Till statsrådet och chefen för Justitiedepartementet

Vid sitt sammanträde torsdagen den 15 juni 1995 beslutade regeringen att tillkalla en parlamentariskt sammansatt kommitté med uppgift att lägga fram förslag till en ny lag om skydd för personuppgifter och förslag till ändringar i tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet (dir. 1995:91).

Den 7 december 1995 förordnade chefen för Justitiedepartementet, statsrådet Laila Freivalds, justitierådet Staffan Vängby till ordförande i kommittén. Den 20 december 1995 förordnades som ledamöter i kommittén N advokaten Anders Christner (kd), N universitetslektorn Bo Edvardsson (mp), N riksdagsledamoten Helena Frisk (s), N riksdagsledamoten Tomas Eneroth (s), N riksdagsledamoten Birgitta Hambraeus (c), N riksdagsledamoten Barbro Hietala Nordlund (s), N utredningsledaren Ulrika Landergren (fp), N riksdagsledamoten Inger René (m), N riksdagsledamoten Per Rosengren (v), N riksdagsledamoten Majléne Westerlund Panke (s) och N riksdagsledamoten Sven-Erik Österberg (s).

Ulrika Landergren har den 12 november 1996 ersatts av fil.lic. Tomas Ohlin (fp).

Som experter har arbetat ombudsmannen Christer Arvsten, advokaten Tom Ekelund, universitetslektorn Jan Evers, verkställande direktören Barbro Fischerström, departementssekreteraren Anders S Forsberg, generaldirektören Jan Freese, hovrättsassessorn Per Furberg, överdirektören Claes Gränström, departementsrådet Martin Holmgren, professorn Rolf Nygren, bolagsjuristen Kerstin Osterman, chefsjuristen Per Samuelson,

professorn Björn Pehrson, kanslirådet Thomas Rolén, professorn Peter Seipel och datarådet Margareta Åberg.

Per Furberg har under tiden den 1 juli–31 augusti 1996 arbetat på heltid för kommittén med ett underlag avseende allmänna handlingars offentlighet.

Till sekreterare förordnades den 15 december 1995 hovrättsassessorerna Charlotte Brokelind, Jönköping, och Sören Öman, Stockholm.

Kommittén (Ju 1995:08) har antagit namnet Datalagskommittén. Bitr. professorn Göran Collste, Centrum för tillämpad etik, Universitetet i Linköping, och doktoranden Johan Åhlfeldt, Institutionen för socialmedicin, Uppsala universitet, har anlitats som konsulter i fråga om begreppet personlig integritet respektive allmänhetens inställning till behandling av personuppgifter. Deras rapporter finns fogade som bilagor till betänkandet.

Härmed får kommittén överlämna betänkandet Integritet • Offentlighet

Reservationer har lämnats av Anders Christner (kd), Tomas Ohlin (fp) och Inger René (m) gemensamt samt av Bo Edvardsson (mp).

Särskilda yttranden har lämnats av Bo Edvardsson (mp) och av Jan

Evers, med instämmande av Rolf Nygren, av Barbro Fischerström, Anders S Forsberg, Jan Freese samt av Margareta Åberg.

Utredningsarbetet är härmed avslutat.

Stockholm den 5 mars 1997

Staffan Vängby

Anders Christner Bo Edvardsson

Helena Frisk Tomas Eneroth

Birgitta Hambraeus Barbro Hietala Nordlund

Tomas Ohlin Inger René

Per Rosengren Majléne Westerlund Panke

Sven-Erik Österberg

/Charlotte Brokelind Sören Öman

INNEHÅLLSFÖRTECKNING H UVUDRUBRIKER :

FÖRKORTNINGAR ........................................................................................................ 1 SAMMANFATTNING..................................................................................................... 3 FÖRFATTNINGSFÖRSLAG......................................................................................... 11 UTREDNINGSARBETET ............................................................................................. 75

EN NY PERSONDATALAG....................................................................83

1 Gällande rätt i huvuddrag ........................................................................................ 85 2 Datalagsutredningens förslag och utvecklingen därefter ......................................... 91 3 EG-direktivet om personuppgifter ......................................................................... 107 4 Övriga internationella regler .................................................................................. 165 5 Teknikens möjligheter ........................................................................................... 175 6 Reglering av bruk eller missbruk........................................................................... 177 7 En teknikoberoende och generell persondatalag.................................................... 195 8 Förhållandet till särskilda registerförfattningar ..................................................... 203 9 Förhållandet till offentlighetsprincipen ................................................................. 213 10 Förhållandet till yttrandefriheten ........................................................................... 221 11 Forskning och statistik ........................................................................................... 267 12 Innehållet i den nya persondatalagen ..................................................................... 319 13 Regler i datalagen som bör flyttas till andra lagar ................................................. 461

D ETALJERAD INNEHÅLLSFÖRTECKNING :

FÖRKORTNINGAR...................................................................................1

SAMMANFATTNING................................................................................3

FÖRFATTNINGSFÖRSLAG ..................................................................11 a)

Förslag till Persondatalag (1998:000) ............................................11

b) Förslag till Lag om ändring i Tryckfrihetsförordningen ................29 c) Förslag till Lag om ändring i Regeringsformen .............................47 d) Förslag till Lag om ändring i Yttrandefrihetsgrundlagen (1991:1469).....................................................................................51 e) Förslag till Lag om ändring i Sekretesslagen (1980:100) ..............53 f) Förslag till Lag om ändring i Arkivlagen (1990:782) ....................71

UTREDNINGSARBETET .......................................................................75

Utredningsuppdraget ...................................................................................75 Hur utredningen har bedrivits .....................................................................75 Dispositionen av betänkandet .....................................................................78

EN NY PERSONDATALAG....................................................................83

1 Gällande rätt i huvuddrag ...........................................................85

2 Datalagsutredningens förslag och utvecklingen därefter .........91 2.1 Inledning .........................................................................................91 2.2

Sammanfattning av Datalagsutredningens förslag .........................92 2.2.1 Lagens tillämpningsområde........................................92 2.2.2 Förhållandet till offentlighetsprincipen......................93 2.2.3 Förhållandet till yttrandefriheten................................93 2.2.4 Tillstånd eller tillsyn...................................................94 2.2.5 Den materiella regleringen i datalagen.......................95

2.2.5.1 Regler för de olika momenten i behandlingen .......................... 95 2.2.5.2 Personuppgift ............................................................................ 95 2.2.5.3 Persondataansvarig .................................................................. 96 2.2.5.4 Ändamålsanknytningen ............................................................. 96 2.2.5.5 Förutsättningarna för att få behandla personuppgifter............ 97 2.2.5.6 Känsliga personuppgifter.......................................................... 97 2.2.5.7 Gallring av personuppgifter...................................................... 98

2.2.6 Bemyndigande att meddela föreskrifter .....................99

2.3 Sammanfattning av remissutfallet ..................................................99 2.4 Genomförda förändringar .............................................................101 2.4.1 Sammanfattning ........................................................101 2.4.2 Normgivningen på dataskyddsområdet ....................101

2.4.2.1 Bakgrund ................................................................................. 101 2.4.2.2 Datainspektionens normgivning.............................................. 102

2.4.3 Yttranden från Datainspektionen .............................103 2.4.4 Vite............................................................................104 2.4.5 Överklagande............................................................104

3 EG-direktivet om personuppgifter............................................107 3.1 Bakgrund .......................................................................................107 3.1.1 Inledning ...................................................................107 3.1.2

Genomförandet av EG-direktiv ................................107

3.1.3 Bakgrunden till direktivet.........................................110 3.2 Tillämpningsområdet ....................................................................112 3.2.1 Inledning ...................................................................112 3.2.2 Definitioner...............................................................112

3.2.2.1 Inledning ................................................................................. 112 3.2.2.2 Personuppgifter och den registrerade .................................... 113 3.2.2.3 Behandling .............................................................................. 114 3.2.2.4 Register ................................................................................... 114 3.2.2.5 Registeransvarig ..................................................................... 115 3.2.2.6 Registerförare ......................................................................... 116 3.2.2.7 Tredje man .............................................................................. 116 3.2.2.8 Mottagare................................................................................ 116 3.2.2.9 Samtycke.................................................................................. 116

3.2.3 Sådant som faller utanför gemenskapsrätten............118 3.2.4 Privat användning av personuppgifter .....................118 3.2.5 Det territoriella tillämpningsområdet .......................119

3.3 Förhållandet till yttrandefriheten ..................................................121 3.4 Grundläggande krav på uppgiftsbehandlingen.............................122 3.4.1 Inledning ...................................................................122 3.4.2 Korrekt och laglig behandling..................................123 3.4.3 Ändamålet med behandlingen ..................................123 3.4.4 Personuppgifterna skall vara adekvata, relevanta och inte för omfattande.............................124 3.4.5 Personuppgifterna skall vara riktiga och aktuella......................................................................124 3.4.6 Personuppgifterna får inte förvaras längre än nödvändigt ................................................................125 3.5 Förutsättningar för att uppgiftsbehandling skall kunna tillåtas ............................................................................................125 3.5.1 Inledning ...................................................................125 3.5.2 Samtycke...................................................................126 3.5.3 I samband med avtal .................................................126 3.5.4 Rättslig förpliktelse ..................................................126 3.5.5 För att skydda vitala intressen ..................................127

3.5.6 Myndighetsutövning eller allmänt intresse ..............128 3.5.7 Efter en intresseavvägning .......................................128

3.6 Behandling av särskilt känsliga uppgifter ....................................129 3.6.1 Ett principiellt förbud mot behandling av uppgifter om ras eller etniskt ursprung, religiösa, filosofiska eller politiska åsikter, fackföreningsmedlemskap, hälsa och sexualliv .......129 3.6.2 Undantag från förbudet.............................................130

3.6.2.1 Samtycke.................................................................................. 130 3.6.2.2 Inom arbetsrätten .................................................................... 130 3.6.2.3 För att skydda vitala intressen ................................................ 130 3.6.2.4 Politiska, filosofiska, religiösa och fackliga organisationer ......................................................................... 131 3.6.2.5 Den registrerades offentliggörande ........................................ 131 3.6.2.6 Nödvändig med hänsyn till rättsliga anspråk ......................... 131 3.6.2.7 Hälso- och sjukvård ................................................................ 132 3.6.2.8 Viktigt allmänt intresse ........................................................... 132

3.6.3 Uppgifter om brott m.m. ...........................................134 3.6.4 Användning av personnummer.................................134

3.7 Rätten att motsätta sig uppgiftsbehandling ..................................135 3.7.1 Inledning ...................................................................135 3.7.2 I vissa fall vid avgörande och berättigade skäl ........135 3.7.3 Direkt marknadsföring..............................................136 3.8 Rätten att slippa automatiserade beslut ........................................136 3.9 Information till den registrerade ...................................................137 3.10 Rätten att på begäran få tillgång till uppgifterna och rättelse ......139 3.10.1 Inledning ...................................................................139 3.10.2 Information om uppgifterna .....................................140 3.10.3 Rättelse......................................................................141 3.10.4 Underrättelse till tredje man om rättelse ..................141 3.10.5 Undantag...................................................................141 3.11 Möjlighet till undantag och begränsningar...................................142 3.12 Sekretess och säkerhet vid behandlingen .....................................144 3.13 Anmälan till tillsynsmyndigheten.................................................146 3.13.1 Inledning ...................................................................146 3.13.2 Anmälningsplikt för alla automatiska behandlingar .............................................................146 3.13.3 Möjlighet till undantag från och förenklingar av anmälningsproceduren.........................................147

3.13.3.1 Inledning ................................................................................. 147 3.13.3.2 Om det inte är sannolikt att rättigheter kränks ....................... 148 3.13.3.3 När ett uppgiftsskyddsombud har utsetts ................................ 149 3.13.3.4 Författningsreglerat register för allmänheten ........................ 149

3.13.3.5 Icke vinstdrivande organs behandling av känsliga personuppgifter ....................................................................... 149

3.13.4 Förhandskontroll av särskilt riskfyllda behandlingar .............................................................150 3.13.5 Offentliggörande av behandlingar............................151

3.13.5.1 Inledning ................................................................................. 151 3.13.5.2 Offentligt register över anmälda behandlingar ...................... 151 3.13.5.3 Skyldighet att på begäran lämna information om icke anmälda behandlingar ............................................................ 151

3.14 Överföring av uppgifter utanför EG .............................................152 3.14.1 Överföring är tillåten till länder som säkerställer en adekvat skyddsnivå ..........................152 3.14.2 Överföring till länder med sämre skydd...................154

3.14.2.1 Fall där överföring måste tillåtas ........................................... 154 3.14.2.2 Överföring får tillåtas om den registeransvarige kan garantera skydd....................................................................... 155

3.15 Sanktioner .....................................................................................155 3.15.1 Rätt till domstolsprövning ........................................155 3.15.2 Rätt till skadestånd ...................................................156 3.15.3 Andra sanktioner.......................................................156 3.16 Uppförandekodexar.......................................................................157 3.16.1 Inledning ...................................................................157 3.16.2 Nationella kodexar....................................................157 3.16.3 Kodexar på gemenskapsnivå ....................................157 3.17 Tillsynsmyndighetens ställning ....................................................158 3.18 Tillsynsmyndigheterna inom EG bildar en arbetsgrupp...............159 3.19 Medlemsstaterna ingår i en kommitté med kommissionen ..........160 3.20 Ikraftträdande och övergångsbestämmelser .................................160 3.21 Den fortsatta utvecklingen inom EG ............................................162

4 Övriga internationella regler .....................................................165 4.1 Inledning .......................................................................................165 4.2 OECD:s riktlinjer ..........................................................................168 4.3 Europarådets konvention ..............................................................170 4.4 Utländsk rätt ..................................................................................172

5 Teknikens möjligheter ................................................................175

6 Reglering av bruk eller missbruk..............................................177 6.1

Integritet och effektivitet ..............................................................177

6.2 Olika modeller för regleringen .....................................................179 6.2.1 Hanteringsmodellen och missbruksmodellen ..........179 6.2.2 Valet på lång sikt av modell för regleringen............181 6.2.3 Valet nu av modell för regleringen...........................189

6.3 Den lagstiftningsstruktur som EG-direktivet anvisar...................191

7 En teknikoberoende och generell persondatalag.....................195 7.1 Förutsättningar ..............................................................................195 7.2 Överväganden ...............................................................................196 7.2.1

Olika typer av behandlingar .....................................196

7.2.2 Uppgifter om juridiska personer...............................198 7.2.3 Den nya lagen bör liksom hittills vara generell .......198 7.2.4 Privat användning av personuppgifter .....................199 7.2.5 Lagens namn .............................................................201

8 Förhållandet till särskilda registerförfattningar .....................203 8.1 Bakgrund .......................................................................................203 8.2 Överväganden ...............................................................................207 8.2.1

De särskilda registerförfattningarna omfattas inte av vårt uppdrag ..................................................207

8.2.2 Undantag från den generella lagstiftningen för särskilda registerförfattningar ..................................207 8.2.3 Datainspektionen skall höras när registerförfattningar beslutas....................................210

9 Förhållandet till offentlighetsprincipen....................................213 9.1 Inledning .......................................................................................213 9.2

Utlämnande av personuppgifter enligt offentlighetsprincipen ...................................................................214

9.3 Rättelse av uppgifter hos myndigheter .........................................217 9.4 Myndigheternas arkiv ...................................................................219

10 Förhållandet till yttrandefriheten .............................................221 10.1 Inledning .......................................................................................221 10.2 Yttrandefriheten ............................................................................222 10.2.1 Allmänt .....................................................................222 10.2.2

Vad innebär grundlagsskyddet? ...............................222

10.2.3 Vilka skrifter omfattas av grundlagsskyddet?..........223 10.2.4 Vilka övriga yttranden omfattas av grundlagsskyddet? ....................................................224 10.2.5 Vilka personer omfattas av grundlagsskyddet? .......225 10.2.6 Skyddet mot myndighetsingripanden.......................227

10.2.6.1 Censurförbudet........................................................................ 227 10.2.6.2 Anonymitetsskyddet ................................................................. 228

10.3 Hur beaktas den personliga integriteten? .....................................229 10.3.1 Allmänt .....................................................................229 10.3.2 Straffbara förfaranden...............................................230

10.3.3 Beriktigande och genmäle ........................................231

10.3.3.1 Allmänt .................................................................................... 231 10.3.3.2 Pressen .................................................................................... 231 10.3.3.3 Radio och TV........................................................................... 231 10.3.3.4 Förslag till lagreglering.......................................................... 232

10.3.4 Privatlivets fred.........................................................234

10.3.4.1 Självsanering........................................................................... 234 10.3.4.2 Förslag till lagreglering.......................................................... 235

10.4 Yttrandefriheten i nya massmedier ...............................................236 10.5 Internationella förhållanden..........................................................236 10.5.1 EG-direktivet ............................................................236 10.5.2 Europarådsbestämmelser ..........................................237 10.5.3 En internationell jämförelse .....................................238 10.6 Närmare om normkonflikten.........................................................242 10.6.1 Allmänt .....................................................................242 10.6.2 Datalagsutredningens förslag och remissutfallet.............................................................243 10.6.3 Några regeringsavgöranden......................................246 10.7 Överväganden ...............................................................................247 10.7.1 Allmänt om konflikten mellan persondatalagstiftningen och yttrandefriheten .........247 10.7.2 Skall undantaget vara generellt? ..............................251 10.7.3 Hur skall undantaget utformas?................................252 10.7.4 Vilka behandlingar omfattas av undantaget? ...........254

10.7.4.1 Allmänt .................................................................................... 254 10.7.4.2 Behandlingar som syftar till att framställa yttranden............. 254 10.7.4.3 Behandlingar som syftar till att anskaffa och meddela uppgifter .................................................................................. 256 10.7.4.4 Lagring och spridning av uppgifter ........................................ 257 10.7.4.5 Behandling för flera ändamål ................................................. 258 10.7.4.6 Överflödiga uppgifter.............................................................. 259 10.7.4.7 Falska invändningar om grundlagsskydd ............................... 260 10.7.4.8 Prövning av undantagsregeln ................................................. 260

10.7.5 Förhållandet till EG-direktivet .................................261

11 Forskning och statistik................................................................267 11.1 Inledning .......................................................................................267 11.2 Statistik..........................................................................................268 11.2.1 Inledning ...................................................................268 11.2.2

Den statliga statistiken..............................................269

11.2.2.1 Inledning ................................................................................. 269 11.2.2.2 Officiell statistik ...................................................................... 269 11.2.2.3 Övrig statistik .......................................................................... 271

11.2.3 Privat och kommunal statistik ..................................271 11.2.4 Tillämpningen av datalagen .....................................272

11.2.5 Registerutdrag...........................................................274 11.2.6 Sekretess ...................................................................275 11.3 Forskning ......................................................................................277 11.3.1 Inledning ...................................................................277 11.3.2 Tillämpningen av datalagen .....................................278 11.3.3 Granskning av forskningsetiska kommittéer............281 11.3.4 Forskningsetiska utredningen...................................288 11.4 Internationella regler.....................................................................291 11.4.1 Europarådets rekommendation på området..............291 11.4.2 EG-direktivet ............................................................293 11.5 Datalagsutredningen .....................................................................295 11.5.1 Förslagen...................................................................295 11.5.2 Remissutfallet ...........................................................296 11.6 Överväganden ...............................................................................296 11.6.1 Inledning ...................................................................296 11.6.2 Huvudprincipen bör vara samtycke vid behandling av känsliga personuppgifter ..................297 11.6.3 Behandling av känsliga personuppgifter utan samtycke ...................................................................298

11.6.3.1 Det måste ske en avvägning i varje enskilt fall ....................... 298 11.6.3.2 Vem bör göra avvägningen ..................................................... 299 11.6.3.3 De forskningsetiska kommittéerna .......................................... 300 11.6.3.4 En avvägningsnorm i lagtexten ............................................... 303 11.6.3.5 Förhållandet till internationella regler................................... 306

11.6.4 Behandling av icke känsliga personuppgifter ..........307 11.6.5 Betydelsen av det ändamål för vilket uppgifterna samlats in...............................................308

11.6.5.1 Inledning ................................................................................. 308 11.6.5.2 Personuppgifter för forskning och statistik används för att vidta åtgärder beträffande enskilda................................... 309 11.6.5.3 Verksamhetsstatistik................................................................ 310 11.6.5.4 Personuppgifter för administrativa ändamål lämnas ut för forskning och statistik........................................................ 311 11.6.5.5 Personuppgifter för forskning och statistik återanvänds i ett annat projekt .................................................................... 311

11.6.6 Strykningsrätt............................................................313 11.6.7 Registerutdrag och rättelse .......................................316

12 Innehållet i den nya persondatalagen .......................................319 12.1 Lagstiftningstekniken....................................................................319 12.1.1 Allmänt .....................................................................319 12.1.2

Regeringen eller Datainspektionen kan precisera lagreglerna.................................................321

12.2 Begrepp som används ...................................................................329 12.2.1 Inledning ...................................................................329 12.2.2 Behandling av personuppgifter ................................334 12.2.3 Blockering.................................................................334 12.2.4 Känsliga personuppgifter .........................................335 12.2.5 Mottagare och tredje man .........................................335 12.2.6 Persondataansvarig och persondatabiträde ..............336 12.2.7 Personuppgifter och den registrerade.......................340 12.2.8 Register .....................................................................341 12.2.9 Samtycke...................................................................343 12.2.10 Tillsynsmyndigheten ................................................345 12.2.11 Tredje land ................................................................346 12.2.12 Automatisk respektive icke automatisk behandling.................................................................346 12.2.13 Skriftligen respektive undertecknad.........................348 12.3 Det territoriella tillämpningsområdet ...........................................349 12.4 Grundläggande krav på all behandling av personuppgifter .........352 12.4.1 Inledning ...................................................................352 12.4.2 Korrekt och laglig behandling..................................352 12.4.3 Ändamålet med behandlingen ..................................353 12.4.4 Personuppgifternas kvalitet och omfattning ............354 12.4.5 Personuppgifterna får inte sparas längre än nödvändigt ................................................................356 12.4.6 Behandling för historiska, statistiska och vetenskapliga ändamål..............................................356

12.4.6.1 Inledning ................................................................................. 356 12.4.6.2 Särskilt om arkiv ..................................................................... 356 12.4.6.3 Lämpliga skyddsåtgärder........................................................ 359

12.5 När behandling av personuppgifter skall vara tillåten .................360 12.5.1 Allmänna förutsättningar för när personuppgifter får behandlas ..................................360

12.5.1.1 Inledning ................................................................................. 360 12.5.1.2 Samtycke.................................................................................. 361 12.5.1.3 Nödvändighetskravet............................................................... 361 12.5.1.4 I samband med avtal ............................................................... 362 12.5.1.5 Rättslig skyldighet ................................................................... 363 12.5.1.6 För att skydda vitala intressen ................................................ 364 12.5.1.7 Myndighetsutövning eller allmänt intresse ............................. 364 12.5.1.8 Efter en intresseavvägning ...................................................... 365

12.5.2 När den registrerade motsätter sig behandling av personuppgifter ....................................................366

12.5.2.1 Inledning ................................................................................. 366 12.5.2.2 Samtycke återkallas................................................................. 367 12.5.2.3 Direkt marknadsföring ............................................................ 368

12.5.3 Ett principiellt förbud mot behandling av känsliga personuppgifter ..........................................369

12.5.3.1 Inledning ................................................................................. 369 12.5.3.2 Definitionen av känsliga personuppgifter ............................... 371 12.5.3.3 Undantag från förbudet........................................................... 372 12.5.3.4 Uppgifter om brott................................................................... 381

12.6 Användning av personnummer .....................................................384 12.7 Information till den registrerade ...................................................386 12.7.1 Inledning ...................................................................386 12.7.2 När uppgifterna samlas in.........................................386

12.7.2.1 Inledning ................................................................................. 386 12.7.2.2 När skall informationen lämnas.............................................. 387 12.7.2.3 Vilken information skall lämnas.............................................. 388 12.7.2.4 Undantag från informationsskyldigheten................................ 389

12.7.3 På ansökan av den registrerade ................................391 12.7.4 Förhållandet till bestämmelser om sekretess och tystnadsplikt .......................................................397 12.8 Rättelse ..........................................................................................399 12.8.1 Inledning ...................................................................399 12.8.2 Korrigeringsregeln....................................................400

12.8.2.1 Inledning ................................................................................. 400 12.8.2.2 På begäran av den registrerade.............................................. 401 12.8.2.3 Valet av korrigeringsmetod..................................................... 401 12.8.2.4 Rättelse.................................................................................... 402 12.8.2.5 Utplånande.............................................................................. 402 12.8.2.6 Blockering ............................................................................... 403

12.8.3 Underrättelse till tredje man om korrigeringen ........403 12.9 Automatiserade beslut...................................................................406 12.9.1 EG-direktivet ............................................................406 12.9.2 Vårt förslag ...............................................................407 12.10 Säkerhet och sekretess vid behandlingen .....................................410 12.10.1 Inledning ...................................................................410 12.10.2 Behandling får bara utföras enligt instruktion från den persondataansvarige ...................................410 12.10.3 Säkerhetsåtgärder......................................................412 12.10.4 När den persondataansvarige anlitar ett persondatabiträde......................................................414 12.11 Överföring av personuppgifter utanför EU ..................................415 12.11.1 Inledning ...................................................................415 12.11.2 Ett principiellt förbud mot överföring......................416 12.11.3 Undantag i persondatalagen från förbudet ...............417 12.11.4 Behörighet att medge ytterligare undantag ..............418 12.12 Anmälningsbyråkrati eller tillsyn .................................................421 12.12.1 Våra utgångspunkter.................................................421

12.12.2 Genomförandet av EG-direktivet .............................423

12.12.2.1 EG-direktivet i korthet............................................................. 423 12.12.2.2 En principiell anmälningsskyldighet måste införas ................ 424 12.12.2.3 Undantag från anmälningsskyldigheten ................................. 425 12.12.2.4 Särskilt om persondataombud................................................. 427 12.12.2.5 Förhandskontroll av särskilt integritetskänsliga behandlingar ........................................................................... 430 12.12.2.6 Upplysningar skall på begäran lämnas om behandlingar som inte anmälts ............................................... 431 12.12.2.7 Datainspektionens register över anmälda behandlingar ........ 431

12.13 Sanktioner .....................................................................................432 12.13.1 Inledning ...................................................................432

12.13.1.1 EG-direktivet ........................................................................... 432 12.13.1.2 Datalagen ................................................................................ 433 12.13.1.3 Datalagsutredningens förslag................................................. 434 12.13.1.4 Skrivelse från Landstingsförbundet......................................... 434

12.13.2 Vår bedömning .........................................................435

12.13.2.1 Omfattningen av skadeståndsskyldigheten.............................. 435 12.13.2.2 Jämkning ................................................................................. 436 12.13.2.3 Förhållandet till andra skadeståndsbestämmelser ................. 439 12.13.2.4 Övriga sanktioner.................................................................... 440

12.14 Datainspektionens uppgifter och finansiering..............................443 12.14.1 Datainspektionens uppgifter och befogenheter........443

12.14.1.1 EG-direktivet ........................................................................... 443 12.14.1.2 Datainspektionens befogenheter enligt datalagen .................. 445 12.14.1.3 Våra överväganden ................................................................. 445

12.14.2 Överklagande............................................................449 12.14.3 Datainspektionens finansiering och organisation ..............................................................450

12.14.3.1 Finansieringen i dag ............................................................... 450 12.14.3.2 Våra överväganden ................................................................. 451

12.15 Ikraftträdande och övergångsbestämmelser .................................454 12.15.1 EG-direktivet ............................................................454 12.15.2 Våra överväganden ...................................................455

12.15.2.1 Dagen för ikraftträdandet ....................................................... 455 12.15.2.2 Behandling som pågår vid ikraftträdandet ............................. 456 12.15.2.3 Manuell behandling som pågår vid ikraftträdandet ............... 457 12.15.2.4 Personuppgifter som lagras för historisk forskning ............... 457 12.15.2.5 Vissa övriga övergångsfrågor................................................. 458

13 Regler i datalagen som bör flyttas till andra lagar..................461 13.1 Inledning .......................................................................................461 13.2 Dokumentationsskyldighet ...........................................................461 13.3

Straff för dataintrång.....................................................................462

13.4 Det statliga person- och adressregistret ........................................462

FÖRKORTNINGAR

A. Anförd/anförda ArkivlagenArkivlagen (1990:782) Arkivförordningen Arkivförordningen (1991:446) BrB Brottsbalken Dataförordningen Dataförordningen (1982:480) Datalagen Datalagen (1973:289) Datalagsutredningens

slutbetänkande

En ny datalag (SOU 1993:10)

DIFS Datainspektionens författningssamling Dir. Direktiv Dnr Diarienummer Ds Departementsserien EES Europeiska ekonomiska samarbetsområdet EG Europeiska gemenskapen (tidigare Europeiska

ekonomiska gemenskapen, EEG)

EG-direktivet (ibland

bara direktivet)

Europaparlamentets och rådets direktiv

95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter

EG-domstolen Europeiska gemenskapernas domstol EG-fördraget Fördraget om upprättandet av Europeiska ge-

menskapen

EGT Europeiska gemenskapernas officiella tidning EU Europeiska unionen FJFT Tidskrift utgiven av juridiska föreningen i

Finland

FörvaltningslagenFörvaltningslagen (1986:223) ILO International Labour Organization IT Informationsteknik (tidigare: Informationstek-

nologi)

JT Juridisk Tidskrift vid Stockholms universitet Kommissionen Europeiska gemenskapernas kommission KU Konstitutionsutskottets betänkande

NJA Nytt juridiskt arkiv, avdelning 1 OECD Organisation for Economic Co-operation and

Development

Prop. Proposition RA-FS Riksarkivets författningssamling RF Regeringsformen RB Rättegångsbalken RÅ Regeringsrättens årsbok Rådet Europeiska unionens råd SekretesslagenSekretesslagen (1980:100) SFS Svensk författningssamling SOU Statens offentliga utredningar SPAR Det statliga person- och adressregistret SvJT Svensk Juristtidning TF Tryckfrihetsförordningen UfR Ugeskrift for retsvæsen URL Lagen (1960:729) om upphovsrätt till litterära

och konstnärliga verk

Utredningsdirektiven Dir. 1995:91 (direktiven till Datalags-

kommittén)

Verksförordningen Verksförordningen (1995:1322) YGL Yttrandefrihetsgrundlagen

SAMMANFATTNING

En ny persondatalag

Vi har haft i uppdrag att göra en översyn av datalagen, som kom till redan år 1973. Syftet har varit att åstadkomma en modern och teknikoberoende lagstiftning om skydd för den personliga integriteten vid behandling av personuppgifter.

Vi lämnar förslag till en helt ny persondatalag som till största delen bygger på ett färskt EG-direktiv på området. En förutsättning för att vi skulle kunna lämna ett sådant förslag har varit att direktivet går att förena med det som i Sverige är grundlagsskyddat eller annars särskilt betydelsefullt från svenska utgångspunkter. Den nya lagstiftningen får inte inkräkta på offentlighetsprincipen eller tryck- och yttrandefriheten. Denna förutsättning är uppfylld. Genom att Sverige deltog i de slutliga förhandlingarna om direktivet har de svenska synpunkterna kommit att beaktas i det. Vi föreslår tydliga bestämmelser i persondatalagen som klargör att lagen inte skall tillämpas i den utsträckning det skulle inskränka grundlagsskyddade rättigheter. Den föreslagna lagen berör och förändrar således inte dessa rättigheter.

Den föreslagna lagstiftningen bygger liksom EG-direktivet på att själva hanteringen av personuppgifter regleras. Ett alternativ skulle vara att lämna hanteringen av personuppgifter i stort sett fri och i stället hindra bara det som kan betecknas som ett missbruk. Med hänsyn till den oro som många människor alltjämt känner för samlingar av elektroniska uppgifter om dem har vi dock inte ansett tiden mogen att i princip släppa hanteringen av databaserade personuppgifter fri. Sverige skulle inte heller fullgöra sina internationella åtaganden om vi valde en helt annan modell än EGdirektivets. Vi anser dock att man i ett längre perspektiv bör inrikta sig mera på att stävja och beivra missbruk än på att reglera en hantering som snart sagt alla kan hålla på med.

Den föreslagna persondatalagen kan ses som en ramlag som ger generella riktlinjer för all behandling av personuppgifter. Avsikten är att rege-

ringen och Datainspektionen skall inom den ram som lagen drar upp närmare precisera regleringen. De särskilda registerförfattningarna, som innehåller regler för bl.a. många viktiga myndighetsregister, omfattas inte av vårt uppdrag. Vi påpekar att dessa författningar inom de närmaste åren måste ses över och anpassas till den nya persondatalagen.

Rent privat användning av personuppgifter undantas från den föreslagna lagen. Som exempel kan nämnas e-post mellan privatpersoner.

Med behandling av personuppgifter avses i stort sett allt man kan göra med sådana uppgifter, t.ex. att samla in, söka, bevara och sprida uppgifter. Behandling av personuppgifter som är helt eller delvis automatisk – dvs. i första hand datoriserad – omfattas av den föreslagna lagen. Manuell behandling av sådana uppgifter (på papper) omfattas bara om uppgifterna skall ingå i ett regelrätt register.

I den föreslagna lagen slås fast vissa grundläggande krav på all behandling av personuppgifter. Den persondataansvarige skall se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Uppgifterna får sedan inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna ursprungligen samlades in. Fler uppgifter än nödvändigt får inte behandlas, och de behandlade uppgifterna skall vara adekvata och relevanta. Felaktiga, missvisande eller ofullständiga uppgifter skall korrigeras. Uppgifterna får sparas bara så länge det är nödvändigt med hänsyn till ändamålen med behandlingen. För uppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål finns särskilda regler.

Den föreslagna lagen innehåller en uttömmande uppräkning av de fall då personuppgifter får behandlas. Personuppgifter får alltid behandlas om den registrerade har lämnat sitt samtycke. I annat fall krävs att behandlingen är nödvändig för vissa angivna ändamål. De situationer då behandling är tillåten utan samtycke kan sammanfattas enligt följande. N I samband med avtal N För att fullgöra en rättslig skyldighet N För att skydda vitala intressen för den registrerade N För att utföra en arbetsuppgift av allmänt intresse eller i samband med

myndighetsutövning N Efter en intresseavvägning där den registrerades intressen vägs mot in-

tressen på den persondataansvariges sida

För behandling av känsliga personuppgifter gäller enligt den föreslagna lagen särskilda regler. Som känsliga uppgifter anses sådana uppgifter som

rör hälsa eller sexualliv eller som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Sådana uppgifter får behandlas bara i de fall som räknas upp i lagen. Regeringen eller Datainspektionen kan dock tillåta att känsliga personuppgifter behandlas också i andra fall, under förutsättning att det behövs med hänsyn till ett viktigt allmänt intresse.

Känsliga personuppgifter får behandlas när den registrerade har lämnat sitt samtycke eller när han eller hon på ett tydligt sätt har offentliggjort uppgifterna. De fall där sådana för ändamålet relevanta uppgifter annars får behandlas kan sammanfattas enligt följande. N För att fullgöra skyldigheter eller utöva rättigheter inom arbetsrätten N För att skydda vitala intressen när den registrerade inte kan lämna sam-

tycke N För att rättsliga anspråk skall kunna fastställas, göras gällande eller för-

svaras N Inom ideella organisationer får känsliga uppgifter om medlemmar och

t.ex. sympatisörer behandlas, men inte lämnas ut till någon utomstående N Inom hälso- och sjukvård N För forskning och statistik när en forskningsetisk kommitté har godkänt

projektet eller när samhällsintresset av behandlingen annars klart överväger integritetsriskerna

Uppgifter om lagöverträdelser m.m. får enligt huvudregeln behandlas bara av myndigheter. Personnummer skall liksom i dag få användas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

De som registreras skall få kännedom om behandlingen av uppgifterna. Enligt förslaget skall den persondataansvarige i samband med insamlingen av uppgifter självmant lämna de registrerade information om behandlingen. När uppgifterna hämtas in från någon annan källa än den registrerade, behöver information dock inte lämnas, om registreringen eller utlämnandet av uppgifterna är författningsreglerat eller om det skulle innebära en oproportionerligt stor arbetsinsats att informera.

Den registrerade skall enligt förslaget ha rätt att på begäran en gång per kalenderår gratis få information om de uppgifter som behandlas, dvs. ett registerutdrag. Den persondataansvarige skall vidare på begäran korrigera personuppgifter som är felaktiga, missvisande eller ofullständiga eller annars inte har behandlats enligt de bestämmelser som gäller.

För överföring av personuppgifter utanför EU och EES föreslås vissa restriktioner.

Den föreslagna lagen innehåller bestämmelser om säkerheten vid behandling av personuppgifter.

Den nuvarande skyldigheten att i förväg anmäla behandlingar till Datainspektionen bör begränsas till ett minimum. Inspektionens verksamhet skall i stället koncentreras till tillsyn, information och rådgivning. Datainspektionen skall också genom föreskrifter precisera lagens regler på olika områden.

Om någon bryter mot den föreslagna lagen skall Datainspektionen söka åstadkomma rättelse. Inspektionen får enligt förslaget förelägga vite och föra talan om att personuppgifter skall utplånas.

I övrigt är påföljden för brott mot den föreslagna lagen i första hand skadestånd till de registrerade som har drabbats av skada. De skall utom annan ersättning liksom hittills ha rätt till ideellt skadestånd för kränkning. Skadeståndsansvaret bör vara i princip rent strikt, dvs. skadestånd skall betalas så snart reglerna inte har följts, men vi föreslår en möjlighet att efter skälighet sätta ned skadeståndet för det fall att den persondataansvarige kan bevisa att den felaktiga behandlingen inte berodde på honom eller henne.

Den föreslagna lagen bör träda i kraft den 1 januari 1999 och tillämpas fullt ut på behandlingar som påbörjas därefter. För behandlingar som redan pågår vid ikraftträdandet, bör den gamla datalagen få gälla ända till den 1 oktober 2001.

Offentlighetsprincipen i IT-samhället

Den andra delen av vårt uppdrag har varit att se över reglerna i 2 kap. tryckfrihetsförordningen om medborgarnas rätt att ta del av allmänna handlingar – offentlighetsprincipen. Syftet har inte varit att förändra denna princip utan att undersöka hur den kan tillämpas i en modern IT-miljö. Vi har satt upp två utgångspunkter för detta arbete: N Offentligheten skall vara så vid som möjligt N Reglerna måste vara tydliga och lätta att tillämpa

En vidsträckt offentlighetsinsyn medger en kontroll av makten och stärker på så sätt demokratin. Våra förslag syftar också till att på sikt vidga allmänhetens möjligheter att dra nytta av det enorma uppgiftsmaterial som finns samlat hos de offentliga myndigheterna.

Vi föreslår att det centrala begreppet i offentlighetsprincipen skall vara ”allmän uppgift” i stället för ”allmän handling”. Begreppet uppgift är teknikneutralt och sekretesslagen bygger redan nu på det. Förslaget innebär i denna del ingen större saklig förändring; har man kunnat få ut en handling skall man kunna få ut en uppgift som finns i en handling. En fördel är att man inte behöver använda fiktioner som uttrycket ”potentiella handlingar” för att föra in elektroniska register under offentlighetsprincipen.

Begreppet handling finns enligt vårt förslag kvar i lagen som en ”förvaringsplats” för uppgifter. En handling har ett bestämt innehåll, nämligen det innehåll som den som en gång skrev handlingen gav den. Det har ingen betydelse om handlingen har formen av ett papper eller om den finns i digital form.

Sådana förvaringsplatser som inte är handlingar kallar vi databaser. Det som är typiskt för en databas är att uppgifterna är ordnade på ett sådant sätt att det går att söka bland dem och att man kan kombinera uppgifterna på olika sätt. Register är typiska exempel på databaser. Manuella databaser och sådana som förs med hjälp av digital teknik är likställda.

Uppgifter kan alltså finnas antingen i handlingar eller i databaser. En förutsättning för att en uppgift skall vara allmän hos en myndighet är att den förvaras hos myndigheten. På 1970-talet infördes en bestämmelse som innebär att allt som är tekniskt tillgängligt för en myndighet anses förvarat hos denna. I den tidens stordatormiljö var en sådan regel rimlig. Vi konstaterar emellertid att en sådan regel inte går att tillämpa i en modern IT-miljö där snart sagt allt är ”tekniskt tillgängligt” t.ex. via Internet. En förutsättning för att offentlighetsprincipen skall fungera i praktiken är att gränserna mellan myndigheterna upprätthålls. Myndigheterna har annars sämre möjligheter att hålla ordning på sina uppgifter, och därmed försämras förutsättningarna för att allmänheten skall kunna finna dem.

Vi föreslår att begreppet förvar återfår sin egentliga betydelse, men att det får innefatta även elektroniska förvar. Myndighetens skyldighet att lämna ut allmänna uppgifter skall alltså omfatta sådana uppgifter som den förvarar, antingen rent fysiskt (på papper eller på en cd-romskiva, diskett eller hårddisk) eller logiskt (i ett elektroniskt arkiv som tillhör myndigheten).

Sådant som tillhör myndighetens bibliotek omfattas inte av offentlighetsprincipen. Det nya sättet att se på förvar innebär att den bestämmelsen kan förenklas. En bok i biblioteket bör behandlas på samma sätt oavsett om den är tryckt på papper eller om den finns på en cd-romskiva.

I dag anser man att myndigheterna har en viss skyldighet att när allmänheten vill ha ut uppgifter göra extra sökningar och sammanställningar utöver det som myndigheten själv normalt gör. Det brukar uttryckas så att det som kan tas fram med ”rutinbetonade åtgärder” anses vara en allmän handling. Detta bör gälla även i framtiden men bör relateras till kostnaden. Det extra arbete som myndigheten kan utföra utan nämnvärda kostnader skall den vara skyldig att göra. Eftersom tekniken kommer att ge allt vidare och billigare möjligheter att söka och sammanställa uppgifter kommer också allmänhetens möjligheter att få insyn i myndigheternas verksamhet och del av deras kunskaper att öka i framtiden.

När det gäller själva utlämnandet av allmänna uppgifter till allmänheten föreslår vi en utvidgning av offentlighetsprincipen. Den bör, enligt vårt förslag, även omfatta en rätt att få ut allmänna uppgifter i elektronisk form. Vi är medvetna om att en sådan rätt inte kan införas generellt och omedelbart. Enligt den föreslagna regeln skall allmänhetens rätt att få allmänna uppgifter t.ex. på en diskett eller via e-post vara anpassad efter myndighetens tekniska möjligheter. Eftersom dessa fortlöpande förbättras kommer också insynen att bli mer effektiv. Det kan finnas särskilda bestämmelser som förbjuder myndigheter att lämna ut uppgifter i digital form och i vissa fall kan sådant utlämnande falla under sekretess, men principen bör vara att man har samma rätt att få uppgifter i elektronisk form som på papper. Detta bör, åtminstone på sikt, vara positivt även för myndigheterna som slipper dyrbar pappershantering.

Rätten att få uppgifter i elektronisk form bör inte omfatta datorprogram, eftersom detta skulle kunna inkräkta på upphovsrätten. Vi anser däremot att det finns ett allmänt intresse av att få reda på hur myndigheternas datorprogram fungerar; detta gäller särskilt när myndighetens beslut fattas automatiskt genom datorprogram. För att förstärka offentlighetsinsynen föreslår vi därför att myndigheterna, när det gäller sådana program, skall vara skyldiga att tillhandahålla beskrivningar (systemdokumentation) över hur programmen fungerar.

Vårt förslag till ny begreppsapparat i tryckfrihetsförordningen kräver följdändringar i andra lagar. Vi lämnar förslag till sådana ändringar i sekretesslagen och arkivlagen.

Tryckfrihetsförordningen anger inte i dag vad som skall hända med de allmänna handlingarna när de inte längre är aktuella. Eftersom det är av stor praktisk betydelse för offentlighetsinsynen att allmänna uppgifter bevaras föreslår vi att det införs en bestämmelse i tryckfrihetsförordningen som hänvisar till arkivlagen.

___________________

Reservationer har lämnats av Anders Christner (kd), Tomas Ohlin (fp) och

Inger René (m) gemensamt samt av Bo Edvardsson (mp).

Särskilda yttranden har lämnats av Bo Edvardsson (mp) och av Jan

Evers, med instämmande av Rolf Nygren, av Barbro Fischerström, Anders S Forsberg, Jan Freese samt av Margareta Åberg.

FÖRFATTNINGSFÖRSLAG

a) Förslag till

Persondatalag ( 1998:000 )

Härmed föreskrivs1 följande.

Inledande bestämmelser

Syftet med lagen

1 § Syftet med denna lag är att skydda människor mot otillbörligt intrång i den personliga integriteten vid behandling av personuppgifter.

Avvikande bestämmelser i annan lagstiftning

2 § Om det i en annan lag eller i en förordning finns bestämmelser som avviker från denna lag, skall dessa bestämmelser gälla.

1 Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046).

Definitioner

3 § I denna lag används följande beteckningar med nedan angiven betydelse.

Beteckning Betydelse Behandling (av personuppgifter)

Varje åtgärd som vidtas beträffande personuppgifter.

Blockering (av personuppgifter)

Varje åtgärd som kan vidtas för att personuppgifterna i alla sammanhang skall vara förknippade med tydlig information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen.

Den registrerade

Den som en personuppgift avser.

Känsliga personuppgifter

Sådana personuppgifter som avses i 13 §.

Mottagare

Den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet skall kunna utföra sådan tillsyn, kontroll eller revision som åligger den, anses dock inte myndigheten som mottagare.

Persondataansvarig

Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Persondatabiträde

Den som behandlar personuppgifter för den persondataansvariges räkning.

Personuppgifter

All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Samtycke

Varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne.

Tillsynsmyndigheten Den myndighet som regeringen utser. Tredje land

En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.

Tredje man

Någon annan än den registrerade, den persondataansvarige, persondatabiträdet och sådana personer som under den persondataansvariges eller persondatabiträdets direkta ansvar har befogenhet att behandla personuppgifter. Ett sådant persondataombud som avses i 37 § anses inte som tredje man.

Tillämpningsområdet

Det territoriella tillämpningsområdet

4 § Denna lag gäller för sådana persondataansvariga som är etablerade i

Sverige.

Lagen tillämpas också när den persondataansvarige är etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Vad som nu sagts gäller dock inte om utrustningen bara används för att överföra uppgifter mellan ett tredje land och ett annat sådant land.

I det fall som avses i andra stycket skall den persondataansvarige utse en företrädare för sig som är etablerad i Sverige. Den persondataansvarige skall, innan utrustningen börjar användas, till tillsynsmyndigheten skriftligen anmäla vem som har utsetts och därvid bifoga ett skriftligt medgivande från den utsedde. Vad som anges i denna lag om den persondataansvarige skall också gälla den företrädare som har anmälts på detta sätt.

Vilken behandling av personuppgifter omfattas av lagen

5 § Denna lag gäller för sådan behandling av personuppgifter som helt eller delvis är automatisk.

Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i ett register. Med register avses varje strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Undantag för privat användning av personuppgifter

6 § Denna lag gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur.

Undantag med hänsyn till yttrandefriheten

7 § Bestämmelserna i 9–29 och 33–46 §§ samt 47 § första stycket och 49 § skall inte tillämpas på

a) sådana förfaranden som är skyddade enligt tryckfrihetsförordningen

eller yttrandefrihetsgrundlagen,

b) spridningen av sådana yttranden som är skyddade enligt tryckfrihets-

förordningen eller yttrandefrihetsgrundlagen, eller

c) sådan behandling av personuppgifter som annars sker uteslutande för

journalistiska ändamål eller konstnärligt eller litterärt skapande.

Förhållandet till offentlighetsprincipen

8 § Bestämmelserna i denna lag skall inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter.

Bestämmelserna hindrar inte heller att en myndighet arkiverar och bevarar sina allmänna uppgifter eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelserna i 9 § tredje stycket gäller inte för personuppgifter i en myndighets arkiv.

Grundläggande krav på behandlingen av personuppgifter

9 § Den persondataansvarige skall se till

a) att personuppgifter behandlas bara när det är lagligt, särskilt att sam-

tycke inhämtas när så krävs,

b) att personuppgifter alltid behandlas på ett korrekt sätt,

c) att personuppgifter samlas in bara för särskilda, uttryckligt angivna och

berättigade ändamål,

d) att personuppgifter inte behandlas för något ändamål som är oförenligt

med det för vilket uppgifterna samlades in,

e) att de personuppgifter som behandlas är adekvata och relevanta i för-

hållande till ändamålen med behandlingen,

f) att inte fler personuppgifter behandlas än som är nödvändigt med hän-

syn till ändamålen med behandlingen,

g) att de personuppgifter som behandlas är riktiga och, om det är nöd-

vändigt, aktuella,

h) att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna så-

dana personuppgifter som är felaktiga, missvisande eller ofullständiga med hänsyn till ändamålen med behandlingen, och

i) att personuppgifter inte bevaras under en längre tid än vad som är nöd-

vändigt med hänsyn till ändamålen med behandlingen.

Beträffande första stycket d) gäller att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in. I fråga om första stycket i) gäller att personuppgifter får bevaras under längre tid än som sagts där för historiska, statistiska eller vetenskapliga ändamål.

Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder beträffande den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades eller någon annans vitala intressen.

När behandling av personuppgifter är tillåten

Allmänt

10 § Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller när behandlingen är nödvändig

a) för att fullgöra ett avtal med den registrerade,

b) för att på den registrerades begäran vidta åtgärder innan ett avtal

träffas,

c) för att den persondataansvarige skall kunna fullgöra en rättslig skyl-

dighet,

d) för att skydda vitala intressen för den registrerade,

e) för att utföra en arbetsuppgift av allmänt intresse,

f) för att den persondataansvarige eller en tredje man till vilken person-

uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller

g) för ändamål som rör ett berättigat intresse hos den persondataansvarige

eller hos sådana tredje män till vilka personuppgifterna lämnas ut när detta intresse väger tyngre än den registrerades intresse.

Direkt marknadsföring

11 § Personuppgifter får inte behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den persondataansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling.

Samtycke återkallas

12 § I de fall där behandling av personuppgifter bara är tillåten när den registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.

En registrerad har utöver vad som följer av första stycket och 11 § inte rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag.

Förbud mot behandling av känsliga personuppgifter

13 § Det är förbjudet att behandla personuppgifter som avslöjar

a) ras eller etniskt ursprung,

b) politiska åsikter,

c) religiös eller filosofisk övertygelse, eller

d) medlemskap i fackförening.

Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv.

Undantag från förbudet mot behandling av känsliga personuppgifter

Allmänt

14 § Utan hinder av 13 § är det tillåtet att behandla känsliga personuppgifter i de fall som anges i 15–19 §§.

I 10 § finns det bestämmelser om i vilka fall behandling av personuppgifter över huvud taget är tillåten.

Samtycke eller offentliggörande

15 § Känsliga personuppgifter får behandlas, om den registrerade har samtyckt till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna.

Behandlingen är nödvändig i vissa fall

16 § Känsliga personuppgifter får behandlas när behandlingen är nödvändig för att

a) den persondataansvarige skall kunna fullgöra sina skyldigheter eller

utöva sina rättigheter inom arbetsrätten,

b) skydda vitala intressen för den registrerade eller någon annan och den

registrerade inte kan lämna samtycke, eller

c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras.

Uppgifter som behandlas med stöd av första stycket a) får lämnas ut till tredje man bara om det inom arbetsrätten finns en uttrycklig skyldighet för den persondataansvarige att göra det eller den registrerade har samtyckt till utlämnandet.

Ideella organisationer

17 § Ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte får inom ramen för sin verksamhet behandla känsliga personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med denna. Känsliga personuppgifter får dock lämnas ut till tredje man bara om den registrerade har samtyckt till det.

Hälso- och sjukvård

18 § Känsliga personuppgifter får behandlas, om behandlingen är nödvändig för

a) förebyggande hälso- och sjukvård,

b) medicinska diagnoser,

c) vård eller behandling, eller

d) administration av hälso- och sjukvård.

Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får alltid behandla känsliga personuppgifter som omfattas av tystnadsplikten.

Forskning och statistik

19 § Känsliga personuppgifter får behandlas för forsknings- och statistikändamål, om behandlingen är nödvändig och om samhällsintresset av det forsknings- eller statistikprojekt vari behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Har projektet godkänts av en forskningsetisk kommitté, skall förutsättningarna enligt första stycket anses uppfyllda. Med forskningsetisk kommitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning.

Personuppgifter får lämnas ut för att användas i sådana projekt som avses i första stycket, om inte något annat följer av sekretesslagen (1980:100).

Bemyndigande att föreskriva ytterligare undantag

20 § Regeringen eller den myndighet som regeringen bestämmer får föreskriva ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse.

Uppgifter om lagöverträdelser

21 § Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser eller om domar och säkerhetsåtgärder i brottmål.

Regeringen eller den myndighet som regeringen bestämmer får föreskriva undantag från förbudet i första stycket.

Användning av personnummer

22 § Uppgift om personnummer får behandlas bara när det är klart motiverat med hänsyn till

a) ändamålet med behandlingen,

b) vikten av en säker identifiering, eller

c) något annat beaktansvärt skäl.

Information till den registrerade

Information skall lämnas självmant när uppgifterna samlas in

23 § När uppgifter om en person samlas in från denne själv, skall den persondataansvarige självmant lämna den registrerade information rörande behandlingen.

24 § Om personuppgifterna har samlats in från annan källa än den registrerade, skall den persondataansvarige självmant lämna den registrerade information rörande behandlingen när uppgifterna noteras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock lämnas först när uppgifterna lämnas ut för första gången.

Information enligt första stycket behöver inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning.

Information behöver inte heller lämnas enligt första stycket, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ar-

betsinsats. Om uppgifterna används för att vidta åtgärder beträffande den registrerade, skall dock information alltid lämnas senast i samband med att så sker.

Vilken information skall lämnas självmant

25 § Information enligt 23 § eller 24 § första stycket skall omfatta

a) uppgift om den persondataansvariges identitet,

b) uppgift om ändamålen med behandlingen, och

c) all övrig information som behövs för att den registrerade skall kunna ta

till vara sina rättigheter, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information.

Uppgifter behöver dock inte lämnas om sådant som den registrerade redan känner till.

Information skall också lämnas efter ansökan

26 § Den persondataansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna information, om personuppgifter som rör sökanden behandlas eller inte. Behandlas sådana uppgifter skall skriftlig information lämnas också om

a) vilka uppgifter om sökanden som behandlas,

b) varifrån dessa uppgifter har hämtats,

c) ändamålen med behandlingen, och

d) till vilka mottagare eller kategorier av mottagare som uppgifterna läm-

nas ut.

En ansökan enligt första stycket skall göras skriftligen hos den persondataansvarige och vara undertecknad av den sökande själv. Information enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Det är dock tillåtet att lämna information bara vid tre över året jämnt fördelade tillfällen, om det finns särskilda skäl för det.

Information enligt första stycket behöver inte lämnas beträffande personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man, om uppgifterna behandlas bara för historiska, statistiska eller vetenskapliga ändamål eller, såvitt gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.

Undantag från informationsskyldigheten vid sekretess och tystnadsplikt

27 § I den utsträckning det är särskilt föreskrivet i lag eller annan författning eller i beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23– 26 §§.

Regeringen eller den myndighet som regeringen bestämmer får medge undantag från bestämmelserna i 23–26 §§, om det behövs för att skydda grundläggande intressen för enskilda eller för att förebygga, undersöka eller avslöja brott.

Rättelse

28 § Den persondataansvarige är skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen. Den persondataansvarige skall också underrätta de tredje män till vilka uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om en underrättelse skulle kunna undvika mera betydande skada eller olägenhet för den registrerade. Någon sådan underrättelse behöver dock inte lämnas om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Automatiserade beslut

29 § Ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för denne får grundas enbart på automatisk behandling av personuppgifter, vilka är avsedda att bedöma egenskaper hos den berörda personen, bara om den som berörs av beslutet har möjlighet att på begäran få beslutet omprövat på manuell väg.

Var och en som varit föremål för ett sådant beslut som avses i första stycket har rätt att på ansökan få information från den persondataansvarige om vilka regler som har styrt den automatiska behandling som har lett fram till beslutet. I fråga om ansökan och lämnandet av information gäller i tillämpliga delar bestämmelserna i 26 §.

Säkerheten vid behandling

De personer som arbetar med personuppgifter

30 § Ett persondatabiträde och den eller de personer som arbetar under dennes eller