6 Reglering av brukeller missbruk

Såväl den nuvarande datalagen som EG-direktivet,andra internationella överenskommelser och de flesta andraEU-staters dataskyddslagstiftning bygger på att självahanteringen av personuppgifter regleras. Vi föreslåratt en ny, svensk lagstiftning också skall reglera självahanteringen av uppgifterna och inte bara vad som kan betecknassom ett missbruk av dem. Det förtjänar emellertid övervägasom det inte bör ske en övergång till en sådanmissbruksmodell. Den struktur som EG-direktivet anvisar läggstill grund för vårt lagförslag, när det intefinns särskilda skäl för avvikelser.

6.1 Integritet och effektivitet

Utgångspunkten för vårt arbete skall - enligt utredningsdirektiven - vara att tillförsäkraden enskilde ett fullgott integritetsskydd i IT-samhälletsamtidigt som användningen av ny teknik i samhällsutvecklingen inte skall hämmas.

När det gäller frågan om vilka förhållandensom generellt sett anses utgöra intrång i annans personligaintegritet hänvisas ibland till en av professorn Stig Strömholmupprättad "kränkningskatalog":

1. tillträde till och genomsökande avprivata lokaler eller annan egendom,
2. kroppsundersökning,
3. medicinska undersökningar, psykologiskatest,
4. intrång i en persons privata sfärgenom skuggning, spionerande, telefonterror,
5. ofredande genom företrädare förmassmedierna,
6. olovlig ljudupptagning, fotografering eller filmupptagning,
7. brytande av brevhemligheten,
8. telefonavlyssning,
9. utnyttjande av elektronisk avlyssningsapparatur,
10. spridande av förtroliga uppgifter,
11. avslöjande inför offentligheten avannans privata förhållanden,
12. olika former av utnyttjande av annans namn, bildeller liknande identifieringsmedel,
13. missbruk av annans ord eller meddelanden, och
14. angrepp på annans heder och ära.

Framför allt förfaranden under j), k) ochn) kan avse personuppgifter som behandlas i IT-miljö.

Att den personliga integriteten skyddas innebäri dessa sammanhang att användningen av personuppgifter reglerasoch begränsas. Det står alltså klart att en integritetsskyddslagstiftningmåste hämma användningen av personuppgifter; jumera användningen hämmas, desto starkare blir integritetsskyddet.

Genom att integritetsskyddslagstiftningen görsteknikoberoende blir såväl manuell som automatisk användningav personuppgifter underkastad i princip samma reglering. Ochbeslutet att utnyttja eller inte utnyttja ny teknik blir därmedoberoende av den integritetsskyddslagstiftning som finns rörandeanvändningen av personuppgifterna. Frågan om en teknikoberoendeintegritetsskyddslagstiftning berörs närmare i avsnitt7.

Andra utredningar, t.ex. IT-kommissionen, arbetareller har arbetat för att främja användningen avden nya informationstekniken. Det är givetvis angelägetatt så effektiva och billiga verktyg som möjligt användsför de arbetsuppgifter som behöver utföras i denoffentliga sektorn och inom näringslivet. Vi har gjort entotal översyn av den föråldrade datalagen ochföreslår att den nya lagstiftningen görs teknikoberoende.I dessa hänseenden kan sägas att vårt arbete främjaranvändningen av ny teknik. I övrigt får vi nöjaoss med att försöka utforma en integritetsskyddslagstiftningsom inte mer är nödvändigt hämmar användningenav personuppgifter och därmed utnyttjandet av såvälny som gammal teknik.

Vilken reglering och begränsning av användningenav personuppgifter är då nödvändig föratt skydda den personliga integriteten? Det är till storadelar en fråga som är beroende av rådande värderingari samhället. Sådan användning som enligt dessavärderingar framstår som otillbörliga intrångi annans personliga integritet skall så långt möjligtförebyggas.

När personuppgifter som är felaktiga ellermissvisande används, kan det få svåra konsekvenserför såväl enskilda som verksamheten i samhället.Då kan det bli fråga om direkt mätbara fysiskaeller ekonomiska skador, t.ex. när fel person sättsi fängelse eller fel ben amputeras. Att användningenav personuppgifter leder till sådana direkt mätbaraskador kan givetvis aldrig accepteras; det är därförett oeftergivligt krav att de uppgifter som används ärriktiga och inte missvisande. Men i övrigt - dvs. näri och för sig korrekta personuppgifter används - utgörregleringen av integritetsskyddet en värderingsfråga.

Även med denna utgångspunkt kan man påett mera allmänt och lagtekniskt plan resonera kring vilkenmetod som bör användas för att reglera integritetsskyddet.Det är ett sådant principiellt resonemang som försi detta avsnitt. Våra överväganden beträffandeden närmare nivån på skyddet - dvs. i praktikenvilka begränsningar i användningen av personuppgiftersom bör gälla - kommer att framgå av de följandeavsnitten.

6.2 Olika modeller förregleringen

6.2.1 Hanteringsmodellenoch missbruksmodellen

Man kan på ett principiellt plan tänkasig åtminstone två olika modeller för regleringenav skyddet för den personliga integriteten:

• Reglering av själva hanteringen av personuppgifter(hanteringsmodellen).
• Reglering av sådant utnyttjande av personuppgiftersom kan karakteriseras som ett missbruk (missbruksmodellen).

När man riktar in sig på att reglera självahanteringen av personuppgifter, blir det viktigt med regler somavser t.ex.

• att precisera godtagbara ändamål medhanteringen och hindra användning som inte stämmer överensmed sådana ändamål,
• att inte fler uppgifter än nödvändigthanteras,
• att de hanterade uppgifterna är korrektaoch relevanta,
• att de hanterade uppgifterna inte läckerut från den som hanterar dem och
• att de registrerade kan få kännedomom av vem uppgifterna hanteras och vilka uppgifter som hanteras.

Den nuvarande datalagen och EG-direktivet kan sägasbygga på en sådan modell för skyddet av den personligaintegriteten. Också Europarådets konvention och rekommendationersamt, på det globala planet, OECD:s riktlinjer verkar byggapå hanteringsmodellen. Även den svenska grundlagenkan sägas kräva att det skall finnas en lagstiftningbaserad på hanteringsmodellen, innefattande skydd mot integritetskränkningargenom att personuppgifter registreras (oavsett om de i någonmening missbrukas eller inte).

De som förespråkar den modell som koncentrerarsig på reglering av det som kan karakteriseras som missbrukav personuppgifter, brukar utgå från att självahanteringen av personuppgifterna skall vara i det närmastefri. Det har t.ex. talats om ett slags allemansrätt tillpersonuppgifter. Det viktiga med den modellen blir i ställetatt identifiera vilken användning av personuppgifter somutgör ett sådant missbruk att det bör förbjudas,dvs. i första hand kriminaliseras eller skadeståndsbeläggas.

Båda modellerna har fördelar.

Även om en reglering i enlighet med hanteringsmodellengörs i princip teknikoberoende, är det inte praktisktmöjligt att låta den omfatta all hantering av personuppgifter;hanteringen av sådana personuppgifter som någon harmemorerat ("har i huvudet") bör t.ex. lämnasutanför regleringen, trots att de memorerade uppgifternagivetvis kan komma att användas till skada för den somuppgifterna avser. Missbruksmodellen däremot är heltteknikoberoende och tar sikte på det skadliga utnyttjandetav personuppgifterna oberoende av vilket hjälpmedel som haranvänts vid utnyttjandet (papper och penna, dator, det mänskligaminnet etc.).

Med hanteringsmodellen kan man alltså - tillskillnad från missbruksmodellen - inte komma till rättamed allt missbruk av personuppgifter eller all användningav personuppgifter som enskilda kan tycka är obehaglig ellerskadlig.

Med hanteringsmodellen främjas en kontinuerligtgod hantering av personuppgifter; man begränsar hanteringentill de uppgifter som behövs och hanteringen sker påett ändamålsenligt sätt som den enskilde kan fåinsyn i. Den modellen förutsätter också att detfinns någon sorts kontroll av eller tillsyn över hanteringen.Missbruksmodellen är å andra sidan mera repressiv tillsin karaktär. Där kommer regleringen och tillsynen införst sedan skadan har skett, när missbruket ärett faktum. Det torde med den modellen vara svårt att påett tillräckligt förutsebart sätt reglera och kontrolleraolika "förberedelser" till missbruk.

Den hantering som inte innebär ett missbruklämnas med missbruksmodellen i princip utanför regleringen;där gäller "allemansrätten till personuppgifter".Med hanteringsmodellen regleras däremot i princip ocksåsådan hantering av personuppgifter som objektivt sett måstebetraktas som harmlös. Det kan därför tyckas atthanteringsmodellen spänner över onödigt mycket.Missbruksmodellen lämnar å andra sidan öppet fören hantering av också känsliga personuppgifter somredan genom sin stora omfattning kan oroa många människor.

6.2.2 Valet på långsikt av modell för regleringen

Den svenska datalagen och EG-direktivet, som kanbetecknas som en moderniserad version av datalagen, bygger somframgått av föregående avsnitt på hanteringsmodellen.Denna kännetecknas av långtgående och detaljeradeanvisningar för hur persondata får hanteras. Datalagenstillkomst motiverades av den oro och det obehag med vilken mångaupplevde den begynnande dataålderns nya möjligheteratt behandla personuppgifter. Hanteringsmodellen bygger påett omfattande administrativt system för kontroll och tillsynav att dessa regler upprätthålls. Att skapa ett sådantsystem var högst naturligt på den tid då persondatafanns registrerade i ett antal stora datorer, då antaletsystem var få och lättöverskådliga och detsålunda var realistiskt att tillsynsmyndigheterna skullekunna pröva och kontrollera att datahanterarna följdelagen.

I framtiden kommer dataflödet - även ifråga om persondata - att bli enormt. Redan nu kan vi seatt i stort sett inga spärrar gäller i fråga omvad som läggs in i Internet och som sprids över allagränser. Hittillsvarande erfarenheter från Sverigesäger oss att för endast ungefär 10 procentav alla licenspliktiga personregister har innehavaren söktlicens hos Datainspektionen. Proportionen av laglydiga kan inteväntas bli större när antalet PC-innehavare ökar.

Man skulle kunna tro att det upplevda obehaget skulleha minskat i takt med att kunskapen om och användningen avdatorer ökat och IT-samhället krupit närmare. Emellertidvisar de undersökningar som har gjorts att många människorär negativa eller åtminstone tveksamma till att deraspersonuppgifter används utan att de får reda pådet och utan att de har någon möjlighet till inflytande.De upplever det som obehagligt att deras personuppgifter flödarfritt utom deras kontroll, oavsett om uppgifterna i någonmening missbrukas eller om de själva har råkat ut förnågot negativt på grund av att uppgifterna använts.Det förhållandet att den enskilde har eller inte haregen erfarenhet av datorer verkar enligt de senaste undersökningarnainte ha påverkat inställningen till användningenav personuppgifter eller det upplevda obehaget. Och om åldernalls har någon betydelse, är det så att yngrehittills varit mera negativa än äldre till t.ex. överföringarav uppgifter mellan myndigheter.

En förklaring till dessa iakttagelser kan varaatt det inte är tekniken som sådan utan teknikens möjlighetersom människor är oroliga för. Det väsentligaär vad som registreras och om det kan missbrukas. De storasystemen kan fortfarande - och kanske i växande utsträckning- upplevas som hotande medan de små inte gör det. Oronhandlar troligen om möjligheterna till samkörning, skepsismot myndigheter i allmänhet och mängden information.Det finns en betydande grupp som anser att icke önskvärdkontroll skall hindras. Människor kan dock ha överdrivnaföreställningar om teknikens möjligheter. Inställningenkan vara kluven beroende på vilka uppgifter det ärfråga om. Man är rädd för att andra har uppgifterom den egna personen och saknar den kontroll över uppgifternasom var möjlig när uppgifterna fanns på papper.När man själv kan få nytta av att exempelvis myndigheternahar tillgång till statistiska uppgifter tycker man däremotatt teknikens möjligheter bör utnyttjas.

Problemet är internationellt. Som framkommitvid konferenser i vilka vårt sekretariat deltagit finnsen oro för bl.a. den behandling av personuppgifter som utförsav privata intressenter. Ett exempel är att bankerna samlarpå sig mängder av uppgifter om kundernas betalningsvanor,övertrasseringar etc. Integritetsintrånget utgörsdels av det obehag människorna känner av att bankernavet så mycket, dels av oro för att banken kan tänkasfatta beslut i fråga om exempelvis kreditgivning pågrundval av dess insamlade uppgifter. Ett exempel från USAär att efterfrågan på uppgifter från sjukvårdenär stort. Bland andra försäkringsbolagen ärmycket intresserade av sådana uppgifter för att kunnaagera på grundval av dem.

Reklamföretagen anser att Internet är mycketvärdefullt för deras ändamål. Det finns företagsom samlar in uppgifter om människors beteende på nätet,vilka BBS man använder, vilka tidningsartiklar man har lästosv. Reklamerbjudanden kan sedan riktas till människor pågrundval av dessa uppgifter.

När det gäller Internet görs försökatt bringa verksamheten under kontroll, från östligadiktaturers försök att totalförbjuda användandettill strävanden i USA att bekämpa kriminella handlingarsom utförs på eller med hjälp av nätet. Detefterlyses regler från alla håll. För att kommatill rätta med problemen har föreslagits såvällagstiftning som självsanering. I USA har man gett ut rekommendationersom de seriösa företagen förväntas följa.Avsaknaden av auktorisation och ansvarsregler för dem somlägger ut information på nätet har på sinahåll ansetts göra det omöjligt för seriösaföretag att använda det. Det har sagts att användarnamåste ställa krav på dem som skapar programmenatt göra det möjligt för den enskilde att påett enkelt sätt själv avgöra om han eller hon vill"synas" på nätet eller inte. Om företageninte tillhandahåller detta bör användaren inteanvända produkten.

Den tekniska utvecklingen går nu så snabbtatt det är omöjligt att göra några säkraförutsägelser om framtiden. Kanske kommer det inom ensnar framtid att finnas teknik som gör det möjligt atturskilja och blockera oönskad information på nätet.För närvarande synes det dock i stort sett omöjligtatt bringa Internet under kontroll och försöka upprätthållastrikta krav för hur persondata skall få hanteras pånätet - att försöka hävda att allt ärförbjudet som inte är tillåtet. En stränghanteringsmodell synes för närvarande dömd attmisslyckas såtillvida att den inte kommer att respekterasoch därmed dra ett löjets skimmer över lagstiftningen.Det kan t.ex. uppkomma svårigheter att på ett lagligtsätt behandla frågor om hälsa och sexualliv ien diskussionsgrupp vid en BBS i någon medicinsk fakultet,om diskussionen knyts till personer. Det finns sålunda desom anser att EG-direktivet redan hunnit bli obsolet i detta hänseende,eftersom det bygger på principer som utvecklades innan nätetkom i allmänt bruk. Risken är uppenbar att företagoch till och med myndigheter kommer att bortse från delarav regleringen.

Som ytterligare exempel kan nämnas myndigheternase-post. E-meddelanden i form av löpande text som överförsmellan datorer via nät omfattas av regleringen i EG-direktivet.Det är knappast genomförbart att hindra att e-post medpersonuppgifter, som inte borde få behandlas enligt direktivet,kommer in till myndigheterna. Är de inkomna måste deockså bevaras för att tillgodose offentlighetsprincipen.Föreskrifterna om underrättelse till de registreradevid insamling av personuppgifter blir inte enkla att tillämpai sådana fall. Detsamma gäller hur information skallkunna lämnas till den som vill veta om personuppgifter somrör honom eller henne behandlas i e-posten.

Å andra sidan kan det antas att människoräven i framtiden kommer att ha kvar sin oro för storadatasystem. Det torde därför bli nödvändigtatt behålla en hanteringsmodell, om ock i förenkladform, för stora databaser hos myndigheter och hos företagmed enskilda som klienter eller kunder, t.ex. sjukhus, bankeroch försäkringsföretag. Detta kan ske påså sätt att en datalag enligt hanteringsmodellen gesgenerell giltighet men att undantag görs för nätförbindelser,småföretag och andra som framstår som omöjligaatt kontrollera. Det blir dock svårt både att lagteknisktavgränsa de aktörer som skulle undantas och att i denpraktiska verksamheten tillämpa en sådan avgränsning.Det torde vara lättare att reglera persondatahanteringenhos de aktörer som måste kontrolleras genom att skapasärskilda registerlagar för olika förvaltningsgrenarinom allmän verksamhet, efter mönster av de registerförfattningarsom finns i dag, respektive för olika branscher inom näringslivet.

När det gäller de många smådatasystemen, hos t.ex. skolor, småföretagare, enskilda,och troligen också Internet, synes det däremot hopplöstatt söka kontrollera själva hanteringen av persondata.Den beskrivning av de framtida problemen som lämnats i detföregående ger nästan automatiskt vid handen attdet är utsiktslöst att försöka reglera innehålleti ett otal databaser, annat än för mycket speciellasituationer som t.ex. i fråga om barnpornografi. Närså småningom alla kommunicerar via data blir det intekonstigare med det än med telefonsamtal, brevskrivning viaden allmänna posten eller information via trycksaker. Detkommer att vara mängder av personuppgifter som behandlasi ett sådant system. Vi kan då inte längre hållapå med att strängt reglera själva hanteringenav personuppgifterna. Mycket få skulle rätta sig eftersådana bestämmelser och det kommer inte att finnasresurser att kontrollera att de efterlevs. Tillräckliga resurserskulle för övrigt kunna leda till ett kontrollsamhällesom inte skulle accepteras. Lika gärna skulle man kunna försökakontrollera telefontrafiken (annat än i form av telefonavslyssningvid misstanke om grov brottslighet). Vad man i stället kaninrikta sig på utanför de särskilda registerförfattningarnasram är att förhindra sådan spridning av databehandladepersonuppgifter som den uppgifterna avser med fog kan begäraatt bli skonad från.

Lagstiftningen kan i så fall inriktas påatt inskärpa moralnormer på området snarare änpå en administrativ prövning av befintliga system.När datahantering blir något som ingår i vardagslivet,precis som alla andra tekniker som mänskligheten under århundradenalagt sig till med, kommer det att bli naturligt att motverka dessavarter på samma sätt som vi motverkar avarter påandra områden av mänsklig samlevnad. Som exempel påandra integritetskränkningar kan nämnas misshandel ochhotelser. Påföljder för sådana handlingarär straff och skadestånd. Påföljderna syftarsamtidigt till att upprätthålla normerna (i dessa fallatt man inte får misshandla och hota sina medmänniskor).När vi i Sverige i alla år klarat oss med någrafå centrala bestämmelser om bl.a. förtal och förolämpningbeträffande det tryckta ordet bör en av tekniska skälframtvingad övergång till en motsvarande regleringpå dataområdet kunna fungera.

Självfallet kan olika typer av brott förekommai samband med databehandling. IT-utredningen har i sitt betänkande(SOU 1996:40) Elektronisk dokumenthantering gått igenomolika straffbestämmelser som därvid kan bli tillämpliga.Det kan sägas att bestämmelser som rör traditionellbrottslighet ganska väl låter sig tillämpas ocksåpå förfaranden som sker med automatisk databehandling,utom såtillvida att det ofta är svårt att finnagärningsmannen.

Vad frågan nu gäller är emellertidom det går att ersätta den nuvarande datalagstiftningenom skydd mot otillbörlig behandling av personuppgifter. Enframtida lagstiftning om behandling av personuppgifter utanförden särskilda registerlagstiftningens ram synes börabygga på någon form av skydd för privatlivet.Skyddet bör riktas mot användning av personuppgifter på ett sätt som skadar enskilda personers privatliv.En sådan reglering är visserligen förenad meduppenbara svårigheter, eftersom "vanliga" människorhar mer fog för sina krav på ett fredat privatliv änpersoner som lever i offentlighetens ljus. Det blir inte lättareav att bestämmelser i ämnet också måstetas in i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

Det har framförts förslag till lagregleringav skyddet för privatlivets fred. Integritetsskyddskommitténredovisade tre tänkbara lösningar, hur ett utökatskydd för den enskilde skulle kunna genomföras. Ettförslag innebar att det i tryckfrihetsförordningen ochbrottsbalken skulle tas in en straffbestämmelse om skyddmot kränkningar av privatlivets fred. Därmed skullegärningen bli straffbar även om den begicks av massmedieroch det skulle finnas en möjlighet att få skadestånd.Ett annat förslag var att det skulle införas en möjlighetatt få skadestånd vid ett intrång i privatlivetäven om intrånget inte var straffbart. Det tredje alternativetvar att behålla den nuvarande ordningen dvs. att låtaregleringen ske genom massmediernas självsanerande verksamhet.I det lagstiftningsärende som därefter följde ochsom ledde fram till yttrandefrihetsgrundlagen ansågs detatt man även i fortsättningen skulle lita till den självsanerandeverksamheten.

På senare tid har skyddet för den personligaintegriteten behandlats i bl.a. studien Skyddet för enskildapersoners privatliv (Ds 1994:51). I studien framförs atten viktig metod för att stärka integritetsskyddet kanvara att hindra att känsliga personuppgifter utnyttjas ellersprids på ett inte önskvärt sätt i t.ex.massmedier (s. 173). Vidare diskuteras införandet av en nystraffbestämmelse i tryckfrihetsförordningen och yttrandefrihetsgrundlagentill skydd för privatlivets fred. Sådana bestämmelserfinns i bl.a. Danmark, Finland och Norge samt i Frankrike (seredogörelsen i avsnitt 10.5.3).

Det kan finnas anledning att här nämnaden finländska regleringen eftersom denna, till skillnadfrån den danska och norska, är förhållandevisny; den tillkom 1974. Då infördes en bestämmelsei 27 kap. 3 a § strafflagen med följandelydelse.

Den som utan laga rätt med användande avmassmedium eller på annat liknande sätt om annans privatlivoffentligen sprider uppgift, antydan eller bild, som är ägnadatt orsaka denne skada eller lidande, skall för kränkningav privatliv dömas till fängelse i högst tvåår eller till böter. Som kränkning av privatlivskall icke anses offentliggörande, som gäller personsförfarande i offentlig tjänst eller offentligt värv,i näringslivet eller i politisk verksamhet eller i annanmed dessa jämförbar verksamhet och som är av nödenför behandlingen av någon samhälleligt betydelsefullsak.

Det inses lätt att en generell regel om kränkningav privatlivets helgd kan ge upphov till talrika gränsdragningsproblemoch tillämpningssvårigheter. Det kan inte ingåi vårt uppdrag att överväga ens om det vore önskvärtatt införa en sådan allmän regel, långtmindre hur den i så fall skulle kunna utformas. I och försig finns sådana bestämmelser i olika europeiska ländermen det synes tveksamt om EG-kommissionen kan tänkas accepteraatt sådana regler sätts i stället för detdetaljerade EG-direktivet. Fördelarna och nackdelarna meden sådan regel blir för övrigt desamma vare siginformationen vidarebefordras med data, t.ex. via Internet, ellerexempelvis lämnas muntligen i TV. Den fråga vi ställeross är, om det är möjligt att skilja ut en sådanbehandling av personuppgifter med data som framstår somotillbörlig mot den det berör och därför skullekunna förebyggas med användande av straff eller skadestånd.

Frågan är då vilka missbruk närmarebestämt som bör motarbetas på persondataområdet,dvs. i första hand kriminaliseras eller förknippas medskadeståndspåföljd. I den förut återgivna"kränkningskatalogen" (se ovan avsnitt 6.1) ärde missbruk som är aktuella när fråga ärom persondataskyddet närmast

• spridande av förtroliga uppgifter,
• avslöjande inför offentligheten avannans privata förhållanden och
• angrepp på annans heder och ära.

Av de former för missbruk som sålundaär aktuella när fråga är om persondataskyddetkan först nämnas att spridning av förtroliga uppgifterknappast medför andra problem vid databehandling änvid andra former av kommunikation. Vanligast och kanske ocksåmest skadebringande torde muntlig spridning vara. På dettaområde finns lagstiftning och etiska regler om tystnadsplikt.Några särskilda bestämmelser för databehandlingsynes knappast behövliga.

I fråga om angrepp på annans heder ochära finns regler om förtal och förolämpning.Förtal innebär enligt 5 kap. 1 § förstastycket brottsbalken att utpeka någon som brottslig ellerklandervärd i sitt levnadssätt eller annars lämnauppgift som är ägnad att utsätta denne förandras missaktning. Enligt andra stycket i samma paragraf skalldet dock inte dömas för förtal, om den som lämnatuppgifterna var skyldig att uttala sig eller det annars med hänsyntill omständigheterna var försvarligt att lämnadenna uppgift i saken och han dessutom visar att uppgiften varsann eller han hade skälig grund för den.

Vad som är försvarligt är det kanskemest besvärliga problemet vid tillämpning av bestämmelsernaom ärekränkning. Den frågan får avgörasi varje enskilt fall för sig med beaktande av omständigheterna.

Emellertid torde trots detta reglerna om förtalge ett förhållandevis gott skydd mot missbruk av personuppgifteri datamedier, t.ex. via Internet. Ett problem är visserligenatt upptäcka spridningen på nätet och inte minstatt konstatera varifrån den kommer. Detta problem ärdock inte mindre vid tillämpningen av en hanteringsmodellsåsom i datalagen eller den av oss föreslagna persondatalagen.Värre är kanske det förhållandet att tillskillnad från den nuvarande datalagstiftningen därmyndigheterna övervakar att de persondataansvariga hanterardata i överensstämmelse med lagstiftningen blir deti ett system med straff och skadestånd som sanktioner denenskilde som har att agera, med allt vad detta medför avbesvär och kostnader. Detta kan motivera att polis och åklagarei större utsträckning än för närvarandetillvaratar målsägandens intresse vid förtal.Åklagaren skall väcka åtal för förtalom målsäganden anger brottet och det av särskildaskäl anses påkallat ur allmän synpunkt. Om förtaletskedde genom missbruk av databehandlade personuppgifter bordeåtal kunna i större utsträckning anses vara påkallatur allmän synpunkt. Kanske skulle också under en övergångstiden dataombudsman kunna biträda den enskilde i sådanafrågor.

Vad angår avslöjande inför offentlighetenav annans privata förhållanden, när förtalsbestämmelseninte är tillämplig, torde den enskilde få finnasig i att enstaka sådana uppgifter sprids. Detta ärjust baksidan av att det inte är fråga om förtal.Den enskilde skyddas i viss utsträckning av tystnadspliktsom gäller enligt sekretessreglerna för allmänverksamhet men också enligt särskilda regler förmånga i privat verksamhet som t.ex. läkare och annanvårdpersonal, advokater och banktjänstemän.

Vad man emellertid inte kommer åt med förtalsbestämmelsernaeller regler om tystnadsplikt är sammanställningar avuppgifter om en person, som inte är ägnade att utsättadenne för andras missaktning och som inte heller var försig är hemliga men som ger en så fullständig bildav den berörda att han eller hon rimligen inte skall behövafinna sig i att få sin personlighet utställd pådet viset. Vad det framför allt kan bli fråga om äranvändning av datorer för sammanställning av uppgifterom någon utan dennes samtycke, när uppgifterna rörpersonliga förhållanden som inte är av allmäntintresse.

Mot sådana sammanställningar skyddas nuden enskilde av datalagen och de stränga förutsättningarsom enligt Datainspektionens föreskrifter och villkor gällerför samkörning av dataregister. Som förut framhållitstorde dock i framtiden en sådan kontroll bli omöjligutanför de särskilda registerförfattningarnas område.Ett generellt förbud mot samkörningar kommer inte hellerbli möjligt att tillämpa. Det följer redan av atten enda PC kan rymma ett praktiskt sett oändligt antal uppgifteroch att någon uppdelning av sådana uppgifter påolika register knappast kan anses föreligga.

Vad som skulle kunna övervägas ärett skydd mot spridning av sammanställningar av uppgiftersom inför offentligheten avslöjar enskildas personligaförhållanden. En bestämmelse skulle i såfall kunna införas i 4 kap. brottsbalken (Om brott motfrihet och frid). Diskussionsvis skulle följande regel kunnaskisseras.

Den som med automatisk databehandling sammanställeruppgifter om annans privata förhållanden och spriderdem dömes, om det innebär olägenhet för denandre att uppgifterna blir kända, för olovlig dataspridningtill böter eller fängelse högst sex månader.Det sagda skall dock inte gälla om den som sprider uppgifternaär skyldig att uttala sig eller det annars med hänsyntill ett allmänt intresse är försvarligt att uppgifternasprids.

Olägenhet skulle då också innefattadet obehag som någon med fog kan känna om alltförmycket av hans eller hennes privatliv prisges till allmänheten.Försvarligt att lämna uppgifterna skulle det vara ibetydligt vidare omfattning än vid förtalsbrottet. Försvarlighetsrekvisitetskulle innefatta en avvägning mellan den enskildes anspråkpå ett skyddat privatliv och exempelvis behovet av att kunnabelysa offentliga personers privatliv som bakgrund till exempelvisderas förmåga att sköta sina uppgifter.

Olovlig dataspridning skulle i så fall ocksåutgöra tryckfrihetsbrott och yttrandefrihetsbrott.

En modell sådan som den nu skisserade skullefungera i stort sett som det nuvarande systemet för sanktionermot tryckfrihetsbrott. Endast sporadiskt och i särskilt flagrantafall skulle det bli fråga om åtal och rättegång.Det måste antas att regleringen skulle utgöra en basför pressens och etermediernas självsanerande verksamhetoch därför i allmänhet bli respekterad i massmedier.Detsamma gäller självfallet offentlig verksamhet. Inäringslivet och bland enskilda skulle troligen informationenflöda fritt. Systemet skulle genom sin frihet medföralångt mindre kostnader än nuvarande reglering. Samtidigtskulle det inte på något sätt motsvara det behovav skydd mot ansamling av personuppgifter som många människorkänner.

6.2.3 Valet nu av modellför regleringen

Enligt vår mening bör man vid valet avregleringsmodell ta stor hänsyn till allmänhetens inställning.Det förhållandet att många människor kännerobehag inför en viss hantering är i en politisk demokratiett starkt argument i sig för att reglera den hanteringen.Samma bedömning verkar för övrigt ha gjorts i deflesta EU-stater, vilka har lagstiftning efter hanteringsmodellen,och av EU i och med att EG-direktivet antogs. Härtill kommeratt Sverige genom sitt medlemskap i EU är skyldig att genomföraEG-direktivet, vilket bygger på hanteringsmodellen.

De förhållandena att flera internationellaöverenskommelser bygger på hanteringsmodellen och attflera länder, särskilt i vår närhet, harlagstiftning som bygger på den modellen har betydelse ocksåpå ett annat sätt. Internationaliseringen ökarsamtidigt som den nya tekniken gör det möjligt att blixtsnabbthämta eller flytta uppgifter över hela jordklotet. Ien sådan miljö ligger det ett betydande värdei sig i att lagstiftningen i olika länder är likartad.Kan Sverige inte erbjuda samma skydd vid hanteringen av personuppgiftersom andra länder, kan dessa försöka hindra attsådana uppgifter förs över till Sverige. Pådetta sätt kan användningen av ny teknik i Sverige hämmas.Även om det för interna svenska förhållandenskulle finnas skäl att övergå till en missbruksmodellkan det således - oavsett Sveriges internationella åtaganden- ändå vara mest ändamålsenligt att görasom de flesta andra länder för att trygga det fria flödetav information över gränserna.

En naturlig grund för människors oro förbehandlingen av personuppgifter är risken för att deuppgifter som finns skall vara felaktiga, vaga eller subjektiva.Ett grundläggande krav på datahantering är därförkravet på datas kvalitet. Det är den som behandlarpersonuppgifter som har bevisbördan för att uppgifternaär korrekta och han eller hon måste alltså kunnahänvisa till källor för uppgifterna som ärgodtagbara. EG-direktivet ställer stränga krav påuppgifternas kvalitet. Sådana krav är ett naturligtled i en hanteringsmodell. Även om de självfallet börtillämpas även i en missbruksmodell är det lagteknisktsvårare att reglera dem där.

Som framgår av föregående avsnittfinns det enligt vår mening ändå mångaskäl - framför allt att det inte är ändamålsenligtatt reglera en hantering som snart sagt varje medborgare kan hållapå med t.ex. i vardagsrummet - för att hanteringsmodelleni en framtid måste överges åtminstone såvittangår små datasystem och verksamheten på Internetoch liknande. Som också framgått tror vi dock attdet kommer att dröja innan tiden är mogen för enövergång till missbruksmodellen. Den oro människoralltjämt känner för teknikens möjlighetermåste respekteras. Övriga EU-stater måste ocksåvinnas för tanken på en sådan övergång.

Övervägande skäl talar därförför att en ny, teknikoberoende lagstiftning om skydd förden personliga integriteten vid behandling av personuppgifteri dagens situation bör bygga på hanteringsmodellenoch reglera när och under vilka förutsättningardet är tillåtet att behandla personuppgifter. Vi önskaremellertid samtidigt att diskussionen om en övergångtill missbruksmodellen skall fortsätta. Inte minst närdet gäller att inom EU:s institutioner vinna gehör fören sådan tankegång gäller det att vara tidigtute. Vi förordar att arbetet drivs vidare i lämpligaformer. Vid lämplig tidpunkt bör Sverige ta initiativtill en persondatalagstiftning av mer modernt snitt. Eftersomenhetligheten inom EU bör bevaras, bör detta initiativi första hand avse tillskapandet av ett nytt EG-direktiv.

6.3 Den lagstiftningsstruktursom EG-direktivet anvisar

EG-direktivet, som Sverige har att genomföraoch vilket bygger på hanteringsmodellen, kan sägasanvisa en struktur för lagstiftningen. Direktivet byggerpå ett antal huvudprinciper från vilka medlemsstaternahar möjlighet - och i vissa fall skyldighet - att inom givnaramar föreskriva undantag; vad medlemsstaterna har att göraär, som det står i direktivet (artikel 5), att inomden ram som direktivet drar upp närmare precisera påvilka villkor behandling av personuppgifter är tillåten.Bland huvudprinciperna kan nämnas:

• Behandling av personuppgifter är bara tillåteni sex uppräknade fall.
• Behandling av känsliga uppgifter ärförbjuden.
• Den enskilde skall alltid få informationom den behandling som sker och på begäran kunna fåtillgång till sina uppgifter och rättelse, om uppgifternaär felaktiga eller missvisande.
• All automatisk behandling av personuppgifterskall anmälas i förväg till en tillsynsmyndighet.

Sverige har varit ett föregångsland ifråga om lagstiftning på den personliga integritetensoch databehandlingens område. EG-direktivet får sessom ett resultat av den utveckling som bl.a. Sverige inspirerat.Den nivå på skyddet för den personliga integritetensom direktivet syftar till får anses vara väl såhög som den svenska lagstiftningens. Härtill bidrarnaturligtvis att utgångspunkten för kontinental ochanglosachsisk rätt när det gäller myndigheternashandlingar är sekretess medan den nordiska utgångspunktenär öppenhet.

Direktivet har visserligen kommit till ståndefter en lagstiftningsprocedur som till stora delar ägt ruminnan Internet och e-post kommit i allmänt bruk. Den tekniskautvecklingen har sålunda under tiden sprungit ifrånlagstiftarna. Som direktivet nu är föranleder det kritikfrån olika håll och har till och med kallats obsolet.

Goda skäl talar därför för attdirektivet bör ses över och kanske till och med arbetasom i väsentliga hänseenden, efter de riktlinjer vi tidigareförespråkat. Det kan emellertid förutses att enöversyn och än mer en omarbetning kommer att ta avsevärdtid i anspråk och säkerligen långt mer ände tre år under vilka vi som EU-medlemmar är skyldigaatt genomföra direktivet. Härtill kommer att den svenskadatalagen är än mer föråldrad än EG-direktivetoch snarast bör ersättas. Reglerna i direktivet ärsäkerligen lika goda som varje annan just nu tänkbarutformning av hanteringsmodellen. Som vi anfört förutbör vi i dagens läge välja en sådan modell.Detta innebär visserligen att en persondatalag som nu kommertill stånd kanske måste omarbetas inom en tidsramav fem till tio år. Att lagar på områden medså hisnande snabb utveckling som IT-området i vissmening är en förbrukningsvara är dock någotvi måste lära oss att leva med.

Sverige driver med skärpa kravet på öppenhetäven inom EU:s ramar. Offentlighetsprincipen är djuptrotad i svensk rätt och är grundlagsfäst sedanmer än tvåhundra år. Ett övergivande avden kommer inte i fråga. Att med hänsyn till EG-direktivetom personuppgifter införa begränsningar i grundlagarnakan vi inte tänka oss. I enlighet med vad som anförsi avsnitt 9 kan emellertid EG-direktivet förenas med offentlighetsprincipen.EG-direktivet kan också - i enlighet med vad som anförsi avsnitt 10 - förenas med grundlagsreglerna om tryckfrihetoch yttrandefrihet.

EG-direktivet, som således inte är oförenligtmed några väsentliga grundlagsfästa svenska intressen,bör därför i enlighet med Sveriges förpliktelsersom EU-medlem införlivas i svensk rätt. På någonpunkt, där det är uppenbart att verkligheten i formav en snabb teknisk utveckling sprungit ifrån de förutsättningarunder vilka direktivet tillkom, synes det möjligt att genomen rimlig tolkning av direktivet undvika en rättstillämpningsom annars skulle kunna te sig absurd. När det sedan gällersjälva tekniken för genomförandet kan följandesägas.

Det är visserligen i formell mening sant attett EG-direktiv anger vissa mål eller resultat som skalluppnås eller förverkligas i samtliga EU-länderoch att varje stat själv får välja hur detta skallgenomföras. I praktiken är dock detta en sanning medmodifikation. EG-domstolen kräver nämligen att den formsom en medlemsstat väljer för genomförande effektivtsäkerställer en fullständig tillämpning avdirektivet på ett tillräckligt klart och precist sätt,i syfte att i de fall då direktivet syftar till att skaparättigheter för enskilda så skall de berättigadekunna få full kännedom om sina rättigheter ochkunna vid behov utnyttja dem inför de nationella myndigheterna.Mot bakgrund härav har domstolen underkänt försökatt åberopa exempelvis administrativa åtgärdersom tillräcklig form för genomförande av direktivav lagstiftningskaraktär.

Otvivelaktigt innehåller EG-direktivet om personuppgifterbestämmelser som ger medborgarna rättigheter i frågaom integritetsskyddet. Direktivet måste därförgenomföras i form av lagstiftning. Vi ser oss inte någonmöjlighet att i lagtext återge direktivets innehålli annan form än en nära efterbildning av direktivetstext och struktur, med de förbehåll som föranledsav ett fasthållande vid grundläggande svenska intressen.Det finns vidare fördelar i sig med att EU-ländernamed sina många inbördes kontakter har en såvittmöjligt likartad lagstiftning.

Sammanfattningsvis anser vi således att dennya svenska lagstiftningen i stort bör följa den struktursom EG-direktivet anvisar och att avvikelser bör görasbara när det finns särskilda skäl till det. I avsnitt12.1 berörs lagstiftningstekniken i övrigt.

Denna sida är gjord av Sören Öman och senast uppdaterad 1997-04-02.