Personuppgiftslagen
Betänkande 1998/99:KU15
Konstitutionsutskottets betänkande
1998/99:KU15
Personuppgiftslagen
Innehåll
1998/99
KU15
Sammanfattning
I detta betänkande behandlar utskottet ett antal motioner från allmänna motionstiden 1998 som rör frågor om personuppgiftslagen (1998:204) och andra integritetsfrågor.
Genom personuppgiftslagen har i svensk lagstiftning genomförts Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.
Utskottet konstaterar att den genomgripande datoriseringen bl.a. har medfört att många enskilda personer i dag har hemsidor på World Wide Web och kommunicerar i mer eller mindre personliga sammanhang via Internet. Internet har även kommit att bl.a. användas som ett allmänt debattforum och vid handelstransaktioner. Mycket av den användning av personuppgifter som förekommer i dessa sammanhang får enligt utskottets mening betraktas som harmlös och självklar. EG-direktivets generellt verkande hanteringsregler omfattar emellertid även sådan användning av personuppgifter.
Vidare uttalar utskottet, såsom anförs i flera motioner, att siktet bör vara inställt på att åstadkomma en teknikoberoende lagstiftning till skydd för den personliga integriteten. Utskottet finner därför anledning att, i likhet med vad som gjordes vid personuppgiftslagens införande, framhålla att EG-direktivet i dag får anses omodernt. Enligt utskottets mening måste en revidering av direktivet ske.
Utskottet föreslår, med bifall till tre motioner, att riksdagen ger regeringen till känna att den med kraft bör verka inom EU för att en revidering sker av EG-direktivet. Vidare föreslår utskottet med anledning av flera motioner ett tillkännagivande till regeringen med innebörd att en översyn av personuppgiftslagen bör komma till stånd med syfte att, så långt det är möjligt inom EG-direktivets ram, åstadkomma en förändring av lagstiftningen i riktning mot ett regelverk som tar sikte på missbruk av personuppgifter.
Regeringen har gett Datainspektionen i uppdrag att närmare utreda behovet av att göra undantag från förbudet i 33 § personuppgiftslagen mot överföring av personuppgifter till tredje land när det gäller dels överföringar från offentligt register för att tillgodose kommuners intresse av att sprida information, dels överföringar av personuppgifter som typiskt sett inte innebär några risker för de registrerade eller det annars mot bakgrund av allmänhetens intresse att sprida och inhämta information framstår som angeläget att undantag görs, särskilt i samband med behandling av personuppgifter på t.ex. Internet. Datainspektionen har nu avlämnat sitt förslag, som kommer att remissbehandlas. Utskottet utgår från att regeringen därefter - inom de ramar som EG-direktivet uppställer - genomför de förändringar som krävs för att motverka de problem med personuppgiftslagens utformning som regeringsuppdraget avsåg att komma till rätta med, förändringar som kan behöva gå längre än vad Datainspektionen föreslagit. Utskottet uttalar att regeringen naturligtvis är oförhindrad att, om så krävs, föreslå riksdagen förändringar i personuppgiftslagen. Vidare utgår utskottet från att förändringar genomförs skyndsamt. Mot denna bakgrund finner utskottet inte anledning att för närvarande begära någon ytterligare åtgärd från regeringens sida i detta avseende.
En reservation (mp) har fogats till betänkandet i fråga om definitionen i personuppgiftslagen av begreppet manuellt register. Till betänkandet har också fogats ett särskilt yttrande, (fp) och (mp), om förhållandet till offentlighetsprincipen.
Motionerna
1998/99:K231 av Helena Bargholtz m.fl. (fp) vari yrkas
5. att riksdagen hos regeringen begär förslag till ändringar i personuppgiftslagen vad avser samtycke vid namns nämnande,
1998/99:K234 av Per Unckel m.fl. (m) vari yrkas
1. att riksdagen hos regeringen begär förslag till en ny integritetsskyddslagstiftning i enlighet med vad som anförts i motionen,
2. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om att regeringen bör ta initiativ till och med kraft verka för en revidering av EG-direktivet om skydd för enskilda personer med avseende på behandling av personuppgifter.
1998/99:K249 av Rigmor Ahlstedt (c) vari yrkas att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om att en översyn görs av personuppgiftslagen.
1998/99:K256 av Margit Gennser (m) vari yrkas
1. att riksdagen beslutar utforma övergångsbestämmelser i enlighet med vad som anförts i motionen,
2. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om utformningen av ny personuppgiftslag,
3. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om utredningsarbetet gällande ny personuppgiftslag.
1998/99:K257 av Per Bill och Sten Tolgfors (m) vari yrkas att riksdagen hos regeringen begär förslag till en missbruksbaserad integritetsskyddslagstiftning att snarast möjligt ersätta personuppgiftslagen i enlighet med vad som anförts i motionen.
1998/99:K272 av Peter Eriksson och Per Lager (mp) vari yrkas
1. att riksdagen hos regeringen begär förslag till sådan ändring i person-uppgiftslagen att klarhet skapas i fråga om personuppgifter etc. i enlighet med vad som anförts i motionen,
2. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om att regeringen bör ta initiativ inom EU för att göra undantag för s.k. allmänna handlingar.
1998/99:K277 av Carina Hägg (s) vari yrkas att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om behovet av skydd för den personliga integriteten i samband med introduktion och användning av ny informationsteknologi.
1998/99:K282 av Sten Tolgfors (m) vari yrkas
7. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om en ändring av personuppgiftslagen.
1998/99:K317 av Ingvar Svensson m.fl. (kd) vari yrkas att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om behovet av att den nya personuppgiftslagen ses över.
1998/99:K324 av Göran Magnusson m.fl. (s) vari yrkas
1. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om intensifierade åtgärder i syfte att åstadkomma en modern och teknikoberoende integritetslagstiftning till skydd för den personliga integriteten,
2. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om att regeringen bör ta initiativ till att med kraft verka för en revidering av EG-direktivet om skydd för enskilda personer med avseende på behandling av personuppgifter.
1998/99:T803 av Gudrun Schyman m.fl. (v) vari yrkas
8. att riksdagen hos regeringen begär förslag till en utredning angående förutsättningarna för att ge Datainspektionen en ny roll i enlighet med vad som anförts i motionen,
9. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om att inrätta en datadomstol.
1998/99:T808 av Sven Bergström m.fl. (c) vari yrkas
9. att riksdagen hos regeringen begär förslag till en ny integritetslag som skall ersätta personuppgiftslagen (i enlighet med vad i motionen anförts),
10. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om ett integritetsdirektiv,
1998/99:T809 av Johnny Gylling och Amanda Grönlund (kd) vari yrkas
3. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om att utarbeta ett lagförslag som syftar till att reglera missbruk av personuppgifter oberoende av vilket medium som används.
1998/99:T818 av Carl Bildt m.fl. (m) vari yrkas
9. att riksdagen beslutar om ändring i personuppgiftslagen (1998:204) i enlighet med vad som anförts i motionen.
1998/99:N326 av Per Westerberg och Göran Hägglund (m, kd) vari yrkas
3. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om en mindre byråkratisk datalagstiftning,
Förslag om utskottsinitiativ
Åsa Torstensson (c) har begärt att konstitutionsutskottet tar initiativ till en översyn av personuppgiftslagen för att se vilka förändringar som måste göras för att traditionella yttrandefrihetsprinciper inte skall sättas åsido.
Moderata samlingspartiet har begärt att konstitutionsutskottet skall ta initiativ till en beredning av frågan om en översyn av personuppgiftslagen.
Offentlig utfrågning
Utskottet har den 8 december 1998 hållit en offentlig utfrågning med anledning av utskottets behandling av de nu aktuella motionerna och förslagen om utskottsinitiativ. Utskrift från utfrågningen har fogats till betänkandet som bilaga.
Utskottet
En ny personuppgiftslag
Allmänt
Den 16 april 1998 beslutade riksdagen att anta regeringens förslag om en ny personuppgiftslag (prop. 1997/98:44, bet. 1997/98:KU18, rskr. 1997/98:180, SFS 1998:204). Personuppgiftslagen ersätter datalagen (1973:289). Genom personuppgiftslagen genomförs Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Personuppgiftslagen trädde i kraft den 24 oktober 1998.
Kort om innehållet
Huvudpunkterna i personuppgiftslagen är:
- Människor skall skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter.
- Till skillnad från datalagen omfattar den nya lagen inte bara automatiserad behandling av personuppgifter utan i vissa fall även manuella register.
- Lagen gäller inte vid behandling av personuppgifter som ett led i en verksamhet av rent privat natur.
- Bestämmelserna i lagen tillämpas inte i den utsträckning det skulle strida mot grundlagsbestämmelserna om tryck- och yttrandefrihet i TF och YGL eller inskränka offentlighetsprincipen enligt 2 kap. TF.
- I princip tillämpas lagen inte heller på journalistisk, konstnärlig eller litterär verksamhet.
- Om det i annan lag eller i en förordning finns bestämmelser som avviker från personuppgiftslagen, gäller de bestämmelserna i stället.
- Det gamla systemet med licens och tillstånd avskaffas. Ansvaret för att behandling av personuppgifter sker på ett lagligt sätt läggs i första hand på den som behandlar sådana uppgifter. Datainspektionen utövar tillsyn över att personuppgiftslagen efterlevs.
- Personuppgiftslagen ställer upp vissa grundläggande krav på behandlingen av personuppgifter. Dessa krav innebär bl.a. att personuppgifter får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål.
- Personuppgifter får, om de grundläggande kraven är uppfyllda, i princip behandlas bara om den registrerade lämnar sitt samtycke till det. Från denna regel finns dock flera undantag.
- För behandling av känsliga personuppgifter, t.ex. om politiska åsikter eller hälsa, gäller särskilt stränga regler. Detsamma gäller överföring av personuppgifter till länder utanför EES-området.
- Den registrerade har rätt till information om behandling av personuppgifter som rör honom eller henne.
- Behandling av personuppgifter skall anmälas till Datainspektionen. Detta gäller dock inte om den som ansvarar för behandlingen har utsett ett s.k. personuppgiftsombud.
- Den som bryter mot personuppgiftslagen kan bli skadeståndsskyldig eller dömas till straff.
Översyn av personuppgiftslagen
Motionerna
I motion 1998/99:K231 av Helena Bargholtz m.fl. (fp) anförs att personuppgiftslagen i sin nuvarande utformning kommer att utgöra ett hot mot yttrandefriheten och offentlighetsprincipen. Enligt motionärerna leder lagens krav på samtycke till att mycket av den debatt som i dag finns på Internet blir olaglig. Motionärerna anser vidare att lagens undantag för journalistisk och konstnärlig verksamhet gör lagen till en privilegielag. Enligt motionärerna bör det göras klart att ett fritt meningsutbyte skall hävdas på Internet. Motionärerna anför att detta är omöjligt med lagens nuvarande utformning. Lagen bör, i de delar som avser samtycke, avskaffas. Motionärerna hemställer att regeringen återkommer till riksdagen med ett förslag med denna innebörd (yrkande 5).
I motion 1998/99:K234 av Per Unckel m.fl. (m) anförs att den moderata ståndpunkten, som tydligt slogs fast i motion 1997/98:K13 av Carl Bildt m.fl. (m) med anledning av regeringens förslag om en personuppgiftslag, har hela tiden varit att det är missbruket av personuppgifter som skall beivras och inte själva behandlingen. Enligt motionärerna hade den nu aktuella frågan om huruvida spridandet av personuppgifter på Internet blir olagligt med den nya lagen över huvud taget inte uppkommit om personuppgiftslagen hade utformats efter det moderata förslaget. Motionärerna utgår ifrån att regeringen, utöver aviserade åtgärder, snarast föranstaltar om en utredning med uppdrag att utforma en lagstiftning som syftar till att beivra missbruk av personuppgifter enligt de principer som moderaterna preciserat i den refererade motionen. Inriktningen på utredningsarbetet bör vara att skapa en varaktig lagstiftning på integritetsskyddsområdet. Motionärerna hemställer att riksdagen hos regeringen begär förslag till en ny integritetsskyddslagstiftning i enlighet med vad som anförts i motionen (yrkande 1).
Motionärerna förutsätter vidare att regeringen inom EU tar initiativ till och med kraft verkar för ett reviderat EG-direktiv efter de riktlinjer som anförts ovan. Detta bör ges regeringen till känna (yrkande 2).
I motion 1998/99:K249 av Rigmor Ahlstedt (c) anförs att personuppgiftslagen syftar till att skydda människors integritet. Enligt motionären får det dock inte vara så att lagstiftningen blir omöjlig att följa och att den på ett mycket märkligt sätt gör att människor blir brottslingar. Motionären påpekar att det inte heller kan vara så att vi skall ha en lag med direktiv till olika myndigheter att lagen skall tolkas väldigt generöst. Det bör enligt motionären ges regeringen till känna vad som i motionen anförts om en översyn av personuppgiftslagen.
I motion 1998/99:K256 av Margit Gennser (m) framhålls att det aktuella EG-direktivet gäller skyddet för den personliga integriteten. Enligt motionären är det ett grundläggande värde som bör värnas. Hon anför att den omständigheten att lagstiftningen skapat fundamentala problem av t.o.m. yttrandefrihetskaraktär hänger samman med ett olyckligt val av lagstiftningsmodell. Enligt motionären skall missbruk av personuppgifter beivras. Vilka medier som personuppgifterna hanteras i är av sekundärt intresse. Motionären anför att den bakomliggande orsaken till valet av lagstiftningsmodell kan vara att de beredande myndigheterna aldrig gjort en djupare analys av vilka typer av registreringar som kan skada enskilda. Detta kan hänga samman med svensk administrativ och lagstiftningstradition. I Sverige har enligt motionärerna farorna med omfattande statliga och kommunala register negligerats. Motionären anför att personuppgiftslagen på det sätt den är skriven inte skyddar mot integritetskränkande register, men den hindrar det offentliga samtalet. Vad som nu anförts leder enligt motionären till slutsatsen att lagen inte går att tillämpa på ett rättssäkert sätt. Regeringen måste snarast utforma en lagstiftning i överensstämmelse med EG-direktivet som inte ger upphov till brister och de nu påtalade skadliga effekterna. Detta bör ges regeringen till känna (yrkande 2).
Därutöver anför motionären att lagstiftningsarbetet bör ske i enlighet med de synpunkter som redovisats i promemorian Rapport om skyddet för enskilda personers privatliv av Jan Freese, förordnad av Justitiedepartementet för den fortsatta beredningen av promemorian Ds 1994:51. Enligt Jan Freeses förslag skulle ett uppdrag lämnas till en sammanhållen expertkommitté med undergrupper för skilda områden såsom grundlagen, skattesystemet osv. Kommittén skulle ha en referensgrupp i vilken borde ingå parlamentariker. Motionären hemställer att regeringen bör ges till känna vad som i motionen anförts om utredningsarbetet gällande en ny personuppgiftslag (yrkande 3).
I motion 1998/99:K257 av Per Bill och Sten Tolgfors (m) anförs att problemet med personuppgiftslagen är att den redan före sin tillkomst var föråldrad och illa anpassad för nya medier. Motionärerna anför vidare att de delar EG-direktivets intentioner att skydda den personliga integriteten. De menar dock att regeringen i stället för att kopiera direktivet borde ha valt det andra möjliga alternativet. Lagen borde utformas så att den tar sikte på missbruk av personuppgifter och inte själva användandet av dem. Det är enligt motionärerna en betydligt mer praktisk lösning som uppfyller direktivets syfte och som också står i samklang med yttrandefriheten för medborgarna. Det gällande EG-direktivet bör också ses över och revideras i en mer verklighetsanpassad riktning. Motionärerna hemställer att riksdagen hos regeringen begär förslag till en missbruksbaserad integritetslagstiftning att snarast möjligt ersätta personuppgiftslagen i enlighet med vad som anförts i motionen.
I motion 1998/99:K272 av Peter Eriksson och Per Lager (mp) framhålls att oklarheterna med personuppgiftslagen är många. Dock kan konstateras att publicering av personuppgifter på Internet förbjuds. Enligt motionärerna är det en oklarhet vad som menas med manuellt register. Det har framförts farhågor om att lagen skulle omfatta varje bunt av papper som sorteras in i en pärm. Den nya lagen kan enligt motionärerna också komma att få konsekvenser på det internationella planet. Motionärerna påpekar att det inte är osannolikt att handelshinder kan uppstå om ett utländskt företag behandlas sämre här i landet än i t.ex. Tyskland. Motionärerna hemställer att riksdagen hos regeringen begär förslag till sådan ändring i personuppgiftslagen att klarhet skapas i fråga om personuppgifter etc. i enlighet med vad som anförts i motionen (yrkande 1).
I motion 1998/99:K282 av Sten Tolgfors (m) anförs att regeringen snarast måste arbeta fram en ny personuppgiftslag enligt en modell där strävan är att stävja och beivra missbruk, inte styra normal användning. Enligt motionären måste Sverige i EU driva på en modernisering av berört direktiv. Motionären anför att regeringen snarast bör återkomma till riksdagen med ett nytt förslag till personuppgiftslag. Detta bör ges regeringen till känna (yrkande 7).
I motion 1998/99:K317 av Ingvar Svensson m.fl. (kd) anförs att det finns allvarligt fog för farhågorna att personuppgiftslagen inte kan efterlevas. Enligt motionärerna är risken uppenbar att den nya lagen blir verkningslös. Motionärerna anser att än mer allvarlig är risken för en urholkning av människors tilltro till lagar i allmänhet, eftersom det inte är orimligt att den nya lagen kommer att nonchaleras av många. Denna befarade lagnonchalans blir enligt motionärerna särskilt allvarlig mot bakgrund av att det främst är yngre personer som är aktiva på datanäten. Motionärerna anför vidare att en "missbrukslag" ligger bättre i linje med den hantering som är möjlig mot bakgrund av den snabba utvecklingen på informationsteknikens område. Nuvarande hanteringsmodell är både byråkratisk och otidsenlig. Enligt motionärerna måste regeringen därför ta initiativ till att en förändring av EG- direktivet kommer till stånd. Motionärerna frågar sig vidare om den svenska offentlighetsprincipen är förenlig med det stärkta integritetsskyddet i den till EG-föreskrifter anpassade personuppgiftslagen. Enligt motionärerna måste regeringen därför ta initiativ till förändring av nämnda EG-föreskrifter på så sätt att det inte finns några tveksamheter att dessa är förenliga med offentlighetsprincipen. Därutöver anför motionärerna att undantaget i personuppgiftslagen för personuppgifter som används för uteslutande journalistiska ändamål eller konstnärligt eller litterärt skapande medför en risk för en differentierad yttrandefrihet. Medborgarrätt får enligt motionärerna inte vara ett yrkesprivilegium. I motionen aktualiseras vidare bemyndigandet i 20 § personuppgiftslagen enligt vilket regeringen eller den myndighet som regeringen bestämmer får föreskriva undantag från förbudet mot att behandla känsliga personuppgifter om det behövs med hänsyn till ett viktigt allmänt intresse. Motionärerna anser att bemyndigandet är alltför långtgående och opreciserat. Det bör förankras i ett preciserande ställningstagande från riksdagens sida. Vad som anförts om behovet av att se över personuppgiftslagen bör ges regeringen till känna.
I motion 1998/99:K324 av Göran Magnusson m.fl. (s) erinras om att frågan om val av av lagstiftningsmetod diskuterades redan i samband med person-uppgiftslagens tillkomst i regeringens proposition 1997/98:44. Motionärerna påpekar att regeringen anförde att mycket av den användning av personuppgifter som den alltmer genomgripande datoriseringen hade medfört måste betraktas som harmlös. Alltfler medborgare har också tillgång till dator, elektronisk post och annan kommunikation i världsomspännande nätverk. Mot bl.a. den bakgrunden ansåg regeringen, vilket riksdagen instämde i, att det fanns starka skäl för att verka för att det blir möjligt att gå ifrån en lagstiftning enligt en vittomfattande hanteringsmodell. Motionärerna konstaterar vidare att det i samband med ikraftträdandet av personuppgiftslagen förekom en omfattande debatt kring frågor om lagens tillämpning vad gäller t.ex. personuppgifter på Internet. Enligt motionärerna kan det med fog betraktas som mycket besvärligt att på ett effektivt sätt kontrollera efterlevnaden av lagen när det gäller att personuppgifter får överföras till tredje land först efter samtycke. Motionärerna anser att också detta talar för att ansträngningarna måste intensifieras för att åstadkomma en lagstiftning som tar sikte på en lagreglering mot missbruk av personuppgifter.
Motionärerna konstaterar vidare att det i den allmänna debatten råder en viss osäkerhet om hur reglerna för behandling av helt harmlösa personuppgifter på Internet skall tolkas i förhållande till den nya lagen. Härvid framhåller motionärerna att det är myndigheterna och rättsväsendets instanser som skall svara på sådana frågor och göra dessa tolkningar. Även EG-domstolen kan bli inblandad i dessa fall. Motionärerna framhåller vidare att regeringen har gett Datainspektionen i uppdrag att följa upp den nya lagen. En särskild informationsinsats kommer vidare att genomföras kring den nya lagen. Regeringen kommer också att informera ansvarige EU-kommissionär om bl.a. den oro som finns för den nya lagens tillämpning i Sverige. Motionärerna anför att det är bra att regeringen på detta och andra sätt aktivt följer upp vad som händer också i de övriga EU- länderna när det gäller genomförandet av EG- direktivet.
Enligt motionärerna är det angeläget att regeringen i det kommande lagstiftningsarbetet på personuppgiftsområdet gör nödvändiga problem- och konsekvensanalyser samt tar sådana initiativ inom EU att vi får en lagstiftning som är väl anpassad till kraven på öppenhet och tillgänglighet samt ger ett effektivt skydd mot missbruk i förhållande till den enskildes personliga integritet. Motionärerna hemställer att regeringen ges till känna vad i motionen anförts om intensifierade åtgärder i syfte att åstadkomma en modern och teknikoberoende integritetslagstiftning till skydd för den personliga integrite- ten (yrkande 1). Regeringen bör också ges till känna vad i motionen anförts om att regeringen bör ta initiativ till att med kraft verka för en revidering av EG-direktivet om skydd för enskilda personer med avseende på behandling av personuppgifter (yrkande 2).
I motion 1998/99:T808 av Sven Bergström m.fl. (c) anförs att en lag som gör i det närmaste alla datoranvändare till brottslingar i formell mening är otillfredsställande. Enligt motionärerna är risken stor att användarna kommer att bortse också från de relevanta avsnitten i personuppgiftslagen, eftersom lagens bokstav är omöjlig att uppnå i dagligt bruk. Motionärerna påpekar att signaler tyder på att Sverige har valt den strängaste formen av genomförande av EG-direktivet. Enligt motionärerna lider personuppgiftslagen av sådana allvarliga brister att den måste ses över i väntan på ett nytt lagstiftningsförslag. Centerpartiet menar att en lag som handlar mer om människors rätt till integritet än om hanteringen av personuppgifter är att föredra. En lag som skall ersätta personuppgiftslagen bör enligt motionärerna vara en generellt tillämplig integritetslag som reglerar människors rätt till integritet, såväl i den offentliga som i den privata sfären. Motionärerna anser att en integritetslag bör bygga på en missbruksmodell. Enligt motionärerna bör riksdagen hos regeringen begära förslag till en ny integritetslag som skall ersätta per- sonuppgiftslagen (yrkande 9).
Därutöver anför motionärerna att det är angeläget att Sverige inom ramen för det europeiska samarbetet med kraft driver frågan om ett nytt integritetsdirektiv som kan ersätta det nuvarande EG-direktivet. Detta bör ges regeringen till känna (yrkande 10).
I motion 1998/99:T809 av Johnny Gylling och Amanda Grönlund (kd) anförs att långsiktiga problem uppstår när regering och riksdag beslutar om lagar som uppenbarligen inte kan tillämpas eller som inte alls har en förankring i det allmänna rättsmedvetandet. Enligt motionärerna urgröper det medborgarnas förtroende för rättssamhället och kan i värsta fall leda till att tilltron till lagar och regler minskar i allmänhet. Motionärerna anför att regeringen omgående borde tillsätta en utredning med uppgift att utarbeta ett lagförslag som är medieoberoende och som reglerar missbruket av person-uppgifter (yrkande 3).
I motion 1998/99:T818 av Carl Bildt m.fl. (m) anförs att Moderata samlingspartiet står fast vid sin tidigare inställning att EG-direktivet som personuppgiftslagen bygger på inte tar hänsyn till den utvecklingen att alltfler medborgare har tillgång till dator och möjlighet att kommunicera i olika nätverk. Enligt motionärerna borde en lagstiftningsmodell som tar sikte på missbruk av personuppgifter i stället för själva hanteringen ha inneburit ett större skydd för yttrandefriheten och därvid varit att föredra. Motionärerna anser att ett sådant ställningstagande inte står i strid med Sveriges skyldighet att genomföra direktivet så länge den nationella lagstiftningen får ett materiellt innehåll som överensstämmer med direktivet. Motionärerna vänder sig vidare liksom tidigare mot de i vissa fall långtgående tolkningar som regeringen har gjort av EG-direktivet. Härvid framhåller motionärerna att regeringen i sin iver att värna den svenska offentlighetsprincipen har till nackdel för den personliga integriteten bortsett från direktivets förbud att lämna ut personuppgifter för andra ändamål än de samlats in för. Motionärerna anför också att ett särskilt undantag bör göras från kravet på uttryckligt samtycke vid behandling av känsliga personuppgifter för att möjliggöra opinions- och marknadsundersökningar. Enligt motionärerna bör kravet på samtycke vara uppfyllt genom intervjupersonens frivilliga besvarande av ställda frågor. Moderata samlingspartiet menar att en översyn av personuppgiftslagen bör göras snarast i syfte att komma åt de nämnda problemen. Regeringen bör också verka för att EG-direktivet revideras i samma riktning. Motionärerna hemställer att riksdagen beslutar om ändring i personuppgiftslagen i enlighet med vad som anförts i motionen (yrkande 9).
I motion 1998/99:N326 av Per Westerberg (m) och Göran Hägglund (kd) anförs att genomförandet av EG- direktivet i den nya personuppgiftslagstiftningen inte skall vara mer byråkratisk än absolut nödvändigt. Lagen bör enligt motionärerna därför ses över mot denna bakgrund. Sverige bör dessutom aktivt påverka EU till en mer tidsenlig och företagarvänlig lagstiftning på området. Detta bör ges regeringen till känna (yrkande 3).
Bakgrund
Grundläggande bestämmelser om yttrandefrihet och skydd för personlig integritet vid behandling av personuppgifter
Regeringsformen
Enligt 1 kap. 1 § regeringsformen (RF) bygger den svenska folkstyrelsen på bl.a. fri åsiktsbildning.
Enligt 2 kap. 1 § första stycket 1 RF är varje medborgare gentemot det allmänna tillförsäkrad yttrandefrihet: frihet att i tal, skrift eller bild eller på annat sätt meddela upplysningar samt uttrycka tankar, åsikter, känslor.
Därutöver erinras i 2 kap. 1 § andra stycket RF att beträffande tryckfriheten och motsvarande frihet att yttra sig i ljudradio, television och vissa liknande överföringar, filmer, videogram och andra upptagningar av rörliga bilder samt ljudupptagningar gäller vad som är föreskrivet i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
Den 1 januari 1999 trädde en ändring i yttrandefrihetsgrundlagen i kraft som innebär att benämningen tekniska upptagningar har förts in i lagen som ett samlingsbegrepp för upptagningar som innehåller text, bild eller ljud och som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Med anledning av detta har en ändring också gjorts i 2 kap. 1 § andra stycket RF.
I 2 kap. 3 § andra stycket RF sägs att varje medborgare i den utsträckning som närmare anges i lag skall skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling.
Enligt 2 kap. 12 § första stycket RF får bl.a. yttrandefriheten, i den utsträckning som medges i 13-16 §§, begränsas genom lag. I andra stycket sägs att begränsningen får göras endast för att tillgodose ändamål som är godtagbart i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och ej heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar.
Av 2 kap. 13 § första stycket RF framgår att yttrandefriheten får begränsas med hänsyn till bl.a. privatlivets helgd. Vidare sägs i andra stycket att vid bedömandet av vilka begränsningar som får ske skall särskilt beaktas vikten av vidaste möjliga yttrandefrihet i politiska, religiösa, fackliga, vetenskapliga och kulturella angelägenheter.
Europakonventionen
Den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) är sedan den 1 januari 1995 inkorporerad i svensk lagstiftning. Den gäller således numera som svensk lag och dess bestämmelser kan åberopas direkt i svensk domstol. I samband med att konventionen inkorporerades i svensk lagstiftning infördes en ny bestämmelse i regeringsformen som säger att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen (2 kap. 23 § RF). I Europakonventionen finns bestämmelser om såväl yttrandefrihet som skydd för privatlivets helgd.
Enligt artikel 8.1 i Europakonventionen har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.
Vidare sägs i 8.2 att offentlig myndighet inte får inskränka åtnjutandet av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.
Enligt artikel 10.1 i Europakonventionen har var och en rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser. Artikeln hindrar inte att en stat kräver tillstånd för ra-dio-, televisions- eller biografföretag.
I artikel 10.2 sägs att eftersom utövandet av de nämnda friheterna medför ansvar och skyldigheter, får de underkastas sådana formföreskrifter, villkor, inskränkningar eller straffpåföljder som är föreskrivna i lag och som i ett demokratiskt samhälle är nödvändiga med hänsyn till statens säkerhet, till den territoriella integriteten eller den allmänna säkerheten, till förebyggande av oordning och brott, till skydd för hälsa eller moral eller för annans goda namn och rykte och rättigheter, för att hindra att förtroliga underrättelser sprids eller för att upprätthålla domstolarnas auktoritet och opartiskhet.
Utredning om mediegrundlagarna
Regeringen har den 4 februari 1999 beslutat att en parlamentariskt sammansatt kommitté bl.a. skall närmare analysera behovet av och förutsättningarna för en mer teknikoberoende grundlagsreglering av yttrandefriheten (dir. 1999:8).
I direktiven framhåller regeringen att utvecklingen på informationsteknikens område har gått fort sedan tillkomsten av yttrandefrihetsgrundlagen (YGL). Utan att ifrågasätta tidigare bedömningar på området kan man enligt regeringen fråga sig om det är praktiskt möjligt att i längden behålla en teknikberoende grundlagsreglering av yttrandefriheten i medierna. Därför bör behovet av och förutsättningarna för en mer teknikoberoende reglering utredas.
Vidare anför regeringen att det inte minst när det gäller grundlagsskyddet är väsentligt att yttranden i olika medier inte omfattas av olika bestämmelser endast på den grunden att de formella avgränsningarna för bestämmelsernas tillämplighet är förlegade och i otakt med den tekniska utvecklingen.
Enligt regeringen finns det anledning att närmare analysera behovet av och förutsättningarna för en mer teknikoberoende grundlagsreglering av yttrandefriheten än den som gäller för närvarande. Det tryckta ordet har emellertid, som konstitutionsutskottet framhöll i sitt betänkande 1997/98:KU19, enligt regeringen en särställning i den fria opinionsbildningen och samhällsdebatten. Utgångspunkten är därför att den nuvarande uppdelningen på två grundlagar bör bestå och att tryckfrihetsförordningen (TF) även i fortsättningen bör vara den grundlag som ger skydd för yttranden i form av det tryckta ordet.
Regeringen anser vidare att införandet av termen tekniska upptagningar i YGL kan förväntas på ett tillfredsställande sätt möta den tekniska utvecklingen när det gäller upptagningar med sådana yttranden som YGL är avsedd att skydda. Det som nu behöver utredas är enligt regeringen således i första hand YGL:s tillämplighet på ny kommunikation med elektromagnetiska vågor, dvs. på informationsöverföringar som sker på annat sätt än genom att fysiska databärare transporteras mellan avsändare och mottagare. Regeringen anför att det som nu sagts inte hindrar att vissa justeringar kan behöva göras i såväl TF som YGL för att reglerna skall anpassas till utvecklingen på informationsteknikens område, exempelvis till tillkomsten av s.k. print-on-demand (beställtryck).
Valet av lagstiftningsmetod
Datalagskommittén
Datalagskommittén, vars förslag ligger till grund för regleringen i person-uppgiftslagen, förde i sitt betänkande Integritet Offentlighet Informationsteknik (SOU 1997:39) ett resonemang kring frågan om valet på lång sikt av modell för regleringen av skyddet för den personliga integriteten. Kommittén konstaterade bl.a. att den tekniska utvecklingen går så snabbt att det är omöjligt att göra några säkra förutsägelser om framtiden. För närvarande syntes det enligt kommittén i stort sett omöjligt att bringa Internet under kontroll och försöka upprätthålla strikta krav för hur persondata skall få hanteras på nätet - att försöka hävda att allt som inte är tillåtet är förbjudet. En sträng hanteringsmodell syntes dömd att misslyckas så till vida att den inte kommer att respekteras och därmed dra ett löjets skimmer över lagstiftningen. Enligt kommittén finns det de som anser att EG-direktivet redan hunnit bli obsolet i detta hänseende, eftersom det bygger på principer som utvecklades innan nätet kom i allmänt bruk. Kommittén anförde att risken är uppenbar att företag och till och med myndigheter kommer att bortse från delar av regleringen.
Vidare anförde kommittén att det å andra sidan kan antas att människor även i framtiden kommer att ha kvar sin oro för stora datasystem. Det torde enligt kommittén därför bli nödvändigt att behålla en hanteringsmodell, om ock i förenklad i form, för stora databaser hos myndigheter och hos företag med enskilda som klienter eller kunder. När det gällde de många små datasystemen, t.ex. hos skolor, småföretagare, enskilda, och troligen också Internet, ansåg kommittén att det syntes hopplöst att söka kontrollera själva hanteringen av persondata. Kommittén anförde att vad man kunde inrikta sig på utanför de särskilda registerförfattningarnas ram var att förhindra sådan spridning av databehandlade personuppgifter som den uppgifterna avser med fog kan begära att bli skonad från.
När det gällde valet nu av modell för regleringen anförde kommittén att man borde ta stor hänsyn till allmänhetens inställning. Det förhållandet att många människor känner obehag inför en viss hantering var enligt kommittén i en politisk demokrati ett starkt argument i sig för att reglera den hanteringen. Samma bedömning verkade ha gjorts i de flesta EU- stater, vilka har lagstiftning efter hanteringsmodellen, och av EU i och med att EG- direktivet antogs. Kommittén anförde vidare att härtill kom att Sverige genom sitt medlemskap i EU är skyldigt att genomföra EG-direktivet, vilket bygger på hanteringsmodellen.
Det förhållandet att flera internationella överenskommelser bygger på hanteringsmodellen och att flera länder har lagstiftning som bygger på denna modell hade enligt kommittén betydelse också på ett annat sätt. I en miljö där internationaliseringen ökar och den nya tekniken gör det möjligt att blixtsnabbt hämta eller flytta uppgifter över hela jordklotet ligger det ett betydande värde i sig att lagstiftningen i olika länder är likartad. Kommittén anförde vidare att EG- direktivet ställer stränga krav på uppgifternas kvalitet. Sådana krav är ett naturligt led i en hanteringsmodell. Även om de självfallet borde tillämpas även i en missbruksmodell var det enligt kommittén lagtekniskt svårare att reglera dem där. Enligt kommitténs mening fanns det ändå många skäl för att hanteringsmodellen i en framtid måste överges åtminstone såvitt angår små datasystem och verksamheten på Internet och liknande. Kommittén trodde dock att det skulle komma att dröja innan tiden är mogen för en övergång till missbruksmodellen. Den oro människor känner för teknikens möjligheter måste enligt kommittén respekteras. Övriga EU-stater måste också vinnas för tanken på en sådan övergång.
Regeringens förslag
I proposition 1997/98:44 anförde regeringen att den i likhet med Datalagskommittén och de allra flesta remissinstanserna ansåg att det nu inte var möjligt att uppfylla skyldigheten att genomföra direktivet på annat sätt än genom att införa en lagstiftning av hanteringsmodell. En lagstiftning som reglerar i princip all hantering av personuppgifter måste enligt regeringen således införas på grund av EG- direktivet. Regeringen anförde att en sådan lagstiftning emellertid inte framstod som särskilt modern i dag. Mycket av den användning av personuppgifter som den alltmer genomgripande datoriseringen medför måste betraktas som harmlös. Regeringen påpekade att alltfler medborgare också har tillgång till dator, elektronisk post och annan kommunikation i världsomspännande nätverk. Det fanns enligt regeringen därför starka skäl för att verka för att det blir möjligt att gå ifrån en lagstiftning efter en vittomfattande hanteringsmodell. Regeringen avsåg att på lämpligt sätt utnyttja Sveriges inflytande i EU för att påverka i denna riktning.
Konstitutionsutskottets tidigare bedömning
Vid sin behandling av proposition 1997/98:44 delade konstitutionsutskottet regeringens bedömning att det inte var möjligt att nu genomföra EG-direktivet på ett annat sätt än genom en lagstiftning som följer den struktur som direktivet anvisar. Lagstiftningen borde därför utformas efter en hanteringsmodell. Utskottet ville också, i likhet med regeringen, framhålla att den lagstiftning som måste införas på grund av EG-direktivet redan framstår som i viss mån omodern. Utskottet konstaterade att den tekniska utvecklingen när det gäller dataflödet går oerhört snabbt. Enligt utskottets mening framstod det t.ex. som omöjligt att upprätthålla strikta regler för hur personuppgifter skall hanteras i ett värlsomfattande nätverk som Internet. Även när det gäller myndigheternas användning av e-post torde svårigheter uppstå när det gäller att fullt ut efterkomma strikta hanteringsregler. Utskottet såg därför med tillfredsställelse på att regeringen avsåg att såväl nationellt som inom EU-samarbetet verka för att det blir möjligt att gå ifrån en långtgående hanteringsmodell på det aktuella lagstiftningsområdet. Mot denna bakgrund ansåg utskottet att motionsyrkandena om att hanteringsmodellen borde ersättas av en missbruksmodell och att regeringen inom EU skulle ta initiativ till en revidering av EG-direktivet var tillgodosedda. Motionerna avstyrktes därför i dessa delar.
Behandling av personuppgifter som omfattas av personuppgiftslagen
Enligt 5 § personuppgiftslagen gäller lagen för sådan behandling som helt eller delvis är automatiserad.
Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
I artikel 2 c i EG-direktivet sägs att med register avses varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.
I punkt 27 i ingressen till direktivet sägs bl.a. att akter eller grupper av akter liksom dessas omslag, vilka inte är strukturerade enligt särkilda kriterier, inte under några omständigheter faller inom direktivets tillämpningsområde.
I proposition 1997/98:44 s. 118 anför regeringen att 5 § personuppgiftslagen är avsedd att ha samma innebörd som i direktivet. Detsamma gäller definitionen av register.
Gällande regler om tillåten behandling av personuppgifter
Allmänt
Enligt 10 § personuppgiftslagen får personuppgifter behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att
a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas,
b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet,
c) vitala intressen för den registrerade skall kunna skyddas,
d) en arbetsuppgift av allmänt intresse skall kunna utföras,
e) den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning eller
f) ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna skall lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
Känsliga personuppgifter
När det gäller behandling av känsliga personuppgifter föreskrivs i 13 § personuppgiftslagen ett förbud mot behandling av sådana uppgifter. Enligt bestämmelsen avses med känsliga personuppgifter sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i en fackförening. Förbudet gäller också personuppgifter som rör hälsa eller sexualliv.
Från förbudet mot behandling av känsliga personuppgifter finns dock undantag i 15-19 §§ personuppgiftslagen. Dessa undantag gäller
- när den registrerade har samtyckt till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna (15 §),
- när behandlingen i vissa avseenden är nödvändig (16 §),
- när behandlingen sker inom ramen för vissa ideella organisationers verksamhet (17 §),
- när behandlingen sker för vissa nödvändiga hälso- och sjukvårdsändamål (18 §) eller
- när uppgifterna behandlas för forsknings- eller statistikändamål (19 §).
Enligt 20 § får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om ytterligare undantag från förbudet i 13 § om det behövs med hänsyn till ett viktigt allmänt intresse.
Överföring av personuppgifter till tredje land
Även när det gäller överföring av personuppgifter till tredje land, dvs. till ett land utanför EES- området, gäller särskilt stränga regler.
Enligt 33 § personuppgiftslagen är det förbjudet att till tredje land föra över personuppgifter som är under behandling. Förbudet gäller också överföring av personuppgifter för behandling i tredje land.
Förbudet är dock förenat med vissa undantag. I 34 § första stycket föreskrivs att det är tillåtet att föra över personuppgifter till tredje land, om den registrerade har samtyckt till överföringen eller när överföringen är nödvändig för att
a) ett avtal mellan den registrerade och den personuppgiftsansvarige skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas,
b) ett sådant avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse skall kunna ingås eller fullgöras,
c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras eller
d) vitala intressen för den registrerade skall kunna skyddas.
Därutöver är det enligt 34 § andra stycket tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av person-uppgifter.
Enligt 35 § första stycket kan regeringen meddela föreskrifter om undantag från förbudet i 33 § för överföring av personuppgifter till vissa stater. Regeringen får också meddela föreskrifter om att överföring av personuppgifter till tredje land är tillåten, om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter.
Därutöver sägs i 35 § andra stycket att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från förbudet i 33 § om det behövs med hänsyn till ett viktigt allmänt intresse. Detsamma gäller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Regeringen har i 11 § personuppgiftsförordningen (1998:1191) bemyndigat Datainspektionen att meddela föreskrifter av sistnämnt slag. Bemyndigandet gäller under samma förutsättning också beslut i enskilda fall.
I 35 § tredje stycket sägs vidare att regeringen under de förutsättningar som nämns i andra stycket i enskilda fall får besluta om undantag från förbudet i 33 §. Regeringen får överlåta åt tillsynsmyndighet att fatta sådana beslut.
Undantag för privat verksamhet från personuppgiftslagens tillämpningsområde
Enligt 6 § personuppgiftslagen gäller lagen inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur.
I proposition 1997/98:44 anförde regeringen att den nya lagen syftar till att skapa ett skydd för individens rent privata sfär. Det vore därför ologiskt om den nya lagen i själva verket skulle tillåtas tränga in i denna sfär genom införandet av myndighetskontrollerade hanteringsregler för sådant som måste betraktas som rent privata angelägenheter. Regeringen ansåg att möjligheten enligt direktivet att undanta rent privat användning av personuppgifter borde utnyttjas fullt ut. Den nya lagen borde alltså innehålla samma undantag som direktivet. Enligt regeringen innebär detta att t.ex. enskilda för rent privat bruk kan föra en elektronisk dagbok eller registrera sina grannar eller släktingar.
Förhållandet till tryck- och yttrandefriheten
Bestämmelse i EG-direktivet
I artikel 9 i EG-direktivet sägs att medlemsstaterna med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande skall besluta om undantag och avvikelser från bestämmelserna i detta kapitel, kapitel IV och kapitel VI endast om det är nödvändigt för att förena rätten till privatlivet med reglerna om yttrandefriheten.
Bestämmelse i personuppgiftslagen
I 7 § första stycket personuppgiftslagen erinras om att bestämmelserna i lagen inte tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefriheten i tryckfrihetsförordningen (TF) eller yttrandefrihetsgrundlagen (YGL).
Vidare sägs i 7 § andra stycket att bestämmelserna i 9-29 och 33-44 §§ samt 45 § första stycket och 47-49 §§ inte skall tillämpas på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande.
Mediekommitténs överväganden angående EG-direktivets förhållande till tryck- och yttrandefriheten
Mediekommittén övervägde i sitt betänkande Grundlagsskydd för nya medier (SOU 1997:49) frågan om EG-direktivets förhållande till den svenska tryck- och yttrandefriheten. Enligt kommittén fanns det från svensk grundlagsstiftningssynpunkt anledning att ha som utgångspunkt den grundsyn som anlades vid grundlagsändringarna inför ett svenskt EU-medlemskap och som kan sammanfattas med att vi inte bör ge avkall på vårt grundlagsskydd enligt TF och YGL annat än när det är alldeles nödvändigt. Detta synsätt borde enligt kommittén leda till att vi i enlighet med Sveriges förklaring till direktivets antagande håller fast vid att yttrandefriheten är "odelbar" och inte enbart omfattar journalistisk samt litterär och konstnärlig verksamhet i inskränkt betydelse utan de medieformer som sådan verksamhet normalt utnyttjar. Kommittén ansåg att vi i yttrandefrihetens intresse i så stor utsträckning som möjligt borde begagna de undantagsmöjligheter som direktivet ger enligt artikel 9 jämförd med punkt 37 i ingressen. Som ett argument för den angivna inställningen pekade kommittén på att lagstiftningen genom TF och YGL innehåller ett principförbud mot censur. Detta censurförbud gäller även i fråga om datorlagrade personuppgifter som utgör ett led i framställningen av t.ex. en tryckt skrift. Det hade därför enligt kommittén inte varit möjligt för Sverige att överlåta rätt att besluta om en så principiell avvikelse från censurförbudet som direktivet kan synas kräva enligt ordalagen. Kommittén nämnde att också andra länder inom EU har ett motsvarande censurförbud.
Enligt kommittén kunde det angivna synsättet motiveras inte bara från nationell grundlagssynpunkt utan också utifrån ett EG-rättsligt perspektiv. Kommittén pekade på att det både i EG-domstolens praxis och i Maastricht-avtalet slås fast att Europakonventionens fri- och rättigheter skall respekteras som allmänna rättsprinciper på EG- rättens område. Detta har varit en viktig faktor vid Sveriges anslutning till EU, något som kommer till uttryck i 10 kap. 5 § RF. Kommittén konstaterade att rätt till privatlivet regleras i artikel 8 i konventionen och yttrandefriheten i artikel 10. I konventionen är dessa två fri- och rättigheter jämställda, och integritetsskyddet framstår enligt kommittén inte som i EG-direktivet som ett överordnat intresse. Kommittén konstaterade vidare att Europadomstolen i sin tillämpning av konventionen förklarat att yttrandefriheten utgör en av de viktigaste grunderna för ett demokratiskt samhälle. Skyddet för yttrandefriheten har enligt domstolens avgöranden inte bara gällt journalistisk verksamhet eller litterärt eller konstnärligt skapande utan också politisk verksamhet och kommersiella yttranden. Enligt kommittén måste det vara så att integritetsskyddsintresset inte generellt kan anses ta över yttrandefrihetsintresset, utan en avvägning måste göras mellan dessa motstridande intressen i olika sammanhang. Kommittén anförde att EG-direktivet till följd härav inte kan anses ha den innebörden att yttrandefriheten inte får ges försteg framför skyddet för privatlivet i andra fall än de som är speciellt omnämnda i artikel 9 i direktivet.
Även om artikel 10 i Europakonventionen tillåter begränsningar i yttrandefriheten inom ganska vida ramar, fanns det enligt kommittén inte skäl att tro att integritetsskyddet utanför journalistisk samt litterär och konstnärlig verksamhet kan ges försteg framför yttrandefrihetsintresset på det generella sätt som skulle följa av direktivets avfattning. Kommittén anförde att konventionen fick anses innebära att man skall iaktta en sådan proportionalitetsprincip som utgör en del också av EG:s grundläggande rättsprinciper. Detta gäller även utanför journalistisk samt litterär och konstnärlig verksamhet i inskränkt betydelse. Sammantaget fanns det enligt kommittén alltså anledning att anse att möjligheterna till undantag från direktivets regler i yttrandefrihetens intresse är vidare än vad ordalagen i artikel 9 synes ge vid handen. På motsvarande sätt borde man se på kravet i artikel 9 att undantagen skall vara "nödvändiga".
Konstitutionsutskottets tidigare bedömning
Vid sin behandling av proposition 1997/98:44 om personuppgiftslagen hänvisade utskottet i sin bedömning av frågan om EG-direktivets förenlighet med tryck- och yttrandefriheten enligt TF och YGL till bl.a. Mediekommitténs överväganden när det gällde frågan om vilka undantagsmöjligheter som direktivets artikel 9 ger jämförd med punkt 37 i ingressen. Utskottet ville vidare erinra om att TF och YGL innehåller bestämmelser om rättsliga principer som är av väsentlig betydelse för det svenska statsskicket. Bestämmelsen i 10 kap. 5 § RF som reglerar möjligheterna att överlåta beslutanderätt till EG kunde inte anses öppna möjlighet att överlåta beslutanderätt som väsentligt rubbar dessa principer utan samtidig ändring av grundlag. Utskottet framhöll också att beslutskompetens enligt 10 kap. 5 § endast kan överlåtas så länge rättighetsskyddet inom EU motsvarar regeringsformens och Europakonventionens rättighetsskydd.
Utskottet delade regeringens och Mediekommitténs bedömning att artikel 9 i direktivet, jämförd med punkt 37 i ingressen, skall uppfattas så att integritetsskyddsintresset inte kan anses ta över yttrandefrihetsintresset, utan att en avvägning måste göras. Sambandet med Europakonventionen gav enligt utskottet vid handen att en sådan avvägning måste vara möjlig även utanför journalistisk, litterär och konstnärlig verksamhet i inskränkt betydelse. Utskottet kunde härvid notera att Sverige i samband med direktivets antagande fått intaget i ministerrådets protokoll att Sverige anser att begreppet konstnärliga och litterära uttryck mer syftar på uttrycksmedlen än kommunikationens innehåll och dess kvalitet.
Utskottet hade vidare inget att invända mot att lagen skulle innehålla en uttrycklig erinran om att bestämmelser i lagen inte skall tillämpas om en sådan tillämpning skulle strida mot bestämmelserna om tryck- och yttrandefrihet i TF eller YGL. Utskottet tillstyrkte också regeringens förslag att undantag skulle göras för sådan journalistisk, konstnärlig och litterär verksamhet som faller utanför TF:s och YGL:s tillämpningsområde, dock ej när det gäller den nya lagens bestämmelser om säkerhetsåtgärder. I enlighet med det anförda avstyrkte utskottet en motion med yrkande om att regeringens förslag i denna del skulle avslås.
Särskilt om behandling av personuppgifter via Internet
Datainspektionens föreskrifter
Medan datalagen ännu gällde utfärdade Datainspektionen generella föreskrifter (DIFS 1996:3) om protokollsregister hos kommuner och landsting. Föreskrifterna innebär att den kommun som håller sig inom ramen för föreskrifterna får föra protokollsregister utan särskilt tillstånd eller utlandsmedgivande enligt 7 kap. 16 § sekretesslagen (1980:100). Protokollsregistren får, med undantag för vissa känsliga personuppgifter, innehålla kungörelser eller kallelser till sammanträden samt justerade protokoll. Enligt föreskrifterna får personuppgifter ur sådana protokollsregister lämnas ut till allmänheten via terminal eller via Internet eller motsvarande öppna nät. I föreskrifterna erinras om att ett utlämnande kan vara begränsat enligt sekretesslagen.
Därutöver har Datainspektionen under hösten 1997 utfärdat generella föreskrifter (DIFS 1977:7) för personregister på webbsidor. Föreskrifterna innebär att personregister för informationsändamål får inrättas på webbsidor och göras tillgängliga på Internet utan särskilt tillstånd eller medgivande, om uppgifterna inte är känsliga enligt datalagen och den enskilde har samtyckt till registreringen och utlämnandet på Internet.
Föreskrifterna kan i enlighet med övergångsbestämmelserna till personuppgiftslagen vara tillämpliga på behandlingar av personuppgifter som sker även efter det att personuppgiftslagen trätt i kraft.
Bestämmelser i personuppgiftslagen
I personuppgiftslagen finns ingen särskild reglering som tar sikte på behandling av personuppgifter via Internet. Sådan behandling skall således bedömas utifrån samma regler som i övrigt gäller för behandling av personuppgifter.
I den mån en behandling av personuppgifter via Internet begränsas till EES-området eller till ett land som anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter - och det inte är fråga om känsliga personuppgifter - är en sådan behandling tillåten i enlighet med vad som sägs i 10 § personuppgiftslagen. Behandlingen är i detta fall tillåten om t.ex. den registrerade har lämnat sitt samtycke.
En möjlighet som därutöver torde kunna bli aktuell i flera fall är vad som sägs under 10 § punkt f. Enligt denna bestämmelse är en behandling tillåten om den är nödvändig för att ett ändamål skall kunna tillgodoses som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
Om behandlingen av personuppgifter på Internet innebär att uppgifterna sprids utanför EES-området eller till ett land som inte anslutit sig till Europarådets dataskyddskonvention blir de mer restriktiva reglerna om överföring av personuppgifter till tredje land tillämpliga. Enligt 33 § är det förbjudet att till tredje land föra över personuppgifter som är under behandling. Förbudet gäller också överföring av personuppgifter för behandling i tredje land.
I 34 och 35 §§ föreskrivs om särskilda undantag från förbudet i 33 §. I den mån dessa särskilda undantag inte är för handen, krävs den registrerades samtycke för överföring av personuppgifter till tredje land.
De generella undantagen från personuppgiftslagen vid behandlingen av personuppgifter för rent privat verksamhet (6 §) eller för journalistiskt arbete eller konstnärligt eller litterärt skapande (7 §) kan också bli tillämpliga på sådan behandling som sker via Internet. Privat e-post som skickas via Internet torde således undantas från personuppgiftslagens tillämpning.
Undantaget med hänsyn till offentlighetsprincipen (8 §) är dock inte tillämpligt när det gäller behandling av personuppgifter på Internet. Offentlighetsprincipens reglering i 2 kap. TF innebär i fråga om elektroniska upptagningar endast en skyldighet att lämna ut en utskrift. Att myndigheter lägger ut information på Internet är således inget inslag i myndighetens skyldighet att tillhandahålla allmänna handlingar enligt 2 kap. TF (se t.ex. bet. 1997/98: KU18 s. 28 f.). Regeringen har beslutat att en utredning skall tillsättas om en översyn av bestämmelserna i 2 kap. TF i syfte att vidga möjligheterna för offentlighetsprincipens tillämpning i IT-samhället (dir. 1998:32).
Regeringens uppdrag till Datainspektionen
Regeringen har den 22 oktober 1998 beslutat att uppdra åt Datainspektionen att närmare utreda behovet av att göra undantag från förbudet i 33 § personuppgiftslagen när det gäller dels överföringar av personuppgifter till tredje land från offentligt register för att tillgodose kommuners intresse av att sprida information, dels överföringar av personuppgifter till tredje land som typiskt inte innebär några risker för de registrerade eller det annars mot bakgrund av allmänhetens intresse att sprida och inhämta information framstår som angeläget att undantag görs, särskilt i samband med behandling av personuppgifter på t.ex. Internet.
Datainspektionen skall också undersöka om avvikelser för dessa intressen bör göras i andra avseenden från reglerna i personuppgiftslagen. Enligt beslutet skall Datainspektionen också föreslå utformningen av föreskrifter om undantagen. Vidare skall Datainspektionen särskilt analysera hur förslagen förhåller sig till reglerna i EG- direktivet samt redovisa de ekonomiska konsekvenserna av sina förslag. Uppdraget skall redovisas till regeringen senast den 1 mars 1999.
Datainspektionens rapport till regeringen
I en rapport till regeringen den 1 mars 1999 föreslår Datainspektionen att regeringen i personuppgiftsförordningen inför ett generellt undantag för harmlösa uppgifter. Enligt förslaget skall det utan hinder av förbudet i 33 § personuppgiftslagen mot överföring av personuppgifter till tredje land vara tillåtet för var och en att behandla personuppgifter i löpande text över Internet eller annat nät om det uppenbart saknas risk för kränkning av den registrerades personliga integritet.
Därutöver föreslår Datainspektionen särskilda undantag för kommunernas information. Kommuner och landsting skall enligt förslaget få göra vissa protokoll samt kungörelser, kallelser och uppgifter ur diarier tillgängliga för allmänheten via Internet. Uppgifter som direkt pekar ut andra enskilda personer än förtroendevalda skall som regel få göras tillgängliga över Internet om det uppenbart saknas risk för integritetskränkning. Datainspektionen påpekar att förslaget i huvudsak innebär att den datalagspraxis som utvecklats kring kommunernas informationsspridning över Internet skall fortsätta att gälla.
När det gäller statliga myndigheters information över internationella kommunikationsnätverk såsom Internet bör det enligt Datainspektionens bedömning lämpligen regleras i registerlagstiftning på myndighetens område eller i myndighetens instruktion.
Vidare föreslår Datainspektionen att en regel införs i personuppgiftsförordningen som gör det möjligt att i löpande text omnämna en uppgift om att någon har eller kan ha begått ett viss brott, om den som uppgiften avser själv på ett tydlig sätt har offentliggjort uppgiften.
Datainspektionen framhåller att förslagen ansluter i sak till den praxis för Internetanvändning som rådde före personuppgiftslagen och som fortfarande kan vara tillämplig övergångsvis. De innebär enligt inspektionen inga genomgripande förändringar utan torde kunna genomföras utan större tidsutdräkt. Datainspektionen anser det på sikt vara bättre att genomföra andra förändringar. Dessa beror dock på faktorer utanför Datainspektionens utredningsuppdrag, t.ex. dataskyddsdirektivets framtida utformning och eventuella ändringar i grundlag.
Utskottets bedömning
I och med att personuppgiftslagen trädde i kraft den 24 oktober 1998 genomfördes i den svenska lagstiftningen Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Enligt artikel 32 i direktivet skall medlemsstaterna sätta i kraft de lagar och andra författningar, som är nödvändiga för att följa detta direktiv, senast tre år efter dess antagande. Utskottet konstaterar att direktivet således skulle vara genomfört senast den 24 oktober 1998 och att någon möjlighet att senarelägga genomförandet inte fanns enligt direktivet.
Bestämmelserna i direktivet innebär att det är själva hanteringen av per-sonuppgifter som regleras, oavsett om hanteringen kan sägas utgöra ett missbruk. Direktivet bygger således på en vittomfattande hanteringsmodell. Utskottet vill framhålla att den tekniska utvecklingen på IT- området går oerhört snabbt. Den alltmer genomgripande datoriseringen har bl.a. medfört att många enskilda personer i dag har hemsidor på World Wide Web och kommunicerar i mer eller mindre personliga sammanhang via Internet. Internet har även kommit att bl.a. användas som ett allmänt debattforum och vid handelstransaktioner. Mycket av den användning av personuppgifter som förekommer i dessa sammanhang får enligt utskottets mening betraktas som harmlös och självklar. EG-direktivets generellt verkande hanteringsregler omfattar emellertid även sådan användning av personuppgifter.
Vid behandlingen av propositionen om personuppgiftslagen delade utskottet regeringens bedömning att en lagstiftning i form av en vittomfattande hanteringsmodell framstod som omodern och att det därför fanns starka skäl att verka för att det skulle bli möjligt att gå ifrån en sådan lagstiftning. Utskottet är alltjämt av samma uppfattning och anser att en modern lagstiftning avseende behandling av personuppgifter måste utformas så att lagstiftningen är väl anpassad med hänsyn till den snabba utvecklingen på framför allt IT-området. Lagstiftningen måste således vara "teknikoberoende" i den meningen att den skall vara utformad så att tekniska landvinningar på t.ex. IT- området inte skall medföra att regleringen i vissa delar blir orimlig och svår att tillämpa och efterleva. Enligt utskottets mening talar detta för, såsom framförs i flera motioner, att siktet bör vara inställt på att åstadkomma en teknikoberoende lagstiftning till skydd för den personliga integriteten. Utskottet finner därför anledning att, i likhet med vad som gjordes vid person- uppgiftslagens införande, framhålla att EG- direktivet i dag får anses omodernt. Enligt utskottets mening måste en revidering av direktivet ske. Vid utskottets utfrågning om personuppgiftslagen redogjorde statssekreteraren i Justitiedepartementet Hans-Erik Holmqvist för de steg i en sådan riktning som den svenska regeringen hitintills har tagit inom EU-samarbetets ram. Utskottet ser med tillfredsställelse på dessa initiativ från regeringens sida. Det är enligt utskottets mening av stor vikt att den svenska regeringen inom EU med kraft verkar för att en revidering av direktivet sker. Vad utskottet anfört bör med bifall till motionerna K234 yrkande 2 (m), K324 yrkande 2 (s) och T808 yrkande 10 (c) ges regeringen till känna.
I flertalet motioner begärs att en översyn av den nuvarande lagstiftningen görs i syfte att åstadkomma ett mer modernt regelverk som tar sikte på missbruk av personuppgifter. Enligt utskottets mening bör en översyn av person-uppgiftslagen komma till stånd med syfte att, så långt det är möjligt inom EG- direktivets ram, åstadkomma en förändring av lagstiftningen i den riktning som föreslås i motionerna. Utskottet kan härvid konstatera att det inom IT-kommissionens rättsliga observatorium pågår ett arbete med att diskutera och analysera alternativa lagstiftningsmodeller. Enligt utskottets mening bör dock - i avvaktan på en teknikoberoende integritetslagstiftning - intensifierade åtgärder vidtas för att åstadkomma en lagstiftning som syftar till att ingripa mot missbruk av personuppgifter och inte mot själva hanteringen av sådana uppgifter. Detta bör med anledning av motionerna K234 yrkande 1 (m), K249 (c), K256 yrkande 2 (m), K257 (m), K272 yrkande 1 delvis (mp), K282 (m), K317 (kd), K324 yrkande 1 (s), T808 yrkande 9 (c), T809 yrkande 3 (kd), T818 yrkande 9 delvis (m) och N326 yrkande 3 (m, kd) ges regeringen till känna.
Utskottet finner dock inte anledning att nu, såsom begärs i motion K256 yrkande 3 (m), ha synpunkter på hur ett framtida utredningsarbete skall bedrivas. Motionen avstyrks därför i denna del.
Personuppgiftslagen innehåller, i enlighet med direktivet, särskilt stränga hanteringsregler när det gäller överföring av personuppgifter till tredje land. Enligt personuppgiftslagens bestämmelser krävs i princip samtycke för behandling av personuppgifter på Internet. Något undantag görs inte för behandling som kan anses självklar eller harmlös. Behandling av personuppgifter som görs för privata syften eller sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande är däremot undantagen. I flera motioner har påtalats att personuppgiftslagens bestämmelser om krav på samtycke när det gäller behandling av personuppgifter via Internet svårligen kan efterlevas och att en sådan behandling som utförs utan samtycke blir olaglig, även om den inte kan anses otillbörlig.
Enligt utskottets mening är det påtalade problemet så akut och besvärande att möjliga åtgärder omedelbart måste prövas i avvaktan på att frågan får sin lösning i rättstillämpningen eller genom en mer genomgripande revidering av lagstiftningen. Som framgår av redogörelsen ovan har regeringen gett Datainspektionen i uppdrag att närmare utreda behovet av att göra undantag från förbudet i 33 § personuppgiftslagen mot överföring av personuppgifter till tredje land när det gäller dels överföringar från offentligt register för att tillgodose kommuners intresse av att sprida information, dels överföringar av personuppgifter som typiskt sett inte innebär några risker för de registrerade eller det annars mot bakgrund av allmänhetens intresse att sprida och inhämta information framstår som angeläget att undantag görs, särskilt i samband med behandling av personuppgifter på t.ex. Internet. I Datainspektionens uppdrag ingår också att undersöka om avvikelser från reglerna i person-uppgiftslagen för dessa intressen bör göras i andra avseenden. Enligt regeringens beslut skall Datainspektionen också föreslå föreskrifter om undantagen.
I redovisningen av uppdraget föreslår Datainspektionen att det i person- uppgiftsförordningen införs en bestämmelse om att det utan hinder av förbudet i 33 § personuppgiftslagen skall vara tillåtet att för informationsspridning eller kommunikation via Internet eller annat nät föra över personuppgifter till tredje land i löpande text om texten framställts för sådant ändamål och omständigheterna är sådana att det är uppenbart att det saknas risk för kränkning av den registrerades personliga integritet. Därutöver föreslår Datainspektionen bl.a. särskilda undantag för kommunernas information, som i huvudsak innebär att den datalagspraxis som utvecklats kring kommunernas informationspridning över Internet skall fortsätta att gälla.
Som framgått innebar regeringens uppdrag till Datainspektionen att inspektionen närmare skulle utreda behovet av att göra undantag från förbudet i 33 § personuppgiftslagen när det gäller dels överföringar från offentligt register för att tillgodose kommuners intresse av att sprida information, dels överföringar av personuppgifter som typiskt sett inte innebär några risker för de registrerade eller det annars mot bakgrund av allmänhetens intresse att sprida och inhämta information framstår som angeläget att undantag görs, särskilt i samband med behandling av personuppgifter på t.ex. Internet. Datainspektionens förslag skall nu remissbehandlas. Utskottet utgår från att regeringen därefter - inom de ramar som EG- direktivet uppställer - genomför de förändringar som krävs för att motverka de problem med personuppgiftslagens utformning som regeringsuppdraget avsåg att komma till rätta med, förändringar som kan behöva gå längre än vad Datainspektionen föreslagit. Regeringen är naturligtvis oförhindrad att, om så krävs, föreslå riksdagen förändringar i personuppgiftslagen. Utskottet utgår från att förändringar genomförs skyndsamt. Mot denna bakgrund finner utskottet inte anledning att för närvarande begära någon ytterligare åtgärd från regeringens sida i detta avseende. I enlighet med det anförda anser utskottet att vad som efterfrågas i motion K231 yrkande 5 (fp) är tillgodosett och avstyrker motionen.
Därutöver konstaterar utskottet att det i några motioner begärs att en översyn av mer specifika frågor i personuppgiftslagen skall göras. I motion K272 (mp) framförs att det är oklart vad som i lagen menas med manuellt register (yrkande 1 delvis). Utskottet konstaterar att begreppet manuellt register är avsett att ha samma innebörd som i EG-direktivet. Enligt direktivet avses med register varje strukturerad samling av personuppifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Utskottet vill framhålla att det ankommer på rättstillämpningen att uttolka vad som närmare skall förstås med manuellt register. Utskottet utgår ifrån att regeringen följer utvecklingen i rättspraxis. I enlighet med detta avstyrks motionen i aktuell del.
I motion K272 anförs vidare att en översyn är påkallad med hänsyn till att det inte är osannolikt att handelshinder kan uppstå på grund av personuppgiftslagen om ett utländskt företag behandlas sämre här i landet än t.ex. i Tyskland (yrkande 1 delvis). Härvid vill utskottet påpeka att EG-domstolen är exklusivt behörig att göra auktoritativa uttalanden om innebörden av EG:s rättsregler. Genom EG-domstolens praxis kan således en enhetlig tillämpning av det nu aktuella EG- direktivet erhållas. Enligt EG-direktivets föreskrifter har det också inrättats en särskild arbetsgrupp med uppgift att bidra till en enhetlig tillämpning av de nationella bestämmelser som genomför direktivet. Utskottet vill vidare framhålla att medlemsstaterna och kommissionen enligt artikel 27 skall uppmuntra utarbetandet av branschöverenskommelser. Personuppgiftsförordningen (1998:1191) innehåller bestämmelser om möjligheter att ge in förslag till sådana överenskommelser till Datainspektionen för yttrande. Mot bakgrund av det anförda avstyrker utskottet motionen i denna del.
I motion T818 (m) anförs att ett särskilt undantag bör göras från kravet på uttryckligt samtycke vid behandling av känsliga personuppgifter för att möjliggöra opinions- och marknadsundersökningar (yrkande 9 delvis). Vid behandlingen av propositionen om personuppgiftslagen behandlade utskottet en motion med ett liknande innehåll (bet. 1997/98:KU18 s. 46). Utskottet framhöll att den omständigheten att samtycket skall vara uttryckligt inte förutsätter att samtycket är skriftligt. Vad som begärdes i motionen tillgodosågs därför enligt utskottet med regeringens förslag Motionen avstyrktes därmed. Utskottet finner inte skäl att nu göra en annan bedömning och avstyrker den aktuella motionen i berörd del.
Förhållandet till offentlighetsprincipen
Motionen
I motion 1998/99:K272 av Peter Eriksson och Per Lager (mp) anförs att de viktigaste frågorna är hur lagstiftningen om behandling av personuppgifter förhåller sig till offentlighetsprincipen samt tryck- och yttrandefriheten. En fråga som bör redas ut i detta sammanhang är enligt motionärerna hur olika myndigheter skall hantera allmänhetens begäran att få ta del av offentliga handlingar via datamedier. Motionärerna hemställer att regeringen ges till känna vad som i motionen anförts om att regeringen bör ta initiativ inom EU för att göra undantag för s.k. allmänna handlingar (yrkande 2).
Bakgrund
Bestämmelse i personuppgiftslagen
I 8 § första stycket personuppgiftslagen erinras om att bestämmelserna i lagen inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. TF att lämna ut personuppgifter.
Vidare sägs i andra stycket att bestämmelserna inte heller hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelsen i 9 § fjärde stycket gäller inte för en myndighets användning av personuppgifter i allmänna handlingar.
Regeringens proposition
I proposition 1997/98:44 om personuppgiftslagen redovisade regeringen att Lagrådet i sitt yttrande hade anfört att det inte var övertygat om att EG- direktivet (95/46/EG) om skydd för enskilda med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter går att förena med offentlighetsprincipen och att de tolkningar som regeringen gjort framstod som pressade. Lagrådet hade bl.a. anfört att det mot bakgrund av syftet med direktivet (skapandet av en gemensam hög skyddsnivå som skapar förutsättningar för ett fritt flöde av uppgifter mellan länderna) inte var sannolikt att EG-domstolen skulle godta en tolkning av direktivet i den riktning som regeringen gjort. Enligt Lagrådet fanns det en påtaglig risk för att domstolen skulle finna offentlighetsprincipen oförenlig med direktivet. För att man skulle vara säker på att den svenska lagstiftningen skulle stå sig vid en prövning i EG-domstolen ansåg Lagrådet att bestämmelserna i TF och sekretesslagen (1980:100) måste ändras.
Regeringen delade inte de farhågor rörande EG- direktivets förenlighet med offentlighetsprincipen som framförts av Lagrådet och en del remissinstanser. Regeringen påpekade att det här rörde sig om en svensk grundlagsskyddad rättighet med lång tradition som är en viktig del av det svenska statsskicket. Den svenska offentlighetsprincipens starka ställning och grundläggande betydelse för det svenska förvaltningssystemet var enligt regeringen väl känd i de övriga medlemsstaterna. Regeringen framhöll att direktivet, under det förhandlingsarbete som ägde rum efter det att Sverige blivit medlem i EU, förändrades på flera punkter av särskilt stor betydelse för frågan om förhållandet till offentlighetsprincipen. Enligt regeringen var det också av särskilt stor betydelse att förändringarna till stor del föranleddes av den svenska inställningen och att förändringarna alltså syftade till att göra det möjligt för medlemsstaterna att förena regler om skydd för personuppgifter med en offentlighetsprincip. Detta hade särskilt tydligt manifesterats i punkt 72 i direktivets ingress.
Vidare anförde regeringen att Sverige också i samband med förhandlingarna som resulterade i Amsterdamfördraget hårt hade drivit frågan om ökad öppenhet inom EU. Enligt regeringen hade detta arbete varit framgångsrikt bl.a. eftersom Sverige hade kunnat påvisa den positiva betydelse en väl utvecklad offentlighetsprincip har för vårt land. Regeringen påpekade att utvecklingen inom EU otvivelaktigt gick mot en ökad öppenhet. Vidare ansåg regeringen att det borde framhållas att Lagrådet inte hade preciserat sin kritik mot regeringens tolkning samt att Lagrådet hade uttalat en viss förståelse för att regeringen inte ville göra ingrepp i offentlighetsprincipen. Regeringens bedömning i propositionen rörande tolkningen av olika artiklar i EG-direktivet var enligt regeringens mening ytterst välgrundad, särskilt mot bakgrund av förklaringen om offentlighetsprincipen i direktivets ingress. Det fanns enligt regeringens mening inte anledning att anta att EG-domstolen vid en eventuell prövning av frågan skulle se saken på ett annat sätt.
Konstitutionsutskottets tidigare bedömning
Vid sin behandling av proposition 1997/98:44 om personuppgiftslagen konstaterade utskottet i sin bedömning av lagens förhållande till offentlighetsprincipen bl.a. att offentlighetsprincipen med sin avgörande betydelse för den fria åsiktsbildningen utgör en omistlig del av vårt konstitutionella system. Utskottet anförde att offentlighetsreglerna är vår nationella angelägenhet och att gemenskapsinstitutionerna inte hade någon befogenhet att harmonisera reglerna på detta lagstiftningsområde. Vidare hänvisade utskottet till sitt tidigare uttalande om att, om det skulle uppkomma en konflikt inom det område där EU-institutionerna har befogenhet att fatta beslut, det borde vara möjligt att med framgång hävda den centrala ställning som offentlighetsprincipen och meddelarfriheten har i vårt konstitutionella system. Enligt utskottets mening hade vad som förevarit i det nu aktuella ärendet inte gett anledning till någon annan bedömning. Det fanns enligt utskottet således varken med hänsyn till offentlighetsprincipen som sådan eller vad som förevarit i lagstiftningsärendet anledning att, såsom begärdes i en motion, göra en omprövning av nuvarande offentlighetslagstiftning. Motionen avstyrktes därför.
I enlighet med det anförda saknades vidare enligt utskottets mening anledning att, såsom yrkades i en motion, begära att regeringen skulle ta initiativ till en ändring av EG-direktivet så att inga tveksamheter kan råda huruvida en normkollision föreligger mellan direktivet och svenska bestämmelser om allmänna handlingars offentlighet.
Utskottet tillstyrkte vidare regeringens förslag att det i personuppgiftslagen infördes en uttrycklig bestämmelse om att lagen inte tillämpas, om det skulle inskränka myndigheternas skyldigheter att lämna ut personuppgifter enligt 2 kap. TF. Därutöver tillstyrkte utskottet förslaget att det infördes en bestämmelse om att lagen inte hindrar att en myndighet bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. I enlighet med detta avstyrkte utskottet en motion, vari begärdes att regeringens förslag i denna del skulle avslås.
I enlighet med det anförda saknades vidare enligt utskottets mening anledning att, såsom yrkades i en motion (mp), begära att regeringen skulle ta initiativ till en ändring av EG-direktivet så att inga tveksamheter kan råda huruvida en normkollision föreligger mellan direktivet och svenska bestämmelser om allmänna handlingars offentlighet.
I en reservation (m) anfördes att regeringen hade gjort vissa mycket pressade tolkningar av EG- direktivet när det gällde dess förenlighet med offentlighetsprincipen. Reservanterna ville särskilt peka på direktivets förbud mot att lämna ut personuppgifter för annat ändamål än det för vilket uppgifterna samlats in. Enligt reservanterna framstod regeringens bedömning som felaktig från EG- rättslig synpunkt. Kritik kunde också riktas mot den underliggande värderingen. Reservanterna ansåg att det alls inte var givet att den traditionella avvägningen mellan det offentligas intresse och skyddet för den enskildes personliga integritet, såsom den avspeglades i förslaget till person- uppgiftslag, var den mest lämpliga eller riktiga. Enligt reservanterna borde offentlighetslagstiftningen omprövas i riktning mot en begränsning av att ta del av personuppgifter, men med oförändrade demokratiska möjligheter till insyn i förvaltningen.
I en reservation, (fp) och (mp), anfördes att regeringen borde ta initiativ till en ändring av EG- direktivet så att inga tveksamheter kvarstår när det gäller direktivets förenlighet med den svenska offentlighetsprincipen.
Utskottets bedömning
Som framgår av föregående avsnitt uttalar sig utskottet för att regeringen skall verka inom EU för att en revidering av EG-direktivet sker. Utskottet utgår från att regeringen i detta sammanhang, liksom tidigare, kraftfullt agerar för att slå vakt om den svenska offentlighetsprincipen. Något initiativ från riksdagens sida med anledning av motion K272 yrkande 2 (mp) är enligt utskottets mening inte påkallat. Motionen bör således avslås i denna del.
Övergångsregel till personuppgiftslagen
Motionen
I motion 1998/99:K256 av Margit Gennser (m) anförs att det misstag som skett genom att riksdagen antagit regeringens förslag till personuppgiftslag med omedelbar verkan måste rättas till. Motionären hemställer att riksdagen besluta att anta en övergångsregel som anger att lagen träder i kraft först år 2004 (yrkande 1).
Gällande övergångsbestämmelser
Som redovisats ovan trädde PUL i kraft den 24 oktober 1998. Datalagen upphörde då att gälla. Av övergångsbestämmelserna punkt 2 till personuppgiftslagen framgår dock att bestämmelserna i datalagen skall tillämpas t.o.m. den 30 september 2001 i fråga om behandling av personuppgifter som påbörjats före ikraftträdandet. Detsamma gäller behandling som utförs för ett visst ändamål om behandlingen för det ändamålet påbörjats före ikraftträdandet.
Därutöver framgår av punkt 3 i övergångsbestämmelserna att bestämmelserna i 9, 10, 13 och 21 §§ inte skall börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling som påbörjats före ikraftträdandet eller utförs för ett visst bestämt ändamål om behandlingen påbörjats för det ändamålet före ikraftträdandet.
Övergångsbestämmelserna innebär att sådan behandling av personuppgifter som var tillåten enligt datalagen före den 24 oktober 1998 och som påbörjats före denna tidpunkt också är tillåten under övergångstiden. Det kan handla om behandlingar som omfattas av datalagens personregisterbegrepp och där Datainspektionen sedan tidigare har lämnat sitt tillstånd. Vidare kan det vara fråga om behandling av personuppgifter som varit tillåten enligt de generella föreskrifter som Datainspektionen meddelat.
Information i löpande text på en hemsida, t.ex. ett nyhetsbrev, faller som regel utanför det personregisterbegrepp som används i datalagen. Datalagen reglerar således inte denna typ av behandling av personuppgifter. I den mån sådan behandling av personuppgifter har påbörjats före den 24 oktober 1998 följer av övergångsbestämmelserna att inte heller personuppgiftslagen skall tillämpas på behandlingen under övergångstiden.
Utskottets bedömning
Utskottet konstaterar att personuppgiftslagen har trätt i kraft i den 24 oktober 1998. Det är således inte möjligt att, såsom begärs i motionen, nu bestämma att lagen skall träda i kraft vid en senare tidpunkt. Utskottet vill dock påpeka att för vissa behandlingar har ikraftträdandet fördröjts genom övergångsbestämmelserna. Med det anförda avstyrker utskottet motionen i denna del.
Lagstiftning i fråga om nummerpresentation
Motionen
I motion 1998/99:K277 av Carina Hägg (s) påpekas att en myndighet inte behöver skaffa särskilt tillstånd utöver registerlicens för att få inneha en nummerpresentatör. Motionären framhåller att den enskilde har möjlighet att ringa en myndighet anonymt för att ställa en fråga och för att lämna uppgifter. Enligt motionären är det förvånande att journalister som ofta hänvisar till anonyma källor också använder sig av nummerpresentatörer. Motionären anför att nuvarande tekniska möjlighet och lagstiftning har förflyttat ansvaret för att garantera anonymiteten från myndigheterna till den enskilde. Hon anser att man även fortsättningsvis skall slå vakt om möjligheten att lämna uppgifter och ställa frågor anonymt och efterlyser en ändring i nuvarande lagstiftning. Regeringen bör ges till känna vad som anförts om behovet av skydd för den personliga integriteten i samband med introduktion och användning av ny informationsteknik.
Bakgrund
Teledataskyddsdirektivet
Den 15 december 1997 antog Europaparlamentet och rådet direktiv 97/66/EG om behandling av personuppgifter och skydd för privatlivet inom telekommunikationsområdet (teledataskyddsdirektivet). Syftet med direktivet är att genom en harmonisering av medlemsstaternas bestämmelser om behandling av personuppgifter säkerställa en likvärdig nivå på integritetsskyddet. Direktivet skall vidare säkerställa fri rörlighet inom gemenskapen för personuppgifter inom telekommunikationsområdet och för teleutrustning och teletjänster. Bestämmelserna är avsedda att precisera och komplettera EG:s dataskyddsdirektiv. Teledataskyddsdirektivet skulle ha varit genomfört i medlemsstaterna senast den 24 oktober 1998.
Enligt teledataskyddsdirektivet skall uppgifter om abonnenter och användare som teleoperatören behandlar för att koppla upp samtal utplånas eller åtminstone avidentifieras efter samtalets slut. Nödvändiga uppgifter för fakturering av abonnenter och förbetalning av samtrafikavgifter får dock behandlas under preskriptionstiden (artikel 6).
Teledataskyddsdirektivet innehåller vidare vissa bestämmelser som gäller tjänsten nummerpresentation (artikel 8 och 9). Den som ringer upp skall enligt direktivet ha möjlighet att hindra att hans eller hennes telefonnummer visas för den uppringde. Denne skall i sin tur ha möjlighet att förhindra att sådana samtal kopplas fram där nummerpresentation har åsidosatts. Det skall vidare vara möjligt att under viss tid lagra uppgifter om dessa samtal hos teleoperatören för att kunna spåra okynnessamtal eller andra störande samtal. Organisationer som handhar nödsamtal skall kunna förhindra att nummerpresentation åsidosätts. Om ett samtal vidarekopplas till ett annat nummer skall den uppringde kunna förhindra att det uppkopplade numret visas hos den som ringer upp.
Kommunikationsdepartementets förslag
Kommunikationsdepartementet lämnar i departementspromemorian Ändringar i telelagen m.m. (Ds 1998:63) förslag till ändringar i bl.a. telelagen (1993:597) för att genomföra teledataskyddsdirektivet i svensk lagstiftning. Departementet föreslår bl.a. att det i telelagen införs en bestämmelse om att uppgifter som angår särskilda telemeddelanden skall utplånas eller avidentifieras vid samtalets slut eller när meddelandet nått mottagaren. Vidare föreslår departementet att bestämmelser om skadestånd vid behandling av per-sonuppgifter införs i telelagen. Enligt förslaget skall regeringen eller, efter regeringens bemyndigande, tillsynsmyndigheten bemyndigas att i viss utsträckning meddela närmare föreskrifter om bl.a. tillhandahållande av nummerpresentation.
Utskottet har inhämtat att en proposition med anledning av förslagen i departementspromemorian planeras att avlämnas till riksdagen under mars 1999. Avsikten är att föreslagna lagändringar skall träda i kraft den 1 juli 1999.
Utskottets bedömning
Regeringen avser att inom kort avlämna ett förslag till riksdagen om att införa bl.a. en särskild reglering när det gäller tillhandahållandet av nummerpresentation. Reglerna i det aviserade förslaget riktar sig till den som bedriver televerksamhet och syftar till att genomföra det s.k. teledataskyddsdirektivet i svensk lagstiftning. Direktivet innehåller bl.a. bestämmelser som innebär att den som ringer upp skall kunna skydda sig mot nummerpresentation. Som motionären påpekar innebär en sådan reglering att det är den som ringer upp som bär ansvaret för att nummerpresentation inte sker. Utskottet vill framhålla att det är angeläget att enskilda även telefonledes kan kontakta myndigheter anonymt för att lämna uppgifter och begära upplysningar. Det är enligt utskottets mening inte självklart att det är den enskilde som i nu aktuellt avseende bör bära ansvaret för att anonymiteten upprätthålls. Myndigheter kan avstå från att använda sig av tjänsten nummerpresentation. Å andra sidan kan vissa myndigheter ha ett berättigat behov av att använda sig av denna tjänst, bl.a. för att kunna spåra störande samtal. När det vidare gäller möjligheten för envar att utnyttja sin meddelarfrihet vill utskottet framhålla att, oavsett vad som i vanlig lag regleras i fråga om nummerpresentation, bestämmelserna om anonymitetsskydd i 3 kap. tryckfrihetsförordningen och 2 kap. yttrandefrihetsgrundlagen gäller.
Utskottet vill med det anförda fästa uppmärksamhet på det problem som aktualiseras i motionen men är för närvarande inte berett att förorda att regeringen skall vidta någon viss åtgärd i frågan. I enlighet med detta avstyrks motionen.
Tillsyn på dataområdet
Motionen
I motion 1998/99:T803 av Gudrun Schyman m.fl. (v) anförs att Datainspektionen bör ges en mer offensiv och operativ roll och fylla upp det tomrum där det vanliga polisiära arbetet går bet. Till det krävs enligt motionärerna ökade resurser i form av spetskompetens på dataområdet och ökade befogenheter för att utreda misstänkta databrott. Motionärerna hemställer att riksdagen hos regeringen begär förslag till en utredning angående förutsättningarna för att ge Datainspektionen en ny roll i enlighet med vad som anförts i motionen (yrkande 8).
I motionen framhålls också att många övergrepp och interventioner som förekommer i datahanteringen är av helt ny karaktär och okända i traditionell lagstiftning. Motionärerna tror att det kan vara värdefullt att inrätta en specialdomstol som kunde koncentrera sig på den nya typ av oegentligheter som följer i kölvattnet av den nya tekniken. Enligt motionärerna borde datadomstolen jämte uppdraget att lösa tvistigheter och oegentligheter också ha till uppgift att ta initiativ till ny lagstiftning på IT- området. Detta bör ges regeringen till känna (yrkande 9).
Bakgrund
Bestämmelser om Datainspektionens tillsynsuppgifter
Enligt 2 § personuppgiftsförordningen (1998:1191) är Datainspektionen tillsynsmyndighet enligt personuppgiftslagen.
Av 43 § personuppgiftslagen framgår att Datainspektionen för sin tillsyn har rätt att på begäran få
a) tillgång till de personuppgifter som behandlas,
b) upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna och
c) tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.
Om tillsynsmyndigheten inte efter begäran enligt 43 § kan få tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig, får myndigheten enligt 44 § vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem.
I 45 § sägs att om tillsynsmyndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på något annat sätt eller är saken brådskande, får myndigheten vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifter på något annat sätt än genom att lagra dem.
Enligt 47 § får tillsynsmyndigheten hos länsrätten ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt skall utplånas.
Av 51 § framgår att Datainspektionens beslut enligt personuppgiftslagen får överklagas hos Länsrätten i Stockholms län.
Datainspektionen har också tillsyn över den verksamhet som kreditupplysnings- och inkassoföretagen bedriver. Tillsynen regleras genom bestämmelser i kreditupplysningslagen (1973:1173) och inkassolagen (1974:182).
Regeringens överväganden i budgetpropositionen för 1999
I budgetpropositionen (prop. 1998/99:1) vad avser utgiftsområde 1 Rikets styrelse anförde regeringen när det gällde Datainspektionens verksamhet att en viktig följd av den nya lagstiftningen på dataskyddsområdet är att Datainspektionens roll förändras från att ha varit inriktad på en tillståndshantering mot att främst genom information och kontakter med dem som behandlar personuppgifter se till att lagens förutsättningar för att behandla personuppgifter är uppfyllda. Enligt regeringen blir de kontakter särskilt viktiga som Datainspektionen kommer att ha med personer som utses till personuppgiftsombud hos de företag, myndigheter och andra som är personuppgiftsansvariga. Datainspektionen kommer också att utfärda föreskrifter och medverka i utarbetandet av branschöverenskommelser på olika områden. Regeringen anför att branschöverenskommelser kan förväntas få stor betydelse i framtiden för att reglera olika former av behandling av personuppgifter.
Regeringen konstaterade vidare att integritetsfrågor i dag bevakas i olika sammanhang av flera olika myndigheter, t.ex. Datainspektionen, Justitiekanslern och Registernämnden. Särskilt Datainspektionens roll när det gäller användningen av personuppgifter är enligt regeringen väsentlig. Regeringen anför att det finns anledning att i framtiden särskilt se till att myndigheternas integritetsbevakande arbete sker på ett så effektivt sätt som möjligt och att det finns en vaksamhet för de förändringar av tekniken som kan medföra integritetsrisker.
Konstitutionsutskottet anförde ingen avvikande mening vid sin behandling av budgetpropositionen (bet. 1998/99:KU1).
Datastraffrättsutredningen
Datastraffrättsutredningen avlämnade i december 1992 sitt betänkande Information och den nya InformationsTekniken - straff- och processrättsliga frågor m.m. (SOU 1992:110). Utredningen hade haft i uppdrag att överväga vilka förändringar av de straff- och processrättsliga reglerna som är påkallade med hänsyn till utvecklingen inom data- och teletekniken samt att, från samma utgångspunkt, se över reglerna för olika myndigheters kontrollverksamhet (dir. 1989:54). Bland annat föreslog utredningen att bestämmelsen om straff för dataintrång skulle föras över från datalagen till brottsbalken. I proposition 1997/98:44 om personuppgiftslagen m.m. föreslog regeringen att en sådan överföring skulle göras. Riksdagen godkände förslaget (bet. 1997/98:KU18, rskr. 1997/98:180). Datastraffrättsutredningens förslag, som syftar till en mer genomgripande reform, bereds för närvarande inom Justitiedepartementet.
Utskottets bedömning
Utskottet konstaterar att Datainspektionen har varit tillsynsmyndighet på dataskyddsområdet sedan datalagen infördes år 1973. Följaktligen medför förändringar i lagstiftningen på detta område att också Datainspektionens roll och uppgifter förändras. Personuppgiftslagens införande har inneburit att Datainspektionens roll inte längre är inriktad på i första hand tillståndshantering. Dess främsta uppgift är numera att genom information och kontakter med dem som behandlar personuppgifter se till att de förutsättningar för behandling av personuppgifter som uppställs i personuppgiftslagen är uppfyllda. Enligt utskottets mening är önskemålet i motion T803 yrkande 8 (v) om en mer offensiv och operativ roll för Datainspektionen därmed tillgodosett. Motionen avstyrks därför i denna del.
När det gäller vad som anförs i samma motion om en datadomstol (yrkande 9) konstaterar utskottet att Datastraffrättsutredningens förslag alltjämt är under beredning i Regeringskansliet. Enligt utskottets mening bör någon åtgärd med anledning av motionen inte vidtas i avvaktan på detta beredningsarbete. Motionen avstyrks därför även i denna del.
Hemställan
Utskottet hemställer
1. beträffande revidering av EG- direktivet
att riksdagen med bifall till motionerna 1998/99:K234 yrkande 2, 1998/99:K324 yrkande 2 och 1998/99:T808 yrkande 10 som sin mening ger regeringen till känna vad utskottet har anfört,
2. beträffande lagstiftning mot missbruk av personuppgifter
att riksdagen med anledning av motionerna 1998/99:K234 yrkande 1, 1998/99:K249, 1998/99:K256 yrkande 2, 1998/99:K257, 1998/99: K272 yrkande 1 delvis, 1998/99:K282, 1998/99:K317, 1998/99:K324 yrkande 1, 1998/99:T808 yrkande 9, 1998/99:T809 yrkande 3, 1998/99:T818 yrkande 9 delvis och 1998/99:N326 yrkande 3 som sin mening ger regeringen till känna vad utskottet har anfört,
3. beträffande framtida utredningsarbete
att riksdagen avslår motion 1998/99:K256 yrkande 3,
4. beträffande överföring av personuppgifter till tredje land
att riksdagen avslår motion 1998/99:K231 yrkande 5,
5. beträffande definitionen av manuellt register
att riksdagen avslår motion 1998/99:K272 yrkande 1, delvis,
res. 1 (mp)
6. beträffande handelshinder
att riksdagen avslår motion 1998/99:K272 yrkande 1 delvis,
7. beträffande samtycke vid opinions- och marknadsundersökningar
att riksdagen avslår motion 1998/99:T818 yrkande 9 delvis,
8. beträffande förhållandet till offentlighetsprincipen
att riksdagen avslår motion 1998/99:K272 yrkande 2,
9. beträffande övergångsregel till personuppgiftslagen
att riksdagen avslår motion 1998/99:K256 yrkande 1,
10. beträffande lagstiftning om nummerpresentation
att riksdagen avslår motion 1998/99:K277,
11. beträffande Datainspektionens uppgifter
att riksdagen avslår motion 1998/99:T803 yrkande 8,
12. beträffande datadomstol
att riksdagen avslår motion 1998/99:T803 yrkande 9.
Stockholm den 2 mars 1999
På konstitutionsutskottets vägnar
Per Unckel
I beslutet har deltagit: Per Unckel (m), Göran Magnusson (s), Barbro Hietala Nordlund (s), Pär Axel Sahlberg (s), Kenneth Kvist (v), Jerry Martinger (m), Mats Berglind (s), Inger René (m), Kerstin Kristiansson (s), Tommy Waidelich (s), Mats Einarsson (v), Björn von der Esch (kd), Per Lager (mp), Åsa Torstensson (c), Helena Bargholtz (fp), Per-Samuel Nisser (m) och Inger Strömbom (kd).
Reservationer
1. Definitionen av manuellt register (mom. 5)
¤mp# anser
dels att den del av utskottets yttrande som på s. 25 börjar med "Därutöver konstaterar" och slutar med "aktuell del" bort ha följande lydelse:
Enligt utskottets mening är det otillfredsställande, såsom påpekas i motion K272 yrkande 1 delvis (mp), att begreppet manuellt register inte har getts någon entydig definition i personuppgiftslagen. Utskottet anser att det borde vara möjligt att inom EG-direktivets ram i lag precisera vad som skall avses med detta begrepp. I enlighet med detta anser utskottet, med bifall till motionen i denna del, att regeringen bör ges till känna att personuppgiftslagen bör ses över i nu nämnt hänseende.
dels att utskottets hemställan under 5 bort ha följande lydelse:
5. beträffande definitionen av manuellt register
att riksdagen med bifall till motion 1998/99:K272 yrkande 1 delvis som sin mening ger regeringen till känna vad utskottet anfört,
Särskilt yttrande
Förhållandet till offentlighetsprincipen
Helena Bargholtz (fp) och Per Lager (mp) anför:
I lagstiftningsärendet om personuppgiftslagen anförde Lagrådet, i likhet med flera remissinstanser, att det inte var övertygat om att Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter går att förena med den svenska offentlighetsprincipen. Lagrådet anförde att de tolkningar regeringen gjort av direktivet i lagrådsremissen framstod som pressade. I proposition 1997/98:44 om personuppgiftslagen vidhöll regeringen sin uppfattning att det inte finns någon bestämmelse i direktivet som inte går att förena med offentlighetsprincipen. Det kan således konstateras att, trots att regeringen i förhandlingarna om EG- direktivet ansett sig ha fått till stånd sådana lösningar att någon oförenlighet mellan direktivförslaget och offentlighetsprincipen inte längre förelåg, det vid direktivets genomförande i Sverige framkom att en stor juridisk oenighet förelåg i denna fråga.
Det kan vidare konstateras att frågan om EG- direktivets förenlighet med offentlighetsprincipen ännu inte har fått sin lösning. Situationen är alltjämt den att vi vid en eventuell konflikt har att lita till den politiska förhoppning som utskottet uttalat när det gäller hur en sådan konflikt skall lösas, nämligen att det borde vara möjligt att med framgång hävda den centrala ställning som offentlighetsprincipen har i vårt konstitutionella system.
Utskottet har nu uttalat sig för att regeringen med kraft skall verka inom EU för att en revidering av EG-direktivet sker. Med hänsyn till den avgörande betydelse som offentlighetsprincipen har för vårt konstitutionella system, anser vi att det är av stor vikt att regeringen i detta sammanhang försäkrar sig om att ett nytt EG-direktiv utformas så att det inte föreligger någon tveksamhet när det gäller dess förenlighet med offentlighetsprincipen.
Konstitutionsutskottets offentliga utfrågning om personupp-giftslagen och närliggande frågor den 8 december 1998
Inledning
Ordföranden: Jag ber att få hälsa er alla hjärtligt välkomna till denna utfrågning om personuppgiftslagen. Orsaken till utfrågningen är ett antal förslag som väckts i utskottet motionsvägen och genom andra initiativ där man ifrågasatt personuppgiftslagens konstruktion och verkningar. Utskottet har beslutat att behandla dessa initiativ så att ett förslag kan ligga färdigt för riksdagens behandling snart in på det nya året, för att nu inte utfästa mig ett exakt datum. Denna utfrågning skall ses som ett led i beredningen av dessa förslag.
Vi har tänkt att genomföra utfrågningen i fyra avdelningar, varav snöovädret redan förorsakar ett problem i den första. Avdelningarna skulle likväl för det första vara en mera principiell avdelning om den bakgrund som gäller för all lagstiftning av det här slaget, att belysa de lite olika traditioner som finns i Nord- och Centraleuropa. Vi skulle för det andra titta på hur den lag vi nu diskuterar faktiskt tillkom och de bevekelsegrunder som låg bakom. Vi skulle därefter titta något på hur utfallet, så långt det nu kan bedömas, faktiskt har blivit och därefter under den avslutande timmen summera vilka handlingsvägar, givet de erfarenheter som nu har vunnits, som formellt och informellt står utskottet till buds.
Snöovädret förorsakar problem inte bara i Gävle utan jämväl i Oslo, dvs. att vår inledande talare just nu är på väg i bil från Arlanda. Vi har därför bestämt oss för att flytta hans inledning till efter de två första avdelningarna, dvs. att vi nu genomför bakgrundsteckningen respektive erfarenheterna och rundar av med de mer filosofiska spörsmålen. Vi tror att det är bättre att göra så.
Denna utfrågning sänds även över nätet. Jag ber att få hälsa också dem välkomna som följer utfrågningen på detta sätt. Se det gärna som ett sätt att experimentellt undersöka om demokratin kan breddas och fördjupas med den nya teknikens hjälp.
Vi börjar alltså med avdelning 2 för att diskutera tillkomsten av person-uppgiftslagen. Varje avdelning är upplagd så att det blir ett par kortare introduktioner, varefter utskottets ledamöter får möjlighet att ställa preciserade frågor. Staffan Vängby, som var ordförande i Datalagskommittén som hade ansvaret för första ledet i den process som vi nu befinner oss mitt uppe i, inleder.
Tillkomsten av personuppgiftslagen
Staffan Vängby: Datalagskommittén hade till uppgift att dels föreslå hur ett EG-direktiv för skydd för personuppgifter skulle kunna införas i svensk rätt, dels modernisera offentlighetsprincipen. Kommittén föreslog i sitt betänkande dels en ny lag om bestämmelser om skydd för personuppgifter, dels ändringar i 2 kap. tryckfrihetsförordningen. Den senare delen har inte blivit genomförd utan är föremål för fortsatt utredningsarbete. Arbetet utfördes under stark tidspress och tog ett drygt år.
EG-direktivet om personuppgiftsskydd är väl inte det bästa direktiv man kan tänka sig. Det är ålderdomligt och är präglat av förhållandena inom datavärlden före den nya informationsteknikens genomförande. Men syftet är gott. Syftet är att skydda den personliga integriteten främst från intrång genom databehandling av personuppgifter på samma sätt som den svenska datalagen av år 1973, som ju var den första i sitt slag och som nu vunnit ett stöd i regeringsformen om skydd för den personliga integriteten när det gäller automatisk databehandling.
Sveriges medlemskap i EU medför en rättslig förpliktelse för Sverige att införa det här direktivet. Sverige hade dessutom deltagit i slutförhandlingarna om att få till stånd ändringar i direktivet. Vi har alltså inte haft någon valfrihet i fråga om direktivet skulle införas eller inte. Dessutom är direktivet av den typen att det kan få direkt tillämplighet, dvs. att det kan grunda rätt till skadestånd för enskilda individer mot staten, om den svenska lagstiftningen inte ger ett adekvat skydd. Det innebär att svenska domstolar kan tänkas tillämpa direktivet i ett mål om sådant skadestånd, även om direktivet inte hade överförts till svensk lagtext. Av samma skäl var det enligt kommitténs uppfattning omöjligt att överföra direktivet till svensk lagtext utan att ganska noggrant följa direktivets text. Det viktiga för kommittén var att se till att inte några vitala svenska intressen träddes för nära.
Nu talar jag hela tiden om kommitténs majoritets uppfattning, som sammanföll med min egen uppfattning. Det är min uppfattning framför allt som jag ger uttryck för i dag.
Datalagskommittén begagnade sig av undantagsbestämmelser i direktivet för att föreslå att så gott som samtliga bestämmelser i direktivet utom de som gäller datasäkerhet inte skall gälla för sådana förfaranden eller sådan spridning som är skyddade enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen. I den mån dessa grundlagar i framtiden, eller som redan har skett, kommer att omfatta nya medier - riksdagen antog ju det vilande grundlagsförslaget om utvidgning av grundlagsskyddet till att omfatta bl.a. cd-rom- skivor - så vidgas också undantaget från skydd i personuppgiftslagen.
Sverige fick också in under slutförhandlingarna en punkt i ingressen till direktivet som innebar att man vid genomförandet av direktivets bestämmelser skulle ta hänsyn till principen om allmänhetens rätt till tillgång till allmänna handlingar. Kommittén tog fasta på detta förbehåll och föreslog en paragraf som säger att bestämmelserna i personuppgiftslagen inte skall tillämpas i sådan utsträckning att det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter.
Kommittén utnyttjade alltså alla möjliga, och jag vill påstå en del mindre möjliga, grunder för att ge yttrandefriheten så stort utrymme som möjligt. Det framgår av den kritik som både experter inom kommittén och sedan Lagrådet - självfallet inte den avdelning som jag sitter i - framförde mot kommitténs uppfattning, att det gick att förena offentlighetsprincipen och direktivet. Men både regeringen och riksdagen accepterade kommitténs uppfattning på den punkten. Längre än så var det enligt min mening den gången inte möjligt att gå och är det fortfarande inte.
EG-domstolen anser att EG-rätten tar över medlemsstaternas konstitutioner, men hur det förhåller sig på den punkten är inte definitivt löst. Det var konstitutionsutskottets ståndpunkt inför anslutningen till EU att regeringsformen även i sitt då ändrade skick inte öppnade möjlighet att överlåta beslutsbefogenheter beträffande offentlighetsprincipen utan ändring av grundlag. Det var också Datalagskommitténs uppfattning att det inte kommer på fråga att ändra svensk grundlag för att åstadkomma inskränkningar i offentlighetsprincipen eller yttrandefriheten till följd av personuppgiftsskyddsdirektivet. När det gäller frågor som inte direkt är reglerade i grundlagarna, t.ex. begreppet yttrandefrihet i vidsträckt mening, tror jag knappast att det går att upprätthålla någon särställning i förhållande till EU i övrigt.
Datalagskommittén hade en idé om hur integritetsskyddet skulle kunna utformas enligt en helt annan modell och förordade också att Sverige verkade för att EU på sikt skulle gå över till en sådan modell. Idén är beskriven i utskottskansliets promemoria på s. 11 och 12. Jag skall därför inte gå närmare in på den. Slutsatsen den gången blev alltså att övervägande skäl talade för att en ny lagstiftning borde bygga på den modell som direktivet hade, s.k. hanteringsmodellen, och reglera när och under vilka förutsättningar det var tillåtet att behandla personuppgifter. Samtidigt önskade vi att diskussionen om en övergång till vad vi kallade en missbruksmodell, som beskrivs i utskottspromemorian, skulle fortsätta. Inte minst när det gäller att inom EG:s institutioner vinna gehör för sådan tankegång gällde det att vara tidigt ute.
Ordföranden: Tack så hjärtligt för detta. Så hälsar jag välkommen statssekreteraren i Justitiedepartementet Hans-Erik Holmqvist, som är mera omedelbart politiskt ansvarig för den nuvarande lagen.
Hans-Erik Holmqvist: Tillåt mig börja med en personlig reflektion. Jag har varit engagerad i sådant här lagstiftningsarbete förut, nämligen i Data- och offentlighetskommittén, en av de kommittéer som sysslat med dessa frågor. Det gjorde jag för drygt tio år sedan. Man kan konstatera att det finns mycket man känner igen när man kommer tillbaka till den här debatten. En del har hänt, och en del har inte hänt.
Vi har fått en tidvis förvirrad debatt om den här lagen. Det finns påståenden i debatten om tidpunktenför införandet av lagen: Sverige skall vara bäst i klassen. Låt mig slå fast att direktivet är väldigt tydligt om sista dag för genomförande av lagstiftningen. Det har inte funnits någon valfrihet för Sverige att välja någon annan tidpunkt. Det vore i och för sig intressant att höra utskottets överväganden med anledning av detta, hur det skulle ha ställt sig om regeringen hade varit försumlig och inte lyckats prestera ett lagförslag som kunde träda i kraft i rätt tid. Vi har också förstått av kontakter med medlemsstaterna och kommissionen att om man har lagstiftningen på plats och den skulle kunna träda i kraft men man underlåter att låta den träda i kraft, är det ett förfaringssätt som inte hade tagits särskilt väl emot. Vi vill också påpeka att tidpunkten har fixerats av att vi hade att göra ändringar i regeringsformen som påverkade tidpunkten för propositionens avlämnande och som också påverkade tidpunkten för när riksdagen kunde behandla förslaget.
Det finns ett annat påstående om överimplementering. Jag tycker att Staffan Vängby gick in på det tillräckligt. Det handlar inte om ett minimidirektiv, utan direktivet är formulerat på ett sådant sätt att mycket är ganska detaljreglerat och bestämt där formuleringen "medlemsstaterna skall" återkommer hela tiden. Det står t.ex. i artikel 25 som har med överföring till andra länder att göra, dvs. det som reglerar Internet. Vi har det i artikel 26 som reglerar undantagen från den bestämmelsen. Därför finns det väldigt små möjligheter att avvika från direktivet, som Staffan Vängby berörde. Det gör att regeringen har följt kommitténs text ganska väl.
En kommentar till missbruksmodellen. Jag tycker att en synpunkt man ändå kunde introducera så här pass tidigt är att all lagstiftning egentligen innehåller både delar av missbruksmodell och delar av hanteringsmodell. Även direktivet har vissa inslag av missbruksmodell, och så har personuppgiftslagen vissa inslag av missbruksmodell. Jag tänker framför allt på förbjudna bearbetningar.
Det är också viktigt att tänka på att man visserligen i direktivet inte lyckats fånga upp vad som varit aktuellt under senare år, framför allt Internet. Men å andra sidan bygger det på 25-30 års erfarenhet av lagstiftning kring integritet vad gäller traditionella databearbetningar, inte minst det som handlar om myndighetsregister och vissa företagsregister. Därför kan man göra den bedömningen att när det gäller den typen av tillämpningar är egentligen direktivet, datalagen och personuppgiftslagen ganska väl anpassade. När vi debatterar vad som är fel med personuppgiftslagen tycker jag att man skall begränsa sig till det som är det stora bekymret och inte till det som trots allt direktivet och lagen hanterar ganska väl. Låt mig erinra om att personuppgiftslagen exempelvis innebär en mycket mer flexibel hantering för företag och myndigheter. T.ex. finns möjligheten att bearbeta efter en intresseavvägning, vilket ger större frihet än den tidigare lagstiftningen har gjort.
Ordföranden: Tack för detta. Jag lämnar ordet fritt för utskottets ledamöter att fråga såväl Staffan Vängby som Hans-Erik Holmqvist med anledning av deras introduktioner.
Barbro Hietala Nordlund: Jag har en fråga som både Staffan Vängby och Hans-Erik Holmqvist kanske vill kommentera. Jag återkommer till det som sades inledningsvis om de påståenden som har förekommit i debatten. Det har varit en mycket intensiv debatt. Ett påstående gäller tolkningen av EG-direktivet. Man har påstått att Sverige har övertolkat och missförstått. Ett annat påstående är att Sverige utgått från ett direkt felöversatt direktiv. Det har framförts till oss i brev efter brev. Det är ett allvarligt påstående att hela utgångspunkten skulle vara ett enda stort misstag och fel begånget från svensk sida. Kan vi få det klarlagt? Jag tror att det vore bra att få synpunkter på det nu och förhoppningsvis klarlägganden redan inledningsvis den här dagen.
Staffan Vängby: Det senare påståendet innebär, såvitt jag förstår, att direktivet bara skulle behandla registerhantering och inte hantering av personuppgifter. Det kan inte vara riktigt, oavsett hur man nu må ha översatt eller inte översatt en enstaka bestämmelse i direktivet. Den svenska översättningen är inte alltid den mest perfekta, men hela direktivets uppbyggnad är att det, när det gäller automatisk hantering av personuppgifter, måste omfatta all hantering över huvud taget. Det är bara när det gäller manuella register som det verkligen är begränsat till registerhantering. Kommittén var väl försedd med vetenskaplig expertis. Att varken de eller vi skulle ha upptäckt ett misstag visar på att det är uteslutet att det föreligger ett sådant.
Hans-Erik Holmqvist: Vi har också haft möjlighet att jämföra åtminstone utkast från våra nordiska grannländer. Vi kan konstatera att vi på de centrala punkterna, t.ex. det som gäller i förhållande till tredje land, gör likartade tolkningar. Även när det gäller direktivets generella giltighet har vi likadana tolkningar. Jag tror att vi kan vara säkra på att vi inte förlorat någonting genom översättningen.
Inger Renée: Jag har först en egen tolkning av Hans- Erik Holmqvist. Kan jag tyda hans utsago så att han tycker att det är positivt att Datainspektionen nu kommer att beivra missbruk när det gäller hanteringen av den nya lagen?
Statsrådet Britta Lejon träffade kommissionären Monti i slutet på oktober. Jag skulle vilja höra om hon då informerade honom om den diskussion som vi har i Sverige och hur diskussionen dem emellan gick.
Sedan har jag ett par frågor till Staffan Vängby om de två olika modellerna. Jag skulle vilja höra en liten kort diskussion om hanterings- respektive missbruksmodellen när det gäller dels överföring av personuppgifter till tredje land, dels teknikoberoendet.
Staffan Vängby: De båda modellerna är helt olika. Hanteringsmodellen säger vad man får eller inte får göra. Missbruksmodellen säger bara vad man inte får göra. Det är väl inte så mycket synpunkter på hanteringsmodellen vad gäller överförandet till utlandet, utan det är direktivet i sig som ju sätter upp väldigt kraftiga hinder för att sprida uppgifter via Internet till utlandet. Detsamma gäller också den andra frågan. Ett missbruksalternativ, men enligt en helt svensk modell som jag inte anser vara förenlig med EG-direktivet, skulle säkert fungera bra även i förhållande till utlandet. Då fick det bli en fråga för svensk rätt att avgöra om det har begåtts några fel vid distribution av person- uppgifter till utlandet. Man skulle alltså tillämpa vanliga svenska regler om förtal och nya regler om ansamling av uppgifter. Jag tror inte att det ligger några problem på den punkten.
Hans-Erik Holmqvist: Angående samtalet med Monti vill jag säga att syftet med den träffen var framför allt att anhängiggöra frågan. Det var inte några långa diskussioner. Men Britta Lejon förstod av den kontakten att man hade förstått att vi såg detta som ett problem. Tanken med träffen var att det skulle utgöra ett startskott för en process. Jag kan gärna berätta hur vi ser det nu, men vi hade tänkt att återkomma till den typen av frågeställningar senare, så jag sparar den.
Jag vill vara ganska försiktig med uttalanden om hur lagstiftningen skall tillämpas. Det bör jag egentligen inte göra alls, om jag skall vara noga. Men såvitt man kan förstå finns det en möjlighet att tillämpa undantagsbestämmelserna. Om någon sade till mig att han tänker publicera uppgifter om mig inför hela världen på Internet men kan garantera att det inte är journalistisk verksamhet det kommer att handla om, att det inte finns något som helst inslag av konstnärlig verksamhet, ej heller något inslag av litterär verksamhet, då kan jag tycka att det inte vore orimligt att den personen ändå kontaktade mig innan de uppgifter som definitivt faller utanför de här kriterierna skulle publiceras över hela världen. Man kan misstänka att Datainspektionen kommer att resonera på ett liknande sätt när man skall tillämpa den här lagstiftningen. Om jag tillåts en mera personlig vinkling på det hela skulle jag svara på det sättet.
Ingvar Svensson: Jag vill anknyta till den här diskussionen om journalistisk verksamhet. Jag var inte med vid den första behandlingen av lagen i utskottet. Men i yttrandefrihetsgrundlagen och tryckfrihetsförordningen finns det bestämmelser som skyddar människor som ägnar sig åt den här typen av journalistisk verksamhet. Men där är formuleringen väldigt vid. I tryckfrihetsförordningen står det: envar som har en publiceringsavsikt, och i yttrandefrihetsgrundlagen står det: varje svensk medborgare. Sedan står det att i princip gäller inte personuppgiftslagen på journalistisk verksamhet. Kan man därmed säga att den i princip inte gäller i Sverige? Det kanske inte är vårt problem. Så fort man har publiceringsavsikt är man skyddad av tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Det betyder att det blir ett väldigt snävt område där lagen skulle gälla. Det vore intressant att få det belyst.
Ordföranden: Jag beklagar att jag inte släpper in några repliker. Ambitionen är att få med både Mats Einarssons och Per Lagers frågor innan vi går vidare i listan till nästa avdelning.
Mats Einarsson: Jag skulle vilja återkomma till den första frågan, och då gäller det inte frågan om översättningens korrekthet.
Om jag i min dator skriver: "Per Unckel är konstitutionsutskottets ordförande" är detta en behandling av personuppgift. Om jag lägger ut detta på Internet har jag överfört det till tredje land. Detta är eventuellt förbjudet, och i så fall är det absurt. Det är utgångspunkten. Det är därför vi sitter här.
När man läser EG-direktivet, översättningsfel eller ej, får man det bestämda intrycket att det som ligger i skribentens medvetande är just register, dvs. strukturerade samlingar av personuppgifter. Man använder begreppen registrerad, registeransvarig, det finns en definition på register osv. Min fråga blir då: Skulle man ha kunnat tolka EG-direktivet på ett sådant sätt att hanteringsreglerna i PUL endast omfattar strukturerade samlingar av personuppgifter, dvs. register, och på så sätt komma undan det eventuella absurda förhållandet att den här meningen jag föredrog skulle vara olaglig på Internet?
Staffan Vängby: Enligt min mening är svaret på den senare frågan ett bestämt nej. När det gäller de mer detaljerade sakuppgifterna ber jag att få lämna ordet till Sören Öman som har skrivit en kommentar till personuppgiftslagen och med anledning därav kommer ihåg detaljerna mycket bättre än jag gör.
Sören Öman: Att man skulle kunna försöka sig på att låta den svenska lagen gälla bara register har vi ju redan varit inne lite på. Det finns ingen initierad bedömare som har velat säga att detta är möjligt med hänsyn till EG-direktivet. I direktivet finns det uttryckliga regler om register, men de gäller enbart manuell behandling av uppgifter på papper. Så fort en uppgift kommer in i en dator så omfattas den av alla direktivets regler. Om vi hade gjort på något annat sätt hade vi inte genomfört direktivet riktigt.
Per Lager: Jag skulle vilja återkomma till detta med missbruksmodell och hanteringsmodell. Jag skulle gärna vilja veta varför man inte tryckte mer på den moderna reformen, Staffan Vängby, som jag anser att missbruksmodellen är. Varför låter man hanteringsmodellen, som kan skapa en del onödiga problem, få ligga i röret fram till dess att vi bestämmer oss för att ändra detta? Det låter så konstigt. Det är första frågan.
Den andra frågan skulle jag vilja ställa till Hans- Erik Holmqvist. Det är väl fortfarande tveksamt om den svenska offentlighetsprincipen är förenlig med direktivet. Lagrådet hade ju den inställningen. Då undrar jag: Hur skall olika myndigheter hantera allmänhetens begäran att få ta del av offentliga handlingar via datormedium? Bör inte regeringen ta initiativ inom EU för att göra undantag just för allmänna offentliga handlingar?
Staffan Vängby: Jag har personligen aldrig varit särskilt bekymrad över hanteringen av mina personuppgifter i datorer. Jag har intagit en mycket lättsinnig ställning till detta. För framtiden skulle jag absolut hälsa en missbruksmodell med tillfredsställelse, men den går inte att förena med EG-direktivet enligt min uppfattning. Man kan inte ta delar av den heller.
Hans-Erik Holmqvist: För det första har vi i direktivets inledning punkt 72 som betonar att detta direktiv gör det möjligt att behålla bestämmelsen med hänsyn till principen om allmänhetens rätt till tillgång till allmänna handlingar. I svensk rätt är det ju redan i dag så, i sekretesslagen, att det finns en möjlighet att lämna ut handlingar i datamedier, men det finns inte en skyldighet att göra detta. Det är en viktig skillnad däremellan. Vi kan föra en diskussion kring den frågan, men vi skall kanske inte ta den just nu.
Tillämpningen av personuppgiftslagen
Ordföranden: Tack för detta! Då har vi åtminstone tecknat början till en bakgrund. Vi går raskt vidare och förflyttar oss ett steg framåt i händelseförloppet till vad som har inträffat efter det att lagen trädde i kraft. Där har vi två introduktörer på samma vis som under den första avdelningen, nämligen Ulf Widebäck som har lite olika bakgrund. Just nu är han ställföreträdande generaldirektör för Datainspektionen, men han har också en utredningsbakgrund.
Därefter kommer Ann-Marie Nilsson som också har en brokig bakgrund. Hon är numera chef för IT- företagens egen organisation, men hon har också tidigare varit kanslichef för IT-kommissionen.
Vi börjar med att säga välkommen till Ulf Widebäck.
Ulf Widebäck: Herr ordförande! Utskottsledamöter! Personuppgiftslagen har nu varit kraft i drygt en månad. Det är naturligtvis alldeles för tidigt att nu utvärdera lagen. Från Datainspektionens sida har vi dock kunnat notera att en del väntade problem har dykt upp och att en del farhågor inte har besannats.
För att gå rakt på sak. Principen om samtycke som krav för behandling av personuppgifter är fortfarande bra tycker vi. Men huvudregeln i personuppgiftslagen, att i princip krävs den registrerades otvetydiga samtycke för att via Internet få föra ut personuppgifter till tredje land, kan medföra problem vid tillämpningen. Som Datainspektionen framhöll i sina skrivelser till regeringen i februari och september i år är det angeläget att kommuner och även andra myndigheter får fortsatt möjlighet att lämna ut vissa personuppgifter ur sina informationsdatabaser på Internet och att också enskilda personer kan få lämna ut s.k. harmlösa personuppgifter på Internet.
Vi tycker att det är bra att regeringen har svarat på Datainspektionens skrivelser genom att ge inspektionen i uppdrag att närmare utreda de här frågorna. Datainspektionen skall redovisa uppdraget till regeringen senast den 1 mars nästa år. Jag har för ändamålet tillsatt en särskild arbetsgrupp inom inspektionen.
När det gäller Internetproblematiken - i första hand då samtyckesfrågan - vill jag först deklarera att jag anser att Datainspektionen för tiden före den 24 oktober, dvs. när endast datalagen gällde på området, lyckades få till stånd en rimlig lösning.
Detta kunde ske genom att:
1. tillämpa Datainspektionens föreskrifter om protokollsregister för kommuner och landsting,
2. kommuner och myndigheter efter särskilda tillstånd från Datainspektionen har anförtrotts att själva, inom vissa ramar, se till att integritetskränkande och otillbörliga personuppgifter inte lämnas ut på Internet,
3. tillämpa Datainspektionens föreskrifter för personregister på webbsidor,
4. i vissa fall använda ett s.k. presumerat eller hypotetiskt samtycke samt
5. begreppet personregister i datalagen inte omfattar all behandling av per-sonuppgifter.
Enligt övergångsbestämmelserna i personuppgiftslagen skall datalagen tillämpas t.o.m. den 30 september 2001, dvs. nästan i tre år. Det gäller när det är fråga om behandling av personuppgifter som har påbörjats före ikraftträdandet den 24 oktober eller behandling som utförs för ett visst ändamål om behandlingen för ändamålet har påbörjats före ikraftträdandet.
Jag vill här särskilt tillägga att Datainspektionen anser att det måste vara fråga om en laglig behandling för att det skall kunna räknas som kvalificerande för övergångsperioden.
Genom tillämpning av övergångsbestämmelserna har en stor del av kommunernas, och även andra myndigheters och enskildas, Internettrafik på webbsidor kunnat fortgå som tidigare.
När det gäller behandling som har påbörjats efter den 24 oktober finns det dock, som vi ser det, för närvarande inte någon som helst möjlighet att komma ifrån kravet på otvetydigt samtycke. Vi på Datainspektionen ser helst att det som tidigare har gällt, bortsett då förstås från tillståndsplikten, skall kunna permanentas, dvs. gälla även efter utgången av övergångstiden. Vi anser inte att det skulle medföra några som helst integritetsrisker.
När det gäller Datainspektionens tillsynsverksamhet kan jag meddela att vi hittills inte har företagit några åtgärder med tillämpning av personuppgiftslagen. Jag har inte ansett det lämpligt eller ens möjligt att försöka kontrollera vilka harmlösa, dvs. inte integritetskränkande, personuppgifter som eventuellt i strid mot personuppgiftslagens bestämmelser florerar på olika webbsidor på Internet.
Givetvis kommer Datainspektionen att ingripa när det gäller integritetskränkande personuppgifter. I sådana fall brukar det vara så att den kränkte påkallar vår uppmärksamhet. Jag vill inte säga att vi agerar helt enligt den s.k. missbruksmodellen, men av resursskäl och efter praktiska överväganden inriktar vi vår tillsynsverksamhet på missbruken eller övertrampen, dvs. när någon har fått ett otillbörligt intrång i sin integritet.
Utöver vad jag nu har anfört har personuppgiftslagen hittills inte medfört några större problem för Datainspektionen vid tillämpningen.
Det som några befarade, nämligen att Datainspektionen skulle överhopas av anmälningar om behandling av personuppgifter som är helt eller delvis automatiserade har hittills inte blivit av. Det torde bero på de undantag från anmälningsskyldigheten som enligt PUL gäller om den personuppgiftsansvarige har utsett personuppgiftsombud och har anmält det till Datainspektionen samt de undantag från anmälningsskyldigheten som har stadgats i personuppgiftsförordningen och i Datainspektionens föreskrift om undantag när det gäller anmälan om behandling av personuppgifter. Till i dag har vi endast fått 134 anmälningar om behandling av personuppgifter. Det är anmälningar som vi endast registrerar och inte hanterar på något annat sätt.
Naturligtvis finns det också de som helt enkelt struntar i anmälningsskyldigheten. Man kan utgå från att det rör sig om ungefär samma krets som inte heller brydde sig om att söka licens eller tillstånd enligt datalagen. Men av erfarenhet vet vi på Datainspektionen att de känsligaste, och därmed från integritetsskyddssynpunkt viktigaste, behandlingarna sker hos myndigheter och seriösa organisationer och företag. De är angelägna om att efterleva gällande regler.
Från företagarhåll har man framhållit att det kan bli svårt att efterleva personuppgiftslagens bestämmelse att på begäran lämna besked om huruvida personuppgifter som rör sökanden behandlas eller ej. Svårigheten skulle bestå i att det skulle krävas alltför detaljerade uppgifter och att det skulle vara svårt och kostsamt att ha rutiner för sådant förfarande.
Om det kan jag säga att skyldigheten att lämna besked om behandling av personuppgifter givetvis blir mer betungande än när det är fråga om s.k. registerutdrag enligt datalagen eftersom begreppet behandling i personuppgiftslagen omfattar mer än begreppet personregister i datalagen. Men jag tror att vi kan nå en praktisk tillämpning i den här frågan. Det är inte meningen att den personuppgiftsansvarige skall behöva göra oproportionerligt stora insatser.
Farhågor har också uttryckts för att vissa nya begrepp och konstruktioner förekommer i personuppgiftslagen och att det kan medföra problem vid tillämpningen. Jag skall då nämna det som har berörts här tidigare, behandling av personuppgifter som sker uteslutande för journalistiska ändamål.
På sådan behandling skall personuppgiftslagen i princip inte tillämpas. Bortsett från att bestämmelsen medför att vissa får en slags vidgad yttrandefrihet på icke grundlagsskyddade områden, t.ex. Internet, så medför bestämmelsen naturligtvis problem vid den praktiska tillämpningen. Jag tror inte att man kan vara så liberal i tolkningen att man säger att envar är sin egen journalist. Då skulle ju stadgandet inte få någon egentlig innebörd. Var gränsen skall sättas åt andra hållet vet jag inte ännu. Frågan torde på sikt kunna få lösas i den s.k. rättstillämpningen.
En viktig följd av den nya lagstiftningen är att Datainspektionen till följd av den minskade tillståndshanteringen och i enlighet med sin instruktion särskilt kan inrikta sin verksamhet på att informera om gällande regler och ge råd och hjälp åt personuppgiftsombuden.
Datainspektionen har utvidgat sin informationsavdelning. Vi har avdelat särskild personal att på olika sätt ta hand om personuppgiftsombuden. Vi har hittills fått in 235 anmälningar om personuppgiftsombud.
Vidare skall Datainspektionen på begäran av en organisation som företräder en bransch eller ett område avge yttrande över förslag till en överenskommelse avseende behandling av personuppgifter inom branschen eller området. Några branschföreträdare har redan tagit kontakt med oss i det syftet. Ett sådant förfarande har alltså satt i gång.
Slutligen vill jag säga att vi på Datainspektionen tror att personuppgiftslagen kan bli ett bra redskap för att nå det viktiga syftet att skydda enskilda personer mot kränkningar av den personliga integriteten vid behandling av personuppgifter i datorer. Men detta är under förutsättning att det går att åstadkomma en rimlig lösning på det som jag här har kallat för Internetproblematiken.
Det är inte tillfredsställande att man vid den praktiska tillämpningen av en lag skall behöva hanka sig fram med mer eller mindre speciella och fria tolkningar av en övergångsbestämmelse. Det är inte heller tillfredsställande, tycker vi, att så mycket kraft läggs ned på frågor som egentligen inte medför risker för den personliga integriteten.
Ordföranden: Tack för detta! Vi gör på samma sätt här som i den förra avdelningen, dvs. att vi tar frågor till de båda introduktörerna på en gång. Vi hälsar alltså Ann-Marie Nilsson välkommen till talarstolen.
Ann-Marie Nilsson: Herr ordförande! Riksdagsmän! Damer och herrar! Tack för att jag får komma hit och berätta om hur företagen, och framför allt då IT- företagen, hitintills upplever personuppgiftslagen.
Jag tänkte börja med tre utgångspunkter. Branschen tycker att det är viktigt att skapa förtroende och tillit för digital hantering. Det gäller såväl person-uppgifter som alla fakta som finns i den digitala världen. Om människor misstror den digitala utvecklingen, har en bristande tillit till fakta och känner oro för att de själva kommer att hanteras illa kommer de inte att ta till sig de möjligheter som finns när det gäller utveckling av informationsförsörjning, elektronisk handel, hälsa m.fl. väldigt viktiga och bra tillämpningar för människor. Dessa saker är faktiskt också viktiga för tillväxt i landet. Bortsett från alla andra skäl att vilja stödja integritet kan man säga att branschen faktiskt har ett stark kommersiellt intresse av att det skall vara ett starkt integritetsskydd. Det är en så god kraft som någon när det gäller att driva fram regler för hantering av integritet.
Den andra utgångspunkten är att vi är på väg mot en alltmer global värld där det finns globala företag i alla delar av världen. De kittas samman av de informationssystem som krävs. Den tekniska utvecklingen driver på den här globaliseringen och möjliggör ett allt friare flöde av information, oftast med Internet som bas. Det går inte att stänga in information. Uppgifter om personer är en del av ett väsentligt informationsflöde. Det kommer att bli allt svårare att hävda nationell reglering. Det krävs globala överenskommelser. Där kan man då ställa sig frågan: Finns det över huvud taget någon förutsättning att tro att USA och länder i Asien kommer att vilja införa en lag som PUL och träffa globala överenskommelser om ett globalt integritetsskydd på den basen?
Den tredje utgångspunkten är att den tekniska utvecklingen i sig går allt fortare och innebär ett problem för all lagstiftning genom att den riskerar att bli omodern fort. Datalagen blev omodern efter ett tag. Det går allt fortare. Vi ser att delar av PUL är omoderna redan när den träder i kraft, trots att intentionerna med den här lagen var att skapa en teknikoberoende lag.
Informationstekniken påverkar fundamentala strukturer i samhället på djupet. Vi vet inte riktigt vilken typ av lagstiftning som vi behöver inom kort. Den här utvecklingen går allt fortare. Frågan är: Vad kan vi lagstifta om, och vad måste vi mer och mer lämna åt frivilliga överenskommelser och självkontroll av olika företeelser i samhället?
Om man tittar på personuppgiftslagen kan man ställa sig frågan hur företagen i dag upplever den. Jag tror att okunnigheten fortfarande är stor. Jag tror att de flesta faller tillbaka på att det finns övergångsbestämmelser och man behöver inte riktigt ta tag i den här frågan än. I takt med att man gör det tror jag också att vi kommer att få alltfler invändningar.
De seriösa företag som tänker sig en nyutveckling och inte kan leva på dessa övergångsbestämmelser och därför tränger in i detta upplever många problem. De ser att lagen är otidsenlig. Vi har tagit Internetutvecklingen till oss. Det är en så väl integrerad del av allting vi gör i dag i företagen. Då blir det obegripligt att det finns en ny lag som inte hanterar den frågan bättre. Man tycker att den är omständlig. Den är inte så effektiv att leva efter, och den är framför allt svår att efterleva.
Generellt kan man säga att den hanteringsmodell som låg till grund för EG-direktivet kanske inte är förenlig med informationsteknikens möjligheter och den faktiska användningen i dag. Det är nog önskvärt att på sikt gå över till ett system som reglerar missbruk i stället.
Därför tycker vi att det är viktigt att lagstiftaren ser över personuppgiftslagen för att undersöka om det finns möjligheter inom det nu befintliga EG-direktivet att inrikta lagstiftningen på reglering av missbruk snarare än hantering av personuppgifter. I det här fallet är det naturligtvis viktigt att titta på hur alla andra länder inom EU anpassar sig till det här direktivet. Framför allt tror jag att det är viktigt att snarast och med större intensitet påbörja funderingen kring en global hantering av de här frågorna. Det handlar inte bara om EU. Det handlar om hela världen.
I dag kan man konkret se tre områden där företag har praktiska problem och där det kan finnas lösningar inom räckhåll för den befintliga lagstiftningen.
I första hand tror jag att det saknas mycket preciseringar. Det saknas preciseringar när behandling av personuppgifter är tillåten. Exempel på detta är uttolkning av intresseregeln i 10 § samt precisering av när företag får använda personnummer.
Vi tror att det mesta av affärsverksamheten går att hantera även om det blir mindre effektivt än tidigare inom ramen för den här lagen. Men ett praktiskt problem är naturligtvis det stora kravet att informera självmant. Det är hanterbart i vissa fall, men inte i andra, framför allt inte när man använder tredjehandsuppgifter. I det här fallet skulle naturligtvis en tillämpning av missbruksmodellen underlätta väsentligt.
Det tredje området är självfallet överföring av uppgifter till tredje land. Där är detta ganska ohållbart, eftersom det även gäller personnamn som nämns i löpande text. Där kommer efterlevnaden av denna lag att vara ytterligt begränsad eftersom detta inte stämmer med det sätt som jag tror att många människor i Sverige i dag har lärt sig och vant sig vid att arbeta.
Den svenska lagen är i stora delar en direkt implementering av texterna i EG-direktivet. Därför finns det naturligtvis små möjligheter att anpassa lagstiftningen helt och hållet efter en missbruksmodell. Men man kan ju fundera över sanktionssystemet. Kan man göra detta enklare med sanktionssystemet? Det skulle innebära att om det inte är missbruk blir sanktionerna ungefär som när man går mot röd gubbe, dvs. obefintliga. Det är ytterligare en väg som vi tycker att man skall överväga.
I IT-branschen har vi sedan länge vant oss vid att arbeta med självreglerande åtgärder. Ett exempel på det är IT-företagens etiska regler som reglerar på vilket sätt som företag som är medlemmar hos oss skall förhålla sig till kund, intressent och marknadsföring mot konsument. Om man missbrukar detta kan man uteslutas från föreningen. Vi vet att detta är ett effektivt sätt att hålla en egen självreglering inom olika områden, och det gäller även områden som tangerar integritetsfrågor. I avtal för webbhotell kräver vi publiceringsregler av dem som skall lämna sin information via det här webbhotellet. Vi överväger också att ha ett system för att reglera och märka kvaliteten på webbsidor, och därmed också ange något system för hur de företagen hanterar den information om individer som de får på sina webbsidor.
Den här typen av branschöverenskommelser tror jag är en framkomlig väg. I framtiden måste det absolut ses som ett betydligt starkare komplement till lagstiftning. Där är vi intresserade av att nyttja de möjligheter som lagen ger att tillsammans med Datainspektionen kunna utröna om man kan komma längre inom det här området.
Ordföranden: Där tror jag att vi måste säga tack till dig.
Barbro Hietala Nordlund: Jag tycker att det var en tydlig och fin information vi fick från Datainspektionen. Det handlar om den praktiska tillämpningen och möjligheten att hitta en rimlig lösning. Jag är en av de hårt prövade lagstiftarna i det här sammanhanget. Jag har tittat tillbaka till mina egna noggrant förda anteckningar från det möte som konstitutionsutskottet hade med Datainspektionen vid ert besök i februari i år. Dåvarande generaldirektören sade då, men stor förväntan som jag uppfattade det då, att den kommande personuppgiftslagen blir en bra lag som blir flexibel och teknikoberoende. Vidare sade generaldirektören att vi i praktiken kan använda den som en missbrukslagstiftning. Det var alltså förväntansfulla och positiva omdömen då innan det hade fattats beslut om lagen.
När jag nu lyssnar på Ann-Marie Nilsson och Ulf Widebäck uppfattar jag att omdömet i huvudsak är att det var viktigt med den här nya lagen därför att den gamla var otidsenlig och medförde många problem. Egentligen mynnar det här inte ut i en fråga utan mer i ett konstaterande att den här nya lagen var nödvändig samtidigt som den innebär problem. Det saknas en del preciseringar, och arbetet går vidare. Jag vet inte om ni vill kommentera det. Jag hade tänkt ställa en fråga, men jag tyckte att jag fick svar av det ni sade.
Ordföranden: Så bra! Då tar sig ordföranden friheten att lägga in en fråga till innan ni får möjlighet att kommentera detta.
Helena Bargholtz: Jag vill ta upp det uttryck som Ulf Widebäck använde. Han talade om otvetydigt samtycke. Hur skall man tillämpa det begreppet? De personer som har Internet har ju också ofta e-post. Vi är ju många som har fått förfrågningar via e-post om detta. Vi som är positiva till att man skall få använda våra namn har ju lätt kunnat svara med att via e-post tala om att våra namn får användas. Man skulle ju kunna tänka sig att man via e-post varje år gav ett otvetydigt samtycke att mitt namn får användas på Internet. Men hur gör man med de personer som kan vara intressanta för dem som jobbar med hemsidor att skriva om som inte har e-post och inte Internet? Hur skall man få kontakt med dessa personer? Det är enormt många svåra praktiska problem som det vore intressant att få höra om i första hand Datainspektionen har funderat lite närmare på. Vad ligger i begreppet otvetydigt samtycke?
Ulf Widebäck: Ett otvetydigt samtycke skall ju vara särskilt och informerat. Den som ger samtycke skall ju veta precis vilken behandling det rör sig om. Det skall vara frivilligt. Jag tror inte att det är tänkt att man skall ge något slags generella samtycken till att ens personuppgifter skall få användas i sammanhang som man inte riktigt vet något om eller kan kontrollera. Hur folk skall få kontakt med varandra om de inte har e-post har jag inget svar på, men det finns ju andra medel.
Ordföranden: Låt mig själv precisera frågan. Gör alla de datoranvändare som i dessa dagar skriver till riksdagens ledamöter och anhåller om att få använda våra namn i sin konversation rätt eller fel?
Ulf Widebäck: Det var just den saken jag tänkte på egentligen. De gör väl egentligen fel, och riksdagsmännen gör kanske också fel. Men om de svarar generellt får man väl ha en liberal tolkning av det hela. Det är väl inte sådana saker som vi på Datainspektionen kommer att vara ute och jaga efter.
Ann-Marie Nilsson: Det var naturligtvis viktigt att skrota datalagen. Det var rätt. Det var rätt att tänka sig att börja med den här lagen. Jag tycker att det ger en tankeställare att vi så snabbt får omoderna lagar inom det här området. Frågan är hur vi skall hantera detta för framtiden. Hur skapar vi den flexibla lagen? Det arbetet måste sättas i gång nu.
Per Lager: Jag skulle vilja fråga Ulf Widebäck om det här kan tänkas medföra problem på det internationella planet. Jag tänker på s.k. handelshinder osv. Skulle vår nya lag kunna innebära att vissa företag behandlas sämre här än i något annat EU-land?
Sedan skulle jag vilja fråga om detta med manuellt register, som har varit uppe tidigare. Är det så, för att ta en ytterlighet, att en bunt papper som sorteras in i en pärm innebär att man skall begära tillstånd hos Datainspektionen? Det är en ytterlighet, men det kan vara teoretiskt intressant att få ett svar på det.
Sedan skulle jag vilja höra något om gränsdragningen när det gäller vem som är journalist. Envar är inte journalist, hörde vi. Men det är väl så det egentligen är uttryckt: När jag i ett ärende säger att jag är journalist har jag den möjlighet som en journalist har. Jag kan tänka mig att det är svåra gränsdragningar i dessa fall.
Ulf Widebäck: Det enklaste att svara på är frågan om handelshinder. Det ligger lite över vår horisont sett från Datainspektionens sida, även om det är ett känt förhållande att kommissionen för samtal med t.ex. företrädare för USA som är en av de större handelspartnerna. Jag kan inte yttra mig närmare om detta, men det är klart att det i vissa fall kan utgöra hinder. Sedan kanske man får en praktisk lösning på det, men detta ligger utanför Datainspektionens bedömande.
När det gäller vad som menas med manuellt register står det i lagen att det skall vara en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Jag skulle vilja säga att det är vad gemene man vanligen tänker att ett register är. Det är det svar jag kan ge.
När jag säger att envar inte kan vara sin egen journalist menar jag att det inte räcker att säga precis vad som helst och sedan säga: Jag är journalist. Å andra sidan kan man inte kräva att man måste vara yrkesverksam journalist, eventuellt på ett medieföretag, medlem i Journalistförbundet eller något sådant. Det får väl bli någonstans däremellan, men detta är en sak som jag menar måste överlämnas åt rättstillämpningen. Jag kan inte ge något närmare svar nu.
Inger René: Jag har en fråga till Ann-Marie Nilsson. Du frågade om man kunde tro att USA och Asien vill skapa en lag som PUL, och ditt tonfall gjorde att du svarade på frågan själv. Men då är min fråga: Är det så att din bransch försöker skapa eller har diskussioner om internationella överenskommelser när det gäller de etiska regler som t.ex. ni har här i Sverige? Pågår det ett sådant arbete?
Sedan har jag en fråga till Ulf Widebäck. Om jag säger till dem som frågar mig om PUL att det inom PUL:s ram finns ett utrymme, utan särskilda undantag, för den vanliga användaren att behandla harmlösa personuppgifter, är jag ute och cyklar då?
Ulf Widebäck: Ja, du cyklar lite grann. För närvarande kan man endast med hjälp av övergångsbestämmelserna, om de är tillämpliga, göra så som du frågade.
Inger René: Men å andra sidan, om någon gör detta: Hur angelägna kommer ni att vara att beivra missbruk?
Ulf Widebäck: Som jag sade tillämpar vi kanske missbruksmodellen i praktiken, för vi har inte sådana resurser att vi kan kontrollera all trafik på webbsidorna. Det vore lika omöjligt som om polisen skulle försöka att en dag kontrollera hastigheten på alla vägar i Sverige, enskilda och allmänna. Det är alltså orimligt. Man får lita på att någon anmäler. De anmälningar vi har fått till Datainspektionen har varit av typen att någon har nämnt sin mosters namn på sin hemsida, och detta är ju mera en provokation för att protestera mot lagen. Vi har inte fört några sådana anmälningar vidare till åklagare.
Ann-Marie Nilsson: Svaret är ja. Jag berättade om de självregleringsinitiativ som finns - Trustee, Better Business och några andra. Detta är sådant som vi diskuterar. Vi utväxlar också information om hur man kan driva etiska regler. Här ligger faktiskt vi i Sverige längre fram än övriga Europa, där man inte alls har den här sanktionsmöjligheten inbyggd i motsvarande branschföreningar. Som jag ser det väcker dock detta ett allt större intresse, så jag tror att det är en framkomlig väg för framtiden.
Ordföranden: Låt mig med ordförandens privilegium precisera frågan till Ulf Widebäck: Innebär det du säger om övergångsbestämmelserna att så länge dessa löper går det att hantera de uppkommande misshälligheterna på ett någorlunda rimligt sätt, men efter det att de har löpt ut sitter vi i mer akuta legala problem?
Ulf Widebäck: Ja, så har jag tolkat det. Men det gäller de fall som passar in på övergångsreglerna, dvs. behandlingar som har påbörjats före den 24 oktober. Då klarar vi oss hjälpligt. Sedan får vi hoppas att vi kommer med ett hyfsat förslag till regeringen och att regeringen gör något bra av det.
Per Lager: Jag har en kort fråga till Ulf Widebäck. Det hade ju hittills inte gjorts några anmälningar. Har Datainspektionen funderat på att simulera pilotfall eller någonting sådant för att se vad som kan hända när dessa anmälningar kommer in - för de kommer väl förr eller senare?
Ulf Widebäck: Vi har fått anmälningar, dock inga som vi har ansett att vi behövt gå vidare med. Det har rört helt harmlösa uppgifter, och det finns säkerligen ingen åklagare som skulle inleda förundersökning med anledning av dem. Därför har vi inte fört dem vidare till åklagare.
Integritetsskydd ur ett europeiskt och nordiskt perspektiv
Ordföranden: Då ber jag att få tacka den andra avdelningen svarande och hälsa professor Jon Bing välkommen in från snöovädret. Som du märkte när du kom in har vi börjat med de två avdelningar som skulle ha legat efter dig, och vi låter dig därmed avsluta den första avdelningen med de mer principiella spörsmål som kan vara viktiga för utskottet att känna till med tanke på bakgrunden till EG-direktivet och, som jag sade vid min introduktion i morse, de lite olika traditioner som vi lever med i olika delar av Europa. Hjärtligt välkommen hit till Stockholm! Ordet är ditt.
Professor Jon Bing: Tusen tack, herr ordförande. Låt mig börja med att be om ursäkt å vårt gemensamma flygbolags vägnar, som hade svårigheter med att få flyget till Stockholm i tid i morse.
Jag har funderat över hur jag skall använda den kvart jag fått mig tilldelad för att ge perspektiv på den utveckling vi är inne i och som jag har haft glädjen att följa hela mitt akademiska liv sedan 1970. Jag tänkte försöka dra upp några mycket generella utvecklingslinjer i både tid och rum.
Jag vill börja med att peka på att vi faktiskt något så när kan tidsfästa den offentliga debatten om personskydd. Den uppstod runt Alan F. Westins bok Privacy and freedom, som utkom 1967. Denna bok var ett debattinlägg i samband med att man i USA tänkte införa stora statliga databanker, först och främst med sikte på att rationalisera offentlig administration. Teknologibilden kom att domineras av IBM:s 360-arkitektur: en stordator i centrum med många terminaler, speciellt i offentlig sektor, som kunde nå denna stordator i centrum med gemensamma arkiv. Jag kommer ihåg hur Alan F. Westin vid ett seminarium i Paris 1972 karakteriserade frågan om personskyddet och försökte få fram vad som var kärnan. Han sade att det i grund och botten var en fråga om misstro mot offentlig administration - inte särskilt uppseendeväckande i en tid med Watergate och Vietnamkrig nära inpå i Amerika. Han formulerade också en maxim: You don´t find computers on street corners or in free nature. You find them in big, powerful organizations. Om vi reflekterar lite över den maximen kan vi se hur långt vi har kommit från denna utgångspunkt. I dag hittar vi datorer just i gathörnen, i form av arkadspel, eller ute i naturen när någon har tagit med sig sin lilla "kneedebe", sin laptop, för att arbeta i det fria.
Detta visar kanske också att en del av reaktionen som kom, inte minst i Sverige 1973, var en reaktion på ett annat problem än det vi sitter med i dag. Det var en reaktion som speglade samma struktur. Man ville försöka reglera dessa stora databanker. Denna svenska reaktion blev förebild för en europeisk utveckling. Det är ingen tillfällighet att så många europeiska lagar, också EG-direktivet, är påverkade av denna första nationella lag.
Det man riktade in sig på var att reglera de stora registren med känsliga uppgifter. Detta var speciellt viktigt i Norden, eftersom de nordiska länderna har en offentlig förvaltning med en automatiseringsgrad som är högre än i de flesta andra länder. Jag brukar ibland berätta för mina amerikanska vänner om det norska systemet för att söka och få ut det som i Norge heter bostøtte, vilket inte är riktigt samma sak som det svenska bostadsbidraget. Det är ett nationellt system, och man ansöker om stöd från systemet genom att identifiera sig med födelsenummer, dvs. en entydig kod. Därefter hämtar systemet in uppgifter från olika statliga system och sätter samman dem till ett beslut - antingen i form av ett automatiskt utskrivet avslagsbrev eller i form av en postanvisning med bidragsbeloppet. Beslutet fattas alltså helt utan mänsklig medverkan. Detta system är från 1972. Mina amerikanska kolleger har svårt att tro att detta är möjligt - inte tekniskt men politiskt.
Om vi tittar på EG-direktivet ser vi att den lilla reglering av fullständigt automatiserade beslut som där finns kan vara en reaktion mot denna typ av lösningar. Vi i Norden är dock tillfreds med dem, kanske på grund av en lite naiv och rörande tilltro mellan befolkning och myndigheter. Hur som helst har personregisterlagarna i Norden haft en viktig roll i att legitimera och understödja de offentliga myndigheternas starka automatisering.
Denna teknologibild förändrades på 80-talet. Vi ser särskilt att det blir aktuellt med elektroniska spår, dvs. den typ av triviala uppgifter som folk lämnar i framför allt tre sammanhang: vid betalningsförmedling och användning av bankomater, vid identitetskontroll i samband med tillträde till byggnader och vägar samt vid telekommunikation. Detta är triviala uppgifter - identifikation, tid, plats, belopp osv. - men de genereras i stora mängder. Det finns anledning att påminna om att detta är en typ av personuppgifter som knappt fanns före 1980. Den här typen av transaktionsorienterade datoriserade system som skapar elektroniska spår fanns inte förrän på 80-talet. Detta skapade nya utmaningar. Här var det inte det känsliga med enskilda uppgifter som var det viktiga utan att dessa uppgifter gav möjlighet att skapa och behandla profiler.
Enligt min mening tog vi på 80-talet ett mycket viktigt steg då vi tillät telefonräkningen att baseras på en registrering av de nummer som abonnenten hade ringt och hur länge samtalen hade varat. Jag tror att det var första gången som en tredje part tilläts att systematiskt registrera vad som försiggick inom ett hems fyra väggar. Det är ett trivialt men kanske ett principiellt viktigt steg.
Vi har på denna grundval också fått en andra generationens personskyddslagstiftning där föreskrifterna så att säga rättar in sig i ledet: Man fokuserar på persondatabehandlingen snarare än på registren eller de stora datamängderna.
En viktig utmaning, som jag förstår har diskuterats här, har varit gränsdragningen mot personliga aktiviteter. I synnerhet Internets World Wide Web har stått för en viss utmaning. Åter kan det finnas anledning att påminna om hur fort utvecklingen har gått. År 1993, för fem år sedan, fanns det 30 datorer i världen som stödde läsprogram för World Wide Web. I dag är det väl ingen som håller räkning på hur många det är. Detta är alltså ett nytt problem. Det här har bl.a. medfört att många enskilda individer nu har hemsidor just som privatpersoner och använder webben i rekreationssammanhang och personliga sammanhang. Nyblivna föräldrar har gärna en hemsida färdig för den nyfödda innan hon är ett dygn gammal. Här kan finnas många uppgifter om barnet inlagda, delvis kanske onödigt detaljerade.
Det är naturligtvis svårt att dra gränsen mellan vad som är privat och vad som är offentligt, speciellt när det privata kommuniceras ut till i princip alla som är kopplade till Internet. Det finns det som tyder på att kommissionen anser att en sådan kommunikation, dvs. en kommunikation från en till alla, i princip aldrig kan vara privat. Jag vet att det finns en föreskrift om personregister på webbsidor i Sverige, även om jag inte har tittat på detaljerna i dess konsekvenser. I Norge framstår dock detta för närvarande som ett stort problem.
Samtidigt har det pekats på att telependling, dvs. att man utnyttjar telekommunikation och IT för att arbeta i hemmet, gör att det i hemmet uppstår register som helt klart är register, och att det sker persondatabehandling som helt klart faller under persondatabehandlingslagen. Detta skapar krav inte bara på att arbetsgivaren utan också tillsynsmyndigheterna skall ha viss tillgång till människors hem. Tredje person kan alltså kräva insyn i datorer som man har i hemmet.
Förutom detta med webbsidor och telependling finns också elektronisk handel, något som jag tror håller på att nå ut till konsumentmarknaden. Detta kommer att resa intressanta frågor, speciellt i samband med registrering och användning av t.ex. upphovsrättsligt material som laddas ned från nätet i hemmet. Det här kan återigen skapa ett behov av insyn i vad som sker i hemmet. Detta hänger samman med förhållandena till tredje land - ett av de svårare problemen, såsom påpekades i en fråga nyss. Det är en av orsakerna till att inget av EFTA- länderna ännu har fått någon ny nationell personuppgiftslag. Man har nämligen ännu inte helt löst frågan om kommissionens kompetens i samarbetet under EES-avtalet.
Det finns också frågor om jurisdiktion och val av lag. Man har i det nya direktivet för elektronisk handel infört en liknande regel som den som finns i personskyddsdirektivet när det gäller vilket lands lag som skall användas för att bestämma lagligheten i vad man kallar en commercial communication. Man inriktar sig på sändarlandets rätt, men det gäller då sändaren och inte sändningen. Det innebär att man tittar på vem som står som ansvarig för handlingen snarare än handlingen själv, och det är säkert en klok strategi.
Låt mig avslutningsvis säga att det nästan framstår som en paradox att personskyddslagstiftningen, som reglerar behandlingen av personuppgifter, infördes för att stärka den enskildes integritet. I dag har den också som konsekvens att den reglerar den behandling av personuppgifter som sker i hemmet - dels eftersom det är svårt att skilja mellan det rent privata och annat, dels eftersom det utförs arbete i hemmet som helt klart inte är privat. Dessutom sker det i hemmet handel och affärstransaktioner där det på ett eller annat sätt finns motparter som intresserar sig för dessa uppgifter. Denna gränsdragning är inte löst.
Låt mig avsluta med att påminna om Alan F. Westins maxim. En av orsakerna till att detta inte är löst är att personskyddsproblemet har ändrat karaktär. Det är inte längre bara en fråga om "big, powerful organizations" utan en fråga om hur vi reglerar våra dagliga sysslor, hur vi reglerar ett medium som faktiskt når ut till alla. Tack, herr ordförande!
Ordföranden: Tack så hjärtligt för detta. Denna avrundning av den första delen av vår förmiddag låter väl antyda att detta inte är sista gången vi har anledning att reflektera kring det vi nu diskuterar.
Barbro Hietala Nordlund: Jag kan inte låta bli att fråga professor Jon Bing om Norges skyddslagstiftning på det här området. Norge är ju inte bundet till något EG-direktiv. Vad jag har förstått skiljer sig den norska lagstiftningen inte så väldigt mycket från den svenska, men det kanske jag kan få kommentarer kring.
En sak är dock att det i den norska lagstiftningen finns ett tillägg när det gäller undantagen. Det finns ett tillägg för harmlösa uppgifter, och det är ju väldigt mycket det vi diskuterar just nu. Min fråga är: Löser ett sådant tillägg i skyddslagstiftningen problemet med Internet?
Jon Bing: Det är åtminstone en fråga som det är lätt att svara på. Svaret är nej. Precis detta har lett till en ny försening i det norska lagstiftningsarbetet: Man har, med inspiration från den svenska diskussionen, gått tillbaka för att se om man klarat att lösa den här frågan och då funnit att den lösning man valt inte är tillfredsställande. Man arbetar för närvarande med nya lösningar. Man har visserligen varit såpass lyckosam att man inte har hörsammat fristen för implementering av direktivet, då ju EES-avtalets integration som jag antydde har blivit försenad på grund av vissa om man så vill konstitutionella frågor om kompetensförhållandena mellan kommissionen och det enskilda landet. Detta spelar i och för sig ingen större roll i praktiken, men i ett sådant här mellanstatligt sammanhang har det naturligtvis ändå viss betydelse.
Man räknar med att direktivet kommer att införlivas med EES-avtalet och att Norge, precis som fallet är med alla andra direktiv, kommer att vara lika bundet av det som de andra EES-länderna. Skillnaden för oss som står lite vid sidan om är ju att vi inte kan påverka direktiven innan de skrivs utan bara har att tillämpa dem när de kommer, och det minst lika noggrant som vilket medlemsland som helt. EES- övervakningsorganet har ju faktiskt bara Norge att titta på, så det gör man extra noga.
Åsa Torstensson: Jag tycker att detta var ett mycket intressant inlägg. Med anledning av det Jon Bing kom in på vill jag ställa en fråga om den privata sfären. Vår syn på vad som är privat kanske till stor del ändras i takt med den moderna tekniken, detta som en naturlig koppling till att väldigt många vanliga medborgare känner sig utlämnade till tekniken. Min fråga är: Kan man skönja att vi vidgar vår lagstiftning som berör den personliga integriteten onödigt långt, att vi så att säga lägger oss för teknikens utveckling? Kan man se strömningar över Europa i de här riktningarna, eller är det så att svensk lagstiftning här går före på ett negativt sätt?
Jon Bing: Det är i varje fall inte så att svensk lagstiftning går före på ett negativt sätt. Men kanske är det de nordiska ländernas lott att vi av och till försöker att ta lagstiftningen på orden och förstå hur den egentligen skall användas. Det har länge varit så med personskyddslagstiftningen i flera länder, i varje fall i Norge, att om vi hade tagit den bokstavligt hade det varit väldigt svårt att t.ex. föra med sig elektroniska plånböcker eller kalendrar ut och in på en flygplats. Det är ingen som ser på detta som export av person-uppgifter eller liknande. Vi har alltid varit tvungna att använda de här lagarna med ett visst utrymme för variationer.
På sätt och vis är det dock otillfredsställande att man inte har utformat lagen så att den kan användas efter sin bokstav. Vi hade hoppats att den nya generationens lagstiftning i högre grad skulle vara så utformad att man slapp se mellan fingrarna med saker och ting för att få den praktiskt användbar.
Barbro Hietala Nordlund: Vad vet vi om lagstiftningsarbetet i de övriga medlemsländerna, de som nu är i färd med att införliva skyddsdirektivet eller redan har gjort det? Jag är särskilt intresserad av Finland och Danmark, som ju ligger nära oss. Kanske Jon Bing eller någon företrädare från Regeringskansliet är uppdaterad i den frågan.
Jon Bing: Jag är säker på att det finns andra som vet mer om lagstiftningsarbetet i våra grannländer just nu än jag själv. Men alla länder siktar ju på att implementera det här direktivet. I t.ex. England är det redan gjort.
Inger René: Jag har en filosofisk och en lite mer konkret fråga. I den kavalkad som du började med, som var väldigt intressant, pratade du om att det var integritetsfrågor som var i fokus i början av 70-talet medan det i dag mera är offentlighetsprincipen och den typen av frågor. Jag tycker att vi väldigt ofta kan se, inte minst som lagstiftare här i riksdagen, att vi stiftar lagar som hade varit omöjliga för fyra, fem, sex år sedan. Då skulle de på olika sätt ha ansetts vara integritetskränkande, men i dag genomför vi dem - med lite motstånd här och var, men i alla fall.
Väldigt ofta går utvecklingen fram och tillbaka i sinuskurvor. Kan det vara möjligt att integritetsfrågor kommer att få en större vikt, att kurvan kommer att vända, så att det blir en annan balans när det gäller de två storheterna?
Min andra fråga är mer konkret. Detta är inte en nationell eller europeisk fråga utan en världsvid fråga. Förekommer det ett internationellt arbete för att skapa gemensamma konventioner när det gäller skydd för den personliga integriteten och PUL- frågorna?
Jon Bing: Den del av direktivet som innehåller en reglering av förhållandet till tredje part eller land har skapat en diskussion mellan Europeiska unionen och parter som t.ex. USA. Sådant som självreglering eller kontraktsmässiga strategier diskuteras centralt. Men det förekommer inget internationellt arbete med sikte på en konvention som sträcker sig över mer än en region av världen. Jag tror att det är svårt att ge denna fråga prioritet i många andra länder. Om det blir fråga om anbud kan diskussionen komma upp på dagordningen.
Den första frågan var mer filosofisk, men jag skall svara relativt konkret. Först gäller det administration av personupplysningar. Man skall icke använda icke-relevanta upplysningar. Upplysningarna skall vara av hög kvalitet. De skall motsvara det ändamål de skall användas till. Det skall vara något gemensamt med de regler som finns om hur den offentliga administrationen skall fatta beslut, dvs. procedurregler om att fatta bra beslut. Personupplysningslagen kryper in på det privata området.
Då har vi frågan om att värna hus och hem, privatlivets helgd, the right to be let alone - som man sade i USA i slutet av förra århundradet. Detta har på många sätt varit grunden för framväxten av lagstiftningen om persondatabehandling. Man ser mer till artikel 8 i konventionen om mänskliga rättigheter för att finna en politisk plattform.
Ordföranden: Tack för detta! Det är svårt att komma från intrycket av din presentation, i synnerhet i samband med det Ann-Marie Nilsson sade i sitt inlägg, nämligen att alldeles bortsett från att vi här har diskuterat viktiga och angelägna integritetsspörsmål anmäler sig en annan reflexion, att åtskillig lagstiftning på detta och andra områden sannolikt i dag sker i tron av att ett gammalt samhälle fortfarande finns när villkoren för lagstiftningsarbetet förändras i grunden. Det är möjligen en erfarenhet att ta med sig långt utanför det spörsmål som i dag står överst på dagordningen.
Jag har tidigare berättat för konstitutionsutskottet att jag hade en kollega som vid avtackningen av sig själv från ett arbete underströk att hans ideal för konferenser var en konferens med bara pauser. Det var då den verkliga nyttan gjordes. Nu skall vi se om denna tes är korrekt. Under 25 minuter sträcker vi på benen för att sedan återsamlas för att med det som sagts under förmiddagen försöka dra rimliga slutsatser.
Vilka problem ser vi med dagens lagstiftning? Hur skall den framtida lagstiftningen se ut?
Ordföranden: Då börjar vi med den sista avdelningen. Där tänkte jag med utskottets tillåtelse göra så att vi såsom i de tidigare avdelningarna först lämnar ordet till de tre inledarna.
Jag tänker vara lite friare i fördelningen av ordet i den sista halvtimmen för att låta det hela bli mer en diskussion och få lite mer av seminariekaraktär än blott och bart frågor och svar. När vi skiljs åt här klockan tolv skall vi känna att på bordet då ligger de optioner som står Sverige, utskottet och riksdagen till buds. Jag tänker vara nödigt ojust med talarlistan gentemot den ena sidan så att den andra sidan känner att alla inlägg har kunnat komma fram.
Med denna något legära syn på den sista timmen ber jag att få lämna ordet till journalisten Anders R. Olsson som börjar introduktionen av detta sista diskussionspass. Varsågod.
Anders R. Olsson: Tack för det. Jag har med stigande förvåning konstaterat att man hittills egentligen inte har talat om det som är det stora problemet med personuppgiftslagen, nämligen yttrandefriheten. Jag är inte alls till freds med beskedet att personuppgiftslagen förmodligen inte skall tillämpas, därför att Datainspektionen har ont om tid, för de tusen och en behandlingar av personuppgifter som människor ägnar sig åt via Internet.
Det finns ingen anledning att räkna upp en massa exempel på vad medborgare i ett demokratiskt samhälle kan behöva göra eller vilja göra med person-uppgifter. Det räcker faktiskt med att erinra om att Datainspektionen tack vare övergångsbestämmelserna nyligen beviljade Carl Bildt fortsatt utgivning av sitt elektroniska veckobrev. Det räcker som illustration till vad PUL innehåller för sorts bestämmelser. Myndigheter skall över huvud taget inte fatta den sortens beslut i Sverige.
Ulf Widebäck sade att han och Datainspektionen nog skulle överse med behandlingen av harmlösa uppgifter på framför allt Internet. Yttrandefriheten handlar inte om de harmlösa uppgifterna. Yttrandefriheten handlar om de kontroversiella och starkt kritiska uppgifterna. Samhällskritik i alla former rymmer mängder av negativa upplysningar och omdömen om framför allt makthavare av alla slag, inklusive riksdagsmän och journalister, vill jag poängtera.
Personuppgiftslagen innebär rättsligt en mycket kraftig inskränkning i yttrande- och informationsfriheten för de uppskattningsvis 99 % av befolkningen som inte är journalister, författare eller konstnärer och som ytterst sällan har någon möjlighet att yttra sig i medier som skyddas av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.
De rättsliga uppfinningar som har lanserats de senaste sex veckorna och som skulle leda fram till någon annan uppfattning om personuppgiftslagens effekter är enligt min uppfattning ohållbara eller orimliga. En sådan uppfinning går ut på att i stort sett allt som människor yttrar utanför den rent privata sfären skulle börja kallas för journalistik, litteratur eller konst. Att på det sättet uppmana åklagare och domstolar att hitta på helt nya betydelser hos väl etablerade språkliga begrepp skulle vara att underminera hela grunden för rättssystemet. Om man följer den rekommendationen vet vi snart inte vad någon lag egentligen betyder.
En annan uppfinning är att domstolarna skulle börja tillämpa regeringsformen 2:1 och den punkt i rättighetskatalogen som talar om medborgarnas rätt till yttrandefrihet direkt på enskildas yttranden när dessa rymmer person-uppgifter och följaktligen kan strida mot personuppgiftslagen. Såvitt jag förstår av förarbetena till regeringsformen är detta inte meningen. Det har heller aldrig skett förut att en domstol vägrat tillämpa en vanlig lag med hänvisning till regeringsformen 2:1. Jag har själv i olika sammanhang försökt att åberopa den paragrafen i regeringsformen gentemot den gamla datalagen när den fick sina mest absurda effekter. Jag har hittills aldrig fått någon jurist att ens ta ett sådant argument på allvar.
Om man i rättstillämpningen skulle välja att luta sig mot regeringsformen 2:1 som något slags allmänt skydd för icke-journalisters yttrandefrihet skulle det innebära att bestämmelsen hastigt och lustigt blev något slags motsvarighet till amerikanernas first amendment. På tvärs mot svensk rättstradition och rättskultur skulle allmänna domstolar sättas att döma i vad vi uppfattar som djupt politiska frågor om var gränsen går för vad som är godtagbart i ett demokratiskt samhälle, för att citera regeringsformen 2:12. Domstolarna skulle göra detta på fri hand utan att lagstiftaren ens har diskuterat saken.
Jag tycker inte att man kan handskas så lättvindigt vare sig med svensk rättstradition eller med yttrandefriheten. Man bör nog också observera att den lösningen - om man skall kalla den det - tydligt strider mot EU-direktivet. Det finns en möjlighet till generella undantag från direktivets hanteringsförbud. Det undantaget gäller journalistisk, litterär och konstnärlig verksamhet och ingenting annat.
Om vi i Sverige avser att inom ramen för EU ta strid om den här saken, vägra att tillämpa direktivets regler och personuppgiftslagen och med hänvisning till t.ex. regeringsformen 2:1 nöja oss med att bestraffa missbruk av personuppgifter, vore väl det enda rimliga att skriva en lag som faktiskt förbjuder missbruk och som samtidigt förklarar vad som menas med missbruk. Det skulle åtminstone ge det hela ett drag av rättssäkerhet.
Min uppfattning är att man måste - och det får man gärna göra med så många hövliga bugningar som möjligt inför EU-direktivet - skriva en lag som klargör vilken behandling av personuppgifter som utan att det finns starka skäl för den skadar människor och som därför skall vara straffbar. Svårigheterna med att skriva ett sådant regelverk skall inte överdrivas. Vi har trots allt redan en förebild i form av förtalsbestämmelser och en utvecklad rättspraxis som hör till det regelverket. Det finns någonting att bygga på.
Man kan däremot inte två månader efter det att den har trätt i kraft hitta på nya djärva tolkningar av personuppgiftslagen, eller för den delen regeringsformen, därför att vi har fått en plötsligt uppblossande debatt om saken. Det framgår trots allt tydligt av lagens förarbeten, av Datainspektionens entydiga uttalanden sedan i våras och av justitieministerns entydiga uttalanden sedan i våras att lagen skall tillämpas som den är skriven. Om man finner en sådan lag olämplig bör man upphäva den. Man skall inte försöka vränga den ut och in.
Jag tycker avslutningsvis att man inte kan låta ett demokratiskt värde som yttrandefriheten vila på en förhoppning att myndigheter och domstolar skall göra en vänlig, fantasifull eller nydanande tolkning av en förbjudande lag. All historisk erfarenhet säger att man måste göra tvärtom. Skyddet för yttrandefriheten måste konstrueras så att reglerna entydigt förbjuder hindrande åtgärder från staten utom i ett fåtal klart definierade undantag för efterhandsingripanden mot sådant som förtal, barnpornografi, etc.
Så konstruerades 1949 års tryckfrihetsförordning därför att man under krigsåren hade lärt av hur antinazistiska skribenter motarbetades eller t.o.m. stoppades. Det får inte finnas oklarheter eller fromma förhoppningar inbyggda i lagen. Då har vi ingen yttrandefrihet den dag vi verkligen behöver den. Tack.
Ordföranden: Tack skall du ha för detta. Jag lämnar ordet till Karl-Erik Tallmo, som inte har någon titel i mitt papper. Han sade till mig att han kommer att presentera sig själv. Det kommer nu att ske.
Karl-Erik Tallmo: Jag brukar tituleras författare och IT-debattör. Jag är redaktör för en elektronisk tidskrift som finns på nätet och heter The Art Bin, som möjligen nu kan tänkas vara lite halvt olaglig. Jag kanske räknas som journalist fortfarande. Jag vet inte. Jag är inte med i Journalistförbundet. Det är som sagt tolkningsfrågor.
Jag tror att det är olyckligt att personuppgiftslagen blev en hanteringslag. En missbrukslag hade troligen varit enklare. En sådan skulle förmodligen inte heller bli föråldrad lika snabbt.
Det lustiga med detta är att Datalagskommittén själv var inne på att det inte skulle bli så lyckat. På s. 185 i utredningen skriver man själv att risken med en hanteringslag är att den kan komma att bli till allmänt åtlöje. Det är precis vad som har hänt de senaste veckorna när människor har excellerat i att anmäla sig själva till Datainspektionen som ett slags debattinlägg.
Nu har företrädare för DI försökt lugna oss användare med att man skall vara frikostig med undantagen. Det hette åtminstone förut att alla som kallar sig journalister eller konstnärer skall anses vara det. Nu sade Ulf Widebäck lite annorlunda här i dag.
Skapar man en lag som i sin tillämpning blir så ad hoc-betonad bäddar man för godtycke. DI kan i värsta fall i praktiken komma att bli en censurmyndighet som från fall till fall bestämmer vad som får sägas. Vad händer den dag de styrande bestämmer sig för att inte vara så frikostiga mot oss längre? Här bjuder inte lagen något skydd.
En av luddigheterna är för övrigt att den nya lagen i sin definition av vad behandling av personuppgifter är inte bara nämner insamling, bearbetning, spridning och ett tiotal andra saker utan även användning av personuppgifter. Är det kanske rentav så illa att inte bara de som publicerar saker på Internet behöver ha de omnämnda personernas medgivande utan även vi som läser publikationer på Internet?
Vad är förresten medgivande? Är det att man klickar okej på ett meddelande på en webbsida? Eller är det, som någon var inne på här tidigare, att man skickar ett e-postmeddelande? Hur vet man då att det är rätt person som står som avsändare till det e- postmeddelandet? Hur länge gäller sedan ett medgivande?
Dessutom tycker jag att det är aningen stötande, i en tid när de nya medierna erbjuder alltfler s.k. gräsrötter att publicera sig, att flera utredningar den senaste tiden försöker ge journalister och konstnärer en särställning. Det är märkligt nog grupper som traditionellt brukar vara högljudda och protestbenägna.
Inom parentes sagt uppstår det också ett glapp här som utredningen Grundlagsskydd för nya medier skulle ha kunnat fylla i viss mån med sitt föreslagna utgivarbevis för elektroniska publikationer. Men den idén tillbakavisades av regeringen. Alla de som nu publicerar sig på Internet och kallar sig för journalister för att undkomma PUL har ändå inget grundlagsskydd jämförbart med det som tryckta tidningar har.
Vad vi nu har fått är en lag som mest tycks hindra normal berättigad hantering av personuppgifter men som knappast skyddar oss från otillbörlig behandling av sådana. En grundfråga är naturligtvis om en lag över huvud taget kan göra det i den oerhört komplexa värld vi håller på att skapa åt oss eller om det snarare bör ligga på nivån att var och en får ta sitt ansvar när det gäller vad man sprider om sig själv.
Vad man än svarar på den frågan finns där ett stort problem med integriteten i vår nya digitala värld. Vi lämnar enorma mängder av elektroniska spår efter oss i den moderna världen i mobiltelefonroutrar, i bankservrar, vid varje myndighetskontakt, hos kreditkortsföretag och på varenda webbplats som vi besöker på Internet. Allt det sker också mot en bakgrund där vi för länge sedan har slutat oroa oss för bevakningskameror på offentliga platser eller närgångna enkätundersökningar.
Nu monterar vi ofta själva kameror på datorn eller i kafferummet som en kul grej. I vissa fall finns det faktiskt människor som har monterat in sådana också i sängkammaren, men det kanske är ett lite väl extremt exempel. Många laddar också upp sina dagböcker på nätet. Ett framträdande drag i dag tycks vara just lusten att synas och bli uppmärksammad.
Det är ungefär 300 000 svenskar som har egna hemsidor där varierande mängder privata saker redovisas. En del av detta är naturligtvis vad som brukar benämnas harmlöst. Men även harmlösa saker kan ställa till det. Åtskilliga kända personer som har förekommit i veckotidningarnas hemma-hos- reportage har t.ex. blivit utsatta för inbrott. Tjuvarna har vetat exakt vad de skulle ta.
I USA hände det förra sommaren att en kvinna råkade ut för att hon fick snuskiga brev där brevskrivaren hade författat en sorts erotisk novell med henne som huvudperson. Han visste privata saker om hennes skilsmässa, vilka tidningar hon läst och vad hon använde för tvål, t.ex. Det var en novell och skulle om han laddat upp det på en webbsida kanske ha räknats som konstnärligt arbete.
Nu är det alltid riskabelt att från detta extrapolera utifrån nuet och tro att det blir så i framtiden fastän värre, mera, större osv. Man kan mycket väl tänka sig en situation där publicering och offentlig tillgänglighet blir något av normaltillstånd och själva återhållandet blir den mer aktiva handlingen i stället för som nu att vi går ut med information när vi vill.
Ta bara en så enkel sak som att mobiltelefoner kan spåras, och följaktligen kan man då kartlägga hur en person förflyttar sig. När bilarna sedan kommer att navigera med hjälp av satellit får vi ytterligare en sådan markör. All sådan information tillsammans med den information vi lämnar efter oss på Internet kan ge en rätt så fyllig bild av vad vi har för oss, vilka vi är, vad vi tycker och tänker, etc.
Det lite förrädiska i sammanhanget är att om någon t.ex. förföljer oss på gatan är det mer konkret obehagligt. Men om någon följer oss genom att avläsa mobiltelefonroutrar är det mycket mer abstrakt. Även om vi vet om att det sker rycker vi liksom på axlarna åt det.
Det är väl tänkbart att det inte är myndigheternas intrång i vår integritet som är det stora problemet i dag utan att vi exponerar oss för alla och envar. I framför allt USA förlägger redan dektektivbyråer och s.k. prisjägare alltmer av sin verksamhet till nätet. Det är helt enkelt mycket billigare än att ha folk som sitter i en bil och bevakar en port någonstans hela natten.
Jag tror att vi står inför en situation ungefär som när bonden kom till staden. Kanske var han van att kunna lämna dörren olåst på landet, men i staden märkte han att man får vara mer försiktig. Här har vi dubbla lås och gallergrindar. Det är förstås beklagligt att det skall behöva vara så. Men de flesta moderna människor har nog ändå vant sig vid att världen är sådan. I det digitala samhället kan man heller inte kasta sig in utan att vara medveten om riskerna.
Detta är problem som måste diskuteras nu. Jag menar att alla dessa frågor hänger ihop. Offentlighets- och yttrandefrihetsaspekterna och integriteten kan inte behandlas åtskilt. Även de nya publiceringsformerna, författarrollen, copyrighten och kanske rentav patenträtten måste vägas in i detta.
Det är olyckligt att så många utredningar har utrett sin lilla bit. Det har varit cd-rom- utredning, BBS-utredning, datalagskommitté, mediekommitté, osv. Det är illa nog med isolerade utredningar som gäller vår invanda värld. Men det är ännu värre när det gäller en värld som få ännu förstår sig på.
Själv skulle jag vilja rekommendera mycket breda lösningar med ett tätt samarbete mellan olika utredningar inom IT-området. Man bör också se till att de som utreder själva ger sig ut på Internet. Egen erfarenhet av den kultur det gäller är värt mycket mer än att ännu en expert får skriva ännu en utredningsbilaga om Internets historia.
Frågan är vad som nu går att göra åt PUL inom ramen för det gällande EU-direktivet. Det största hoppet står nog till att vi verkar inom EU för att nästa direktiv kommer snart och blir ett modernt insiktsfullt sådant. Det gamla skrevs som bekant innan World Wide Web ens var påtänkt, vilket är den mest radikala förändringen sedan persondatorrevolutionen i början av 80-talet.
Sverige som är ett av världens mest avancerade IT- länder borde sannerligen kunna agera förtrupp i EU:s datalagsarbete. Tack.
Ordföranden: Tack så hjärtligt för detta. Då ber jag att få lämna ordet till professor Peter Seipel, Stockholms universitet. Han är också professor i rättsinformatik, så det blir Norge och Sverige som går ihop här på slutet. Varsågod.
Peter Seipel: Tack. Jag tänkte med min förkylda röst kommentera åtminstone fyra saker. Den första är lite om den allmänna bakgrunden, teknikutveckling, m.m. Den andra är möjligheten att realisera EG-direktivet genom en missbruksmodell och allmänna reflexioner kring en missbruksmodell och vad den innebär. Sedan tänkte jag ge mina synpunkter på förhållandet till yttrandefrihet och informationsfrihet i allmänhet, tala lite grann om inre frågor i person- uppgiftslagen och ge några korta synpunkter på hur jag menar att man bör gå vidare.
Om vi begynner med bakgrunden är det som min värderade kollega Jon Bing påminde oss om på det viset att det har skett en väldig förändring i den miljö där personuppgiftsskyddet nu skall verka om vi jämför med hur det var när den gamla datalagen en gång kom till. Det var registermiljön som då gällde. I dag är detta gemene mans redskap. Därmed ser naturligtvis attityder och förhållningssätt helt annorlunda ut än tidigare.
Om man först funderar kring de tekniska förändringarna kan man ställa sig frågan om de klassiska riskerna nu är borta. Svaret är naturligtvis ett alldeles rungande nej. De finns där fortfarande. Den gamla registermiljön är fortfarande med oss fast nu inkapslad i nya fenomen och företeelser. Hur vi än vrider och vänder på oss behöver vi en massa registerlagar även i framtiden om olika hanteringar i olika sammanhang som är mer eller mindre känsliga.
Det här spänner över ett mycket stort område från lag om öppen kameraövervakning från 1998, som också är en form av personuppgiftshantering, och bort till mer vardagliga aktiviteter som patientjournaler, mål- och ärenderegister hos domstolarna och liknande. Vi får inte glömma bort att vi har hela denna stora barlast. Det är svårt att tänka sig att vi lämpar den över bord.
Hur ser riskerna i den nya miljön ut? Finns de över huvud taget? Visst finns de naturligtvis. Jag plockade ut det allra senaste ur datapressen. Där stod: E-manager gallrar i e-posten. Sparad e-post hos konkurrenter och på egna servrar blir besvärliga bevis mot Bill Gates i rätten. Programmet E-manager hade stoppat breven från att över huvud taget bli sända.
Ett annat svenskt program av motsvarande natur: Spionprogram stoppar hemliga brev. Mind Sweeper heter en produkt som kontrollerar 300 000 e-brev i timmen. Programmet stoppar inte bara virus utan även konfidentiellt material som inte får spridas utanför kontoret, etc.
Tekniken föder hela tiden nya möjligheter till angrepp och hot. Karl-Erik Tallmo var också inne på detta. Det måste vi naturligtvis minnas och ha med i diskussionerna när vi resonerar om hur det framtida skyddet bör utformas. Vi bör också minnas de sidor som är positiva. Branschen, som Anne-Marie Nilsson var inne på, kommer inte att gå opåverkad ur den här utvecklingen.
Det finns t.ex. en standard som håller på att utvecklas som heter The Platform for Privacy Preferences, P3P. Det är en webbstandard som håller på att utarbetas för att ge konsumenter och webbplatserna som de besöker en möjlighet att förhandla om vad som får göras med personlig information som sparas på webbplatsen. Det är alltså en mycket dynamisk miljö på olika sätt. Tekniken anpassar sig till lagen, och lagen söker finna rimliga levnadsformer i den nya tekniska miljön.
Slutligen om bakgrunden. Det har samlats in namnunderskrifter på Internet: Rör inte mitt Internet. Här måste lagstiftaren vara medveten om att det kommer en ny typ av dynamik i lagstiftningsförfarandet. Man kan tala om att vissa kommer att sitta på det s.k. spridningsföreträdet. Konstitutionsutskottet har inte så stora möjligheter att gå ut med en sådan aktion på Internet, men andra har det. Det är inte riktigt samma sak att samla in drygt 40 000 underskrifter på Internet som att göra det i klassisk brevskrivande miljö med den eftertanke det innebär.
Jag konstaterar bara detta utan alla moraliska förtecken. Det är en ny dynamik i lagstiftningsarbetet som vi förmodligen kommer att få se också i många andra sammanhang och som vi bör ha ett slags eftertänksamt förhållningssätt till.
Så till förhållandet mellan vår svenska lag och personuppgiftsdirektivet. Hade det varit bättre med en missbruksmodell? Vi talar om missbruksmodellen som om det vore något entydigt. I de studier som har gjorts vid det IT-rättsliga observatoriet, som är en liten gren av IT-kommissionen, har vi efterhand blivit alltmer klara över att missbruksmodellen inte är något entydigt. Man måste bestämma sig för vad det är för slags missbruksmodell man resonerar om.
Här finns det en skala som börjar med dem som säger att i princip skall allting vara tillåtet. Vi struntar i riskerna. Det här är så dynamiskt och värdefullt för samhället att vi får ta de riskerna, och medborgarna får finna sig i det som kan ske i form av elektronisk spårning. Det är den radikala missbruksmodellen. Endast de värsta och grövsta övertrampen skall man ägna sig åt, som t.ex. det fall som avgjordes av en av våra hovrätter för ett par år sedan. Där hade någon satt in annonser för en bekants räkning, sexannonser. Denna person blev sedan utsatt för en massa brev från folk som tog det på allvar. Den typen av grova övertramp skulle man med den radikala missbruksmodellen ändå få inskrida mot.
Den andra änden, den mildaste typen av missbruksmodell, är den som Ulf Widebäck var inne på, att man i den praktiska lagtillämpningen har ett missbrukstänkande. Man inskrider bara mot det som anmäls och är klara övertramp. Sedan finns det en hel skala av tänkbara missbruksmodeller där man förhåller sig på olika sätt till sådant som t.ex. dokumentationsskyldighet för dem som behandlar personuppgifter. Information till de människor som berörs kan man ha olika inställning till. Man kan ha olika inställning till hur huvudreglerna utformas.
Det har sagts tidigare i dag att gränsen inte är så skarp mellan hanterings- och missbruksmodeller och att man i många lagar hittar blandningar av missbruksstrategi och hanteringsstrategi. Precis så är det med personuppgiftslagstiftningen också. Det gäller att åstadkomma det önskvärda mönstret av missbruksorienterad reglering och hanteringsorienterad reglering. Det tar sin tid. Det är en process. Där måste man acceptera att också det svenska rättssystemet nu förändras under EG- rättsligt inflytande så att det kommer att ligga större tyngdpunkt på rättspraxis än vad det har gjort i klassisk svensk lagstiftningsmodell med noggranna förarbeten som talar om hur uppkommande konflikter av det ena eller andra slaget skall hanteras. Vi lever i en större rättsosäkerhet med för den svenska rättsordningen delvis nya drag och med större betydelse för rättspraxis. Det bidrar naturligtvis till den osäkerhet som vi alla känner inför många av dessa frågor.
Jag skall återkomma alldeles mot slutet till hur jag ser på missbruksorienterad reglering för framtiden. Låt oss titta lite på förhållandet till yttrandefrihet och informationsfrihet i allmänhet. Här har det också varit ganska diametralt motsatta åsikter, och de förekommer i debatten. Det finns de som menar att yttrandefriheten är det starka intresset. Det kommer alltid att ha skydd. Det behöver vi inte oroa oss för, säger någon debattör. Det finns andra som säger att det nu är fara å färde. Nu förstärker man personuppgiftsskyddet så att yttrandefriheten råkar i fara.
Jag menar att här måste man tillåta sig en ganska öppen tolkning av 7 § personuppgiftslagen, som dels föreskriver förhållandet till den grundlagsskyddade yttrandefriheten, TF och YGF, dels i andra stycket talar om uteslutande journalistisk verksamhet eller litterära och konstnärliga ändamål. Enligt min mening vore det absurt att bara tolka det senare undantaget i andra stycket på det viset att det bara är vissa så att säga legitimerade yrkeskategorier som får åberopa detta. Det är lika absurt som att i upphovsrättslagen, som talar om litterärt och konstnärligt skapande, lägga in ett slags kvalitetskriterium och säga att det bara är det som domstolen bedömer har estetisk kvalitet som kan göra anspråk på upphovsrätten. Upphovsrätten har för länge sedan gett upp sådana standarder för att så att säga ge förmånen av rättsskydd. I upphovsrättslagen är det alltså låga krav som ställs för att något skall uppfattas som ett litterärt verk och åtnjuta upphovsrättsligt skydd.
Varför skall man börja laborera med andra synsätt i personuppgiftslagen och införa en särskild så att säga av samhället prövad form för att en verksamhet skall bedömas som litterär eller konstnärlig? Tvärtom kan man faktiskt här se risker av det slag som flera tidigare har varit inne på, att man får ett alldeles för stort undantag från personuppgiftslagen. Frågan är: Hur skall man på ett vettigt sätt avgränsa detta undantag till förmån för 7 § andra stycket? Jag tror att man då får titta på ingressuttalandena i EG-direktivet där det talas om att undantagen måste vara nödvändiga för att skydda yttrande- och informationsfriheten. Det är på den linjen som man får söka sig fram till en rimlig balans mellan intressena.
Om vi går in på lagen finner vi att det finns en mängd tolkningsfrågor o.d. Dem hinner vi inte ta upp här. På sätt och vis är det synd att vi inte hinner göra det därför att den här svepande debatten med ställningstaganden för och emot, principiellt osv. har en tendens att dölja den vardag som ändå hör ihop med lagstiftningens detaljerade maskineri.
Ta bara den första frågan om behandling av personuppgifter. Vad är det för något? Här har det från något håll påståtts att den svenske lagstiftaren har missuppfattat alltihop - det är bara register som egentligen skulle regleras i automatiserad form. Det är naturligtvis en orimlig tolkning, men ett litet korn av sanning ligger i den tolkningen. Vad är då detta korn? Jo, i den klassiska ADB-miljön, i miljön för automatisk databehandling, krävdes det på förhand strukturerade uppgiftssamlingar för att man skulle kunna bearbeta dem - med registret över länets befolkning i åldersordning osv. kunde man samköra och bearbeta.
Den moderna informationstekniken tillåter att man har en i stort sett ostrukturerad soppa av uppgifter. Sedan låter man de program som skall utnyttja detta tillhandahålla intelligensen på olika sätt. Om man t.ex. går ut med en sökmotor på Internet och söker på Seipel, görs det diverse manipulationer av datorlingvistisk art. Ut kommer ett resultat producerat som en lista eller i grafisk form där mitt namn förekommer, relaterat till olika saker som råkat hända i mitt Internetliv. Jag har varit på konferenser, har arbetat tillsammans med folk och har skrivit det ena och det andra. Det blir alltså en prydlig lista med hundratals referenser. Detta sköter sökmotorn om genom att med något slags intelligens gå igenom, sammanställa och räkna fram vad som skall presenteras.
När vi talar om behandling kan man fråga sig: Är det bara vilket som helst lite strövis omnämnande av Per Unckel som är behandling, eller fordras det någon form av systematisk behandling? Man blir ännu lite mer eftertänksam när man konstaterar att ordet databehandling enligt svensk standard skall uttolkas så att det är fråga om ett utförande av en systematisk serie operationer på givna data. Det är alltså inte fråga om varje liten strövis hantering, utan det måste ingå i något samordnat och helt. Problemet är att EG-direktivet inte tillåter en så strikt tolkning av ordet behandling. Jag tror att man inte ens har funderat över detta.
Vad man kan göra är att man när personuppgiftslagen tillämpas kan göra glidande distinktioner, så att man är strängare i tillämpning och sätter upp ett bättre skydd när det handlar om systematiserad hantering, typ elektronisk spårning och sådant, än när det bara handlar om strövisa omnämnanden. Jag menar att det är ett fullt rimligt sätt att begagna denna insikt, nämligen att behandling står för så många olika fenomen.
Det andra är naturligtvis detta med samtycket. Det här måste tolkas flexibelt, för annars blir det väldigt svårt att få personuppgiftslagen att fungera. Redan under datalagen har det utvecklats en praxis med passiva samtycken, underförstått samtycke, s.k. konkludent handlande osv. Det här måste man naturligtvis på ett rimligt sätt bygga vidare på. Är då inte detta för osäkert, dvs. att någon tar risken på det här sättet? Måste folk ha förstått att de skulle förekomma i det här sammanhanget? Om man t.ex. skriver en bok med titeln När jag satt i fängelse får man på något sätt anses ha samtyckt till att den kommer att finnas i biblioteksregister. Som författare kommer jag att bli associerad till den här titeln. Det får jag räkna med.
Det är alltså ett slags missbruksprincip som vi har inom personuppgiftslagens ram om vi har denna mjuka tolkning av samtyckeskravet. Man kan ta en risk. Man kan ju ha missuppfattat det hela. Eller också kan man fråga Datainspektionen hur man där ser på detta. Jag skall inte gå vidare med sådana här tolkningspunkter, som det finns väldigt gott om.
I stället skall jag komma till min avslutande punkt om strategier för framtiden. Jag instämmer helt med dem som har sagt att det är viktigt att aktivt gå in i EU-diskussionen, att ge våra erfarenheter, väl strukturerade och väl motiverade, och försvara de intressen som vi upplever som tunga för vår del, inte minst det som gäller yttrandefrihet och offentlighetslagstiftningens värn.
Sedan bör man naturligtvis gå vidare med att ge lagen precision och konkretion. Där är det väldigt viktigt hur Datainspektionen nu kommer att utföra sitt arbete och vad som kommer ut ur det. Jag tror att det behövs åtskilligt av tillämpningsföreskrifter och anvisningar för att undanröja mycket av den onödiga osäkerhet som omger lagen och att på ett tydligt sätt sätta ned foten när det gäller speciella tolkningsfrågor.
Det tredje och sista är att vi vid IT-rättsliga observatoriet kommer att gå vidare med studiet av missbruks- och hanteringsmodeller. Arbetet hittills har alltså lärt oss att det här är en mycket nyansrikare diskussion än vi kanske från början var helt medvetna om. I slutet av januari 1999 kommer vi med en rapport som innehåller en redogörelse bl.a. för erfarenheterna från en sammankomst som vi hade i november i år. Det kommer också att bli en mer analytisk diskussion om missbruksmodellens förhållande till hanteringsmodellen.
Ordföranden: Tack, Peter, för detta!
Därmed är vi klara med introduktionerna. Ordet lämnas nu lite friare i den något friare avslutningsdiskussion som jag antytt att vi skall ha.
Barbro Hietala Nordlund: Det är intressant med det här problematiserandet och det som beskrivits i inledningsanförandena. Jag har två frågor och tänkte koncentrera mig på hur framtiden skall se ut och hur vi skall gå vidare. Först har jag en fråga till Peter Seipel. Det handlar om missbruksmodellen och den presentation som finns i promemorian från IT- observatoriet. När jag läser det framkommer det att man inte heller i en missbruksmodell kan, som ni ser det, gå förbi betydelsen av samtycke. Det skulle vara intressant att få detta utvecklat något mer. Jag avser då frågan om vilket integritetsskyddskrav och vilket samtyckeskrav som en missbruksmodell anses behöva ha.
Min andra fråga gäller framtiden. Jag tycker att Regeringskansliet där har ett stort ansvar och intresse. Därför vill jag rikta frågan till Regeringskansliets företrädare. Det gäller det korta perspektivet, alltså de konkreta och reella problem som vi just i dag har. Där väntar naturligtvis alla Internetanvändare på ett besked, och där måste vi kortsiktigt hitta tillämpningar och lösningar. Vidare handlar det om den långsiktiga lösningen, som inte bara gäller Norden eller Europa utan också vad som sker internationellt. Jag vet ju att, det i de överläggningar som finns när det gäller dataskyddsregler med USA, sker åtminstone några framsteg. Jag skulle vilja veta var man ligger i det internationella perspektivet i resonemanget. Jag skulle vilja att ni nu tar er lite tid och kommenterar vad ni ser i Finland och Danmark. Hur har man översatt och tolkat direktivet och hur kommer deras lagstiftning att se ut? Finns det några likheter mellan Sverige och de grannländerna? Regeringskansliet kan svara på framtidsfrågan och Peter Seipel precisera något lite mera när det gäller missbruksmodellen.
Ordföranden: Jag tror att vi gör så att jag plockar på lite olika inlägg och sedan får ni begära ordet när ni känner att ni har något att bidra med. I så fall lämnar jag ordet till Inger René och därefter Helena Bargholtz.
Inger René: Jag skulle egentligen vilja ställa en fråga till Ulf Widebäck. Det är väl tillåtet i den här omgången, hoppas jag. Det gäller det här med samtycke. Jag skulle vilja höra om Datainspektionen har samma tolkning av samtycke och det passiva samtycket som Peter Seipel redovisade här alldeles nyss.
Sedan har jag en fråga till Anders R. Olsson. Du tyckte att vi hade glömt grundlagarna och yttrandefriheten och sådant, och det kan hända att det inte kom fram så mycket just i den här diskussionen. Men jag tycker att du väldigt ofta glömmer, både när du pratar och när du skriver, att diskutera den personliga integriteten. Jag skulle vilja höra vad den innebär för dig. Grunden till grundlagen är ju att "skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter". Jag skulle vilja fråga: Vad lägger du i det grundläggande temat för den här lagstiftningen?
Helena Bargholtz: Min fråga riktar sig också till Anders R. Olsson. Du inledde med att säga, om jag noterade rätt, något om att yttrandefrihetsfrågan inte är berörd. Och det är väl riktigt. Men jag skulle vilja höra om du har några förslag till ändringar av YGL, några lagstiftningsändringar eller några tydligare skrivningar än de som står i dag. Det tycker jag vore väldigt intressant att få höra.
Per Lager: Jag skulle vilja höra om det som Anne- Marie Nilsson tog upp, nämligen möjligheten att kvalitetssäkra webbsidor. Jag skulle också vilja höra om det här med självreglering, att man har något slags etisk kod.
Sedan har det framgått här att det är förfärligt mycket osäkra uppgifter kring begrepp och hur man skall uttyda och tolka begreppen. Någon var inne på att man skulle ha en bred utredning som tog ett helhetsgrepp om alltihop, som satte ned foten och talade om vad vi bör göra i framtiden för att hantera de här problemen. Jag skulle gärna vilja höra något förslag om hur en sådan utredning skulle kunna se ut.
Till sist: Datainspektion kan bli en censurmyndighet, var det någon som uttryckte det. Det där skulle jag gärna vilja höra Datainspektionens mening om - om en censurmyndighet, dvs. att man i framtiden får för stort inflytande över det som får ske och inte ske.
Hans Erik Holmkvist: Jag vill erinra om att regeringen - och det har också utskottet ställt sig bakom - klargör att det finns anledning att gå ifrån en vittomfattande hanteringsmodell, att vi skall utnyttja vårt inflytande i Europa för att komma fram på den vägen.
Jag skulle också vilja, lite grann i samma anda som Peter Seipel, försöka avdramatisera det här med de olika modellerna, alltså hanteringsmodell och missbruksmodell. För att uttrycka det lite populärt: Vi skall inte kasta ut barnet med badvattnet.
Den gamla datalagen och det nya direktivet om den nya personuppgiftslagen är ganska väl anpassade till den typ av hantering som Jon Bing pratade om, alltså administrativ hantering av personuppgifter, som syftar till att komma fram till något slags beslut som kan vara positivt eller negativt för den enskilde. Typiskt sett består det av att man tar hand om uppgifter som kanske också den enskilde har tvingats lämna ifrån sig. De kan vara känsliga på ett sådant sätt att man inte önskar att de cirkulerar vidare på olika sätt.
Det vanliga sättet som vi hanterar och skapar rättssäkerhet kring förvaltningsprocesser på är oftast att lägga fast hur saker och ting skall gå till. Så reglerar vi t.ex. frågor som har att göra med yttrandefrihet och offentlighet.
Det är naturligtvis någonting värdefullt att hålla fast vid som vi inte får gå ifrån. Vi skapar en betydande rättsosäkerhet i samhället om vi reglerar myndigheternas verksamhet utifrån någon sorts missbruksmodell som innebär att om myndigheterna missbrukar sina möjligheter på olika sätt kan vi klämma åt dem, men i övrigt får medborgarna vara lite osäkra över vad man egentligen kan förvänta sig när det gäller hur myndigheterna skall bete sig.
Därför får vi nog finna oss i olika former av hanteringsmodellinslag i den del av verksamheten som reglerar myndigheternas verksamhet och även när det gäller vissa företag som har en verksamhet som påminner väldigt starkt om detta. Och då finns det inslag av insynsbestämmelser, av ändamålsbestämmelser och kanske också samtyckesbestämmelser och liknande.
Däremot har vi då den andra sidan, det som mer är att liknas vid publicering, allmän debatt och sådant via Internet. Här ser det ut på ett annat sätt. Då kan man i och för sig fråga sig: Om vi nu skall ha en missbruksmodell som omfattar den typen av verksamhet, behöver vi då egentligen så särskilt mycket särreglering? Är det kanske inte så att det regelverk vi har, de lagar som finns och som kriminaliserar förtal och liknande, egentligen räcker ganska långt?
För att komma vidare på den vägen tror jag att det krävs en utvecklad branschetik på det sätt som Anne- Marie Nilsson pratade om. Här är det väl som på andra områden. Det måste ske en samverkan mellan företag och branscher när det gäller att utveckla denna branschetik och att få den allmänt accepterad, för att man i så fall också skall kunna lyfta upp den och i någon mening från offentligrättslig synpunkt sanktionera och sätta godkännandestämpel på den. Skall man komma fram på den vägen måste arbetet inte bara ske i lagstiftande församlingar. Det måste också ske bland tillämparna ute i verkligheten. Det är svårt att gå före den utvecklingen.
Då skulle man möjligen kunna skissa på en sorts trestegsraket för den här hanteringen framöver. Det handlar om att i ett första steg med stöd i det uppdrag som har getts till Datainspektionen komplettera eller åtminstone få en sorts godtagen tolkning av direktivet, om jag skall uttrycka det så. Det handlar om att få någon sorts provisorium som gör att vi slipper fundera över om handelsuppgifter, eller andra uppgifter som vi tycker att det är självklart att man skall kunna använda, kan hanteras och publiceras på Internet. Det är det vi kan hantera med stöd av Datainspektionens uppdrag.
På medellång sikt skulle man alltså söka efter något slags reglering för Internet och webbkommunikation som påminner om vad vi har på andra områden med liknande verksamhet, där det finns ett stort inslag av branschetik och sådana frivilliga regler. I det mycket långsiktiga perspektivet är det naturligtvis så med direktivet som med annan lagstiftning att det kan bli fråga om översyn.
Jag vill erinra om att det finns en sådan mekanism inbyggd i direktivet. Det finns en kommitté och en arbetsgrupp som skall titta på tillämpningen, och kommissionen skall återkomma inom en viss tidsperiod med en bedömning och även med förslag till ändringar om det skulle behövas. Men det som är viktigt i sammanhanget är att direktivet blir genomfört i alla länder. Det är först då som man kan säga att det här får något slags betydelse. Det viktiga för oss är att arbeta för att direktivet faktiskt blir implementerat i de andra medlemsstaterna.
Planen är - det kan vara intressant att veta - att i första hand söka en nordisk bas. Det innebär att vi kommer att ta kontakt med de nordiska länderna på tjänstemannanivå. Ett sådant möte äger rum i december. Då kommer vi att stämma av och se om vi kan hitta liknande utgångspunkter för hur vi skall gå vidare. Jag tror att vi identifierar problemen som likartade. I nästa steg kommer vi att fullfölja kontakter som vi redan haft med kommissionen för att se, också på tjänstemannanivå, hur vi kan gå vidare. Sådana kontakter kommer att ske i början av nästa år.
Så ser arbetsplanen ut. Sedan planerar regeringen att återkomma så fort det går. Med stöd av det uppdrag som Datainspektionen har fått återkommer vi till riksdagen när det finns anledning till det.
Jag ville ge den här bakgrunden så att alla skall veta ungefär hur arbetsprogrammet ser ut nu framöver.
Ordföranden: Det var utmärkt att få den redovisningen. Tiden går och jag har ett par tre, fyra namn på min lista, och sedan börjar klockan närma sig tolv. Jag tänkte plocka in Åsa Torstensson, och sedan stänger vi nog frågebutiken, tyvärr. Tiden kommer sedan att konsumeras av att alla de frågor som har ställts faktiskt får ett riktigt svar.
Åsa Torstensson: Jag skulle vilja ställa en fråga till Peter Seipel med anledning av att jag uppfattade det som att Peter Seipel och Anders R. hade ganska vitt skilda åsikter om hur man skall tolka detta med 7 §. Peter Seipel säger att man måste tillåta sig en mycket öppen tolkning, medan Anders R. betonar att det inte kan vara meningen att man skall uppfinna nya tolkningar. Jag skulle vilja ha en kommentar av Peter Seipel med anledning av detta.
Ordföranden: Tack för det. På basis av detta har jag nu tillverkat följande talarlista: Karl-Erik Tallmo, Anders R. Olsson, Ulf Widebäck och Peter Seipel.
Karl-Erik Tallmo: Per Lager frågade hur jag hade tänkt mig det här med utredningar. Jag har lagt märke till att utredningar har så olika infallsvinklar, och de utreder i övrigt samma saker. Datalagskommittén hade t.ex. en infallsvinkel när det gällde att skapa en del nya termer som skall passa de nya medierna, medan t.ex. Mediekommittén gjorde tvärtom. De försökte pressa in så mycket som möjligt av de nya företeelserna i gamla termer, vilket ledde till att de pratade om en massa underligheter som elektromagnetisk överföring. Det lät närmast som någonting från 1800-talet.
Det går alltså inte att sätta till något slags stor superutredning som skall ta ett samlat grepp på hela IT-världen. Det är inte riktigt det jag är ute efter, utan det handlar om att det sker ett intimt samarbete mellan de utredningar som berör det här området och att man samtidigt verkligen arbetar på att de som är med i utredningarna får en riktig förståelse för det här. Ingen skulle väl t.ex. fatta beslut om EU utan att ha satt sin fot utanför Sverige, så jag tror att det här är väldigt viktigt.
Jag skulle vilja tillägga en annan sak. Jag tror att man också skall försöka samla breda grupper av användare och ha dem som ett slags referensgrupper även för utredningen, alltså ett slags workshops. Jag vet inte hur vanligt detta är i utredningsväsendet. Jag förekom lite grann i utkanten av Kulturnät Sverige-utredningen. Där hade vi en mängd workshops som jag tyckte var oerhört fruktbara. Även om utredningen inte hade blivit bra hade det varit värt resan ändå. Där fick man träffa oerhört många människor och hade utbyte från olika sektorer av användare. Det är något jag verkligen skulle vilja förorda.
Anders R. Olsson: Jag fick två frågor. Den ena handlade om vad jag menar med personlig integritet. Den stora skillnaden när man diskuterar sådant här i USA - jag har försökt följa amerikansk debatt och den är livlig - är att i USA står i stort sett alltid de som argumenterar för yttrandefrihet och de som argumenterar för personlig integritet på samma sida. Men om man är vän av yttrandefrihet här förutsätts man närmast vara likgiltig inför personlig inte-gritet. Det är alltså inte så. Naturligtvis är personlig integritet ett viktigt och helt centralt värde i ett demokratiskt samhälle.
Vad menar jag med personlig integritet? Experter, akademiker och forskare av olika slag har i 35, 40 år arbetat med att försöka hitta något slags hyggligt handfast och tydlig definition av vad som menas med personlig integritet. Man har inte lyckats. Det finns ingen konsensus om detta, ingen definition som skulle kunna ligga till grund för lagstiftningen. Det är det ena skälet till att den här frågan är så svår. Det andra, som vi ju har talat mycket om här, är den snabba tekniska utvecklingen.
Jag menar att man måste ha den typ av definition av det skyddsvärda området som vi har i förtalsrätten. Där handlar det om att den som utsätts för andras missaktning är skadad. Det är klart att det inte är någon skarp gränsdragning. Men det är i alla fall någonting som är möjligt att hantera för en domstol.
Det är säkert inte den enda definitionen man skall använda i en missbruksmodell. Det finns säkert flera, och man behöver lägga till detta. Men det är den typen av definitioner som man måste arbeta med, menar jag.
Jag fick också frågan om man kan ändra i YGL så att man, om jag förstod frågan rätt, på något sätt kommer vidare här. Jag tror inte att det finns någon ändring i YGL som på något vis löser problemet ur yttrandefrihetssynpunkt. Jag tror, precis som Karl- Erik Tallmo sade, att det är bra om man kunde vidga tryckfrihetsförordningens modell för yttrandefrihetsskydd till nya medier, så som Mediekommittén föreslog, med utgivningsbevis för elektroniska skrifter. Det tycker jag är en utmärkt idé. I övrigt måste ju människor som yttrar sig på vanligt sätt själva bära ansvar för sina handlingar och yttranden.
Bara kort om detta med vad som är journalistik och journalistisk verksamhet. Om man i lagtext definierar en yrkesgrupps verksamhet som särskilt skyddsvärd - och det är vad som sker i lagen - följer faktiskt logiskt och automatiskt att man exkluderar andra yrkesgruppers eller andra människors arbete och verksamhet. Om man menar att man skall skydda medborgarnas yttrandefrihet, skall man skriva det och ingenting annat.
Ulf Widebäck: Jag skall svara Inger René. Frågan gällde alltså om man i de fall där personuppgiftslagen kräver samtycke kan laborera med s.k. tyst, hypotetiskt, konkludent eller presumerat samtycke. Mitt svar är ett klart nej. Det anser jag inte att man kan. Det var kanske det främsta skälet till att Datainspektionen skickade in två skrivelser till regeringen, vilket sedan resulterade i det här uppdraget. Enligt datalagen kunde man alltså det, tycker vi. Enligt personuppgiftslagen går det inte.
Så till Per Lagers fråga om Datainspektionen skall anses vara en censurmyndighet. Om man med censur menar att myndigheten i förhand prövar om man skall få yttra sig på ett visst sätt eller inte kan jag väl säga att datainspektionen i så måtto naturligtvis har varit något slags censurmyndighet, även om orden inte är de riktiga. Det har den varit ända sedan 1973 när datalagen och Datainspektionen satte igång. I datalagen finns det ju, precis som i personuppgiftslagen, förbjudande inslag. Man får t.ex. inte skriva om känsliga uppgifter hur som helst. På så vis kan man ju säga att det skulle vara något slags censurmyndighet.
Men nu är det så vist ordnat att Datainspektionens beslut kan överklagas till allmän förvaltningsdomstol. Enligt personuppgiftslagen är det bara till allmän förvaltningsdomstol, enligt datalagen kunde man överklaga till regeringen när det gällde beslut beträffande statliga myndigheter. Det går inte längre, och det tycker jag är bra för rättssäkerheten. Då behöver man inte ens misstänka att det skulle vara något slags politiska inslag i det hela.
Även enligt personuppgiftslagen gör vi ibland ett slags förhandsgranskning, exempelvis så till vida att vi kan förbjuda fortsatt behandling. Men enligt personuppgiftslagen inskrider vi efteråt i första hand.
Peter Seipel: Jag börjar med 7 §. Anders R. Olsson bekymrar sig över att lagen inte alltid betyder det som står i den. Så är det. Läs regeringsformen, där det står att författare, fotografer och konstnärer skall tillförsäkras eller skall ha skydd av sina prestationer i lag. Det skall ju inte läsas så att det bara är medlemmar i KRO eller författarnas yrkesförbund som har detta grundlagsskydd för sina alster. Det är som sagt andra kriterier och krav man talar om. Det är alltså inte okänt för lagstiftningen sedan tidigare att man inte skall välja den snäva tolkning av 7 § som du menar är enda möjligheten. Jag menar att man skall försöka att tänja tolkningen så långt det är rimligt för att skydda yttrande- och informationsfrihetsintressen. Jag kan inte se att det skulle var så där väldigt kontroversiellt.
Så den första frågan som handlade om samtyckets förhållande till missbruksmodellen. Jag tror att samtycke kommer att finnas med i alla varianter av missbruksmodellen. Även en radikal missbruksmodell av Anders R. Olssons slag, som bara tar sikte på förtalsbrottsliknande situationer, kommer att behöva samtycket som reservventil. Har jag samtyckt till att vissa saker har sagts om mig kan jag ju inte i efterhand t.ex. hävda att det får anses som ett kränkande förtal. I varje fall är det inte något som ger mig några rättigheter.
Samtycke spelar en viktig roll även i missbruksorienterade regleringar.
En kommentar till Ulf Widebäcks konstateranden om samtycke. Jag hoppas att Datainspektionen förmår komma fram till en mer nyanserad och flexibel tolkning av samtyckesreglerna, annars blir jag bekymrad för min egen del. Jag tror att det finns en ganska oskarp gräns mellan explicita och implicita samtycken som bl.a. kommer till uttryck i situationer med s.k. konkludent handlande, att göra vissa saker som samtidigt ger uttryck för samtycke. Det finns andra variationer på samma tema.
Ordföranden: Tack för detta! Därmed är den tid vi har avsatt för en spännande, intressant och viktig diskussion över för denna gång.
Som flera av kommentarerna och upplysningarna har antytt är nog detta snarare början på resan än slutet på den. Början i den meningen att vi både rör oss in i en helt ny miljö och rör oss in i helt andra avvägningar mellan de spörsmål som tidigare varit enkla och entydiga att avgöra.
På konstitutionsutskottets vägnar säger jag tack till alla er som har bidragit med kloka och insiktsfulla svar på våra frågor. Jag försäkrar er att dessa svar inte har fallit på något hälleberg utan kommer att utnyttjas väl i utskottets fortsatta beredning av detta ärende.
Det är vår förhoppning att vi skall leverera våra synpunkter till riksdagens kammare för diskussion så snabbt det går på det nya året, synpunkter som naturligtvis inte skall ses isolerade utan tillsammans med dem som Hans-Erik Holmqvist beskrev i sitt inlägg.
Med detta säger jag tack. Utskottets utfrågning är därmed avslutad.