In English, please

Sammanfattning

Den nuvarande datalagenreglerar användningen av personregister. Med personregister förstås register, förteckning eller andra anteckningarsom förs med hjälp av automatisk databehandling (ADB)och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Avgörande för frågan om datalagen överhuvudtaget är tillämplig på ett register är således huruvida registret förs med ADB eller inte. Register som förs med hjälp av annan teknik än ADB faller i dag utanför datalagens tillämpningsområde.

För varje register skall finnas en registeransvarig. Därmed förstås den för vars verksamhet personregistretförs, om han förfogar över registret. Såvälfysiska som juridiska personer och myndigheter kan vara registeransvariga.Med att förfoga över ett register avses närmasten befogenhet att överföra registrets innehålltill läsbar form. En registeransvarig måste ocksåkunna påverka innehållet i registret genom att tillföraeller ändra de uppgifter som ingår i registret föratt anses förfoga över det.

Personregister får inrättas och förasendast av den som efter anmälan har fått licens avDatainspektionen. En sådan licens berättigar den registeransvarigeatt föra ett eller flera personregister.

För vissa register, som bedöms innebärasärskilda risker för otillbörligt intrångi enskilds personliga integritet, krävs utöver licensäven ett särskilt tillstånd från Datainspektionen.

Tillstånd behövs i regel för attinrätta och föra ett personregister som innehåller

1. känsliga personuppgifter,
   
2. omdömen om den registrerade,
   
3. uppgifter om personer som saknar sådan anknytningtill den registeransvarige som följer av medlemskap, anställning,kundförhållande eller något därmed jämförligtförhållande samt
   
4. personuppgifter som inhämtats frånnågot annat personregister (s.k. samkörning).

En grundläggande förutsättning föratt Datainspektionen skall kunna ge tillstånd att inrättaoch föra personregister är att det inte finns anledningatt anta att registeringen medför otillbörligt intrångi de registrerades personliga integritet.

Finns det anledning anta att personuppgifter skallanvändas för ADB i utlandet, får uppgifterna lämnasut endast efter medgivande av Datainspektionen. Sådant medgivandefår lämnas endast om det kan antas att utlämnandetav uppgifterna inte kommer att medföra otillbörligtintrång i personlig integritet. Något medgivande behövsdock inte, om personuppgifter skall användas för ADBenbart i en stat som har anslutit sig till Europarådetskonvention om skydd för enskilda vid ADB-behandling av personuppgifter.

I datalagen finns allmänna bestämmelserom gallring av personuppgifter.

Datainspektionen utövar tillsyn över attautomatisk databehandling inte medför otillbörligt intrångi registrerads personliga integritet.

Har förande av personregister medfört ellerkan antas medföra otillbörligt intrång i personligintegritet kan Datainspektionen meddela villkor eller, om rättelseinte på annat sätt kan åstadkommas, förbjudafortsatt förande av personregister eller återkallameddelat tillstånd.

Datainspektionens beslut får överklagashos regeringen genom besvär.

Datalagsutredningens förslag

• Personregisterbegreppet, som har gett upphovtill en hel del tolkningsproblem, slopas. Den nya datalagen blirtillämplig på behandling av personuppgifter. Med behandlingförstås varje åtgärd som vidtas med personuppgiftergenom ADB. Vissa undantag görs från huvudregeln, bl.a.tas ordbehandling och behandling som sker uteslutande förpersonligt bruk undan från lagens tilllämpningsområde.
• Det blir lättare att avgöra vem somär registeransvarig, persondatansvarig enligt utredningensterminologi, i system som används av flera. Endast den ärpersondataansvarig som bestämmer ändamålet medbehandlingen, vilka personuppgifter som skall behandlas och hurde skall behandlas.
• Systemet med licens och tillstånd avskaffas.Trots olika försök att rationalisera tillståndshanteringenoch begränsa antalet tillståndsärenden ärarbetet med dessa ärenden så omfattande att Datainspektioneni stort sett inte hinner ägna sig åt några inspektionerute på fältet. Den uteblivna tillsynen medfören bristande respekt för datalagens regler. Det kan t.ex.nämnas att det f.n. finns omkring 50 000 meddelade licenser.Enligt utredningens beräkningar hade antalet bort vara mellan500 000 och 1 milj.
• De resurser som frigörs genom att systemetmed licens och tillstånd avskaffas skall användas fören intensifierad tillsyn, särskilt inspektioner ute påfältet. En sådan tillsyn är enligt utredningensuppfattning det bästa sättet att upprätthållaett gott integritetsskydd.
• En förutsättning för att man skallkunna övergå till ett renodlat tillsynsförfarandeär att datalagen ger en så utförlig regleringsom möjligt av de förutsättningar som gällerför ADB-hantering av personuppgifter. Det nuvarande begreppetotillbörligt intrång i personlig integritet, som aldrighar kunnat ges ett någorlunda preciserat innehåll,avskaffas. I stället införs regler för de olikamomenten i informationsbehandlingen. I den nya datalagen finnsbestämmelser om bl a den nödvändiga anknytningentill ett ändamål, förutsättningarna förbehandling av personuppgifter, vilka personuppgifter som fårbehandlas, formen för samtycke från den enskilde, säkerhetoch gallring.
• Regleringen i den nya datalagen skall kunna kompletterasmed bestämmelser som utfärdas av Datainspektionen ochsom avser olika branscher eller sektorer.
• Ett system med anmälningsskyldighet förvissa persondataansvariga införs. En anmälan skall görastill Datainspektionen när vissa känsliga uppgifter behandlasmed ADB. Anmälningarna skall ligga till grund för Datainspektionenstillsyn. Anmälningsförfarandet blir betydligt enklareoch riktar sig mot betydligt färre persondataansvariga ändet nuvarande tillståndssystemet.
• Liksom i dag skall personuppgifter få ADB-behandlasbara för bestämda ändamål. ändamåletskall dock enligt utredningens förslag anges med störreprecision än enligt nuvarande datalag. Möjligheternabegränsas att använda personuppgifter som samlats inför ett ändamål för andra ändamål.
• I den föreslagna lagen anges i sex olikapunkter de alternativa grunder som ger rätt att ADB-behandlapersonuppgifter. En av grunderna är samtycke från demsom berörs av behandlingen.
• När den enskildes samtycke behövs fören viss ADB-behandling skall det vara ett uttryckligt samtycke.Passivitet eller s k konkludent handlande kommer inte att varatillräckligt.
• För känsliga personuppgifter, t.ex.politisk uppfattning, sjukdom, hälsotillstånd ellerolika slags omdömen, kommer särskilda regler att gälla.Enligt dessa bestämmelser får de känsliga uppgifternaADB-behandlas bara om, när samtycke inte föreligger,det finns särskilt stöd i författning förbehandlingen. Det kommer att behövas åtskilliga sådanaförfattningar, särskilt på den offentliga sidan.
• I några paragrafer i den föreslagnadatalagen ges sådant särskilt författningsstödi fråga om behandling av känsliga uppgifter påforskningsområdet och hos arbetsgivare. Dessa bestämmelseranger alltså de förutsättningar som måsteföreligga för att känsliga uppgifter, utan samtyckefrån de berörda enskilda, skall få ADB-behandlasför forskningsändamål och i förhållandetmellan arbetsgivare samt arbetstagare och arbetssökande.På forskningsområdet avses bestämmelserna tillgodoseden viktiga registerforskningen.
• En uttrycklig regel om förbud för denpersondataansvarige att ADB-behandla personuppgifter fördirektreklamändamål i strid med den enskildes önskantas in i datalagen.
• Särskilda regler införs i datalagensom klargör hur de intressen som följer av tryckfrihetsförordningenoch yttrandefrihetsgrundlagen skall avvägas mot integritetsintressena.
• Vid gallring av personuppgifter som utgörallmän handling hos myndigheter kan integritetsintressenakomma i konflikt med intresset att bevara uppgifterna, t.ex. förframtida användning inom forskningen. En särskild bestämmelsei utredningens förslag till datalag anger hur den avvägningenskall ske.
• Bestämmelserna i den gällande datalagenom överföring av personuppgifter till utlandet förADB-behandling av uppgifterna där har berörts i detföregående. Enligt utredningen förslag skall överföringutan särskilt medgivande kunna ske till en stat som visserligeninte har anslutit sig till Europarådets konvention men somhar ett integritetsskydd som motsvarar det som följer avkonventionens regler. Den nya bestämmelsen bör fåganska stor praktisk betydelse.
• Datainspektionens beslut skall i fortsättningenöverklagas till domstol, inte som i dag till regeringen.

Förslaget till EG-direktiv

åtskillig diskussion om hur integritetsskyddetskall vara utformat har förekommit i anslutning till dettidigare utkastet till direktiv från Kommissionen och EG-parlamentetsbehandling av detta utkast. Fortfarande förekommer inom EG,såvitt man kan bedöma, oenighet om hur ett framtidadirektiv skall vara utformat. Detta har bl.a. lett till att tidsplanenför antagandet av direktivet har förskjutits. Enligtföreträdare för Kommissionen kommer Minsterrådettroligen inte att kunna ta slutlig ställning till förslagetförrän sommaren 1994. I den debatt som förts efterdet Kommissionen presenterade sitt reviderade förslag i oktober1992 har vissa bl.a. pekat på den s.k. subsidiaritetsprincipen.Vidare kan nämnas att vid Europeiska Rådets mötei Edinburgh den 11­12 december 1992 Kommissionen förklaratatt den avser att revidera ett antal förslag i syfte attgöra dem mindre detaljerade. Sett i ljuset av att samtligamedlemsländer snart kommer att ha nationella dataskyddslagaroch anslutit sig till Europarådets dataskyddskonventionhar det från vissa håll ifrågasatts om behovetav att anta direktivförslaget kommer att kvarstå.

Redovisningen i det följande bygger pådet nuvarande direktivförslagets lydelse.

Direktiv som beslutas av behöriga EG-organ ärbindande i fråga om det resultat som skall uppnåsmen överlämnar åt medlemsländerna att väljaform och metod för detta.

I förslaget till EG-direktiv har man beaktatden utveckling på dataskyddsområdet som har skettoch förslaget bygger på de integritetsskyddslagar ochden internationella reglering som har kommit fram under de senasteåren. I förhållande till den svenska datalageninnefattar direktivförslaget i en hel del hänseendenen önskvärd skärpning av reglerna för integritetsskyddet.Av dessa och andra skäl, särskilt det intensifieradeeuropeiska samarbetet, har utredningen eftersträvat attfå i huvudsak samma regler för integritetsskyddet somde som kan komma att gälla inom EG. Utredningens förslagtill materiella regler för dataskyddet ligger ocksånära motsvarande bestämmelser i direktivförslaget.Det gäller bl.a. sådana frågor som ändamålsanknytningoch byte av ändamål, förutsättningar förbehandling av personuppgifter, hur samtycke från den enskildeskall lämnas, vilka personuppgifter som får behandlas,säkerhet, gallring och regleringen av känsliga personuppgifter.

Vissa avvikelser förekommer emellertid i förhållandetill förslaget till EG-direktiv. Som har nämnts i detföregående skall datalagen i motsats till vad som gällerenligt direktivförslaget även i fortsättningenbara reglera sådan informationshantering som sker med hjälpav ADB. Såvitt utredningen känner till är nämligenvarken omfattningen av eller innehållet i den manuella registreringenav någon betydenhet och innebär inte några merapåtagliga integritetsrisker. Vidare berör en del föreskrifteri direktivförslaget den svenska offentlighetsprincipen. Debestämmelser i förslaget till EG-direktiv som reglerarutlämnande av personuppgifter tillåter enligt utredningeninte något utlämnande enligt offentlighetsprincipen.Ett utlämnande av personuppgifter med stöd av offentlighetsprincipen kan heller inte anses förenlig med det sätt påvilket ändamålet för en viss ADB-behandling skallanges enligt direktivförslaget. Förslaget till EG-direktiv påverkar vidare principen i tryckfrihetsförordningen att en sökande som begär att få ut en handlinghar rätt att vara anonym. Slutligen innehåller intedirektivförslaget något undantag från huvudregelnom gallring som gör det möjligt att bevara personuppgifter med hänsyn till offentlighetsprincipen. I de hänseendensom nu har nämnts innebär utredningens lagförslagavvikelser från det föreslagna EG-direktivet föratt offentlighetsprincipen skall lämnas orörd.

Avvikelser i förhållande till förslagettill EG-direktiv förekommer också när det gällerinformtion till den enskilde och underrättelser till dataskyddsmyndigheten.

Kraven på information till den enskilde ärlångtgående. Enligt direktivförslaget skall denenskilde ha rätt att på begäran bli informeradom förekomsten av en viss ADB-behandling och om olika uppgiftersom hänför sig till ADB-behandllingen. När en persondataansvariglämnar ut personuppgifter skall vidare den enskilde varspersonuppgifter det är fråga om i princip underrättasom utlämnandet. Tanken bakom dessa bestämmelser i direktivförslagetär att den enskilde skall bli medveten om att personuppgiftersom rör honom ADB-behandlas och kunna göra sin rättigheterenligt dataskyddslagstiftningen gällande. Ett iakttagandeav bestämmelserna skulle emellertid innebära en betungandeinformationsskyldighet för de persondataansvariga och enganska betydande byråkratisering av kontrollsystemet.

Utredningen har kommit till den slutsatsen att deskäl som från integritetssynpunkt talar för denangivna ordningen inte är tillräckligt starka föratt väga över den byråkrati som skulle bli följden.Utredningen har då också beaktat att det finns godamöjligheter till insyn genom andra regler i den föreslagnadatalagen och i sekretesslagen. Liksom i dag kommer den enskildeatt få möjlighet att kontrollera om uppgifter som hänförsig till honom är föremål för ADB-behandlingoch, om så är fallet, att kontrollera om uppgifternaär riktiga, fullständiga och aktuella. Information omvilka känsliga personuppgifter som ADB-behandlas kan manvidare få hos Datainspektionen. Den persondataansvarigeskall nämligen, innan han får börja att behandlasådana personuppgifter, göra en anmälan till Datainspektionenom ADB-behandlingen. Slutligen finns i sekretesslagen särskildaregler om dokumentationsskyldighet beträffande datasamlingarsom en myndighet har tillgång till. Reglerna syftar tillatt tillgodose allmänhetens intresse av överblick överoch orientering i det ADB-material som finns hos myndigheterna.

När det gäller underrättelser tilldataskyddsmyndigheten är utgångspunkten i förslagettill EG-direktiv att all ADB-behandling skall anmälas. Vadsom får tas undan från anmälningsskyldighetenär vissa slag av behandling som inte menligt påverkarde enskildas integritet. Åtgärder för att göraundantag från anmälningsskyldigheten förutsätterdataskyddsmyndighetens medverkan.

Utredningen konstaterar att, även om mångaundantag görs från huvudregeln om anmälningsskyldighet,det finns en betydande risk för att ett mycket stort antaldatasamlingar måste anmälas till dataskyddsmyndigheten,bl.a. beroende på den höga takten i datoriseringenhär i landet. Antalet kan bli så stort att den överblicköver den integritetskänsliga databehandlingen som dataskyddsmyndighetenbör ha helt går förlorad. De åtgärdersom behövs för att göra undantag från anmälningsskyldighetenkommer vidare att innebära en betydande belastning pådataskyddsmyndigheten. Utredningen har sammanfattningsvis kommittill den slutsatsen att det sätt på vilket avgränsningenav anmälningsskyldigheten har gjorts och det förfarandeför att göra undantag från anmälningsskyldighetensom anges i direktivförslaget är förenade medså betydande olägenheter att någon harmoniseringmed förslaget till EG-direktiv inte bör ske i dennadel. I stället har i den nya datalagen anmälningsskyldighetenavgränsats på samma sätt som tillståndspliktenenligt den gällande datalagen, dvs. det anges uttryckligeni lagen vilken behandling som måste anmälas till Datainspektionen.Anmälningsskyldigheten har begränsats till att avseADB-behandling av i sig känsliga personuppgifter.

Även i övrigt görs i olika frågor avvikelser från direktivförslaget.

Den nya datalagen är avsedd att träda i kraft den 1 januari 1995.