många gånger inte i sig innebära att det sker något ingrepp i enskilds personliga förhållanden i den mening som avses i 8 kap. 2 § första stycket 2 RF. Föreskrifter om att direktåtkomst får medges torde därför som huvudregel kunna ges i förordning. Om direkt- åtkomsten emellertid förutsätter att enskildas sekretesskydd i reali- teten försvagas på så sätt att känsliga personuppgifter kan lämnas ut i betydligt större omfattning än vad som annars hade varit möjligt kan den emellertid vara att anse som ett sådant ingrepp i enskildas personliga förhållanden som förutsätter stöd i lag.

Av betydelse för om en direktåtkomst kan anses utgöra ett ingrepp i enskilds personliga förhållanden eller inte är naturligtvis också vilket förhållande de myndigheter har till varandra mellan vilket uppgiftsutbytet sker. Om myndigheternas verksamheter har nära anknytning till varandra och förutsätter att ett visst uppgifts- utbyte sker för att respektive myndighet ska kunna utföra sina uppgifter talar detta för att en direktåtkomst mellan dessa myndig- heter inte i sig utgör ett ingrepp i enskilds personliga förhållanden. Som exempel kan nämnas det uppgiftsutbyte som sker mellan Skatte- verkets beskattningsverksamhet, Kronofogdemyndigheten och Tull- verket, med bortseende från deras brottsutredande verksamhet. Om däremot brottsbekämpande myndigheter medges direktåtkomst till sekretessreglerade personuppgifter hos myndigheter som inte ägnar sig åt brottsbekämpning torde det regelmässigt vara frågan om ett ingrepp i enskilds personliga förhållanden som kräver stöd i lag, såvida inte uppgiftsutbytet är av ringa omfattning.

Sammanställningar av känsliga personuppgifter

I många registerförfattningar finns bestämmelser som begränsar myndigheters möjligheter att söka efter och sammanställa känsliga personuppgifter, s.k. sökbegränsningar. Redan av dataskyddsdirek- tivets regler om vilka grundläggande krav som ska uppfyllas vid en

210

behandling av personuppgifter följer visserligen begränsningar i möjligheterna att sammanställa personuppgifter på så sätt att sam- manställningen ska vara förenlig med det ändamål för vilket upp- gifterna samlades in. Uppgifterna ska också vara relevanta i förhåll- ande till ändamålet med sammanställningen och inte fler än vad som är nödvändigt för ändamålet. I en myndighets verksamhet åligger det alltså den som behandlar personuppgifter att göra dessa överväganden innan en sammanställning görs. Genom en bestäm- melse som föreskriver vissa sökförbud har emellertid lagstiftaren som vi ser det gjort denna bedömning ”på förhand” och klargjort att vissa sammanställningar inte ska få ske hos myndigheten. Sådana sökförbud innebär också begränsningar i enskildas möjlig- het att få en sammanställning gjord med stöd av reglerna om allmänna handlingar i 2 kap. TF (jfr 2 kap. 3 § tredje stycket). Om en myndighet däremot bedöms ha behov av att kunna göra sådana sammanställningar för att utföra sina uppgifter och att det därför behöver införas en uttrycklig bestämmelse som tillåter det, kan detta beroende på omständigheterna måhända anses utgöra ett ingrepp i enskilds personliga förhållanden. Det ändamål för vilket samman- ställningen tillåts ske torde vara avgörande för om det ska vara att anse som ett ingrepp i enskilds personliga förhållanden eller inte.

När kan behandling av personuppgifter vara ett betydande intrång?

Ovan har vi behandlat frågan om när behandling av personupp- gifter i sig kan anses utgöra ett sådant ingrepp i enskilds personliga förhållanden att det enligt 8 kap. 2 § första stycket 2 RF kräver stöd i lag. Nästa fråga blir då i vilken mån sådan behandling också eller därutöver kan anses utgöra ett betydande intrång i den mening som avses i 2 kap. 6 § andra stycket RF och i övrigt uppfyller de förutsättningar som anges i stadgandet, dvs. sker utan samtycke och innebär kartläggning eller övervakning av den enskildes per- sonliga förhållanden. Om grundlagsstadgandet är tillämpligt inne- bär det att kravet på lagform är obligatoriskt – dvs. bemyndiganden är uteslutna – och att de särskilda begränsningarna enligt 2 kap. 20– 22 §§ RF rörande förutsättningarna för riksdagen att besluta lagen gäller.

211

I 2 kap. 6 § första stycket RF räknas upp ett antal fall av intrång i den enskildes personliga integritet som ansetts kräva särskilt begränsande regler för att de ska kunna tillåtas genom lag. Det handlar exempelvis om kroppsvisitation, husrannsakan och hemlig avlyssning. I dessa fall är det alltså frågan om metoder för insamling av uppgifter om personliga eller ekonomiska förhållanden som ansetts utgöra särskilt svåra intrång i vars och ens rätt till en privat sfär. Vi har ovan konstaterat att behandling av personuppgifter däremot inte utgör en metod eller teknik som i sig innebär intrång i en- skildas personliga integritet, utan att det är det sammanhang där behandlingen sker som avgör om så är fallet.

Inledningsvis kan påpekas att 2 kap. 6 § andra stycket RF till sin ordalydelse inte särskilt tar sikte på behandling av personuppgifter. Tillämpningsområdet avser, liksom 8 kap. 2 § första stycket 2 RF, ”personliga förhållanden”. Ordalydelsen saknar referenser till inrätt- andet och förandet av personregister även om det av motiven framgår att det är ett slag av verksamhet som har avsetts träffas av bestämmelsen. I motiven framhålls att vad som ska avses med ”kartläggning” och ”övervakning” får bedömas med vad som enligt normalt språkbruk läggs i dessa begrepp. Det leder knappast tanken till personuppgiftsbehandling som sådan. Samtidigt finns det, som har framgått, motivuttalanden som kan sägas ge uttryck för att redan det förhållandet att omfattande eller känsliga informations- mängder hanteras hos en viss myndighet kan ses som ett slags kart- läggning som är av det slaget att grundlagsbestämmelsen ska anses vara tillämplig.

Det går alltså knappast att utifrån grundlagsstadgandets orda- lydelse avgöra i vilken mån stadgandet är tillämpligt på person- uppgiftsbehandling sedd för sig. Vad som kan komma att anses gälla här lär få utmejslas i det framtida lagstiftningsarbetet. Ytterst avgörs saken av konstitutionsutskottet som för riksdagens del prövar om ett visst lagförslag utgör en fri- och rättighetsbegränsning eller inte (jfr 2 kap. 22 § tredje stycket RF).

Av ställningstaganden som hittills gjorts i vissa lagstiftnings- ärenden rörande tillämpningen av stadgandet kan emellertid den slutsatsen dras att när en ny uppgift åläggs en myndighet uppgiften, beroende på omständigheterna, kan uppfattas som en sådan inte- gritetskränkande behandling som omfattas av grundlagsbestämmel- sen. En viss skyldighet för en brottsbekämpande myndighet att

212

lämna uppgifter till en annan sådan myndighet har t.ex. ansetts inte vara omfattat av grundlagsstadgandet så länge de båda myndig- heterna är svenska. Förhållandet har emellertid ansetts vara det motsatta om uppgifterna ska lämnas till en brottsbekämpande myndighet i utlandet. I båda fallen är fråga om en behandling av personuppgifter men det är alltså inte denna omständighet utan snarare den sakliga innebörden av åtgärden – att uppgifter ska ut- bytas – som har ansetts utslagsgivande för om det ska vara frågan om ett betydande intrång.

Enligt vår mening förefaller det naturligt att vid bedömningen av om grundlagsstadgandet är tillämpligt eller inte på det sättet utgå från den sakliga innebörden av en viss tänkt reglering. Lagstiftaren får således ställa sig frågan vad det är som avses ska ske. Om bedömningen då blir att en viss myndighetsuppgift träffas av grund- lagsstadgandet innebär detta att den uppgiften behöver regleras i lag och att de särskilda förutsättningarna för rättighetsbegränsade lagstiftning i 2 kap. RF då gäller. Det innebär däremot inte att all personuppgiftsbehandling som sker vid myndigheten i fråga nöd- vändigtvis kräver lagstöd. Det är alltså, som vi ser det, fråga om samma slags bedömning som behöver göras för att avgöra om en behandling av personuppgifter i sig utgör ett sådant ingrepp i en- skilds personliga förhållanden som avses i 8 kap. 2 § första stycket 2 RF, dock att det nu också ska bedömas om det är frågan om ett betydande intrång.

Som framgått har det emellertid förekommit att lagstiftaren intagit den positionen att den behandling av personuppgifter som sker vid en viss myndighet till ”stora delar” är av det slaget att grundlagstadgandet blir tillämpligt och att därför all den person- uppgiftsbehandling som sker vid myndigheten har reglerats i lag, dvs. utöver det författningsstöd som redan finns för den faktiska verksamhet som myndigheten bedriver.

Det ska dock framhållas att grundlagstadgandet knappast kräver att lagstiftaren på detta sätt gör en avvägning av om en hel reglering för en viss verksamhet ska ha form av lag eller förordning. Det är som vi ser det endast de moment i verksamheten som utgör ett betydande intrång och i övrigt uppfyller förutsättningarna enligt stadgandet som måste ha stöd i lag. Det lagstiftningsärende där datalagringsdirektivet infördes i svensk rätt innebar inte någon ny skyldighet för en myndighet när det gäller behandling av uppgifter

213

som rör enskilds personliga förhållanden, utan skyldigheten tog sikte på leverantörer av elektroniska kommunikationstjänster, dvs. enskilda aktörer. Emellertid syftade skyldigheten att lagra s.k. trafikuppgifter till att brottsbekämpande myndigheter skulle ha till- gång till uppgifterna för sin verksamhet. På så sätt rörde skyldig- heten förhållandet mellan enskilda och det allmänna. Redan den lagring av vars och ens trafikuppgifter som leverantörerna blev ålagda att utföra ansågs utgöra ett intrång i enskildas personliga integritet. Mot bakgrund av den mängd trafikuppgifter om en enskild som kunde komma att lagras, ansågs intrånget också vara betydande.

Datalagringen torde utgöra ett tydligt exempel på ett fall då grundlagsstadgandet blir tillämpligt med hänsyn till både det sätt som valdes för att brottsbekämpande myndigheter skulle ha möjlig- het att få tillgång till trafikuppgifter, nämligen att enskilda aktörer ålades att för brottsbekämpande ändamål lagra de uppgifter som de ursprungligen samlat in för att kunna utföra tjänster i förhållande till sina kunder, samt omfattningen av lagringen och uppgifternas integritetskänsliga karaktär.

Vi har för vår del svårt att se att grundlagsstadgandet kan ges den innebörden att det – bortsett från de brottsbekämpande myn- digheterna – kan finnas myndigheter eller kategorier av myndig- heter vilkas verksamhet är av det slaget att all den behandling av personuppgifter som äger rum där måste ha stöd i en sådan lag som endast får beslutas enligt reglerna i 2 kap. RF. Det förefaller också vara i rena undantagsfall som behandling av personuppgifter hos icke brottsbekämpande myndigheter kan anses innehålla några sär- skilda moment av personuppgiftsbehandling som typiskt sett kan ses som en sådan kartläggning eller övervakning som innebär ett betydande intrång i den personliga integriteten och därför omfattas av grundlagsstadgandet.

Sammanfattning

Från allmän normgivningssynpunkt ser vi inga hinder mot att bestämmelser som avviker från eller kompletterar innehållet i den generella lagen i form av t.ex. myndighetsspecifika föreskrifter om sökbegränsningar, direktåtkomst, behandling av känsliga personupp- gifter m.m. ges i förordningsform. I den mån sådana bestämmelser

214

innebär åligganden för de kommunala myndigheterna krävs emeller- tid att bemyndiganden tas in i lagen (jfr 8 kap. 2 § första stycket 3 RF). Detsamma gäller förstås också beträffande sådana regleringar som är att se som ingrepp i enskilds personliga förhållanden. Vi återkommer till frågan om hur erforderliga bemyndiganden bör utformas i avsnitt 18.2.

Det torde bara vara i rena undantagsfall som något visst moment av behandling av personuppgifter i sig är att se som ett sådant betydande intrång att grundlagsstadgandet om skydd för den per- sonliga integriteten blir tillämpligt och regleringen därför måste ges i lag och beslutas i enlighet med 2 kap. RF. I den mån det finns sådana moment i myndighets- eller sektorsspecifik behandling av personuppgifter som anses utgöra ett sådant betydande intrång kan bestämmelser om detta ges lagform genom att tas in i bilaga till den generella lagen. Om det skulle anses mer ändamålsenligt att behand- lingen regleras i en egen författning, t.ex. för att det är frågan om hur ett visst integritetskänsligt register ska få föras snarare än att reglera hur personuppgifter får behandlas i en viss myndighets- verksamhet, kan regleringen givetvis också ges i en särskild lag som därmed gäller före den generella lagens bestämmelser.

Oavsett hur en viss reglering ska bedömas i normgivnings- hänseende är det naturligtvis inget som hindrar att myndighets- specifika föreskrifter av lämplighetsskäl eller andra skäl ändå be- döms bör ges i lag. Sådana föreskrifter – liksom föreskrifter som faktiskt kräver lagstöd och där den bedömningen görs att det av något skäl inte är lämpligt att utnyttja ett bemyndigande – kan också tas in i bilaga till den generella lagen.

215

medlemsstaterna i Europeiska unionen åstadkoms genom en åtmin- stone delvis harmoniserad lagstiftning till skydd mot kränkning av personlig integritet genom behandling av personuppgifter, ansågs det vid personuppgiftslagens införande inte motiverat att särskilt upp- lysa även om det fria flödet som ett särskilt syfte (prop. 1997/98:44 s. 115).

Förslaget till uppgiftsskyddsförordning

Det pågående reformarbetet syftar inte till något avsteg från vad som slogs fast om det grundläggande syftet med dataskydds- direktivet. Förordningens artikel 1 – med rubriken Syfte och mål – har visserligen modifierats något i struktur och ordalydelse i jäm- förelse med artikel 1 i direktivet. Någon ändring i sak torde detta inte innebära.

I förordningsförslaget (bl.a. motiveringen s. 1 och punkterna 5 och 6 i ingressen) framhålls att den snabba utvecklingen av infor- mationstekniken har omvandlat såväl ekonomin som samhällslivet inom EU. Vidare framhålls att förändringarna kräver en stark och mer sammanhängande ram för uppgiftsskyddet, uppbackad av ett kraftfullt tillsynsarbete, eftersom det är viktigt att skapa den tillit som behövs för att utveckla den digitala ekonomin över hela den inre marknaden. Enskilda bör ha kontroll över sina egna person- uppgifter och rättssäkerheten och smidigheten för enskilda, eko- nomiska operatörer och myndigheter bör stärkas. Enligt kom- missionen är det avgörande för den ekonomiska utvecklingen att bygga upp förtroendet för nätmiljön. Bristande förtroende gör att konsumenter tvekar att ”köpa på nätet” och att använda nya tjänster. Detta kan hämma utvecklingen av innovativa användningar av ny teknik. Skydd av personuppgifter spelar därför en central roll i den digitala agendan för Europa och mer allmänt i Europa 2020-stra- tegin (se avsnitt 3.1.4).

Det kan således konstateras att informationstekniken ges en fram- skjuten betydelse för en önskvärd samhällsutveckling på bred front. En robust dataskyddsreglering är inte bara ett mål i sig utan också ett medel att uppnå en önskad samhällsutveckling i ett längre perspektiv.

218

Registerförfattningar

I registerförfattningar förekommer ibland bestämmelser som anger lagens övergripande syfte.

När det gäller informationshanteringsförfattningar förekommer syftesbestämmelser framför allt i sådana författningar som ersätter personuppgiftslagen och sedan hänvisar till olika bestämmelser i per- sonuppgiftslagen som ska ha motsvarande tillämpning då person- uppgifter behandlas inom ramen för informationshanteringsförfatt- ningens tillämpningsområde.

I exempelvis 1 kap. 1 § polisdatalagen (2010:361) anges det över- gripande syftet med lagen vara att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga inte- gritet kränks vid sådan behandling. Enligt motiven (prop. 2009/10:85 s. 66 f.) avspeglar utformningen av bestämmelserna den avvägning mellan å ena sidan intresset av en effektiv brottsbekämpning och å andra sidan intresset av skydd för den personliga integriteten som gjorts i lagstiftningsärendet. I 1 kap. 1 § kustbevakningsdatalagen (2012:145) finns en motsvarande bestämmelse om lagens syfte. Det finns dock exempel på informationshanteringsförfattningar med samma lagtekniska konstruktion vad avser förhållandet till person- uppgiftslagen som varken hänvisar till 1 § PuL eller har en egen syftes- bestämmelse.

I sådana informationshanteringsförfattningar som är konstruerade på det sättet att personuppgiftslagen gäller i den mån författningen i fråga inte innehåller avvikande bestämmelser förekommer i all- mänhet inte någon särskild syftesbestämmelse som ersätter eller gäller utöver vad som sägs i 1 § PuL.

Beträffande renodlade registerförfattningar förekommer bestäm- melser som anger författningens syfte eller ett visst registers syfte. För de så kallade publicitetsregistren anges ofta att registret ska ”ge offentlighet åt” ett visst förhållande, se t.ex. 1 § lagen (2000:224) om fastighetsregister eller 2 kap. 1 § aktiebolagsförordningen (2005:559).

219

8.1.2Våra överväganden och förslag

Förslag: I den nya lagen införs en bestämmelse som anger vilket syfte lagen har. Detta är tudelat. Syftet är att dels ge myndig- heter möjlighet att behandla personuppgifter på ett ändamåls- enligt sätt i deras verksamheter, dels skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Bestämmelser om lagars syfte saknar normalt egentligt materiellt innehåll utan framstår mer som ett slags deklaration av de bakom- liggande och övergripande målen med de efterföljande lagbestäm- melserna med mer konkret reglering. Man kan därför fråga sig om det verkligen behövs en syftesbestämmelse av detta slag i den nya lagen. Onekligen har emellertid en syftesbestämmelse en informa- tiv och pedagogisk betydelse.

Ett uttryckligt fastslående av lagens syfte har emellertid inte enbart en symbolisk eller informativ betydelse. Att en lags syfte an- ges i lagen kan få relevans i rättstillämpningen genom att ge väg- ledning för tolkningen av de materiella bestämmelserna i lagen. Vidare klargör en sådan bestämmelse att lagen enbart innehåller sådana bestämmelser som är av dataskyddsrättslig karaktär.

Sammanfattningsvis anser vi således att det finns skäl att ta in en bestämmelse om lagens syfte i den nya lagen.

Hur bör lagens syfte anges?

En syftesbestämmelse måste av naturliga skäl vara övergripande. Vi bedömer att en bestämmelse som föreskriver att lagens syfte är att dels ge myndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt, dels skydda människor mot att deras person- liga integritet kränks vid myndigheternas informationshantering väl fångar regleringens målsättning på ett sätt som passar för alla myn- digheter oavsett vad för slags verksamhet de bedriver.

Syftet att ge möjligheter till en ändamålsenlig personuppgifts- behandling är viktigt att framhålla. För myndigheter är det av helt avgörande betydelse att kunna behandla personuppgifter genom elektronisk informationshantering för att utföra sina uppgifter i överensstämmelse med de krav som ställs på bl.a. rättssäkerhet,

220

effektivitet och en önskvärd servicenivå. Detta kan inte sällan inne- bära att myndigheter exempelvis måste ges större förutsättningar att behandla personuppgifter utan den registrerades samtycke än vad som gäller utanför den offentliga sektorn. Den nya lagen med anknytande föreskrifter kommer att innehålla bestämmelser som skapar sådana förutsättningar.

Vad som är en ändamålsenlig personuppgiftsbehandling kan inte slås fast i generella termer utan varierar i hög grad beroende på vad för slags verksamhet det handlar om.

Det andra ledet i den föreslagna syftesbestämmelsen – att lagens syfte är att skydda människor mot att deras personliga integritet kränks vid myndigheters personuppgiftsbehandling – är av central betydelse. Genom syftesbestämmelsen kommer detta till uttryck i lagen. Härigenom framgår vidare indirekt att verksamhetsreglering av olika slag faller utanför lagens syfte. Lagens bestämmelser ska enbart inriktas på att reglera informationshanteringen i förhållande till det skydd som personuppgiftsbehandling påkallar.

Att myndigheters behandling av personuppgifter inte medför kränkningar av människors personliga integritet är alltså en central målsättning för regleringen. Samtidigt är vissa intrång nödvändiga för att myndigheterna ska kunna utföra sina uppgifter. Regleringen bör därför ge uttryck för en väl avvägd balans och proportionalitet mellan, å ena sidan, samhällets behov av att myndigheter kan be- handla personuppgifter i sin verksamhet och, å andra sidan, skyddet för den personliga integriteten. Ett gott integritetsskydd är av funda- mental betydelse för att myndigheterna alls ska kunna ges förut- sättningar att behandla personuppgifter med ett bevarat förtroende från allmänhetens sida. På ett övergripande plan kan det alltså sägas finnas ett samspel mellan integritetsskydd och förutsättningar för en ändamålsenlig informationshantering. Detta tydliggörs genom den tudelade syftesbestämningen – ändamålsenlighet respektive inte- gritetsskydd – och illustrerar att de båda målen gäller parallellt.

221

8.2Lagens tillämpningsområde

8.2.1Vilka myndigheter bör omfattas av lagens tillämpningsområde?

Förslag: Lagen ska i princip tillämpas av alla myndigheter. Med myndigheter avses i lagen detsamma som i regeringsformen, dvs. alla statliga och kommunala organ utom riksdagen och de beslut- ande kommunala församlingarna.

Vi har i avsnitt 7.2 redogjort för varför det bör införas en samlad lag för myndigheterna med generella bestämmelser till skydd för personuppgifter.

Enligt vår mening talar övervägande skäl för att lagen bör vara tillämplig hos alla slags myndigheter och inte t.ex. bara sådana som i dag omfattas av särskilda registerförfattningar. Det är enligt vår mening angeläget att ett och samma grundläggande regelverk gäller inom hela myndighetssektorn. Att samma grundläggande regler för behandling av personuppgifter gäller för alla myndigheter ger ökad tydlighet och transparens. Det ger också bäst förutsättningar för effektivitetshöjande myndighetsgemensamma lösningar, exempelvis uppgiftsbyte myndigheter emellan.

Att alla myndigheter kommer att omfattas av lagens tillämpnings- område är också ägnat att väsentligt underlätta den reformering av regelverket som kommer att behöva göras som ett resultat av det pågående reformarbetet inom EU som kan förväntas leda till att dataskyddsdirektivet ersätts av en allmän uppgiftsskyddsförordning.

Med myndigheter avses här detsamma som i regeringsformen, dvs. alla statliga och kommunala organ utom riksdagen och de be- slutande kommunala församlingarna.

222

8.2.2Vilka verksamheter bör omfattas av lagens tillämpningsområde?

Förslag: Vissa verksamheter undantas från lagens tillämpnings- område nämligen

–en myndighets administrativa verksamhet,

–en myndighets verksamhet som personuppgiftsbiträde, och

–sådan verksamhet som bedrivs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påfölj- der.

Våra direktiv är öppna i fråga om tillämpningsområdet. I direktiven klargörs emellertid att den brottsbekämpande verksamheten inte omfattas av utredningsuppdraget. Ett skäl till detta är att den verk- samheten inte omfattas av förslaget till allmän uppgiftsskydds- förordning utan av ett förslag till direktiv om uppgiftsskydd i den brottsbekämpande verksamheten. Härmed avses verksamhet som bedrivs av behöriga myndigheter i syfte att förebygga, utreda, av- slöja eller lagföra brott eller verkställa straffrättsliga påföljder (se artikel 2.2 e i uppgiftsskyddsförordningen, jfr även artikel 1.2 i gällande dataskyddsrambeslut). För Polismyndigheten, Säkerhets- polisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kriminal- vården och Övervakningsnämnderna är brottsbekämpande verk- samhet den dominerande uppgiften. Även Kustbevakningen, Skatte- verket och Tullverket har uppdrag att bedriva brottsbekämpande verksamhet. De allmänna domstolarnas verksamhet på det straff- rättsliga och straffprocessuella området hör också till den brotts- bekämpande verksamheten i här aktuell bemärkelse.

Den brottsbekämpande verksamheten ska alltså inte omfattas av lagens tillämpningsområde. Till bilden hör vidare att den brotts- bekämpande verksamheten till stora delar nyligen genomgått eller genomgår en översyn av regleringen av personuppgiftsbehandling. Polisdatalagen och kustbevakningsdatalagen är tämligen nya för- fattningar och det pågår lagstiftningsarbete bl.a. såvitt avser Åklagar- myndigheten samt beträffande Tullverkets brottsbekämpande verk- samhet. Registerförfattningsregleringen av den brottsbekämpande

223

verksamheten är emellertid inte i alla delar heltäckande. Exempelvis förekommer behandling av personuppgifter med stöd av person- uppgiftslagen i brottsbekämpande verksamhet vid Nationellt foren- siskt centrum, en enhet inom Polismyndigheten.

Nästa fråga blir då om personuppgiftsbehandling i all slags övrig myndighetsverksamhet än den som uttryckligen undantagits från utredningsuppdraget bör omfattas av den nya lagens tillämpnings- område.

Det säger sig självt att myndigheters behandling av person- uppgifter sker i varierande och mångfacetterade verksamheter. Redan de registerförfattningar som finns i dag spänner över en mycket brokig verksamhetskarta som innefattar myndighetsverk- samhet inom såväl staten som landstingen och kommunerna. Både myndigheters handläggning av ärenden samt s.k. faktiskt handlande (t.ex. vård av en patient eller en myndighets serviceverksamhet enligt 4 § FL) omfattas inte sällan av informationshanteringsförfatt- ningar. Båda slagen av verksamhet, som inte alltid är så lätta att avgränsa, bör enligt vår mening omfattas av den nya lagens tillämp- ningsområde. Behandling av personuppgifter behövs emellertid inte bara i den egentliga sakverksamheten utan även för t.ex. övergrip- ande planering, verksamhetsuppföljning och egentillsyn. Normalt handlar det då om ”återanvändning” genom olika slags bearbetning av personuppgifter som redan samlats in i den löpande verksam- heten. Även sådan behandling bör omfattas av lagen, eftersom det ingår i myndigheternas ansvar att planera, administrera och kvali- tetssäkra sin verksamhet. Det är vår uppfattning att utgångspunk- ten bör vara att den nya lagen ska gälla, om det inte föreskrivits något undantag eller annat följer av avvikande bestämmelser. I linje härmed anser vi att det inte bör införas någon beskrivning av vilka verksamhetsområden som omfattas av lagens tillämpningsområde. Verksamhetsområdet ska i stället framgå motsatsvis.

I fråga om vilka undantag som uttryckligen bör föreskrivas, ut- över den brottsbekämpande verksamheten, gör vi följande överväg- anden.

Generellt gäller på registerlagstiftningsområdet att den person- uppgiftsbehandling som sker i myndigheternas rent administrativa verksamhet med t.ex. personal- och lokalfrågor, materialförsörj- ning och ekonomiadministrativa göromål utan närmare koppling till sakverksamheten faller utanför den särreglering som register-

224

författningarna omfattar. Detta brukar framgå indirekt av det sätt som registerförfattningens tillämpningsområde beskrivs på samt av förarbetsuttalanden (se t.ex. 1 § studiestödsdatalagen och prop. 2008/09:96 s. 76). Vi menar att det är naturligt att den rent intern- administrativa verksamheten med t.ex. personal-, lokal- och ekonomi- administration även framgent regleras av personuppgiftslagen i stället för av den nya lagen. I myndigheternas administration behandlas nämligen inte personuppgifter som samlats in då myndigheterna fullgör de uppgifter som de är ålagda att utföra inom ramen för deras verksamhet. Myndigheternas administration är därmed i prin- cip likställd den som sker hos enskilda personuppgiftsansvariga i rollen som t.ex. arbetsgivare och påkallar inte en särreglering i för- hållande till den allmängiltiga regleringen i personuppgiftslagen. Visserligen finns det skillnader, hos myndigheter genereras exem- pelvis allmänna handlingar även inom personaladministrationen, men de skillnader som finns utgör enligt vår mening knappast till- räckliga skäl för att avvika från den ordning som hittills gällt. Det sagda innebär att myndigheternas administrativa verksamhet bör undantas från den nya lagens tillämpningsområde.

Av stor vikt för den samlade regleringens konsekvens och begrip- lighet är att bestämmelserna har en tydlig adressat. Det förekom- mer registerförfattningar som är otydliga på den punkten. Ett exempel är studiestödsdatalagen som enligt lagens bestämmelse om tillämpningsområde bara gäller för Centrala studiestödsnämndens verksamhet (1 § studiestödslagen). Dock är lagens bestämmelse om direktåtkomst så avfattad att den tycks rikta sig till mottagande myndigheter genom att reglera hur deras direktåtkomst till nämndens personuppgiftssamlingar får användas. Den samlade reglering som vi föreslår bör vara tydlig på denna punkt. Lagen ska i allt väsentligt därför enbart ta sikte på de förutsättningar och skyldigheter som gäller för en personuppgiftsansvarig myndighet. Bestämmelsernas adressat ska alltså genomgående vara den myndighet som är per- sonuppgiftsansvarig.

Som närmare kommer att behandlas i avsnitt 10.1 förekommer emellertid att myndigheter behandlar personuppgifter såsom person- uppgiftsbiträde till en personuppgiftsansvarig, vilken kan vara såväl en annan myndighet som en enskild. För att uppnå den efter- strävade tydligheten angående vem som är skyldig att följa lagens bestämmelser, eller se till att lagens bestämmelser följs, bör per-

225

sonuppgiftsbehandling som en myndighet utför i egenskap av per- sonuppgiftsbiträde därför undantas från lagens tillämpningsområde. Det är sedan en annan sak att lagens bestämmelser i praktiken ändå kommer att gälla även för en myndighet som är personuppgifts- biträde om den personuppgiftsansvarige är en myndighet vars be- handling omfattas av lagen. Förhållandet blir dock ett annat då den personuppgiftsansvarige är en enskild aktör.

Det förekommer ibland att en myndighet utan att vara person- uppgiftsbiträde behandlar personuppgifter genom sådan teknisk lagring eller teknisk bearbetning för annan myndighets räkning som avses i 2 kap. 10 § första stycket TF. Det kan vara fråga om såväl en begränsad it-tjänst som överlämnande av hela it-driften. Vi ser dock inte anledning att föreslå något undantag för en myndig- hets verksamhet med att lagra eller bearbeta upptagningar med personuppgifter för annans räkning som motsvarar undantaget för myndigheters personuppgiftsbehandling såsom personuppgifts- biträde. Den nya lagens tillämpningsområde kommer således att omfatta en myndighets behandling bestående av lagring eller bearbet- ning för annans räkning som avses i 2 kap. 10 § första stycket TF.

I våra direktiv berörs inte frågan om vad som bör gälla beträffande personuppgiftsbehandlingar inom de delar av den offent- liga sektorn som inte omfattas av den unionsrättsliga regleringen, t.ex. inom försvarsområdet. Från det materiella tillämpningsområdet för uppgiftsskyddsförordningen undantas, utöver brottsbekämpande verksamhet, enligt artikel 2 bl.a. behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unions- lagstiftningen, särskilt avseende nationell säkerhet, eller som medlems- staterna utför när de bedriver verksamhet som omfattas av kapitel 2 i EU-fördraget (som innehåller särskilda bestämmelser om den gemensamma utrikes- och säkerhetspolitiken).

Dataskyddsdirektivets materiella tillämpningsområde är på mot- svarande sätt begränsat (artikel 3).

Personuppgiftslagen är däremot tillämplig även på verksamheter som inte omfattas av unionsrätten. I förarbetena anfördes bl.a. att en begränsning av lagens tillämpningsområde till vad som krävs enligt direktivet skulle strida mot vad som tillämpats under lång tid i Sverige, nämligen ett system som utgår från en generell lag kompletterad med särregler i s.k. registerförfattningar. Om viss offentlig verksamhet skulle generellt undantas från personuppgiftslagen, fanns det risk

226

för att viss behandling inom den offentliga sektorn inte skulle komma att omfattas av någon lagstiftning med motsvarande syfte som den lagen. Personuppgiftslagen gjordes därför generellt tillämplig till att omfatta även verksamhet utanför det som numera benämns unionsrätten (prop. 1997/98:44 s. 40).

Vårt uppdrag innebär, som tidigare framgått, att utforma en reglering som är väl anpassad till den pågående dataskyddsreformen inom EU. Om möjligt ska vi skapa en reglering som kan fungera som ett komplement till den unionsrättsliga regleringen på om- rådet. Detta skulle kunna tala för att en kommande anpassning av den föreslagna lagen till uppgiftsskyddsförordningen underlättas om lagens tillämpningsområde överensstämmer med uppgiftsskydds- förordningens. Därmed skulle det inte finnas någon risk för att ett inordnande i den föreslagna lagen av verksamhet som faller utanför unionsrätten bara blir en temporär ordning. Genomförandet av uppgiftsskyddsförordningen förefaller emellertid inte vara nära före- stående och under alla förhållanden kan det antas, mot bakgrund av vad som nu är känt om innehållet i den kommande förordningen, att det kommer att finnas ett tämligen stort utrymme för nationell reglering av myndigheters behandling av personuppgifter. Det finns därmed, menar vi, goda förutsättningar för att finna en lös- ning för hur lagen bör anpassas till den kommande uppgiftsskydds- förordningen utan hinder av att även verksamhet som inte omfattas av unionslagstiftningen ingår i lagens tillämpningsområde. Vi anser därför att det stora värde ur tillämpningssynpunkt som finns i en så långt möjligt samlad reglering för enskilda myndigheters behand- ling av personuppgifter – alldeles oavsett om verksamheten om- fattas av unionsrätten eller inte – väger tyngre än de komplika- tioner som måhända kan uppstå i samband med ett införande av uppgiftsskyddsförordningen. Vi bedömer därför att tillämpnings- området inte bör begränsas till myndighetsverksamhet som om- fattas av unionsrätten. I avsnitt 19.2.3 återkommer vi till frågan om lagens tillämpningsområde.

227

8.2.3Lagens förhållande till befintliga registerförfattningar m.m.

Förslag och bedömning: Lagen ska – med undantag för person- uppgiftslagen och bestämmelser som meddelats med stöd av den lagen – vara subsidiär i förhållande till bestämmelser i annan lag eller förordning som avviker från lagens bestämmelser. Befint- liga registerförfattningar fortsätter därför att vara tillämpliga även efter lagens införande. Lagens tillämpningsområde vid ikraft- trädandet blir därmed sådan personuppgiftsbehandling hos myn- digheter som sker med stöd av personuppgiftslagen. Avsikten är emellertid att dataskyddsrättslig särreglering i form av register- författningar efter hand bör upphävas eller i vart fall förenklas och att den nya lagen därmed blir tillämplig i stället. Eventuella behov av fortsatt särreglering kan tillgodoses genom att sådana bestämmelser tas in i en till lagen anslutande förordning eller vid behov, i bilaga till lagen.

Flertalet regelrätta registerförfattningar innehåller verksamhetsreg- lering i det avseendet att de tilldelar en myndighet uppgiften att vara registerhållare och därutöver innehåller närmare regler om uppgifter som ska hämtas in, registreras osv., dvs. regler som inte tar sikte på personuppgiftsbehandling som sådan. Som har framgått av avsnitt 7.2 menar vi att den nya lagen enbart bör innehålla be- stämmelser som utgör dataskyddsregler och att nyss nämnda register- författningar inte bör beröras förutom i de delar som avser data- skyddsreglering. Det finns ett flertal sådana reglerade register inom olika sektorer, t.ex. receptregistret, fastighetsregistret, handelsbolags- registret, olika hälsodataregister m.m. Nya sådana register kommer att behöva inrättas och därmed regleras. Vi ser, som redan sagts, ingen anledning att ha som ambition att försöka ersätta den typen av regelrätta registerförfattningar genom att i stället reglera verk- samhetsspecifika registerfrågor i anslutning till den nya lagen. Som har framgått talar sakliga skäl med styrka emot detta.

De bestämmelser som finns i sådana författningar om person- dataskydd såsom t.ex. regler om personuppgiftsansvar, sökbegräns- ningar m.m. kommer emellertid att efter hand kunna anpassas för att harmoniera med den nya lagen. Huruvida den nya lagen ska ersätta sådana bestämmelser eller inte får bedömas från fall till fall.

228

Att det även i fortsättningen kommer att finnas renodlade register- författningar utesluter alltså på inget sätt att sådana författningar ”rensas” från dataskyddsbestämmelser varefter författningen bara innehåller de verksamhetsregler m.m. som bör gälla för registret. Sådana bestämmelser som utgör särreglering i förhållande till den av oss föreslagna lagen och som alltjämt anses behövas, skulle då kunna föras in i den till lagen anslutande förordningen. Huruvida en sådan ordning bör tillämpas för ett enskilt register eller om det är mera lämpligt att särregleringen finns kvar i den särskilda register- författningen måste dock avgöras i det särskilda fallet. Vi återkom- mer till detta i avsnitt 19.1.

På motsvarande sätt förhåller det sig beträffande andra typer av författningar som varken är renodlade registerförfattningar eller informationshanteringsförfattningar utan tillhör den kategori författ- ningar som har inslag av bestämmelser om behandling av person- uppgifter bland annan slags reglering. En sådan författning är kamera- övervakningslagen (2013:416). Ett annat exempel är lagen (2001:99) om officiell statistik med anknytande förordning som innehåller särreglering om behandling av personuppgifter i sådan särskild statistikverksamhet som bedrivs av statistikansvariga myndigheter, t.ex. Försäkringskassan och Centrala studiestödsnämnden.

Däremot är det vår ambition att de registerförfattningar som har karaktär av informationshanteringsförfattningar efter hand avveck- las och ersätts av den nya lagen, eventuellt med viss fortsatt sär- reglering i anslutande förordning eller, vid behov, i bilaga till lagen.

Den nya lagen bör alltså inte redan genom ikraftträdandet ersätta några befintliga registerförfattningar. För detta krävs anpassningar som kräver en analys och avvägning av vilka behov av särregler det finns på olika områden och på vilken normnivå dessa särregler i så fall bör ges.

För att få en fungerande omställningsprocess och för att på längre sikt öppna för flexibilitet när det gäller utrymme för att, efter en närmare analys, låta viss reglering helt eller delvis kvarstå eller införas helt åtskild från den samlade regleringen bedömer vi alltså att den nya lagen måste göras subsidiär i förhållande till annan särreglering i lag eller förordning med undantag för personupp- giftslagen och personuppgiftsförordningen. Vi föreslår därför att en sådan bestämmelse tas in i lagen.

229

8.2.4Vilka slags behandlingar och uppgifter bör omfattas av lagens tillämpningsområde?

Förslag: Lagen ska tillämpas vid sådan behandling av person- uppgifter som är helt eller delvis automatiserad. Lagen gäller även för manuell behandling av personuppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av per- sonuppgifter som är tillgängliga för sökning eller sammanställ- ning enligt särskilda kriterier. Tillämpningsområdet motsvarar alltså personuppgiftslagens tillämpningsområde.

En fråga rörande tillämpningsområdet är vilka slags behandlingar som ska omfattas av regleringen. Dataskyddsdirektivet liksom personuppgiftslagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad samt även annan behandling av personuppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (artikel 2 c och 3.1 i direktivet och 5 § PuL). Man brukar beskriva det sist- nämnda med att det syftar på manuella register. Uppgiftsskydds- förordningens tillämpningsområde är i detta hänseende detsamma som dataskyddsdirektivets (artikel 2.1 och 4.4).

Det normala för befintliga informationshanteringsförfattningar är att de i detta avseende har samma tillämpningsområde som personuppgiftslagen. Något skäl till varför den nya lagen skulle av- vika från denna ordning kan vi inte se. Vi föreslår därför en bestäm- melse med en med dataskyddsdirektivet överensstämmande defini- tion av vad för slags behandling som lagen är tillämplig på.

En annan fråga som ibland regleras i registerförfattningar är om även andra uppgifter än personuppgifter ska omfattas av regleringen.

Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 § PuL, se även dataskyddsdirektivet artikel 2). Ibland utsträcks en reglering i en registerförfattning till att även avse uppgifter om avlidna (t.ex. patientdatalagen) eller juridiska personer (t.ex. lagen om behand- ling av uppgifter i Skatteverkets beskattningsverksamhet). Detta har då föranletts av särskilda förhållanden inom de reglerade verk- samheterna.

230

De regler som den nya lagen ska innehålla ska gälla generellt. Det ter sig mot den bakgrunden inte lämpligt att utvidga regle- ringen till att omfatta andra kategorier av registrerade än vad som följer av den unionsrättsliga dataskyddsregleringen. Förslaget till uppgiftsskyddsförordning innehåller ingen förändring på denna punkt i förhållande till dataskyddsdirektivet. De generella bestäm- melserna i lagen bör således endast gälla för behandling av person- uppgifter i den mening som avses i 3 § PuL.

Det är en annan sak att det fortsatt på vissa områden kan finnas anledning att låta vissa särbestämmelser omfatta även uppgifter om avlidna personer eller juridiska personer.

8.3Lagens förhållande till personuppgiftslagen

Som har framgått av avsnitt 7.1.3 anser vi alltså att det inte finns skäl att invänta resultatet av reformarbetet inom EU utan att den nya lagen bör ges en utformning som är förenlig med gällande rätt. Den nya lagen måste därför förhålla sig till personuppgiftslagen. Frågan är på vilket sätt det bör ske.

8.3.1Bakgrund

Tre regleringsmodeller

Enligt 2 § PuL gäller avvikande bestämmelser i annan lag eller för- ordning framför personuppgiftslagens bestämmelser. Personuppgifts- lagen är således subsidiär i förhållande till andra författningar i lag eller förordning.

Vid dataskyddsdirektivets genomförande förutsattes att det skulle finnas ett fortsatt behov, framför allt inom den offentliga sektorn, av sektorspecifik särreglering i särskilda författningar som skulle gälla före personuppgiftslagen. Traditionen från datalagens tid med en generellt tillämplig lag som kompletteras av specifika register- författningar borde därför fortsätta (prop. 1997/98:44 s. 40 f.). Med personuppgiftslagen kom emellertid den lagtekniska konstruktionen för särregleringens förhållande till den generella regleringen i per- sonuppgiftslagen att bli en komplex och omdiskuterad fråga. Olika mer eller mindre parallella lagstiftningsärenden ledde till att det

231

ganska snart efter personuppgiftslagens införande utformades olik- artade konstruktioner. Detta förhållande präglar än i dag register- lagstiftningen och utgör en av delförklaringarna till varför rätts- området kommit att uppfattas som svårtillgängligt. Tre förekom- mande varianter eller modeller kan urskiljas, den kompletterande, den hänvisande och den heltäckande modellen.

De flesta registerförfattningar är utformade i enlighet med den kompletterande modellen. Den tekniken kännetecknas av att sär- regleringen endast kompletterar eller ersätter personuppgiftslagen i frågor som är specifika för de verksamheter som omfattas av särlagstiftningen. Detta innebär att den myndighet som berörs måste tillämpa såväl den särskilda registerförfattningen som person- uppgiftslagen vid sin behandling av personuppgifter. Personupp- giftslagen ska alltså tillämpas om inte annat följer av registerförfatt- ningen eller av föreskrifter som meddelats med stöd av register- författningen. Detta gäller alldeles oavsett om registerförfattningen i fråga innehåller eller inte innehåller någon bestämmelse som anger vilket förhållande som gäller mellan författningen och personupp- giftslagen. Frågan om en viss bestämmelse innefattar en avvikelse från vad som ska gälla enligt personuppgiftslagen får avgöras med tillämpning av sedvanliga metoder för tolkning av författningar (prop. 1997/98:44 s. 115 f.). Trots att det i teknisk mening alltså inte måste regleras att registerförfattningen och personuppgifts- lagen kompletterar varandra på detta sätt innehåller registerförfatt- ningar ofta bestämmelser som ger uttryck för förhållandet till per- sonuppgiftslagen, dvs. det anges på ett eller annat sätt att person- uppgiftslagen gäller utöver registerförfattningen.

Den kompletterande modellen, som alltså är den vanligaste, gäller för bl.a. Arbetsförmedlingen, Centrala studiestödsnämnden, För- säkringskassan, Kriminalvården, Skatteverkets skattebrottsenheter, Totalförsvarets rekryteringsmyndighet samt myndigheter inom hälso- och sjukvården och socialtjänsten. I författningar med denna kon- struktion brukar det uttryckas särskilt hur lagen förhåller sig till personuppgiftslagen, som regel under en särskild rubrik, exempel- vis Förhållandet till personuppgiftslagen eller något liknande, se t.ex. 2 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, 1 kap. 4 § patientdatalagen (2008:355) och 2 § studiestödsdatalagen (2009:287).

232

Även i renodlade registerförfattningar förekommer att förhåll- andet till personuppgiftslagen klargörs genom uttryckliga bestäm- melser. I 3 § lagen om receptregister (1996:1156) och i 2 § lagen (2001:558) om vägtrafikregister finns exempelvis uttryckliga bestäm- melser av innebörd att personuppgiftslagen gäller utöver författ- ningen i fråga. Lagen (2000:224) om fastighetsregister och handels- registerlagen (1974:157) utgör exempel på motsatsen.

Enligt den hänvisande modellen anges i registerförfattningen att den gäller i stället för personuppgiftslagen, om inte annat anges i bestämmelser i registerförfattningen som hänvisar till särskilt ut- pekade bestämmelser i personuppgiftslagen som ska vara tillämp- liga även vid behandling av personuppgifter enligt registerförfatt- ningen i fråga. Även vid den hänvisande modellen måste alltså myndigheten tillämpa såväl den särskilda registerförfattningen som personuppgiftslagen vid sin behandling av personuppgifter. Däremot behöver man inte jämföra bestämmelserna i de båda författningarna för att komma fram till vad som gäller. Den hänvisande modellen används bl.a. i de informationshanteringsförfattningar som gäller för behandling av personuppgifter i Skatteverkets beskattnings- och folkbokföringsverksamhet, Kronofogdemyndighetens verksamhet och i Tullverkets verksamhet. Tekniken används även i bl.a. polis- datalagen (2010:361) och i kustbevakningsdatalagen (2012:145) samt föreslås i en ny lag för personuppgiftsbehandlingen i dom- stolarnas rättskipande och rättsvårdande verksamhet (Ds 2013:10).

Vid registerförfattningar som är konstruerade enligt den hel- täckande modellen är personuppgiftslagen över huvud taget inte tillämplig beträffande den behandling av personuppgifter som reg- leras genom författningen. De bestämmelser i personuppgiftslagen som trots detta ska tillämpas i den aktuella verksamheten upprepas i stället i registerförfattningen, vilket i praktiken innebär ett slags dubbelreglering. Fördelen är att tillämparen inte behöver läsa i två olika lagar – registerförfattningen respektive personuppgiftslagen – för att konstatera vilka bestämmelser som reglerar den aktuella per- sonuppgiftsbehandlingen. Registerförfattningen är således heltäck- ande i det avseendet att den helt ersätter personuppgiftslagen. Denna modell används i lagen (2007:258) om behandling av person- uppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst samt i lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse-

233

och utvecklingsverksamhet. Den heltäckande modellen används också i kameraövervakningslagen (2013:460).

Vissa motivuttalanden rörande regleringsmodell

Man kan fråga sig av vilka skäl det har valts olika lösningar för relationen mellan personuppgiftslagen och den aktuella särregleringen. Något givet svar på den frågan finns dock inte. För- och nackdelar med de olika modellerna har emellertid diskuterats i förarbeten, en diskussion som här kort ska redogöras för.

En av de första informationshanteringsförfattningar som inför- des efter personuppgiftslagens ikraftträdande var dåvarande polisdata- lagen (1998:622) som utformades i enlighet med den komplette- rande modellen. Flera remissinstanser, bl.a. JO, hade i stället för- ordat en mer fullständig lösning med en inarbetning i polisdata- lagen av tillämpliga bestämmelser i personuppgiftslagen. Regeringen avvisade emellertid en sådan lösning och anförde att ett system som upprepar personuppgiftslagens bestämmelser i polisdatalagen och i de övriga registerförfattningar som måste anpassas till personupp- giftslagens bestämmelser skulle bli väldigt tungrott. Regeringen an- såg därför att man borde undvika en dubbelreglering. Däremot framhölls vikten av att behovet av särreglering noga övervägs och att registerlagstiftningen görs så tydlig att det inte råder någon tvekan om vilka regler i personuppgiftslagen som gäller trots sär- regleringen (prop. 1997/98:97 s. 97).

Registerförfattningsutredningen kom strax därefter att, i sina förslag rörande personuppgiftsbehandlingen inom bl.a. skatte-, exekution- och tullväsendet, föreslå en hänvisande modell där det angavs vilka bestämmelser i personuppgiftslagen som skulle vara tillämpliga. Enligt utredningen fanns ett stort värde i att inte lämna lagtillämparen utan vägledning när det gäller tolkningen av vilka be- stämmelser i personuppgiftslagen som är tillämpliga inom de om- råden som regleras i speciallagarna. Utredningen framhöll att även om detta innebär att det är nödvändigt för lagtillämparen att ha personuppgiftslagen till hands, undanröjs en hel del av det merarbete det innebär för denne att gå igenom lagarna parallellt och jämföra olika bestämmelser (SOU 1999:105 s. 204). Lagrådet fann dock i det aktuella lagstiftningsärendet att lagstiftningstekniken var otillfreds-

234

ställande. Den var också enligt Lagrådet riskfylld, med hänsyn såväl till svårigheten att överblicka om dataskyddsdirektivet blir till fullo genomfört i registerlagarna som till möjligheten att, vid kommande lagändringar, hänvisningarna till personuppgiftslagen blir felaktiga eller ofullständiga. Tekniken synes ha tillkommit av hänsyn till myn- digheternas bekvämlighet men detta syfte skulle enligt Lagrådet lika gärna ha kunnat vinnas genom administrativa anvisningar (prop. 2000/01:33 s. 345). Regeringen valde dock, trots Lagrådets invändningar, att använda den av utredningen föreslagna hänvis- ande modellen och anförde, utöver de skäl utredningen hade fram- hållit, att lagen därmed blir överskådlig och tydlig för tillämparen. Den medför också överskådlighet för den enskilde som därigenom lättare kan utnyttja de rättigheter som tillerkänns denne (a. prop. s. 88).

Efter lagstiftningsärendet rörande skatte-, exekution- och tull- väsendet utformades i stort sett alla nya informationshanterings- författningar enligt den kompletterande modellen, frånsett den för Tullverkets brottsbekämpande verksamhet från år 2005. I olika för- arbeten och i utredningsdirektiv uttalade regeringen att de särskilda registerförfattningarna som huvudregel bör gälla utöver person- uppgiftslagen och begränsas till att avse frågor som är specifika för den verksamhet som regleras av lagstiftningen (se t.ex. prop. 2008/09:96 s. 30 f. och dir. 2004:95).

Vid valet av den heltäckande modellen för informationshante- ringsförfattningarna för Försvarsmaktens underrättelsetjänst respek- tive Försvarets radioanstalt framhölls som en viktig faktor att data- skyddsdirektivet inte är tillämpligt på den aktuella personupp- giftsbehandlingen. Det fanns således inte något behov av att kunna överblicka om direktivet blivit korrekt genomfört på det aktuella området (prop. 2006/07:46 s. 45).

Genom den nu gällande polisdatalagen kom den hänvisande modellen att på nytt genomföras i en större reform för dataskydds- regleringen inom polisväsendet. Även kustbevakningsdatalagen är utformad enligt den hänvisande modellen. Inte i något av dessa fall framförde Lagrådet några förnyade invändningar. I allt väsentligt anförde regeringen samma skäl för att välja den hänvisande modellen som i samband med lagstiftningsärendet för skatte-, exekution- och tullväsendet (se prop. 2009/10:85 s. 79 f.). Dessutom anfördes att det är av värde att lagar för myndigheter som i allt ökande

235

omfattning samarbetar är uppbyggda enligt samma lagstiftnings- teknik (jfr lagen om behandling av uppgifter i Tullverkets brotts- bekämpande verksamhet). Liknande argument för en hänvisande lösning anförs i promemorian med förslag till domstolsdatalag (Ds 2013:10 s. 54 f.).

8.3.2Våra överväganden och förslag

Förslag och bedömning: Lagen ska gälla i stället för personupp- giftslagen. Den ska dock särskilt hänvisa till vissa bestämmelser i personuppgiftslagen som ska tillämpas på motsvarande sätt vid myndigheters behandling av personuppgifter enligt den nya lagen. Sådana hänvisningar ska bl.a. göras till bestämmelserna om defi- nitioner och om förhållandet till offentlighetsprincipen.

Det finns ett antal bestämmelser i personuppgiftslagen som över huvud taget inte är aktuella att tillämpa på myndighets- området. Det finns vidare ett antal regler i personuppgiftslagen som visserligen skulle kunna sägas ha relevans även vid myndig- heters behandling av personuppgifter men som ändå inte bör vara tillämpliga vid personuppgiftsbehandling enligt den nya lagen. Det gäller bl.a. den s.k. missbruksregeln i 5 a §, bestämmelsen om personuppgiftsbehandling för direkt marknadsföring i 11 § och bestämmelsen om automatiserade beslut i 29 §.

Förhållandet till personuppgiftslagen

Det är väsentligt att den lagtekniska konstruktionen för hur för- hållandet mellan den nya lagen och personuppgiftslagen ska reg- leras blir ändamålsenlig. I det ligger framför allt en ambition att regleringen ska vara tydlig, lätt att tillämpa och inte riskera att ge upphov till osäkerhet. De redovisade modeller som förekommer bland gällande registerförfattningar är, som framgått, alla förenade med vissa nackdelar. Vi har emellertid inte funnit någon ytterligare regleringsteknik som eliminerar samtliga dessa nackdelar. Någon av de nämnda modellerna bör därför väljas.

Vid valet av modell bör beaktas att lagen kommer att ha en mycket brett tillämpningsområde, i vart fall efter hand. Det är

236

därför ändamålsenligt med en reglering som är så ”självbärande” som möjligt, dvs. som inte i någon större omfattning förutsätter att det ska göras komplicerade analyser av relationen mellan bestäm- melser i den nya lagen respektive personuppgiftslagen. Detta skulle kunna sägas tala för att utforma lagen i enlighet med den heltäck- ande modellen där man alltså inför bestämmelser som motsvarar sådana bestämmelser i personuppgiftslagen som ska vara tillämp- liga. En sådan lösning skulle emellertid bli mycket tungrodd och resultera i en omotiverad dubbelreglering. Till detta kommer att den nya lagen inte syftar till en ny implementering av dataskydds- direktivet på myndighetsområdet utan till att skapa en för myndig- heter bättre anpassad reglering avseende de särförhållanden som inte på ett adekvat sätt kunnat tas om hand genom personupp- giftslagens generella reglering. En heltäckande lag torde vidare göra nödvändiga reformer i samband med införandet av den allmänna uppgiftsskyddsförordningen avsevärt mer komplicerade. En hel- täckande modell bör därför inte väljas.

Vi instämmer i de invändningar mot den kompletterande modellen som framförts genom åren om att det inte sällan uppstår svårig- heter att bedöma vilka bestämmelser i personuppgiftslagen som fortfarande är tillämpliga vid behandling av personuppgifter enligt en informationshanteringsförfattning. Fråga kan t.ex. uppstå huru- vida en bestämmelse i författningen helt eller delvis ersätter en viss bestämmelse i personuppgiftslagen eller om den ”bara” komplette- rar bestämmelsen som alltså fortfarande skulle kunna vara tillämp- lig i och för sig. Det är också svårt att bedöma vilka konsekvenser ändringar i personuppgiftslagen får på tillämpningsområdet för registerförfattningar utformade enligt den kompletterande modellen. Ett exempel är införandet av den s.k. missbruksregeln (5 a § PuL). Enligt den bestämmelsen behöver vissa centrala bestämmelser i per- sonuppgiftslagen inte tillämpas vid behandling av personuppgifter i s.k. ostrukturerat material. I förarbetena till missbruksregeln berördes inte vilka konsekvenser den nya bestämmelsen skulle få för då gällande informationshanteringsförfattningar vars tillämpnings- område omfattar personuppgiftsbehandling i både strukturerat och ostrukturerat material. Ofta har dessa särlagar, såvitt kan förstås av deras förarbeten, utformats med den förutsättningen att exempel- vis de grundläggande kraven i 9 § PuL alltid ska gälla. Det kan alltså konstateras att den farhåga Lagrådet förde fram rörande den hän-

237

visande modellen, om att svårigheter kan uppstå genom att hänvis- ningar blir felaktiga om personuppgiftslagen ändras, har ett slags mot- svarighet beträffande vilka konsekvenser ändringar i personuppgifts- lagen får för registerförfattningar utformade enligt den komplette- rande modellen.

Vi menar att övervägande skäl talar för att den hänvisande modellen är den mest lämpliga lagtekniska konstruktionen beträff- ande den nya lagens förhållande till personuppgiftslagen. Därigenom blir regleringen tydlig och lättillämpad. Vi menar också att den modellen erfarenhetsmässigt skapar bäst förutsättningar för att undvika att oklara rättslägen uppstår. Vidare bedömer vi att den hänvisande modellen är avgjort bäst lämpad för att möta de för- ändringar som kan antas komma att behöva ske som ett resultat av ett införande av en unionsrättslig uppgiftsskyddsförordning.

Vi föreslår därför en bestämmelse som innebär att den nya lagen ska gälla i stället för personuppgiftslagen och att det särskilt hänvisas till vissa bestämmelser i personuppgiftslagen som ska tillämpas på motsvarande sätt vid myndigheters behandling av per- sonuppgifter enligt den nya lagen. Anledningen till uttrycket ”på motsvarande sätt” är att flertalet bestämmelser i personuppgifts- lagen avser situationer då något görs ”enligt lagen” eller så refereras på annat sätt till ”lagen”. Med lagen avses i dessa bestämmelser personuppgiftslagen. Meningen är emellertid att syftningen, i de fall en hänvisning görs från den nya lagen, ska avse den lagen och inte personuppgiftslagen (jfr prop. 2012/13:163 s. 47 f. och 109).

Nedan gör vi vissa allmänna överväganden rörande vissa bestäm- melser som vi föreslår att den nya lagen ska hänvisa till eller som vi föreslår inte ska vara tillämpliga vid behandling av personuppgifter enligt lagen. Beträffande flertalet bestämmelser i personuppgifts- lagen kommer det att i kapitel 9–18 närmare behandlas huruvida vi föreslår hänvisningar eller om ersättande bestämmelser innehåll- ande motsvarigheter till bestämmelser i personuppgiftslagen i stället föreslås. I detta kapitel behandlas bara de bestämmelser som rör mer allmänna frågor eller som inte anknyter till något av de följ- ande kapitlen.

238

Vissa bestämmelser i personuppgiftslagen som bör gälla enligt den nya lagen

I 3 § PuL definieras ett antal begrepp – behandling (av personupp- gifter), blockering (av personuppgifter), mottagare, personuppgifter, personuppgiftsansvarig, personuppgiftsbiträde, personuppgifts- ombud, den registrerade, samtycke, tillsynsmyndighet, tredjeland och tredje man – som har sin motsvarighet i artikel 2 i dataskydds- direktivet. I ett flertal fall används motsvarande begrepp i den nya lagen. Dessa bör ges samma innebörd som i personuppgiftslagen. En hänvisning till 3 § bör därför göras.

I 8 § första stycket PuL anges att bestämmelserna i person- uppgiftslagen inte ska tillämpas i den utsträckning det skulle in- skränka en myndighets skyldighet enligt 2 kap. TF att lämna ut personuppgifter. Detta förhållande följer i och för sig redan av den formella lagkraftens princip, dvs. att grundlag har företräde framför vanlig lag. Det har dock ansetts väsentligt att förtydliga och upp- lysa om förhållandet mellan den grundlagsstadgade handlingsoffent- ligheten och dataskyddsdirektivet (prop. 1997/98:44 s. 46). Bestäm- melsen är alltså inte avsedd att ha någon materiell betydelse.

I registerförfattningar konstruerade enligt den hänvisande modellen brukar hänvisas till att 8 § PuL ska vara tillämplig. Vi anser oss inte ha anledning att närmare gå in på den tidvis mycket omdiskuterade frågan om offentlighetsprincipens förhållande till dataskyddsdirektivet utan konstaterar bara att den svenske lagstift- aren intagit den positionen att tryckfrihetsförordningen i detta hänseende har företräde framför direktivet. Vi bedömer att en hän- visning till bestämmelsen om förhållandet till handlingsoffentlig- heten lämpligen bör göras även i den nya lagen.

Vissa bestämmelser i personuppgiftslagen som inte bör gälla enligt den nya lagen

Det finns ett antal bestämmelser i personuppgiftslagen som över huvud taget inte är aktuella att tillämpa på myndighetsområdet.

Bestämmelserna i 4 § om territoriella tillämpningsområdet är ett exempel. Det säger sig självt att svenska myndigheter är etablerade i Sverige.

239

Undantaget i 6 § för privat behandling av personuppgifter är ett annat exempel på en bestämmelse i personuppgiftslagen som inte är relevant för myndigheter.

Vad därefter gäller 7 § första stycket om förhållandet till tryck- och yttrandefriheten avser detta sådana grundlagsskyddade rättig- heter för medborgarna i förhållande till det allmänna som inte är något som tillkommer eller kan åberopas av myndigheter. Någon sådan hänvisning är alltså inte aktuell.

Av 7 § andra stycket följer att vissa bestämmelser i personupp- giftslagen inte ska tillämpas på sådan personuppgiftsbehandling som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Inom en hel del myndigheter bedrivs onek- ligen journalistisk verksamhet, t.ex. genom personaltidningar eller utgivande av mer publika facktidningar eller facklitteratur. Även litterärt skapande förekommer. På vissa särskilda myndigheter, så- som t.ex. konsthögskolor, statliga eller kommunala teatrar eller museer bedrivs vidare konstnärligt skapande i betydande omfatt- ning. För att undantagen i andra stycket ska kunna tillämpas krävs emellertid att personuppgiftsbehandlingen uteslutande sker för de angivna syftena. Ett sådant ensidigt syfte torde knappast kunna sägas förekomma i verksamhet som en myndighet ansvarar för. Vi anser därför att det inte bör hänvisas till 7 § andra stycket.

Utöver de nu nämnda bestämmelserna finns några ytterligare bestämmelser i personuppgiftslagen som bör behandlas i detta sammanhang.

En sådan bestämmelse är den s.k. missbruksregeln i 5 a §. Enligt paragrafens första stycke behöver 9, 10, 13–19, 21–26, 28, 33, 34 och 42 §§ PuL inte tillämpas vid behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. I andra stycket föreskrivs att sådan behandling som avses i första stycket, dvs. behandling i s.k. ostrukturerat material, inte får utföras om den innebär en kränkning av den registrerades personliga integritet. Myndigheter är inte undantagna från tillämpningsområdet för miss- bruksregeln. Av förarbetena till bestämmelsen framgår emellertid att den motiverats av helt andra skäl än att underlätta myndigheternas informationshantering.

240

Till stöd för att göra undantagen enligt 5 a § har lagstiftaren i huvudsak åberopat artikel 13.1 g i dataskyddsdirektivet om möjlig- heter att göra undantag med hänsyn till skyddet av fri- och rättig- heter. Härmed åsyftas framför allt rätten till yttrandefrihet och informationsfrihet, dvs. rättigheter som enligt 2 kap. 1 § RF tillkom- mer var och en gentemot det allmänna (prop. 2005/06:173 s. 31 f.). Myndigheter kan inte åberopa dessa rättigheter och torde inte ha sådana fri- och rättigheter som avses i artikel 13.1 g dataskydds- direktivet. Man kan därvid fråga sig om det över huvud taget är förenligt med dataskyddsdirektivet att tillämpa 5 a § på myndig- hetsområdet. Från rent principiella utgångspunkter vore det vidare klart otillfredsställande om myndigheterna ägnade sig åt person- uppgiftsbehandling som för att vara laglig skulle behöva rättfär- digas enbart med stöd av undantagsregeln i 5 a §. Utgångspunkten bör tvärtom vara att dataskyddsdirektivets hanteringsregler ska iakttas. Vi kan inte heller se att missbruksregeln generellt sett fyller något egentligt behov för myndigheternas del, bortsett från att man slipper göra vissa rättsliga bedömningar och analyser som annars skulle krävas. Sådana faktorer uppväger dock inte, menar vi, de tungt vägande principiella skäl som talar mot missbruksregelns tillämplig- het hos myndigheterna.

Det kan för övrigt anmärkas att det mesta tyder på att miss- bruksregeln inte kommer att kunna behållas vid införandet av upp- giftsskyddsförordningen. Att för myndigheternas vidkommande ut- mönstra missbruksregeln ligger således helt i linje med vårt uppdrag att skapa en reglering som är väl anpassad till den unionsrättsliga dataskyddsreformen.

Någon hänvisning till 5 a § bör alltså inte göras. I senare avsnitt kommer vi att behandla huruvida det i avgränsade frågor behövs något motsvarande undantag för behandling av personuppgifter som sker i ostrukturerat material.

I 11 § anges att personuppgifter inte får behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den person- uppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling.

Myndigheter ägnar sig inte åt direkt marknadsföring. Däremot förekommer att personuppgifter lämnas ut från en myndighet till en mottagare som avser använda uppgifterna för direkt marknads- föring. En del myndigheter har vidare rätt att i det syftet sälja per-

241

sonuppgifter. Det förekommer att myndigheter för en förteckning över anmälningar från enskilda registrerade som motsatt sig använd- ning för marknadsföringssyfte. Någon möjlighet för myndigheten att med stöd av 11 § vägra lämna ut personuppgifter rörande registrerade som gjort en anmälan till myndigheten enligt 11 § torde i praktiken inte finnas när den som begär ut uppgifterna åberopar 2 kap. TF till stöd för sin begäran om att få ut uppgifterna. Däremot kan sekretess eventuellt föreligga enligt 21 kap. 7 § OSL (beträffande denna paragraf, se avsnitt 11.2). Någon hänvisning till 11 § PuL bör därför inte göras. Det innebär dock, som vi ser det, självfallet inte något hinder mot att myndigheter fortsätter att till- handahålla blanketter och särskild information om möjligheten för registrerade att anmäla att de motsätter sig användning för mark- nadsföringsändamål och att myndigheten fortsätter föra en förteck- ning över sådana anmälningar.

Slutligen ska beröras 29 § PuL om automatiserade beslut. I den paragrafens första stycke föreskrivs att om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verk- ningar för den fysiska personen, grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos personen, ska den som berörs av beslutet ha möjlig- het att på begäran få detta omprövat av någon person. Andra stycket handlar om information som ska lämnas vid beslut som avses i första stycket.

Automatiserat beslutsfattande förekommer i den offentliga förvalt- ningen. Däremot torde det inte förekomma det slags automatiserade beslut som avses i 29 § PuL. I den utsträckning sådana beslut ändå förekommer, följer av grundläggande rättssäkerhetsprinciper inom förvaltningen att besluten kan omprövas respektive överklagas. Vi bedömer att det inte torde förekomma automatiserade beslut av det slag som avses i 29 § som inte går att få omprövade av en befatt- ningshavare. Mot den bakgrunden behövs ingen hänvisning till 29 §.

242

andra statliga förvaltningsmyndigheter, som inte enligt regerings- formen eller annan lag är myndigheter under riksdagen, lyder under regeringen.

I 12 kap. 2 och 3 §§ finns bestämmelser om den statliga förvalt- ningens självständighet. Enligt 2 § får ingen myndighet, inte heller riksdagen eller en kommuns beslutande organ, bestämma hur en förvaltningsmyndighet i ett särskilt fall ska besluta i ett ärende som rör myndighetsutövning mot en enskild eller mot en kommun eller som rör tillämpningen av lag. I 3 § föreskrivs att förvaltningsupp- gifter inte får fullgöras av riksdagen i vidare mån än vad som följer av grundlag eller riksdagsordningen.

Enligt 12 kap. 4 § RF kan förvaltningsuppgifter överlämnas åt kommuner. Denna föreskrift innebär endast en erinran om vad som ändå gäller på grund av 1 kap. 8 § och 8 kap. 2 § första stycket 3 (Holmberg m.fl., kommentaren till 12 kap. 4 § RF).

I 14 kap. finns bestämmelser om kommunerna. Enligt 1 § utövas beslutanderätten i kommunerna av valda församlingar. I 2 § föreskrivs att kommunerna sköter lokala och regionala angelägen- heter av allmänt intresse på den kommunala självstyrelsens grund. Närmare bestämmelser om detta finns i lag. På samma grund sköter kommunerna även de övriga angelägenheter som bestäms i lag.

Närmare om de statliga myndigheterna

I den mån statliga myndigheters verksamhet inte är lagreglerad ankommer det på regeringen att bestämma om detta. Som framgått följer av 12 kap. 1 § RF att huvudregeln är att de statliga myndig- heterna lyder under regeringen. Förvaltningen har således att för- verkliga regeringens politik. Den har en lydnadsrelation till rege- ringen, inte till riksdagen eller medborgarna och inte heller till ett enskilt statsråd. Det är också regeringen som lämnar uppdragen till förvaltningen. Annorlunda uttryckt kan man säga att regeringen delegerar en del av sitt ansvar till myndigheterna. Förutom på det område där förvaltningens lydnadsplikt gentemot regeringen enligt 12 kap. 2 § RF inte gäller, dvs. då det är fråga om ärenden som rör myndighetsutövning mot enskilda eller mot kommuner eller när det gäller tillämpning av lag, är alltså regeringen inför riksdagen ytterst ansvarig för allt som myndigheterna gör (SOU 2007:75

244

s.40). När det gäller samspelet mellan regeringen och myndig- heterna har det ansetts viktigt att betona att förvaltningen också har en legitim rätt att hävda sina ståndpunkter och att den också förutsätts stå för olika värden (a. bet. s. 41).

Regeringen lämnar sina uppdrag till förvaltningen på olika sätt. Det kan ske genom att regeringen inom ramen för sin kompetens enligt 8 kap. RF utfärdar föreskrifter för förvaltningen. I den mån en myndighets uppgifter inte har fastställts i en lag, lägger rege- ringen fast myndighetens uppgifter i en förordning med instruk- tion för myndigheten. Regeringen anvisar vidare medel för myndig- heternas verksamhet inom ramen för riksdagens budgetbeslut enligt bestämmelserna i 9 kap. RF. I regleringsbrev till de statliga myn- digheterna utfärdar regeringen regler om hur dessa medel får an- vändas av myndigheterna. Även regleringsbreven kan innehålla uppdrag från regeringen till myndigheten i fråga. Uppdrag till myn- digheterna kan också ges i särskilda beslut.

Regeringen har bedömt att det för varje förvaltningsmyndighet

–kommittéer och särskilda utredare undantagna – bör finnas en förordning med instruktion för myndigheten (prop. 2009/10:175

s.111 f.). En sådan förordning kan vara gemensam för flera myn- digheter med liknande verksamhet eller för flera myndigheter inom samma förvaltningsområde. I instruktionen bör myndighetens an- svarsområde, uppgifter, ledningsform och andra för myndigheten specifika förhållanden regleras. Instruktionen bör enligt regeringen vara det grundläggande instrumentet i regeringens styrning av myndigheterna. Uppgifter som är tidsbegränsade eller som kan förväntas att ändras inom en närmare framtid liksom uppgifter eller uppdrag där regeringen ser behov av att vara utförlig i beskriv- ningen är exempel på sådant som vanligen däremot inte regleras i instruktionen utan i annat beslut. Sedan 2009 gäller vidare att myn- digheterna i enlighet med förordningen (2000:605) om årsredovis- ning och budgetunderlag i sin årsredovisning ska redovisa och kommentera verksamhetens resultat i förhållande till de uppgifter som framgår av myndighetens instruktion och till vad regeringen, i förekommande fall, har angett i regleringsbrev eller i något annat beslut. Detta innebär att revisionen fortsättningsvis som regel görs med utgångspunkt i myndigheternas instruktion.

Regeringens åtgärder för att lyfta fram myndigheters instruk- tion som basen för den löpande styrningen och återrapporteringen

245

av respektive myndighets verksamhet syftade till att öka inslaget av långsiktighet i styrningen av myndigheterna och därmed skapa en mer ändamålsenlig styrning (skr. 2013/14:155 s. 71). Regeringen har genomfört ett omfattande arbete med att se över merparten av alla instruktioner och regleringsbrev i syfte att renodla använd- ningen av dessa styrinstrument, där instruktionen alltså är det huvudsakliga styrinstrumentet. Detta arbete har lett till att rege- ringens beskrivning av myndigheternas ordinarie verksamhet har minskat väsentligt i regleringsbreven samtidigt som den ökat i myn- dighetsinstruktionerna under åren 2008–2012 (2012/13:KU10 s. 88 och 98 f.).

Närmare om de kommunala myndigheterna

Enligt 2 kap. 1 § KL får kommuner och landsting själva ha hand om sådana angelägenheter av allmänt intresse som har anknytning till kommunens eller landstingets område eller deras medlemmar och som inte ska handhas av enbart staten, en annan kommun, ett annat landsting eller någon annan. Paragrafen innehåller den grundlägg- ande bestämmelsen om kommunernas och landstingens allmänna kompetens, alltså vad de frivilligt får ägna sig åt. Allmänintresset är det ledande motivet för kommunal verksamhet (Lindquist/Losman, Kommunallagen, 14:e uppl., 2013, s. 22 f). För att en angelägenhet ska kunna betecknas som kommunal måste den i någon mening knyta an till kommunens eller landstingets geografiska område eller till medlemmarna. Paragrafen ger därmed uttryck för den s.k. loka- liseringsprincipen. Till områdena för kommuners och landstings allmänna kompetens hör bl.a. elförsörjningen, idrotts- och fritids- anläggningar, folkbildning och kulturverksamhet samt bostadsbygg- ande. Verksamhet som utgör frivilliga åtaganden för kommunerna beslutas av kommunerna själva.

I 2 kap. 4 § KL hänvisas till att det finns särskilda föreskrifter om kommunernas och landstingens befogenheter och skyldigheter på vissa områden. Sådan speciallagstiftning innebär utvidgningar eller undantag i förhållande till de allmänna principerna för kom- munal verksamhet och tar över reglerna i kommunallagen. Särskilda föreskrifter finns bl.a. i lagen (2009:47) om vissa kommunala befogen- heter, den s.k. befogenhetslagen. Den reglerar i flera hänseenden

246

kompetensgränsen mellan stat och kommun. Med särskilda före- skrifter avses också speciallagar som ålägger kommuner och lands- ting att bedriva eller sörja för vissa verksamheter och fullgöra olika uppgifter. För kommunerna gäller det exempelvis förskola, skola, socialtjänst, äldreomsorg, stöd och service till vissa funktions- hindrade, kommunal hälso- och sjukvård, kollektivtrafik, färdtjänst, plan- och byggväsende, räddningstjänst, renhållning/avfallshante- ring, lokal miljötillsyn och livsmedelskontroll, vattenförsörjning och avlopp, bostadsförsörjningsansvar, överförmyndarverksamhet och bibliotek. Obligatoriska uppgifter för landstingen är bl.a. hälso- och sjukvård, tandvård, smittskydd och kollektivtrafik. Ekonomiskt sett utgör kommunernas och landstingens obligatoriska verksam- heter den absolut största delen av deras verksamhet.

I 3 kap. KL finns bestämmelser om kommunernas och lands- tingens organisation och verksamhetsformer. Enligt 1 § ska det i varje kommun eller landsting finnas en beslutande församling; kommunalfullmäktige eller landstingsfullmäktige. I 2 § föreskrivs att fullmäktige i en kommun eller ett landsting ska tillsätta en styrelse. Vidare sägs i 3 § att fullmäktige ska tillsätta de nämnder som utöver styrelsen behövs för att fullgöra kommunens eller landstingens uppgifter enligt särskilda författningar och för verk- samheten i övrigt. Uppgifterna enligt 3 § får också fullgöras genom en för kommuner och landsting gemensam nämnd (3 a §). I 9 och 10 §§ finns bestämmelser om i vilka ärenden som enbart fullmäk- tige är behörig att besluta respektive när fullmäktige kan uppdra åt en nämnd att besluta i dess ställe. I 6 kap. 33–38 §§ KL finns före- skrifter om delegering av beslutanderätt i ärenden inom en nämnds verksamhetsområde.

Enligt 3 kap. 13 § KL har nämnderna en egen beslutanderätt, förutom i de frågor som fullmäktige delegerat till dem, dels i fråga om den egna förvaltningen, dvs. vardagliga beslut i den löpande verksamheten, dels i frågor som de enligt lag eller annan författning ska handha.

I detta sammanhang kan också nämnas att det genom föreskrif- ter i 3 kap. 16 § andra stycket KL ges möjlighet för en kommun eller ett landsting att, under vissa förutsättningar, lämna över vården av en kommunal angelägenhet till ett privaträttsligt subjekt.

247

9.2När får myndigheter behandla personuppgifter?

9.2.1Allmänna dataskyddsrättsliga regler

Dataskyddsdirektivet

Kapitel II i dataskyddsdirektivet innehåller allmänna bestämmelser om när personuppgifter får behandlas. Medlemsstaterna ska inom de begränsningar som bestämmelserna i artiklarna 6–21 innebär, precisera på vilka villkor behandling av personuppgifter är tillåten (artikel 5). Kapitlet är indelat i nio underavdelningar. Avdelning I – Principer om uppgifternas kvalitet – innehåller artikel 6. Avdel- ning II – Principer som gör att uppgiftsbehandling kan tillåtas – innehåller artikel 7. Dessa artiklar ska redovisas mer ingående i det följande. Övriga avdelningar innehåller bestämmelser om bl.a. sär- skilda behandlingskategorier (artikel 8–9), informationsplikt m.m. (artikel 10–12), möjligheter till undantag och begränsningar (arti- kel 13), den registrerades rätt att göra invändningar (artikel 14–15), sekretess och säkerhet (16–17) samt anmälningsplikt till tillsyns- myndighet m.m. (artikel 18–21).

Enligt artikel 6.1 dataskyddsdirektivet ska medlemsstaterna före- skriva att personuppgifter

a.ska behandlas på ett korrekt och lagligt sätt,

b.ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål; senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål. Senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål ska inte anses oförenlig med dessa ändamål förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder,

c.ska vara adekvata och relevanta och inte får omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas,

d.ska vara riktiga och, om nödvändigt, aktuella. Alla rimliga åtgär- der måste vidtas för att säkerställa att personuppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlades in eller för vilka de senare behandlas, utplånas eller rättas,

248

e.förvaras på ett sätt som förhindrar identifiering av den regi- strerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades. Medlemsstaterna ska vidta lämpliga skyddsåtgärder för de personuppgifter som lagras under längre perioder för his- toriska, statistiska eller vetenskapliga ändamål.

Enligt artikel 6.2. åligger det den registeransvarige att säkerställa att punkten 1 efterlevs.

I artikel 7 anges att medlemsstaterna ska föreskriva att person- uppgifter får behandlas endast om

a.den registrerade otvetydigt har lämnat sitt samtycke, eller

b.behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås, eller

c.behandlingen är nödvändig för att fullgöra en rättslig förplikt- else som åvilar den registeransvarige, eller

d.behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade, eller

e.behandlingen är nödvändig för att utföra en arbetsuppgift av all- mänt intresse eller som är ett led i myndighetsutövning som ut- förs av den registeransvarige eller tredje man till vilken uppgift- erna har lämnats ut, eller

f.behandlingen är nödvändig för ändamål som rör berättigade intressen hos den registeransvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana in- tressen uppvägs av den registrerades intressen eller dennes grund- läggande fri- och rättigheter som kräver skydd under artikel 1.1.

Artiklarna 6 och 7 kan sägas bilda den yttre ramen för hur och när behandling av personuppgifter alls får ske. De rättsliga grunderna i artikel 7 är en uttömmande uppräkning av de situationer när en behandling av personuppgifter kan anses vara tillåten. Får uppgift- erna behandlas enligt någon av de rättsliga grunderna i artikel 7, måste emellertid också kraven i artikel 6 följas. Bestämmelserna är alltså kumulativa och utgör de allmänna förutsättningarna för tillåten personuppgiftsbehandling enligt dataskyddsdirektivet. För särskilda

249

uppgiftskategorier, överföring till tredjeland m.m. finns ytterligare begränsningar.

Från de grundläggande principerna i artikel 6.1 får medlems- staterna genom lagstiftning begränsa omfattningen av de skyldig- heter och rättigheter som anges i artikel 6.1 då det är nödvändigt med hänsyn till vissa specifika intressen som anges i artikel 13.1, bl.a. a) statens säkerhet, b) försvaret, c) allmän säkerhet, e) ett viktigt ekonomiskt eller finansiellt intresse hos unionen eller en medlemsstat och g) skyddet av den registrerades eller andras fri- och rättigheter. I övrigt finns inga bestämmelser i dataskyddsdirek- tivet som medger medlemsstaterna att föreskriva undantag eller begränsningar i förhållande till artikel 6.

Vad gäller artikel 7 finns inget motsvarande utrymme för undan- tag genom nationell lagstiftning. EU-domstolen har uttalat att med- lemsstaterna, enligt artikel 5, varken får foga ytterligare principer för tillåtligheten av behandlingen av personuppgifter till dem som nämns i artikel 7 eller föreskriva ytterligare villkor som påverkar räckvidden av artikelns sex principer (dom den 24 november 2011 i förenade målen C-468/10 och C-469/10, ASNEF och FECEMED punkt 32 och 36).

Personuppgiftslagen

Artiklarna 6 och 7 i dataskyddsdirektivet har genomförts i svensk rätt i princip ordagrant genom 9 och 10 §§ PuL. När myndigheter, liksom enskilda, behandlar personuppgifter måste det således ske dels i enlighet med vissa grundläggande krav på behandlingen som föreskrivs i 9 § PuL, dels måste behandlingen kunna hänföras till något av de i 10 § uppräknade fall då det över huvud taget är tillåtet att behandla personuppgifter. De båda bestämmelserna är alltså, liksom motsvarigheterna i dataskyddsdirektivet, kumulativa. Avser behandlingen känsliga personuppgifter eller personnummer eller samordningsnummer finns därutöver ytterligare restriktioner vilka gäller också för myndigheter, se 13–16, 18–19 och 22 §§ PuL.

Om personuppgifter behandlas på så sätt att de inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har struk- turerats för att påtagligt underlätta sökning efter eller samman- ställning av personuppgifter, dvs. behandling i s.k. ostrukturerat

250

material, gäller ett flertal undantag från personuppgiftslagens hanteringsregler, däribland 9, 10 och 13 §§ PuL. Detta följer av den s.k. missbruksregeln i 5 a § enligt vilken bestämmelserna i vissa uppräknade paragrafer inte behöver följas vid behandling av per- sonuppgifter i s.k. ostrukturerat material under förutsättning att behandlingen inte innebär en kränkning av den registrerades per- sonliga integritet. Missbruksregeln, som infördes genom 2006 års ändringar i personuppgiftslagen (prop. 2005/06:173), är fakultativ, inget hindrar att hanteringsreglerna ändå tillämpas.

Närmare om de grundläggande kraven

I 9 § PuL anges alltså de grundläggande krav på behandlingen av personuppgifter som alltid måste vara uppfyllda när person- uppgifter behandlas, även i en myndighets verksamhet, i den mån inte missbruksregeln kan tillämpas. Det är den personuppgifts- ansvarige som ansvarar för att de grundläggande kraven är upp- fyllda. Det gäller även om den faktiska personuppgiftsbehandlingen sker hos ett personuppgiftsbiträde och oavsett om biträdet är en myndighet eller en enskild aktör. Den registrerade anses inte kunna med rättslig verkan ge sitt samtycke till att personuppgifter om honom eller henne behandlas i strid med paragrafen (Öman/Lindblom, s. 194).

Bestämmelserna i 9 § PuL är avsedda att ha samma innebörd som bestämmelserna i artikel 6 i dataskyddsdirektivet. I 9 § första stycket formuleras kraven uppdelade i följande punkter. Den person- uppgiftsansvarige ska se till att

a.personuppgifter behandlas bara om det är lagligt,

b.personuppgifter alltid behandlas på ett korrekt sätt och i enlig- het med god sed,

c.personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,

d.personuppgifter inte behandlas för något ändamål som är ofören- ligt med det för vilket uppgifterna samlades in,

e.de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,

251

f.inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen,

g.de personuppgifter som behandlas är riktiga och, om det är nöd- vändigt, aktuella,

h.alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och

i.personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Punkterna a och b om att personuppgifter får behandlas bara om det är lagligt och korrekt syftar bl.a. på att behandlingen måste kunna hänföras till de rättsliga grunder för behandlingen som anges i 10 § PuL och inte heller i övrigt strider mot någon bestämmelse i personuppgiftslagen eller anknytande föreskrifter. Ordalydelsen utesluter i och för sig inte att annan lagstiftning också åsyftas. Enligt uttalanden i doktrinen kan det framgå av annan lagstiftning, t.ex. brottsbalken eller marknadsföringslagen, när det är olagligt att behandla personuppgifter (Öman/Lindblom, s. 195). Den frågan kan dock ställas vad som egentligen avses med lagligheten som ett grundkrav enligt personuppgiftslagen. Inte minst när det gäller myndigheters behandling av personuppgifter finns en mycket stor mängd författningar utöver personuppgiftslagen som är styrande för informationshanteringen och vars lagenliga efterföljande berörd personuppgiftsansvarig myndighet har ett övergripande ansvar för, oavsett personuppgiftsansvaret. Som exempel kan nämnas reglerna om användningen av hemliga tvångsmedel i 27 kap. RB som utgör en förfarandereglering för hemlig inhämtning av information, vilken givetvis kan innefatta personuppgifter. Det kan te sig naturligt att läsa 9 § första stycket a PuL på så sätt att en hantering av upptagningar från hemliga tvångsmedel som strider mot rätte- gångsbalkens krav också skulle vara i strid mot personuppgifts- lagens grundläggande krav på att personuppgifter bara får behand- las om det är lagligt. Likaså skulle en behandling av personuppgifter som strider mot något förbud mot att röja en sekretessbelagd personuppgift kunna anses olaglig i den mening som avses i 9 § första stycket a PuL.

252

Datalagskommittén ansåg för sin del att det är osäkert om data- skyddsdirektivets krav i artikel 6.1 a på att medlemsstaterna ska föreskriva att personuppgifter ska behandlas på ett korrekt och lag- ligt sätt har någon självständig betydelse. Punkterna a om laglighet och b om korrekthet togs dock med bland de grundläggande kraven i 9 § PuL för säkerhets och fullständighets skull (SOU 1997:39 s. 350). Detta kommenterades inte i propositionen till personupp- giftslagen (prop. 1997/98:44). Det förefaller således inte ha funnits någon klar uppfattning hos den svenska lagstiftaren om vad som egentligen åsyftas med kravet enligt 9 § första stycket a om att personuppgifter ska behandlas lagligt och vilken konsekvensen blir i dataskyddsrättsligt hänseende om t.ex. en myndighet behandlar personuppgifter i strid mot någon bestämmelse i en annan författ- ning än personuppgiftslagen. Detta kan i sin tur ha betydelse för frågan om räckvidden av det skadeståndssanktionerade personupp- giftsansvaret enligt 48 § PuL, dvs. skyldigheten att betala skade- stånd för en kränkning av den registrerades personliga integritet orsakad av en personuppgiftsbehandling i strid med personupp- giftslagen. I vilken mån en sådan skyldighet kan uppstå på grund av att en personuppgiftsbehandling t.ex. strider mot rättegångsbalken och därför inte är laglig även om någon annan bestämmelse i personuppgiftslagen inte överträtts förefaller oklart.

Punkterna c och d anger att personuppgifter får samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål samt att redan insamlade personuppgifter inte får användas för något ända- mål som är oförenligt med det för vilket uppgifterna samlades in, den s.k. finalitetsprincipen. Finalitetsprincipen är en allmän data- skyddsrättslig princip som getts en uttrycklig och central roll i dataskyddsdirektivet och därmed även i personuppgiftslagen, bl.a. genom att finalitetsprincipen konkretiserats till att vara en av de hanteringsregler som den personuppgiftsansvarige ska vara ålagd att följa. Att bestämningen av ändamålet eller ändamålen för insam- ling av personuppgifter sker på ett korrekt sätt i enlighet med punkten c har emellertid betydelse inte bara för vilka efterföljande behandlingar som får ske utan även för de återstående grundlägg- ande kraven i 9 § första stycket. Utan särskilda och uttryckligt angivna ändamål går det knappast att bedöma huruvida person- uppgifter är adekvata, relevanta och inte för många eller lagras för länge osv. Detta därför att sådana bedömningar alltid ska ske i

253

förhållande till det eller de ändamål som personuppgifterna be- handlas för. Ändamålsbestämning och finalitetsprincipen m.m. kom- mer att behandlas mer ingående nedan i avsnitt 9.2.3.

När det gäller punkten i om hur länge personuppgifter får be- varas har den bestämmelsen en tämligen begränsad räckvidd på myndigheternas område eftersom den inte gäller i den mån den inkräktar på myndigheters skyldigheter enligt arkivlagstiftningen att bevara allmänna handlingar, 8 § andra stycket PuL. Däremot gäller punkten i för personuppgifter som ingår i upptagningar som inte utgör allmänna handlingar.

När behandling av personuppgifter är tillåten

Bestämmelserna i 10 § PuL innehåller – liksom artikel 7 i dataskydds- direktivet – en uttömmande uppräkning av de fall då person- uppgifter alls får behandlas. Faller en myndighets personuppgifts- behandling inte in under någon av de rättsliga grunder som anges i 10 § är den alltså otillåten. Det spelar därvid ingen roll om det hand- lar om personuppgifter som direkt pekar ut en registrerad person eller om det handlar om t.ex. s.k. pseudonymiserade uppgifter eller uppgifter som annars endast indirekt kan härledas till den registrerade personen. Det spelar heller ingen roll om det handlar om insamling av personuppgifter för ett visst ändamål eller behandling av redan insamlade uppgifter för ett nytt ändamål. Även om det nya ända- målet inte är oförenligt med det ursprungliga ändmålet och därför uppfyller det grundläggande kravet i 9 § första stycket d, måste den nya behandlingen dessutom omfattas av någon av grunderna i 10 §.

Enligt 10 § PuL är huvudregeln att personuppgifter får behand- las om den registrerade, dvs. den som en personuppgift avser, har lämnat sitt samtycke till behandlingen. Med samtycke avses enligt 3 § PuL varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Behand- ling får också ske om personuppgiftsbehandlingen är nödvändig för att

a.ett avtal med den registrerade ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas,

254

b.den personuppgiftsansvarige ska kunna fullgöra en rättslig skyl- dighet,

c.vitala intressen för den registrerade ska kunna skyddas,

d.en arbetsuppgift av allmänt intresse ska kunna utföras,

e.den personuppgiftsansvarige eller en tredje man till vilken person- uppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller

f.ett ändamål som rör ett berättigat intresse hos den personupp- giftsansvarige eller hos en sådan tredje man till vilken person- uppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränk- ning av den personliga integriteten.

Det kan knappast sägas gälla några skarpa gränser mellan de rätts- liga grunderna i 10 a–e § utan de kan vara överlappande på det sättet att en situation faller in under mer än en punkt. Det är dock i och för sig alltid tillräckligt att en behandling faller in under i vart fall en punkt. Det är alltså fråga om alternativa grunder för behand- ling.

För myndigheter torde framför allt punkterna b, d och e om- fatta sådan personuppgiftsbehandling som behövs i myndigheter- nas verksamheter. Som redan har framhållits torde t.ex. en stor del av den behandling som utförs inom den offentliga sektorn vara tillåten med stöd av punkten e, i vart fall när det gäller en myndig- hets egentliga verksamhet (Öman/Lindblom, s. 239). Det är mer tveksamt om bestämmelsen omfattar behandling som äger rum inom en myndighets interna administration och som exempelvis rör personalfrågor. Sådan behandling kan emellertid vara tillåten enligt någon av de andra punkterna som räknas upp i 10 §. Punkten a om behandling i samband med avtal torde t.ex. kunna aktualiseras hos en personuppgiftsansvarig myndighet när den agerar på det civil- rättsliga området t.ex. i samband med anställningsförhållanden eller vid köp av varor eller tjänster. Punkten c om behandling för att skydda den registrerades vitala intressen torde också kunna aktuali- seras hos vissa myndigheter. I litteraturen har nämnts som exempel situationer i samband med tvångsvård eller vård av medvetslösa eller i räddningstjänsten (Öman/Lindblom, s. 236).

255

I punkten f finns vidare ett slags generalklausul som medger behandling efter en intresseavvägning. För myndigheters del kan konstateras att en behandling av personuppgifter som bedöms tillåten efter den intresseavvägning som ska göras enligt f också torde vara tillåten enligt något av fallen i a–e och i vart fall enligt d, dvs. att en arbetsuppgift av allmänt intresse ska kunna utföras. Punkten f torde därmed normalt sett inte ha så stor självständig relevans vid myndigheters behandling av personuppgifter. Det har dock förekommit att punkten f ansetts tillämplig vid myndigheters behandling av personuppgifter. Exempelvis har olika myndigheters publicering av personuppgifter på internet prövats utifrån en intresseavvägning enligt 10 § f PuL (Datainspektionens beslut 2004- 09-08, dnr 454-2004 och Justitiekanslerns beslut 2007-09-26, dnr 3497-06-40). Högsta förvaltningsdomstolen har vidare i ett fall rörande en kommuns behandling av gymnasieelevers fingeravtryck prövat förutsättningarna för behandling genom en intresseavvägning enligt punkten f (RÅ 2008 ref. 83).

Innebörden av det nödvändighetsrekvisit som föreskrivs för be- handling oberoende av samtycke enligt punkterna a–f kan inte sägas vara helt klar. Rekvisitet innebär emellertid inte att det ska vara faktiskt omöjligt att utföra en arbetsuppgift utan sådan auto- matiserad behandling av personuppgifter som omfattas av person- uppgiftslagen. Enligt Datalagskommittén är nödvändighetsrekvisitet i detta avseende inte uppfyllt om arbetsuppgiften kan utföras nästan lika enkelt eller billigt utan behandling av personuppgifter (SOU 1997:39 s. 359). Domstolsdatautredningen uttalade som sin mening att det sannolikt räcker med att det innebär en påtaglig förenkling för den personuppgiftsansvarige att personuppgifter behandlas på automatiserad väg (SOU 2001:100 s. 90).

Sedan dessa uttalanden gjordes har emellertid EU-domstolen gjort vissa uttalanden om nödvändighetsrekvisitet i artikel 7 i dom den 16 december 2008 i mål C-524/06, Huber. Målet rörde bl.a. tolk- ningen av artikel 7 e – om behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myn- dighetsutövning – i samband med en förbundsstatlig tysk myndig- hets centrala utlänningsregister. Domstolen uttalade att begreppet nödvändighet, såsom det följer av artikel 7 e, inte kan förstås olika från medlemsstat till medlemsstat utan att det är ett självständigt gemenskapsrättsligt begrepp. Det konstaterandet gjordes med beakt-

256

ande av målet enligt artikel 1.1 i direktivet att göra skyddsnivån likvärdig i alla medlemsstater och att syftet med artikel 7 e är att begränsa ett av de fall i vilket behandling av personuppgifter tillåts (punkt 52). I det aktuella fallet gjorde domstolen bedömningen att nödvändighetsrekvisitet var uppfyllt och behandlingen därmed tillåten om registret a) för det första endast innehöll uppgifter som var nödvändiga för myndighetens rättsliga hantering i ett visst av- seende och b) för det andra om den centrala registerföringen medgav en mer effektiv hantering jämfört med om aktuella myn- digheter i stället skulle behöva vända sig till varje kommunalt register där motsvarande uppgifter fanns. Nödvändighetsrekvisitet var dock inte uppfyllt såvitt avsåg personuppgifter som behövdes för statis- tiska ändamål, eftersom det bedömdes räcka med anonyma upp- gifter (punkt 58–68).

Något nödvändighetsrekvisit gäller alltså inte enligt 10 § PuL vid behandling som sker med den registrerades samtycke. Oavsett på vilken grund en behandling är tillåten enligt 10 § måste emeller- tid de grundläggande kraven enligt 9 § följas, t.ex. att inte fler personuppgifter behandlas än vad som behövs för ändamålen m.m.

Bestämmelserna i 10 § PuL om grund för behandlingen hör till det slag av hanteringsregler som inte behöver tillämpas om miss- bruksregeln i 5 a § gäller, dvs. vid behandling av personuppgifter i ostrukturerat material. Detta kan tyckas motsägelsefullt eftersom dataskyddsdirektivet som framgått inte medger undantag från artikel 7 vilken alltså motsvaras av 10 § PuL. Av förarbetena till 5 a § framgår emellertid att bedömningen baseras på att den typ av behandling som omfattas av 5 a § kan antas alltid falla in under bestämmelsen 7 f i dataskyddsdirektivet om tillåten behandling efter en intresseavvägning och att det enligt direktivet är tillåtet för medlemsstaterna att närmare precisera hur den angivna intresse- avvägningen utfaller i olika fall (prop. 2005/06:173 s. 33 f.).

Som redan nämnts finns utöver uppräkningen i 10 § ytterligare restriktioner som träffar myndigheters behandling av speciella upp- giftskategorier, nämligen känsliga personuppgifter samt personnum- mer eller samordningsnummer. Dessa restriktioner berörs mer ingående nedan i avsnitt 9.3. Innebär en personuppgiftsbehandling att uppgifter överförs till tredjeland, dvs. till en stat som inte ingår i EU eller EES, måste också 33–35 §§ följas. Myndigheters över- föring av personuppgifter till tredjeland behandlas i kapitel 12.

257

Förslaget till uppgiftsskyddsförordning

Kommissionen

Kommissionens förslag till uppgiftsskyddsförordning motsvarar i grunden de principer och kriterier för under vilka förutsättningar behandling av personuppgifter är tillåten som anges i dataskydds- direktivet.

Artikel 5 i uppgiftsskyddsförordningen – med rubriken Prin- ciper om behandling av personuppgifter – motsvarar artikel 6 i direktivet, dock med några förändringar. Bland annat finns ett tillägg om att uppgifterna ska behandlas på ett öppet sätt i förhållande till den registrerade (öppenhetsprincipen) och ett klargörande beträff- ande att behandlade uppgifter ska vara begränsade till ett strikt minimum när det gäller de syften för vilka de behandlas; de ska bara behandlas om, och så länge som, syftena inte kan uppnås genom att man behandlar information som inte rör personupp- gifter (uppgiftsminimeringsprincipen). Det har vidare uppställts ett krav på att uppgifterna alltid ska vara aktuella, dvs. inte bara när detta är nödvändigt vilket gäller enligt direktivet. Vidare har ordet ”utplånas” i direktivet ersatts med ordet ”raderas” i kommissionens förslag. Dessutom har beträffande den registeransvariges övergrip- ande ansvar tillagts att ansvaret omfattar efterlevnaden av de olika kraven ”vid varje behandling”. Ytterligare vissa justeringar har gjorts.

Genom artikel 21 i förordningen klargörs unionens eller med- lemsstaternas befogenheter att behålla eller införa begränsningar av de principer som fastställs i artikel 5. Sådan begränsning får dock bara ske om den är en nödvändig och proportionell åtgärd i ett demokratiskt samhälle och syftar till att garantera vissa uppräknade intressen som i stort överensstämmer med de som omfattas av artikel 13 i dataskyddsdirektivet. En viss skillnad gentemot data- skyddsdirektivet synes dock föreligga genom att det i 21.1 c för- ordningen hänvisas till ”andra av unionens eller en medlemsstats allmänna intressen, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland…”. I jäm- förelse med motsvarande bestämmelse i artikel 13.1 e i direktivet tycks alltså begränsningar för ett allmänt intresse inte bara kunna avse ekonomiska eller finansiella intressen även om det är dessa intressen som i första hand avses komma i fråga. I artikel 21.2 i för- ordningen föreskrivs att alla begränsningar enligt 21.1 ska innehålla

258

särskilda bestämmelser åtminstone avseende målen för behand- lingen och fastställandet av den personuppgiftsansvarige.

Artikel 6 i kommissionens förslag – med rubriken När person- uppgifter får behandlas (Lawfulness of processing) – motsvarar artikel 7 i dataskyddsdirektivet men är utbyggd. Samma rättsliga grunder för behandling, punkterna a–f, återfinns även i uppgifts- skyddsförordningen. En skillnad är att det i artikel 6.1 a i förord- ningen uttryckligen anges att den enskildes samtycke måste avse behandling för ett eller flera specifika ändamål. Ett samtycke in blanco till personuppgiftsbehandling för ospecifika ändamål är alltså inte en rättsligt godtagbar grund. Detta har dock redan tidigare an- setts gälla – bl.a. genom definitionen av begreppet samtycke i arti- kel 2 dataskyddsdirektivet om att samtycke ska vara en ”särskild” viljeyttring – och förordningen innebär därvid mest ett klargörande.

När det gäller artiklarna 6.1 c om behandling som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registrerade och 6.1 e om behandling som är nödvändig för att utföra en arbets- uppgift av allmänt intresse eller som utförs som ett led i myndig- hetsutövning som utförs av den registrerade anges i artikel 6.3, att dessa grunder för behandling ska föreskrivas i unionslagstiftningen eller lagstiftningen i den medlemsstat vars lagstiftning den register- ansvarige lyder under. Sådan nationell lagstiftning måste uppfylla ett mål av allmänt intresse eller vara nödvändig för att skydda andras fri- och rättigheter, respektera det väsentliga innehållet i rätten till skydd av personuppgifter och vara proportionell mot det legitima mål som eftersträvas.

En nyhet föreskrivs i artikel 6.4 där det anges att när ändamålet med ytterligare behandling inte är förenligt med det ändamål för vilket personuppgifterna har samlats in, måste behandlingen ha en rättslig grund i minst en av de grunder som anges i artikel 6.1 a–e. Detta ska särskilt gälla eventuella ändringar av förutsättningarna och de allmänna villkoren för ett avtal. Bestämmelsen torde inne- bära en uppmjukning av den s.k. finalitetsprincipen.

Vad gäller artikel 6.1. f om behandling efter en intresseavväg- ning, dvs. den bestämmelse som motsvarar artikel 7 f i direktivet, föreskrivs att den bestämmelsen inte ska gälla för behandling som utförs av myndigheter i deras myndighetsutövning. I den engelska versionen uttrycks detta med ”…carried out by public authorities in the performance of their tasks.” Den svenska lydelsen, som talar

259

om myndighetsutövning i stället för en myndighets uppgifter, ger således ett snävare intryck än den engelska. Det kan nämnas att Artikel 29-gruppen har angett att förändringen eventuellt kan komma att leda till en bredare tolkning av vad som är ett allmänt intresse eller myndighetsutövning alternativt att tolkningen av undantaget från intresseavvägningsgrunden kommer att bli restriktiv (Opinion 06/14 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC s 23).

Artikel 7 – med rubriken Villkor för samtycke – har inte någon motsvarighet i dataskyddsdirektivet. Däri föreskrivs bl.a. att den registrerades samtycke inte ska utgöra en rättslig grund för behand- lingen, om det föreligger en betydande obalans mellan den registre- rades och den registeransvariges ställning (artikel 7.4). Enligt punkt 34 i ingressen till förordningen torde, när den registeransvarige är en myndighet, obalans endast uppkomma vid specifika uppgifts- behandlingar där myndigheten i kraft av sina offentliga befogen- heter kan ålägga skyldigheter och samtycket, med hänsyn tagen till den registrerades intresse, inte kan anses ha lämnats frivilligt.

Europaparlamentet

Europaparlamentet har i sin resolution rörande uppgiftsskydds- förordningen föreslagit vissa ändringar i förordningen.

När det gäller artikel 5 kan nämnas att vad gäller kravet enligt punkten d på att uppgifter ska vara aktuella har parlamentet föreslagit en återgång till att det bara ska gälla om det är nödvän- digt. Vidare har parlamentet föreslagit två nya punkter med krav på personuppgiftsbehandlingen, nämligen att de ska behandlas på ett sätt som ger de registrerade möjlighet att effektivt utöva sina rättig- heter (effektivitet), och att de ska behandlas på ett sätt som medför ett skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse med hjälp av lämpliga tekniska eller organisatoriska åtgärder (integritet). Parlamentet har vidare föreslagit väsentliga ändringar i artikel 21 om möjligheter att lagstifta om begränsningar, bl.a. har man föreslagit att det inte ska vara möjligt för medlemsstater att genom lagstiftning begränsa skyldig- heterna enligt artikel 5.

260

Beträffande artikel 6.3 har parlamentet föreslagit ett tillägg om att medlemsstaterna inom ramen för bestämmelserna i förord- ningen får i nationell lagstiftning reglera detaljer som rör behand- lingens laglighet, särskilt med avseende på registeransvariga, behand- lingsändamål och ändamålsbegränsning, uppgifternas karaktär och de registrerade, behandlingsmetoder och behandlingsförfaranden, mottagare samt lagringstid. Vidare har parlamentet bl.a. förordat en strykning av den av kommissionen föreslagna bestämmelsen i arti- kel 6.4, som delvis rör finalitetsprincipen.

Parlamentet har vidare föreslagit att bestämmelsen i artikel 7.4 om att samtycke inte är en rättslig grund för behandling, om det föreligger en betydande obalans mellan den registrerades och den registeransvariges ställning, stryks.

Några kommentarer

Vad gäller de allmänna förutsättningarna för myndigheters behand- ling av personuppgifter kan konstateras att förordningens bestäm- melser i grunden bibehåller vad som följer av direktivet. De för- ändringar som i detta sammanhang kan påtalas särskilt är dels upp- mjukningen av finalitetsprincipen, dels att behandling efter en intresseavvägning enligt nuvarande 9 § f PuL inte kommer att vara tillämplig vid myndigheters behandling av personuppgifter, i vart fall inte vid behandling som sker i deras myndighetsutövning.

Vilken betydelse i praktiken det skulle innebära för myndigheter att behandlingar för nya men oförenliga ändamål får ske om den nya behandlingen faller in under någon av de rättsliga grunderna för behandling är svårt att bedöma. Helt klart innebär det – från ett dataskyddsrättsligt perspektiv – ett ökat utrymme för nya behand- lingar av redan insamlade personuppgifter. Som vi redan påpekat i olika sammanhang omfattas myndigheternas verksamheter och infor- mationshantering emellertid av annan reglering som sätter gränser för myndigheters aktiviteter, en reglering som delvis leder till samma resultat som den nuvarande finalitetsprincipen varför en sådan för- ändring troligen skulle få en mindre betydelse för myndigheter än för enskilda personuppgiftsansvariga. Det förefaller för övrigt ganska osäkert om kommissionens förslag i denna del kommer att genom- föras.

261

Även när det gäller den andra förändringen, att behandling efter en intresseavvägning enligt punkten f inte kommer att vara tillämp- lig vid myndigheters behandling av personuppgifter, anser vi att det inte är troligt att den förändringen får så stor betydelse för myn- digheter. De övriga rättsliga grunderna för behandling av person- uppgifter oberoende av samtycke täcker, som har framgått, myn- digheters behov av personuppgiftsbehandling i deras verksamheter. Något egentligt behov av att kunna behandla personuppgifter efter en intresseavvägning torde alltså inte finnas.

9.2.2Reglering i registerförfattningar

Registerförfattningar har som redan framgått utformats på olika sätt vad avser bl.a. struktur och begreppsapparat. Det är en täm- ligen stor skillnad mellan det vi kallar renodlade registerförfatt- ningar, som alltså gäller viss registerföring och som ofta handlar om personuppgiftsbehandling som myndigheter ska utföra, och sådana informationshanteringsförfattningar som reglerar vilken personuppgiftsbehandling som myndigheter får utföra inom vissa närmare angivna verksamheter.

Den förstnämnda kategorin kännetecknas av att författningarna inte lämnar så stort utrymme för den personuppgiftsansvariga myn- digheten att göra bedömningar utifrån 9 eller 10 § PuL, i vart fall inte när det gäller myndighetens eget primära handhavande av registret i fråga. Registrets ändamål, vilka personuppgifter som ska samlas in och registreras, hur länge uppgifterna får bevaras m.m., dvs. frågor som annars måste bedömas utifrån de grundläggande kraven i 9 §, är ofta redan reglerade och själva registerföringen är en uppgift för myndigheten som medför sådan nödvändig personupp- giftsbehandling som omfattas av 10 § b (om registret ska föras enligt författningen) eller d eller e (om registret får föras).

Gemensamt för registerförfattningar av den kategori som vi kallar informationshanteringsförfattningar är normalt att det av förarbetsuttalanden eller av direkta hänvisningar till personupp- giftslagen framgår att de grundläggande kraven i 9 § PuL också ska gälla vid behandling av personuppgifter enligt registerförfattningen i fråga medan 10 § ersätts av regleringen i registerförfattningen.

262

9.2.3Särskilt om ändamålsbestämning

Den allmänna regleringen

Dataskyddsdirektivet och personuppgiftslagen

Som har framgått följer av artikel 6.1 i dataskyddsdirektivet och 9 § första stycket c och d och andra stycket PuL att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att senare behandling av redan insamlade personupp- gifter får inte ske för något ändamål som är oförenligt med det eller de ursprungligt angivna ändamålen (finalitetsprincipen).

Det följer av definitionen av begreppet personuppgiftsansvarig i 3 § PuL att det är den personuppgiftsansvarige som har att be- stämma och ange de särskilda ändamålen med behandlingen. Det är en skyldighet att se till att ändamålet eller ändamålen är uttryckligt angivna redan när uppgifterna samlas in. Något hinder mot att ange flera parallella insamlingsändamål finns inte alldeles oavsett om de sinsemellan kan tyckas vara oförenliga. Något rättsligt krav på den personuppgiftsansvarige att nedteckna ändamålen eller ändamålet med behandlingen av personuppgifter finns heller inte (prop. 1997/98:44 s. 63 f.). Bestämmelserna i 23–25 §§ PuL om informa- tion till den registrerade när personuppgifterna samlas in medför dock som regel att ändamålen måste uppges redan när behand- lingen påbörjas. Den personuppgiftsansvarige är därutöver skyldig att uppge ändamålen antingen i anmälan till tillsynsmyndigheten (36 §) eller till var och en som begär en sådan upplysning (42 §) eller i s.k. registerutdrag till den registrerade (26 §).

Enligt personuppgiftslagen krävs vidare att de ursprungliga ända- målen är ”särskilda”. En alltför allmänt eller vagt hållen ändamåls- beskrivning är alltså inte godtagbar. Hur pass detaljerad ändamåls- angivelsen ska vara för att uppfylla lagens krav på att vara särskild kunde enligt Datalagskommittén avgöras i praxis eller genom preci- serande reglering i förordning eller genom Datainspektionens före- skrifter (SOU 1997:39 s. 350).

Ändamålen ska vidare vara berättigade (”legitimate” i direktivets engelska version). I förarbetena till personuppgiftslagen angavs att det rekvisitet infördes närmast för säkerhets och fullständighets skull eftersom det angavs som ett krav i artikel 6 i dataskydds- direktivet. Det är dock, på samma sätt som nämnts ovan beträff-

263

ande kravet på lagenlighet enligt 9 § första stycket a PuL, osäkert om bestämmelsen om berättigade ändamål har någon självständig betydelse. I vilka fall det är berättigat att samla in och behandla personuppgifter följer ju indirekt av personuppgiftslagen.

Finalitetsprincipen – senare behandling av insamlade personuppgifter för nya ändamål

Om en tilltänkt behandling av redan insamlade personuppgifter inte direkt omfattas av de ursprungliga ändamålen måste det prövas om ändamålet med den senare behandlingen är oförenligt med de ursprungliga ändamålen. Detta följer av 9 § första stycket d. Det är genom den bestämmelsen finalitetsprincipen kommer till uttryck. Datalagskommittén (SOU 1997:39) uttalade att vad som är ofören- ligt med de ursprungliga ändamålen får bestämmas genom praxis och de mer preciserade regler som regeringen och Datainspek- tionen kan utfärda (a. bet. s. 351).

Bestämmelsen i 9 § första stycket d PuL medför bl.a. att det är väsentligt att alla de ändamål för vilka man kan tänkas behöva använda insamlade uppgifter finns angivna redan då uppgifterna samlas in. Enligt Registerförfattningsutredningen (SOU 1999:105 s. 253) antydde begreppet ”oförenligt” som sådant att det finns visst utrymme för tolkningen att behandling som sker efter insamlandet inte direkt måste motsvaras av ett från början givet ändamål utan ett visst spelrum torde alltså finnas. Socialdatautredningen resone- rade kring oförenlighetsrekvisitet, i ett ofta åberopat uttalande, genom att anföra att man vid en ”oförenlighetsprövning” bör hypo- tetiskt utgå från hur en registrerad typiskt sett, alltså inte den registrerade i det enskilda fallet, skulle se på saken. Kommer man vid en sådan bedömning fram till att den registrerade rimligen har att räkna med att de insamlade personuppgifterna också får be- handlas för det nya ändamålet, kan det nya ändamålet inte anses vara oförenligt med det ursprungliga ändamålet (SOU 1999:109 s. 160).

Finalitetsprincipen aktualiseras bl.a. då en personuppgiftsansva- rig lämnar ut uppgifter till en annan personuppgiftsansvarig för att användas av denne för något eget ändamål. Mottagarens ändamål får då inte vara oförenligt med utlämnarens ursprungliga ändamål. Om så är fallet strider utlämnarens behandling mot finalitetsprin-

264

cipen. Mottagarens behandling, å andra sidan, torde i så fall kunna strida mot 9 § första stycket a och b PuL om att behandlingen ska vara laglig och korrekt.

I doktrinen har det hävdats att en registrerad inte med rättslig verkan kan samtycka till att personuppgifter behandlas i strid med finalitetsprincipen. Om den registrerade ger sitt samtycke till att redan insamlade personuppgifter används för nya ändamål som är oförenliga med de som var bestämda vid insamlandet, får detta anses jämställt med en ny insamling av personuppgifterna. Det är alltså inte nödvändigt att samla in personuppgifterna en gång till (Öman/Lindblom, s. 204). Artikel 29-gruppen har dock anlagt ett annat synsätt som innebär att inhämtande av särskilt samtycke till behandling för ett nytt ändamål är en omständighet, ett slags kom- pensatorisk faktor, bland flera omständigheter som kan tillmätas relevans när det ska bedömas om den nya behandlingen är oförenlig med det ursprungliga ändamålet eller inte (Data Protection Working Party, Opinion 03/2013 on purpose limitation, 00569/13/EN WP 203, s. 27).

Ändamålsbestämning i registerförfattningar

Allmänt

Utgångspunkten är alltså att det följer av personuppgiftslagen att det är den personuppgiftsansvarige som bestämmer för vilka ända- mål personuppgifter behandlas. I registerförfattningar anges emeller- tid regelmässigt uttryckligen i författningen de ändamål för vilka personuppgifter får behandlas. Regeringen har, bl.a. i motiven till studiestödsdatalagen (2009:287), uttryckt att det i en speciallag som riktar sig mot en särskilt angiven verksamhet faller sig naturligt att direkt i lagen ange för vilka ändamål personuppgifter får behandlas på det mer avgränsade område lagen avser att täcka (prop. 2008/09:96 s. 40.).

Syftet med ändamålsbestämmelser i registerförfattningar är nor- malt att ange en yttersta ram inom vilken uppgifterna får behandlas (se t.ex. prop. 1997/98:97 s. 121, prop. 2000/01:33 s. 99 och SOU 2006:82 s. 178). Ramen gäller alla typer av behandlingar som kan komma ifråga (jfr definitionen av behandling av personuppgifter i 3 § PuL). Ändamålsbestämmelser är därför av central betydelse i dessa för-

265

fattningar. I många registerförfattningar förekommer ändamåls- bestämmelserna under rubriker som ”Ändamål”, ”Ändamålen med behandlingen” eller ”När behandling av personuppgifter är tillåten”.

Preciseringen av ändamål

Ändamålen ska alltså enligt 9 § första stycket c PuL vara särskilda, dvs. ändamålsangivelserna får inte vara alltför allmänt hållna. Det ligger dock i sakens natur att när ändamål regleras genom författ- ningsbestämmelser dessa ofta måste formuleras ganska generellt, det gäller särskilt beträffande det vi kallar informationshanterings- författningar.

När det gäller frågan om vilken grad av precisering som kan krävas har Socialdatautredningen påpekat att viss ledning kan fås av bestämmelserna i 9 § första stycket e och f PuL om att det är ett grundläggande krav att personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behand- lingen samt att inte fler personuppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen. Om inte ändamålet eller ändamålen har en viss grad av precision, kan man knappast bedöma huruvida personuppgifterna är adekvata och relevanta eller för många (SOU 1999:109 s. 156). I motiven till lagen (2001:454) om be- handling av personuppgifter inom socialtjänsten anfördes att ända- målen bör vara så preciserade att förhållandena utgör ett tillräckligt skydd för den personliga integriteten samtidigt som de inte utgör ett hinder vid förändring av verksamheten (prop. 2000/01:80 s. 142). I det lagstiftningsärendet frångick regeringen Socialdatautred- ningens förslag om att de närmare ändamålen skulle bestämmas av personuppgiftsansvarig myndighet. I lagen anges under rubriken När behandling av personuppgifter är tillåten att personuppgifter får behandlas bara om behandlingen är nödvändig för att arbets- uppgifter inom socialtjänsten ska kunna utföras. Lagrådet anmärkte att en sådan bestämmelse framstår som en motsvarighet till 10 § PuL och inte som en ändamålsbestämning, något som Lagrådet ansåg var en brist (a. prop. s. 272). Regeringen fann dock att det var lämpligare att reglera ändamålen i förordning. Den aktuella bestäm- melsen kompletteras därför med att regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om begränsning av

266

tillåtna ändamål. Regeringen har i förordningen (2001:637) om be- handling av personuppgifter inom socialtjänsten meddelat närmare föreskrifter om tillåtna ändamål.

Ändamålsregleringen på socialtjänstens område är dock inte typisk. I de fall det är fråga om en registerlag som kompletteras av bestämmelser i en anslutande förordning är de närmare ändamåls- bestämmelserna oftast intagna på lagnivå och inte i förordning. Skälet till detta torde vara att, mot bakgrund av ändamålsbestäm- ningens centrala roll för persondataskyddet, det sedan länge har ansetts som principiellt viktigt att riksdagen beslutar ändamål för stora och integritetskänsliga personregister. Samma synsätt har präg- lat utformningen av senare decenniers författningar som reglerar personuppgiftsbehandling vid informationshantering i viss verk- samhet och inte bara vid förandet av ett visst register. I en hel del informationshanteringsförfattningar anges i förarbetena att ändamåls- bestämmelserna är den yttre ramen för den tillåtna personupp- giftsbehandlingen inom tillämpningsområdet samt att det förutsätts eller krävs att den personuppgiftsansvariga myndigheten anger mer preciserade ändamål för specifika behandlingar inom den tillåtna ramen. I registerförfattningar förekommer vidare föreskrifter om att regeringen eller den myndighet som regeringen bestämmer får föreskriva begränsningar i förhållande till lagens ändamålsbestäm- melser. Ett exempel är 6 § lagen (2002:546) om behandling av person- uppgifter i den arbetsmarknadspolitiska verksamheten.

Vad gäller innehållet i de specifika ändamål som anges i de olika informationshanteringsförfattningarna skiljer de sig åt beroende på vilken verksamhet som avses. I motiven har normalt gjorts vissa generella uttalanden angående vad som behöver anges i ändamåls- bestämmelserna.

I lagstiftningsärendet angående lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet uttalade Lagrådet att en särskild ändamålsbestämmelse som ger stöd för att uppgifter som behandlas i verksamheten även får behandlas för pla- nering, uppföljning och utvärdering är obehövlig (prop. 2004/05:164 s. 179). Lagrådet ansåg att planering, uppföljning och utvärdering av verksamhet är en integrerad del av själva verksamheten och inte någon fristående aktivitet som behöver regleras särskilt. Behandling av personuppgifter för dessa ändamål får alltså ske utan att det ut- tryckligen framgår av de i lagen angivna ändamålen. Liknande

267

bedömningar har även gjorts i senare lagstiftningsärenden (se t.ex. prop. 2009/10:85: s. 116).

Det förekommer dock att planering, uppföljning och utvärde- ring anges som särskilda uttryckliga ändamål i registerförfattningar, t.ex. i 114 kap. 7 § 5 socialförsäkringsbalken, 3 § andra stycket lagen (2001:617) om behandling av personuppgifter inom kriminal- vården och 2 kap. 4 § 5 patientdatalagen (2008:355). I motiven till patientdatalagen anfördes att behovet av att särskilt ange för vilka ändamål personuppgifter ska få behandlas måste bedömas från fall till fall, med utgångspunkt från bl.a. hur övriga ändamålsbestäm- melser är utformade i den aktuella författningen (prop. 2007/08:126 s. 58 f.). En tydlig ändamålsreglering kräver att ändamålen formu- leras specifikt och med en hög konkretiseringsgrad och till följd härav bör planering, uppföljning och utvärdering, enligt motiven, uttryckligen anges i lagens uppräkning av ändamål. Det kan här nämnas att Patientdatautredningen beträffande ändamålen verksam- hetsuppföljning och kvalitetssäkring anförde att de behövde anges som självständiga ändamål eftersom det i vissa fall kunde före- komma insamling av personuppgifter för dessa ändamål., t.ex. i form av brukarenkäter eller kvalitetsregisterföring, och inte bara sekun- där återanvändning för dessa syften av redan insamlade person- uppgifter för det primära ändamålet vårddokumentation (SOU 2006:82 s. 185 f.).

En registerförfattning kan vidare innehålla dels generella ända- målsbestämmelser avseende all personuppgiftsbehandling inom en viss verksamhet, dels ändamålsbestämmelser som endast avser ett visst register eller databas som regleras i registerförfattningen. Ett exempel är lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet. I lagen särregleras person- uppgiftsbehandlingen i fyra olika databaser, där varje databas har egna ändamålsbestämmelser.

Behandling som är nödvändig eller som behövs

I personuppgiftslagen används dataskyddsdirektivets nödvändighets- begrepp när det t.ex. handlar om att inte fler personuppgifter får behandlas än vad som är nödvändigt med hänsyn till ändamålen liksom beträffande i vilka situationer behandling kan vara tillåten

268

utan den registrerades samtycke (artikel 6 d och 7 b–f direktivet och 9 § f och 10 § a–f PuL). I många informationshanterings- författningar används nödvändighetsbegreppet även i ändamåls- bestämmelser. Det förekommer emellertid också att det i stället anges att personuppgifter får behandlas om det behövs för ett visst ändamål osv. Så är t.ex. fallet beträffande informationshanterings- författningarna för Skatteverkets beskattningsverksamhet och folk- bokföring, Tullverkets tullverksamhet, Kronofogdemyndigheten, Arbetsförmedlingens arbetsmarknadspolitiska verksamhet, hälso- och sjukvården (patientdatalagen) samt Centrala studiestödsnämnden (studiestödsdatalagen). Såvitt kan utläsas av förarbetena finns inga indikationer på att uttryckssättet ”behövs” betydelsemässigt skulle åsyfta något annat än vad som avses med nödvändighetsbegreppet i personuppgiftslagen. I vart fall framgår ingen sådan avsedd skillnad av motiven. I motiven till studiestödsdatalagen har i stället klar- gjorts att med att ”behandlingen behövs” för olika syften avses detsamma som när det i 10 § PuL anges att behandlingen är nöd- vändig (prop. 2008/09:96 s. 134).

Primära och sekundära ändamål

Det förekommer vidare att det i registerförfattningar görs en upp- delning av ändamålen i primära och sekundära sådana. De primära ändamålen avses tillgodose den behandling som behövs i myndig- hetens egna verksamhet medan de sekundära ändamålen tar sikte på myndighetens utlämnande av uppgifter för att tillgodose andras behov. Syftet är således att göra det tydligt hur uppgifterna får användas i den egna verksamheten och i vilka syften de får lämnas ut till andra. Ett utlämnande av personuppgifter som sker som ett led i den egna verksamheten, inte i syfte att tillgodose andras behov, anses vanligtvis omfattas av de primära ändamålen (Sören Öman, Särskilda registerförfattningar, Festskrift till Peter Seipel, s. 699 f.).

De primära ändamålen kan alltså sägas vara styrande för vilka personuppgifter som får samlas in hos myndigheten. I doktrinen har hävdats att relationen mellan de primära och sekundära ända- målen får förstås så att behandling för att lämna ut personuppgifter till annan enligt de sekundära ändamålen bara får avse person-

269

uppgifter som myndigheten samlat in och i övrigt behandlat för sina egna primära ändamål. Att ett utlämnande enligt de sekundära ändamålen endast avser sådana personuppgifter som får behandlas enligt de primära ändamålen framgår ibland av författningstexten i registerförfattningarna. Regleringen i 2 kap. 7 och 8 §§ polisdata- lagen är ett exempel på detta, dvs. att det framgår att behandling för sekundära ändamål bara får avse personuppgifter som redan samlats in för primära ändamål. Detta framgår av att det i 8 §, som reglerar de sekundära ändamålen, uttryckligen anges att personuppgifter som redan behandlas enligt 7 §, dvs. för primära ändamål, även får behandlas när det är nödvändigt för att tillhandahålla information som behövs i annan verksamhet.

Regleringen i 1 kap. 4 och 5 §§ lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet har en annan konstruktion. Där anges det inte att de sekundära ändamålen som listas i 5 § endast avser behandling av uppgifter som redan har samlats in och behandlas av Skatteverket för något av de primära ändamål som anges i 4 §. Enligt denna lagtekniska utformning finns det således inget som i och för sig hindrar att Skatteverket samlar in personuppgifter för ändamål som bara tillgodoser andra aktörers behov så länge som dessa behov återfinns bland de sekundära ändamålen i lagens 1 kap. 5 §. Syftet med regleringen tycks emeller- tid ha varit att de sekundära behoven i allt väsentligt ska avse upp- gifter som Skatteverket redan har samlat in för den egna verksam- hetens behov, dvs. att de sekundära ändamålen avser ett slags åter- användning. På så sätt liknar regleringen den i polisdatalagen, även om detta alltså inte har kommit till uttryck i utformningen av regleringen.

Ytterligare en skillnad i utformningen av ändamålsregleringen i registerförfattningarna är att det dels förekommer uttömmande bestämningar av samtliga ändamål – såväl primära som sekundära – för vilka behandling får ske, dels den varianten att de i författ- ningen angivna ändamålen kompletteras med en möjlighet att vidare- behandla redan insamlade uppgifter även för ändamål som inte är oförenliga med insamlingsändamålet. Skillnaden består således i att lagstiftaren i det senare fallet har gett den personuppgiftsansvariga myndigheten utrymme att själv bestämma kompletterande ”sekun- dära” ändamål. Det är alltså myndigheten själv som måste beakta finalitetsprincipen. Man brukar då tala om att ”finalitetsprincipen

270

tillämpas” men vad som i strikt rättslig mening avses är snarare en tillämpning av bestämmelsen i 9 § första stycket d PuL.

Ändamålsbestämmelser och uppgiftsutlämnande

Särskilt beträffande myndigheters personuppgiftsbehandling genom utlämnande av personuppgifter har finalitetsprincipen varit föremål för diskussion eftersom det inte sällan uppstått osäkerhet kring frågan om förhållandet mellan denna princip, ändamålsbestäm- melser i registerförfattningar och bestämmelser i bl.a. offentlig- hets- och sekretesslagen som föreskriver utlämnande eller medger att uppgifter lämnas ut utan hinder av sekretess. Enligt t.ex. 6 kap. 5 § OSL ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekre- tessbelagd eller det skulle hindra arbetets behöriga gång. Skyldig- heten anses utgöra en precisering av den allmänna samverkans- skyldighet som gäller för myndigheter enligt 6 § FL. Det har ifråga- satts om denna skyldighet står i strid med finalitetsprincipen och därmed dataskyddsdirektivet.

Offentlighets- och sekretesskommittén uttalade i sitt huvud- betänkande Ny sekretesslag (SOU 2003:99 s. 231 f.) att regering och riksdag redan vid personuppgiftslagens tillkomst fick anses ha tagit ställning till att bestämmelsen i 15 kap. 5 § SekrL (numera 6 kap. 5 § OSL) inte strider mot dataskyddsdirektivet. Det beror på att den detaljerade sekretessregleringen avseende integritetskänsliga uppgifter gäller även i förhållandet mellan myndigheter och mellan självständiga verksamhetsgrenar inom samma myndighet, dock att lagstiftaren har infört sekretessbrytande regler som innebär att sekretesskyddade uppgifter under vissa förutsättningar kan lämnas ut till annan myndighet. Kommittén fortsatte (a. bet. s. 232):

Genom denna ordning uppnås samma syfte som man vill åstadkomma genom finalitetsprincipen. Myndigheterna hindras att lämna ut inte- gritetskänsliga uppgifter till andra myndigheter, för ändamål som av lagstiftaren bedömts vara oförenliga med de ändamål för vilka upp- gifterna samlats in. De uppgifter som inte försetts med något sekre- tesskydd eller som omfattas av sekretessbrytande regler har av lag- stiftaren ansetts vara av sådan karaktär att utlämnanden till andra myndigheter, eller, när det gäller sekretessbrytande regler, vissa myn- digheter, inte kan anses vara oförenliga med det ändamål för vilket

271