156 Måns Jacobssonmittén förelåg olika uppfattningar om konventionens huvudsyfte. Vissa stater, bland dem de nordiska, ansåg att konventionen framför allt borde stärka den enskildes skydd inom dataområdet. Det gällde bl. a. att få till stånd en viss gemensam skyddsnivå och därigenom undvika att databehandling förläggs till länder med otillräckligt skydd för den enskilde (s. k. data havens). Det ansågs också angeläget att underlätta för den enskilde att hävda sina rättigheter när databehandling av personuppgifter som rör honom äger rum utomlands. Enligt en annan åsikt var emellertid konventionens huvudändamål att undanröja de hinder som föreligger för dataflöde över gränserna av personuppgifter.
    Konventionen består av tre huvuddelar. Den första delen innehåller materiella bestämmelser i form av grundläggande principer som konventionsstaternas lagstiftning måste uppfylla ("the common core"). Regleringen rörande dataflöde över statsgränser finns i konventionens andra del. Tredje delen innehåller bestämmelser om samarbete på dataskyddsområdet mellan myndigheter i olika konventionsstater.
    Konventionens ändamål är enligt artikel 1 att inom varje konventionsstat säkerställa för var och en, oavsett nationalitet eller hemvist, respekten för grundläggande fri- och rättigheter, särskilt rätten till personlig integritet i samband med automatisk databehandling av personuppgifter som gäller honom ("dataskydd"). I konventionen avses med "personuppgifter" alla slags information som kan hänföras till en bestämd eller bestämbar enskild person ("registrerad person"). Med "automatiserat register" avses varje samling av uppgifter som undergår automatisk databehandling. Uttrycket "automatisk databehandling" betecknar följande åtgärder, om de helt eller delvis utförs på automatisk väg: lagring av uppgifter, utförande av logisk och/eller aritmetisk behandling av dessa uppgifter samt ändring, utplåning, återvinning eller spridning av uppgifter (art. 2).
    Konventionsstaterna åtar sig att tillämpa konventionen på automatiserade personregister och automatisk databehandling av personuppgifter inom allmän och enskild verksamhet (art. 3). En konventionsstat får dock genom särskild förklaring förbehålla sig rätten att inte tillämpa konventionen på vissa kategorier av automatiserade personregister som anges i förklaringen. Dessa undantag får dock inte omfatta sådana kategorier av dataregister som enligt nationell lag ges dataskydd. En konventionsstat får för sin del tillämpa konventionen även på uppgifter som rör grupper av personer, föreningar, stiftelser, bolag eller motsvarande sammanslutningar som direkt eller indirekt består av enskilda personer. En konventionsstat får också utvidga konventionens tillämpningsområde till att omfatta personuppgifter som inte behandlas automatiskt. I fråga om utvidgningar av och inskränkningar i konventionens tillämpningsområde gäller reciprocitetsprincipen. Stat som har undantagit vissa slags register från tillämpningen far sålunda inte åberopa konventionen beträffande sådana register gentemot stat som inte har undantagit dessa slags register (art. 3).
    Konventionsstaterna åtar sig att vidta nödvändiga åtgärder i sin nationella lagstiftning för att genomföra de grundläggande principer för dataskydd som anges i konventionen. Dessa åtgärder skall ha vidtagits senast när konventionen träder i kraft för vederbörande konventionsstat (art. 4). Konventionens reglering anger ett minimiskydd. Ingen bestämmelse i konventionen skall ges den tolkningen att den begränsar konventionsstaternas möjlighet att ge regist-

Konvention om databehandling 157rerade personer ett mer omfattande skydd än som föreskrivs i konventionen (art. 11).
    Konventionen innehåller vissa regler rörande de lagrade uppgifternas beskaffenhet (art. 5) Personuppgifter som undergår automatisk databehandling skall sålunda ha erhållits och skall behandlas på ett korrekt och lagligt sätt. De skall lagras för särskilt angivna och lagliga ändamål och får inte användas på ett sätt som är oförenligt med dessa ändamål. Uppgifterna skall vidare vara ändamålsenliga, relevanta och inte onödiga för de ändamål för vilka delagras. De skall vara riktiga och, om detta kan anses erforderligt, hållas aktuella. Slutligen skall uppgifterna bevaras på ett sådant sätt att de registrerade personerna inte kan identifieras under längre tid än som är nödvändigt med hänsyn till det ändamål för vilket dessa uppgifter lagras.
    Vissa slags personuppgifter får inte undergå automatisk databehandling, såvida inte nationell lag ger ett ändamålsenligt skydd (art. 6). Detta gäller uppgifter som avslöjar rasursprung, politiska åsikter eller religiösa eller andra trosuppfattningar, personuppgifter som rör hälsa eller sexualliv och personuppgifter som hänför sig till att någon har dömts för brott. Denna uppräkning är givetvis inte uttömmande. En konventionsstat får alltid införa särskilda skyddsföreskrifter även för andra slags uppgifter än dem som nu har nämnts.
    Lämpliga säkerhetsåtgärder skall vidtas för att skydda personuppgifter som lagras i automatiserade register gentemot oavsiktlig eller otillåten förstörelse eller oavsiktlig förlust liksom gentemot otillåten tillgång, ändring eller spridning (art. 7).
    Konventionen innehåller föreskrifter som skall göra det möjligt för den enskilde att göra sina rättigheter gällande (art. 8). Var och en skall sålunda ha möjlighet att få veta huruvida ett automatiserat personregister finns, vad som är dess huvudsakliga ändamål samt vem som är registeransvarig och var denne har sitt hemvist eller säte. Envar skall vidare ha möjlighet att med rimliga mellanrum och utan alltför stor tidsutdräkt eller oskälig kostnad få bekräftat huruvida personuppgifter rörande honom finns lagrade i registret och att få sådana uppgifter i begriplig form sända till sig. Han skall också kunna få sådana uppgifter rättade eller utraderade som har behandlats i strid mot de bestämmelser genom vilka de grundläggande principerna i artiklarna 5 och 6 har införlivats med nationell rätt. Slutligen skall han ha rätt att överklaga ett beslut som innebär att någon inte efterkommer begäran om sådana uppgifter eller åtgärder som nu har nämnts.
    En konventionsstat får i vissa fall göra undantag från de principer som anges i artiklarna 5, 6 och 8. Sådana undantag får göras endast i den utsträckning som anges i artikel 9. Avvikelser från dessa artiklar får göras endast om sådan avvikelse medges i statens nationella lagstiftning och avvikelsen är nödvändig i ett demokratiskt samhälle för att tillgodose vissa närmare angivna ändamål, nämligen för att skydda statens säkerhet, den allmänna säkerheten eller statens penningintressen, för att bekämpa brottslighet eller för att skydda den registrerade personen eller andra personers fri- och rättigheter.² Beträffande de garantier som föreskrivs i artikel 8 får inskränkningar göras när det gäller automatiserade personuppgifter som används för

² Med "andra personers fri- och rättigheter" avses enligt konventionskommentaren (punkt 58) bl. a. pressfriheten och företagshemligheter.

158 Måns Jacobssonstatistikändamål eller för vetenskapliga forskningsändamål, om det uppenbarligen inte föreligger någon risk för intrång i de registrerades personliga integritet.
    Konventionsstaterna åtar sig att i sin lagstiftning införa lämpliga sanktioner och rättsmedel för överträdelser av de bestämmelser i nationell lag genom vilka de grundläggande principer för dataskydd som anges i konventionen införlivas med den statens lagstiftning (art. 10).
    Konventionens materiella bestämmelser garanterar att samtliga konventionsstater har ett visst minimiskydd för den personliga integriteten vid databehandling. Som en följd av detta avstår staterna i princip från att för dataskyddsändamål uppställa hinder för dataflöde över statsgränserna.³ Bestämmelser rörande flödet av personuppgifter över gränserna finns i artikel 12. I denna artikel har gjorts en avvägning mellan å ena sidan intresset av att ge den enskilde största möjliga skydd och å andra sidan önskemålet om ett fritt informationsflöde över gränserna.
    Artikel 12 gäller vid överföring över nationsgränser av personuppgifter som undergår automatisk databehandling eller som samlas in i avsikt att de skall undergå sådan behandling, och detta oavsett vilket medium som används. En konventionsstat far inte, uteslutande i syfte att skydda den personliga integriteten, förbjuda eller kräva särskilt tillstånd för överföring av personuppgifter över gränsen till annan konventionsstat. Uttrycket "uteslutande i syfte att skydda den personliga integriteten" innebär att en stat inte får använda sin nationella dataskyddslagstiftning som förevändning för ingripande mot dataflöde över gränserna av skäl som inte har något att göra med integritetsskydd (t. ex. dolda handelshinder). Enligt konventionskommentaren (punkt 67) innebär bestämmelsen dock inte att en konventionsstat skulle vara förhindrad att hålla sig underrättad rörande dataflöde från dess område till annan konventionsstat, t. ex. genom att kräva att dataföretagen lämnar uppgifter rörande sådant dataflöde.
    En konventionsstat far göra avvikelser från vad nu har sagts i två fall. Detta gäller för det första, om konventionsstatens lagstiftning innehåller särskilda bestämmelser för vissa kategorier av personuppgifter eller automatiserade personregister på grund av uppgifternas eller registrens natur och den andra konventionsstatens reglering inte ger ett likvärdigt skydd. Dessa kategorier kan vara av det slag som anges i artikel 6 men kan också avse uppgifter av annat slag. När det gäller uppgifter av det slag som nämns i artikel 6 kan skäl till avvikelse vara att en konventionsstats skydd för dylika uppgifter är starkare än andra konventionsstaters. Beträffande andra kategorier av uppgifter än dem som anges i artikel 6 kan skäl till avvikelse föreligga, om en konventionsstat har särskilda skyddsföreskrifter för vissa sådana kategorier och motsvarande skyddsföreskrifter inte finns beträffande dessa kategorier i den stat dit uppgifterna skall överföras. En konventionsstat får vidare göra avvikelser, för att förhindra överföringar som medför att dess lagstiftning kringgås, när överföring sker från denna stat till en icke-konventionsstat via en annan konventionsstat. Av bestämmelsens ordalydelse framgår att avvikelse får göras endast om det står klart att uppgifterna bara passerar den andra konventionsstatens område. Det är sålunda inte tillräckligt att uppgifterna eventuellt kan komma att överföras till en icke-konventionsstat.

³ Jfr artikel 10 i Europarådets konvention för mänskliga rättigheter som garanterar rätten till fritt informationsflöde över gränserna.

Konvention om databehandling 159    Bestämmelser om samarbete på dataområdet mellan konventionsstaterna finns i artiklarna 13—17.
    Konventionsstaterna förpliktar sig att lämna varandra ömsesidigt bistånd för att genomföra konventionen. För detta ändamål skall varje konventionsstat utse en eller flera myndigheter som på begäran av annan konventionsstats myndighet skall tillhandahålla upplysningar om lagstiftningen och det administrativa förfarandet på dataskyddsområdet. I syfte att skydda den personliga integriteten skall sådan myndighet också tillhandahålla upplysningar angående viss bestämd automatisk databehandling som utförs inom den statens område, men myndigheten får därvid inte lämna ut de behandlade personuppgifterna (art. 13).⁴
    En konventionsstat skall bistå personer som är bosatta utomlands med att utöva de rättigheter som de har enligt den statens lagstiftning och som svarar mot de grundläggande principerna för dataskydd i konventionen. En person som är bosatt i en annan konventionsstat har rätt att göra sin framställning genom förmedling av den myndighet som har utsetts av den staten (art. 14).
    En myndighet som genom konventionens samarbetssystem har erhållit upplysningar antingen i anslutning till en egen framställning om uppgifter eller som svar på en framställning därom får inte använda dessa upplysningar för andra ändamål än dem som anges i framställningen. Varje konventionsstats myndighet skall se till att vederbörlig sekretess iakttas i fråga om sådana upplysningar (art. 15).
    En myndighet som har tagit emot en framställning om samarbete enligt konventionen får i princip inte vägra att efterkomma framställningen. Myndigheten får dock vägra att lämna begärda uppgifter, om framställningen faller utanför myndighetens behörighet på dataskyddsområdet eller om framställningen inte uppfyller konventionens bestämmelser. Detsamma gäller om bifall till framställningen skulle strida mot suveräniteten, säkerheten eller ordre public i den stat som har utsett myndigheten eller mot grundläggande fri- och rättigheter för personer under den statens jurisdiktion (art. 16).
    Samarbete enligt nu nämnda bestämmelser är kostnadsfritt utom såvitt gäller kostnader vid anlitande av experter och tolkar. Dylika kostnader skall bäras av den stat som har utsett den myndighet som har gjort framställningen om samarbete (art. 17).
    Genom konventionen sätts upp en rådgivande kommitté, som består av en företrädare för varje konventionsstat (art. 18). Kommittén har till uppgift att lägga fram förslag i syfte att förenkla eller förbättra konventionens tillämpning, att föreslå ändringar i konventionen och att på begäran av konventionsstat yttra sig över varje fråga som rör konventionens tillämpning (art. 19).
    Konventionen träder i kraft tre månader efter det att fem av Europarådets medlemsstater har tillträtt konventionen. Europarådets ministerkommitté har möjlighet att inbjuda stat som inte är medlem i Europarådet att ansluta sig till konventionen.
    Som tidigare nämnts har Sverige undertecknat konventionen. För att Sverige skall kunna tillträda den krävs vissa lagändringar. Frågan om erforderlig lagstiftning övervägs f. n. av datalagstiftningskommittén (DALK).

⁴ I rekommendation R(80)13 rekommenderar Europarådets ministerkommitté rådets generalsekreterare att samla in uppgifter från medlemsstaterna angående pågående arbete på dataskyddsområdet och att göra dessa uppgifter tillgängliga för medlemsstaterna.

160 Konvention om databehandling    Det förtjänar nämnas att arbetet inom OECD på dataskyddsområdet har lett till att OECD:s råd år 1980 har antagit vissa riktlinjer (guidelines) för automatisk databehandling av personuppgifter. I dessa riktlinjer anges vissa minirmikrav rörande skyddet för den enskilde som medlemsstaternas lagstiftning måste uppfylla. Vidare ges vissa regler för dataflöde över nationsgränser.
 

Måns Jacobsson