SÖREN ÖMAN, HANS OLOF LINDBLOM, Personuppgiftslagen. En kommentar. Norstedts gula bibliotek, 1998, 303 s.
Denna kommentar till personuppgiftslagen (1998:204; PUL) återger i allt väsentligt vad som förekommit under lagstiftningsarbetet. Vidare anges de bestämmelser i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995, som genom PUL införlivas med svensk rätt. Kommentaren ger därmed ett underlag för den som hanterar frågor om skydd för personuppgifter och de svårigheter som möter den som vill tränga in i regelverket beror inte på författarna. Det är istället utformningen av direktivet, och kanske till en del inriktningen på det svenska utredningsarbete som låg till grund för PUL, som lämnar en del i övrigt att önska.
Efter att regeringen den 15 juni 1995 beslutat direktiven (dir. 1995:91) för Datalagskommittén, tillsattes först ett halvår senare ordförande, ledamöter och experter och utredningens betänkande, Integritet Offentlighet Informationsteknik (SOU 1997:39), lades fram redan i mars 1997. Arbetet kom därmed att genomföras under stor tidspress, närmast med en inriktning mot att ”översätta” direktivet, till skillnad från en sådan anpassning till nationella förhållanden som torde vara tanken bakom ett EG-direktiv.1 Därvid sågs framförallt vissa grundlagsfrågor som centrala, medan påpekanden om hur den nya regleringen skulle kunna förenas med t.ex. elektroniska förmedlingstjänster, e-post eller andra sådana tjänster för att förmedla information lämnades därhän. Först i samband med PUL:s ikraftträdande synes dessa frågor ha kommit på dagordningen, och de har behandlats på skilda nivåer, bl.a. av IT-kommissionens IT-rättsliga observatorium
1Detta kan jämföras med de förslag som Datalagsutredningen utarbetat under åren 1989–1993 och lagt fram i slutbetänkandet En ny datalag (SOU 1993:10), förslag som inte synes ha tillvaratagits i det fortsatta arbetet trots att de utarbetats på grundval av ett tidigare utkast till det nu aktuella EG-direktivet.
2, av Datainspektionen, på uppdrag av Regeringen3 och av konstitutionsutskottet.4 Vad som därvid lyfts fram är de eventuella begränsningar av det fria ordet som PUL skulle kunna föra med sig. Datainspektionen har också på uppdrag av regeringen tagit fram vissa förslag till undantag i förordning, se hänvisningen ovan. Många frågor som blir av avgörande betydelse för att företagen och myndigheterna skall kunna fortsätta att använda IT så som redan sker förbigås dock med tystnad i kommentaren, förmodligen på grund av att de inte har behandlats under lagstiftningsarbetet. Om de förslag Datainspektionen lagt fram hade genomförts skulle detta ha inneburit att frågor som bedömts vara betydelsefulla för det fria ordet inte ens hade behandlats i vanlig lag. Justitiedepartementet har emellertid förklarat att arbetet i huvudsak skall inriktas på ändringar i lag och det har nu föreslagits så att en överföring av personuppgifter till ett s.k. tredje land under vissa förutsättningar inte längre skall vara förbjuden om det tredje landet har en adekvat nivå för skyddet av personuppgifter (33 § PUL). Samtidigt föreslogs att ringa fall av brott mot PUL skall undantas från det straffbara området (se prop. 1999/2000:11 Personuppgiftslagens överföringsregler).
2 http://www.itkommissionen.se/ obse rv/rapp8.htm. 3 http://www.datainspektionen.se [vid äldre notiser, mars 1999]. 4 http://www.riksdagen.se [sök 1998/ 1999:KU15].
Vissa andra frågor av betydelse för näringsliv och myndigheter som söker nå upp till ställda krav på konkurrenskraft och kostnadseffektivitet i anknytning till IT har emellertid inte behandlats. Fortsättningsvis ägnas denna bokanmälan åt vissa frågor som bör uppmärksammas redan nu för att inte riskera ett oväntat uppvaknande när fristen enligt övergångsbestämmelserna till PUL (p. 2) för att ti lämpa datalagen (DL) löper ut den 30 september 2001.
Direktivet och PUL (9 §) tar sin utgångspunkt i att all helt eller delvis automatiserad behandling av personuppgifter är förbjuden. En första fråga är då vad som faller inom ramen för automatiserad behandling av personuppgifter.5 PUL:s och direktivets definitioner av ”behandling” är så heltäckande att fantasin tryter när det gäller att komma på någon jordisk aktivitet som inte skulle utgöra behandling i lagens mening, och personuppgifter förekommer regelmässigt i bl.a. löpande text. Inskränkningen till ”helt eller delvis automatiserad” behandling synes inte heller medföra någon nämnvärd begränsning. I kommentaren sägs att ti lämpningsområdet för PUL är väsentligt vidare än för DL: ”Den nya lagen omfattar t.ex. behandling i dator av personuppgifter i löpande text (s. 43y).” Den som varit med om hur ti lämpningen av DL utvecklats kan emellertid här ana sig till en upprepning vid tillämpningen av PUL av den ökade liberalisering som med åren synes ha kännetecknat DL. När DL kom till fanns ett antal stordatorer där huvudsakligen myndigheter förde strukturerade uppgiftssamlingar delvis motsvarande traditionella kortregister — jfr t.ex. bil- och fastighetsregistren — och det saknades möjligheter att kommunicera via nät. Dessvärre synes direktivet och därmed PUL i huvudsak ta sina utgångspunkter från motsvarande förutsättningar, trots att 25 år gått. Jag tänker då i första hand på s.k. löpande text; t.ex. e-post, ordbehandlingstext, telefaxmeddelanden eller annat IT-material som i allt högre grad ersätter vanlig skrift på papper. Enligt motiven till DL anses ett ADBregister inte vara upprättat bara genom att löpande text lagras, t.ex. för tryckning, utan först om databehandlingen tar sikte på faktiska uppgifter i den litterära framställningen.
5 I det följande lämnas manuell hantering av personuppgifter i register och verksamhet av rent privat natur därhän (5 § andra stycket och 6 § PUL).
6 Vidare bör man enligt datalagskommentaren7 i många fall se som personregister en sådan ADB-användning som brukas som hjälpmedel vid författande, lagring, överföring och utskrift av brev och andra dokument, förutsatt att t.ex. namn eller personnummer används som sorterings- eller sökbegrepp. Det är härvid av intresse att Datainspektionen inledningsvis tolkat begreppet personregister relativt vidsträckt, men senare vidgat utrymmet för vad som skulle falla utanför detta begrepp. Inspektionen har bl.a. i samband med IT-utredningens arbete med förslag till en lag om elektroniska anslagstavlor förklarat att i stort sett all löpande text som tillhandahålls via en BBS eller någon liknande tjänst skulle falla utanför personregisterbegreppet. Härvid föreslog IT-utredningen att
6 Prop. 1973:33 s. 118 f. 7 Kring/Wahlqvist, Datalagen, 1989, s. 56. Den bedömning som gjorts rörande bildfångade (scannade) pappershandlingar inom skatteförvaltningen kan förenas med detta resonemang. Handlingarna, som är sökbara endast i ett särskilt register med t.ex. den skattskyldiges personnummer och namn, ses som delar i skattemyndigheternas personregister (Ds 1994:80 s. 124 och prop. 1994/95:93).
elektroniska förmedlingstjänster genom en bestämmelse i lag skulle undantas från DL i den mån de register som förs där bara innehåller löpande text och uppgifter om meddelanden och användare.8 I motiven till lagen (1998:112) om ansvar för elektroniska anslagstavlor anfördes att det föreslagna undantaget från datalagen (1973:289) måste analyseras utifrån Datalagskommitténs förslag samt de synpunkter som framförs och de överväganden som görs under beredningen av kommitténs förslag, varför det inte infördes någon sådan regel i det sammanhanget.9 Frågan synes härefter inte ha berörts i motiven till PUL. Istället har Datainspektionen i den nämnda rapporten till regeringen, Personuppgifter på Internet — Undantag från förbudet i 33 § PUL, lagt fram just ett förslag till undantag för löpande text, dock utan att ens nämna att IT-utredningen redan föreslagit en sådan inriktning.10 Inspektionens förslag omfattar både informationsspridning (t.ex. webbtjänster) och kommunikation (t.ex. e-post) samt upptar tre begränsningar. För det första avser undantaget endast frågan om utlämnande till tredje land. För det andra omfattas endast text som framställts för sådant ändamål. För det tredje skall omständigheterna vara sådana att det är uppenbart att det saknas risk för kränkning av den registrerades personliga integritet. Det andra undantaget är uppenbart orealistiskt eftersom e-post numera brukar innehålla bilagda filer som endast undantagsvis torde ha framställts för kommunikationsändamål. På motsvarande sätt brukar en betydande del av de dokument som tillhandahålls via webbtjänster inte ha framställts för sådant ändamål. Till detta kommer att det enligt kommentaren (s. 174n) inte ens skulle vara möjligt att på papper överföra personuppgifter till ett tredje land som undergår automatiserad behandling i Sverige; jfr ett företag som bevarar ett dokument i elektronisk form och sänder utskriften till USA.
8 SOU 1996:40 s. 165 ff. 9 Prop. 1997/98:15 s. 22. 10 En annan sak är att Datainspektionen hänvisar till IT-utredningens närmare bestämning av begreppet löpande text.
11 Från regeln att automatiserad behandling av personuppgifter är förbjuden anges undantag i 10 § PUL. Saknas samtycke krävs att behandlingen är nödvändig för vissa närmare angivna ändamål. I löpande text nämns emellertid regelmässigt personuppgifter, kanske i förbifarten, som ofta inte kan sägas vara nödvändiga för det ändamål enligt 10 § PUL som kan åberopas för en behandling. Personuppgiftsansvariga företag och myndigheter riskerar härvid att få betala skadestånd, om den registrerade kan visa att det från den personuppgiftsansvariges sida har förekommit en olaglig behandling och denna har kränkt honom (48 § PUL). I denna del bör dock ett flitigt utnyttjande av möjligheterna att genom närmare föreskrifter skapa lämpliga undantag från PUL kunna undanröja de för näringsliv och myndigheter mest betungande kraven. Detsamma synes gälla beträffande föreskrifterna om information som skall lämnas självmant till de registrerade (24 och 25 §§ PUL) — bestämmelser som utan synnerligen omfattande undantag ger ett närmast absurt intryck, särskilt när de läses med tanke på löpande text av olika slag. Om lagens huvudregler, genom föreskrifter på olika nivåer kan om-
11 Man kan vidare fråga sig vad som gäller om utskriften fotokopieras. Det torde vara en behandling i PUL:s mening, i vart fall så länge den personuppgiftsansvarige behandlar uppgiften.
vandlas till undantag synes alltså regleringen kunna fungera.
Allvarliga problem kan emellertid uppkomma för sådana ti lämpningar som vissa myndigheter och företag har för löpande text där även s.k. känsliga uppgifter får registreras. Som exempel kan nämnas skatteförvaltningens regionala register som enligt 11 § skatteregisterlag (1980:343) får innehålla bl.a. handling som kommit in eller upprättats i ett ärende som hänför sig till länet. En sådan handling får innehålla känsliga uppgifter om en enskild har lämnat uppgiften eller om den behövs för handläggningen av ärendet. Tanken är enkel; om handlingarna sänds in elektroniskt eller scannas av myndigheten måste alla uppgifter få tas med eftersom det är uteslutet att en handläggare först skulle läsa igenom handlingarna och ”förfalska” genom att ta bort känsliga uppgifter innan en handling scannas. Det är inte heller tänkbart att återsända inkomna handlingar som innehåller känsliga uppgifter, som kanske inte behövs i ärendet; jfr skyldigheten att bevara enligt arkivförfattningarna och offentlighetsprincipen enligt 2 kap. TF. Däremot kan det krävas av den ansvariga myndigheten att handläggarna skriver känsliga uppgifter i löpande text endast om de behövs för handläggningen av ärendet. För att hindra otillbörligt intrång i registrerades personliga integritet har i 13 § samma lag föreskrivits att som sökbegrepp i dessa handlingar får användas endast ärendebeteckning och beteckning på handling. Det innebär att känsliga uppgifter — på motsvarande sätt som i pappershandlingar — kan sökas fram endast genom att de läses manuellt. Till dessa handlingar är emellertid ett elektroniskt diarium/dagboksblad knutet beträffande vilket personnummer, organisationsnummer, namn, firma, ärendebe-
teckning, taxeringsår, beskattningsår, inkomstår, redovisningsperiod, handläggande enhet, datum och uppgift om var i handläggningsgången ärendet befinner sig får användas som sökbegrepp. Motsvarande reglering finns i 6a § och 7b § utsökningsregisterlagen (1986:617) samt 11 och 18 §§ socialförsäkringsregisterlagen (1997: 934) och samma principer synes ha tillämpats i DI:s tillståndsprövning. Enligt 13 § PUL är det emellertid förbjudet att behandla känsliga personuppgifter; t.ex. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter eller religiös eller filosofisk övertygelse, eller personuppgifter som rör hälsa eller sexualliv. De undantag som anges — utöver den registrerades samtycke eller offentliggörande — förutsätter att behandlingen är nödvändig för vissa ändamål. Åter igen går tanken till hierarkiska databaser där vissa kategorier av uppgifter noggrant sorterats in i en viss struktur där en uppgiftskategori på förhand relativt enkelt kan prövas utifrån viss kriterier. Det är emellertid 2000talets IT-användning det nu handlar om, där all akt- och dokumenthantering inklusive signering och arkivering avses ske elektroniskt. I mångt och mycket är man van att få förmedla sina tankar fritt i löpande text, även inom myndigheter och i affärsmässiga förhållanden. Som PUL utformats synes det emellertid finnas risk för att RSV och andra myndigheter samt företag som kommit långt när det gäller att gå över till papperslösa rutiner får upphöra med sina ITbaserade akter och stänga sina elektroniska brevlådor, om alltför frispråkiga elektroniska handlingar börjar dyka upp — eller är det kanske så att undantag med hänsyn till ett viktigt allmänt intresse (20 § PUL, jfr direktivet art. 8.4)
skulle kunna tillämpas på ”vilka uppgifter som helst” i den nu utpekade miljön? Det går ju inte att veta vilka känsliga uppgifter som enskilda — i några fall rättshaverister — kommer att skriva och sända in. Det kan också nämnas att det enligt arkivförfattningarna ses som gallring att radera en sådan elektronisk handling som kommer in till en myndighet, även om den dessförinnan skrivs ut på papper. Det återstår att se om det till 30 september 2001 blir möjligt att hinna anpassa berörda registerförfattningar till PUL och om dessa anpassningar kan förenas med direktivet. Annars får den elektroniska dokumenthanteringen stoppas; jfr dock t.ex. Toppledarforums strävanden efter en bred övergång till sådana rutiner.
I detta sammanhang bör särskilt nämnas att det kan ifrågasättas hur nu berörda regler i registerlagar skall kunna tillämpas efter övergångstidens utgång år 2001 eller på försenade projekt (p. 2 övergångsbestämmelserna till PUL). Registerlagarna utgör föreskrifter som ersätter eller kompletterar reglerna i DL. DL synes inte bli ti lämplig på vissa myndigheters projekt där ”registret” för elektroniska akter — efter förseningar — börjar föras först efter PUL:s ikraftträdande. På motsvarande sätt synes registerlagarna mista sin rättsliga bas efter den 30 september 2001. Det finns ingen övergångsbestämmelse enligt vilken PUL skulle träda i DL:s ställe och registerlagarna ses endast som undantag och kompletteringar till reglerna i DL. Till detta kommer att själva grundvalen för en registerlag — registret — försvinner som lagtekniskt begrepp när DL upphör att gälla. Denna konstruktion har inneburit att DL kan tillämpas även på uppgifter som inte är personuppgifter, bara uppgifterna ”hör till” personregistret. Bestämmelser för annat än personuppgifter har därmed kunnat införas i registerlag. I PUL ersätts personregisterbegreppet med ”helt eller delvis automatisk behandling av ”personuppgifter”. Dessa exempel på frågor som återstår att lösa manar enligt min mening till eftertanke. Ömans och Lindbloms kommentar innehåller inte något om sådana tillämpningar och det finns inte någon närmare analys av de begrepp och gränsdragningar i PUL som 2000-talets IT-användning kommer att aktualisera. Det saknas vidare sådana jämförelser med DL som kunnat ge underlag för överväganden i vilken mån hittillsvarande praxis kan tjäna till ledning för tolkningen av PUL. Därmed återstår att se om lagstiftare och tillsynsmyndighet kan hålla jämna steg med utvecklingen så att — från persondataskyddssynpunkt onödiga käppar i hjulen kan undvikas.
Per Furberg