Förslag om nya förenklade regler
Nr 6 2005 Årgång 71
Praktisk juridik: Karl Fredrik Björklund om PuL.
När jag som juridiskt ombud eller som föreläsare träffar företagare och myndighetsföreträdare och diskuterar PuL-frågor, får jag ofta frågan när man måste följa PuLs regler. Jag svarar då att man alltid måste följa PuLs regler om man med någon form av datatekniskt hjälpmedel behandlar uppgifter om levande personer, alltså när man hanterar det som kallas personuppgifter.
Detta oavsett om man vill upprätta någon form av register med sådana uppgifter eller om det bara handlar om att skriva en intern PM eller skicka e-post. De jag träffar förstår oftast att det är viktigt att skydda uppgifter som finns i register, särskilt då stora register med personkänslig information. De flesta anser det därför rimligt att man måste ta sig igenom den krångliga PuL innan man upprättar ett sådant register. Detta då de flesta anser det viktigt att skydda den personliga integriteten för de personer vars uppgifter skall läggas in i registret.
Men det finns däremot mindre förståelse för att man måste gå igenom samma byråkratiska PuL varje gång man skickar ett e-postmeddelande eller upprättar en intern PM vilka innehåller namn, personnummer eller någon annan personuppgift. Detta anses för byråkratiskt och tungrott.
Det är därför glädjande att betänkandet från personuppgiftslagsutredningen, SOU 2004:6, föreslår förenklade regler i PuL. Utredningens förslag avser att lösa här angivna problem. Men frågan är om vi i svensk lagstiftning kan införa dessa regler utan att detta strider mot EG-direktivet 95/46 om personuppgifter. Slutsatsen i utredningen är att detta är möjligt men enligt samma utredning är det långt ifrån självklart.
Innan jag presenterar en sammanfattning av utredningens förslag tänkte jag kort sammanfatta PuLs regler.
Kort sammanfattning av reglerna i PuL
Denna sammanfattning är huvudsakligen hämtad från Datainspektionens hemsida, www.datainspektionen.se, som för övrigt är en förträfflig informationskälla för dem som är intresserade av PuL-frågor.
Bestämmelserna i PuL tillämpas på helt eller delvis automatiserad behandling av personuppgifter. I vissa fall gäller PuL även då personuppgifter behandlas manuellt. PuL:s bestämmelser gäller inte för rent privat behandling av personuppgifter. PuL tillämpas inte heller om det skulle strida mot reglerna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Om det i annan lag eller förordning finns bestämmelser som avviker från PuL:s bestämmelser gäller de bestämmelserna i stället för PuL. I en del situationer är endast vissa av PuL:s bestämmelser tillämpliga. Sådana situationer är när personuppgifter behandlas uteslutande för journalistiska ändamål eller för konstnärligt eller litterärt skapande.
Med personuppgifter avses all slags information som direkt eller indirekt kan kopplas till en fysisk person som är i livet. Exempel på sådan information är namn, personnummer och kundnummer. Med behandling av personuppgifter avses varje åtgärd som vidtas med personuppgifter, till exempel insamling, registrering eller bevarande men även att skriva löpande text. Den som ansvarar för att personuppgifter behandlas på ett lagligt sätt kallas personuppgiftsansvarig. Personuppgiftsansvarig är den som ensam, eller tillsammans med andra, bestämmer ändamålen – dvs syftena med – och medlen för behandlingen av personuppgifter. Den registrerade är den som personuppgifterna avser.
PuL innehåller också regler om i vilka situationer behandlingen är tillåten. En behandling av personuppgifter måste för att vara tillåten uppfylla ett antal grundläggande krav i 9 § PuL, vilket bland annat innebär att det måste finnas ett bestämt och berättigat ändamål med behandlingen. Behandlingen måste också vara tillåten enligt 10 § PuL.
Huvudregeln är att personuppgifter bara får behandlas med samtycke från dem vars uppgifter används. Behandlingen kan dock även vara tillåten utan samtycke, till exempel efter en avvägning mellan intresset för den som vill publicera personuppgifter att få göra det och den integritetskränkning publiceringen innebär för de enskilda vars personuppgifter används. Intresset för den som vill publicera uppgifterna måste i så fall väga tyngre än intresset att undvika en integritetskränkning. I PuL finns särskilda restriktioner när det gäller behandling av känsliga personuppgifter, uppgifter om lagöverträdelser och personnummer.
PuL har långtgående krav på att den personuppgiftsansvarige ska informera de registrerade om behandlingen av deras personuppgifter. I PuL finns även bestämmelser om vilka befogenheter Datainspektionen har för sin tillsyn. PuL innehåller till sist även regler om skadestånd och straff.
Sammanfattning av utredningens förslag
Personuppgiftslagsutredningen har haft i uppdrag att göra en översyn av personuppgiftslagen. Syftet har bland annat varit att undersöka om det trots gällande EG-direktiv om personuppgifter går att införa regler mot missbruk av personuppgifter i stället för de hanteringsregler som finns i dag. Hanteringsreglerna i PuL reglerar vilka personuppgifter som får behandlas, för vilka syften och på vilket sätt. Utredningens förslag innebär i korthet att hanteringsreglerna i PuL inte skall tillämpas på sådan vardaglig hantering som produktion av löpande text i ordbehandlingsprogram, publicering av löpande text på internet, användning av ljud- och bildupptagningar samt korrespondens med e-post, allt under förutsättning att materialet inte skall infogas i en databas med en personuppgiftsanknuten struktur såsom till exempel ett ärendehanteringssystem.
Den som i sin dator vill hantera personuppgifter i löpande text, till exempel enkla meddelanden eller kortare och längre texter, eller i ljud och bild eller i e-post, behöver således normalt inte bry sig om hanteringsreglerna i PuL. Det är bara om han eller hon vill infoga materialet i någon form av databas som det behövs ytterligare överväganden. Har databasen en personuppgiftsanknuten struktur, där just personuppgifter har markerats som sådana, måste hanteringsreglerna tillämpas. Den föreslagna, nya regleringen har i praktiken betydelse bara vid automatiserad behandling som sker med hjälp av datorer.
Den behandling som undantas från hanteringsreglerna skall enligt förslaget i stället regleras av en enkel regel till skydd mot missbruk av personuppgifterna. Behandlingen av personuppgifter får nämligen inte utföras om den innebär ett otillbörligt intrång i den personliga integriteten.
För att underlätta tillämpningen har utredningen i sina kommentarer sammanfattat några enkla och självklara riktlinjer som bör följas:
• Behandla inte personuppgifter för otillbörliga syften, såsom förföljelse eller skandalisering
• Samla inte utan godtagbara skäl en stor mängd uppgifter om en person
• Rätta personuppgifter som visar sig vara felaktiga eller missvisande
• Förtala eller förolämpa inte någon annan
• Bryt inte mot tystnadsplikt.
Förslagets överensstämmelse med EG-direktivet 95/46 om personuppgifter
Utredningen har funnit att det bör vara möjligt enligt EG-direktivet att göra undantag från de flesta materiella bestämmelserna i direktivet för sådan behandling av personuppgifter i ostrukturerat material, till exempel i form av löpande text samt ljud- och bildupptagningar som inte innefattar ett missbruk av personuppgifterna.
Den slutsatsen grundas främst på bedömningen att hantering av sådant ostrukturerat material utgör ett utnyttjande av en sådan fri- och rättighet – yttrande- eller informationsfriheten – som avses i artikel 13.1 g och att det är ett viktigt allmänt intresse i den mening som avses i artikel 8.4 och 26.1 d att detta utnyttjande av fri- och rättigheter inte hindras i samhället.
Utredningen inser att den bedömningen inte är självklar och kan ifrågasättas. Utredningen anser det dock med hänsyn till vikten av att underlätta harmlös hantering av ostrukturerat material, till exempel i form av löpande text samt ljud- och bildupptagningar, på de skäl som redovisats faktiskt vara möjligt och befogat att göra en sådan bedömning att gälla till dess motsatsen eventuellt slås fast av EG-domstolen.
EG-domstolens dom i det så kallade konfirmandmålet, mål C-101/01
Kvinnan i målet arbetade som konfirmandledare. 1998 skapade hon hemsidor på Internet i syfte att göra det möjligt för församlingsmedlemmar att lätt få den information de behövde. På hennes begäran lade Svenska kyrkans webbansvarige ut en länk på kyrkans webbplats till sidorna som kvinnan hade skapat. Sidorna innehöll uppgifter om kvinnan och 18 av hennes arbetskamrater inom pastoratet, ganska personliga uppgifter och i flera fall framställda i skämtsamma ordalag.
Kvinnan dömdes av Eksjö tingsrätt till dagsböter för flera brott mot PuL, bland annat för att hon överfört personuppgifter till tredje land. Hon överklagade till Göta hovrätt, som till EG-domstolen bland annat ställde frågor om direktivets tillämplighet. EG-domstolens dom ger stöd för att man skall kunna tolka direktivet med viss flexibilitet, särskilt när det gäller skyddet av de grundläggande fri- och rättigheterna. Därigenom skulle utredningens förslag, som presenterats tidigare i denna artikel, kunna anses överensstämma med direktivet.
Nedan följer några citat från domen som ger stöd för här angiven uppfattning.
”86 I detta sammanhang har de grundläggande rättigheterna en särskild betydelse, såsom visas av målet vid den nationella domstolen, där det sammanfattningsvis måste göras en avvägning mellan å ena sidan [konfirmandlärarens] yttrandefrihet i sitt arbete som handledare för konfirmander samt friheten att utöva verksamhet som bidrar till det religiösa livet, och å andra sidan skyddet av privatlivet för de personer om vilka [konfirmandläraren] har lagt ut uppgifter på sin webbplats på Internet.
87 Följaktligen ankommer det på myndigheterna och domstolarna i medlemsstaten inte bara att tolka sin nationella rätt på ett sätt som står i överensstämmelse med direktiv 95/46, utan även att se till att inte grunda sig på en tolkning av detta direktiv som skulle stå i strid med de grundläggande rättigheter som skyddas genom gemenskapens rättsordning eller med andra allmänna gemenskapsrättsliga principer, såsom bland annat proportionalitetsprincipen.”
Avslutande synpunkter
Vid tidpunkten för författandet av denna redogörelse finns det inget datum fastställt för en eventuell proposition. Det är alltjämt osäkert om det blir någon ny lagstiftning i enlighet med utredningens förslag.
Även om det naturligtvis finns viss osäkerhet om förslaget ligger i linje med Sveriges åtaganden i EG-direktivet om personuppgifter, en fråga som naturligtvis måste utredas än mer innan riksdagen fattar beslut, är min förhoppning att det i framtiden ändå införs en lagstiftning som i väsentliga delar överensstämmer med utredningens förslag. Det skulle nämligen underlätta markant för alla företag och myndigheter om de visste att de endast behöver följa merparten av PuLs regler när de upprättar ett verkligt register innehållande personuppgifter, och att de i princip kan bortse från PuL när de behandlar personuppgifter i den dagliga e-posthanteringen samt när de upprättar olika typer av dokument utan att det är frågan om ett register.
Redan i dag underlåter många, kanske de flesta, företag jag talar med att konsultera PuLs regler i samband med den vardagliga hanteringen av personuppgifter i e-post och andra dokument som upprättas löpande. Det anses för betungande, och meningslöst, att då konsultera PuL. Låt oss därför få en lagstiftning som är rimlig att följa. På så sätt undanröjer vi en del gränsdragningsproblem och svåra diskussioner. Det är inte heller bra att ha en lagstiftning som delvis inte efterlevs.
KARL FREDRIK BJÖRKLUND
Advokat
Publicerad i nr 6 2005
Detta oavsett om man vill upprätta någon form av register med sådana uppgifter eller om det bara handlar om att skriva en intern PM eller skicka e-post. De jag träffar förstår oftast att det är viktigt att skydda uppgifter som finns i register, särskilt då stora register med personkänslig information. De flesta anser det därför rimligt att man måste ta sig igenom den krångliga PuL innan man upprättar ett sådant register. Detta då de flesta anser det viktigt att skydda den personliga integriteten för de personer vars uppgifter skall läggas in i registret.
Men det finns däremot mindre förståelse för att man måste gå igenom samma byråkratiska PuL varje gång man skickar ett e-postmeddelande eller upprättar en intern PM vilka innehåller namn, personnummer eller någon annan personuppgift. Detta anses för byråkratiskt och tungrott.
Det är därför glädjande att betänkandet från personuppgiftslagsutredningen, SOU 2004:6, föreslår förenklade regler i PuL. Utredningens förslag avser att lösa här angivna problem. Men frågan är om vi i svensk lagstiftning kan införa dessa regler utan att detta strider mot EG-direktivet 95/46 om personuppgifter. Slutsatsen i utredningen är att detta är möjligt men enligt samma utredning är det långt ifrån självklart.
Innan jag presenterar en sammanfattning av utredningens förslag tänkte jag kort sammanfatta PuLs regler.
Kort sammanfattning av reglerna i PuL
Denna sammanfattning är huvudsakligen hämtad från Datainspektionens hemsida, www.datainspektionen.se, som för övrigt är en förträfflig informationskälla för dem som är intresserade av PuL-frågor.
Bestämmelserna i PuL tillämpas på helt eller delvis automatiserad behandling av personuppgifter. I vissa fall gäller PuL även då personuppgifter behandlas manuellt. PuL:s bestämmelser gäller inte för rent privat behandling av personuppgifter. PuL tillämpas inte heller om det skulle strida mot reglerna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Om det i annan lag eller förordning finns bestämmelser som avviker från PuL:s bestämmelser gäller de bestämmelserna i stället för PuL. I en del situationer är endast vissa av PuL:s bestämmelser tillämpliga. Sådana situationer är när personuppgifter behandlas uteslutande för journalistiska ändamål eller för konstnärligt eller litterärt skapande.
Med personuppgifter avses all slags information som direkt eller indirekt kan kopplas till en fysisk person som är i livet. Exempel på sådan information är namn, personnummer och kundnummer. Med behandling av personuppgifter avses varje åtgärd som vidtas med personuppgifter, till exempel insamling, registrering eller bevarande men även att skriva löpande text. Den som ansvarar för att personuppgifter behandlas på ett lagligt sätt kallas personuppgiftsansvarig. Personuppgiftsansvarig är den som ensam, eller tillsammans med andra, bestämmer ändamålen – dvs syftena med – och medlen för behandlingen av personuppgifter. Den registrerade är den som personuppgifterna avser.
PuL innehåller också regler om i vilka situationer behandlingen är tillåten. En behandling av personuppgifter måste för att vara tillåten uppfylla ett antal grundläggande krav i 9 § PuL, vilket bland annat innebär att det måste finnas ett bestämt och berättigat ändamål med behandlingen. Behandlingen måste också vara tillåten enligt 10 § PuL.
Huvudregeln är att personuppgifter bara får behandlas med samtycke från dem vars uppgifter används. Behandlingen kan dock även vara tillåten utan samtycke, till exempel efter en avvägning mellan intresset för den som vill publicera personuppgifter att få göra det och den integritetskränkning publiceringen innebär för de enskilda vars personuppgifter används. Intresset för den som vill publicera uppgifterna måste i så fall väga tyngre än intresset att undvika en integritetskränkning. I PuL finns särskilda restriktioner när det gäller behandling av känsliga personuppgifter, uppgifter om lagöverträdelser och personnummer.
PuL har långtgående krav på att den personuppgiftsansvarige ska informera de registrerade om behandlingen av deras personuppgifter. I PuL finns även bestämmelser om vilka befogenheter Datainspektionen har för sin tillsyn. PuL innehåller till sist även regler om skadestånd och straff.
Sammanfattning av utredningens förslag
Personuppgiftslagsutredningen har haft i uppdrag att göra en översyn av personuppgiftslagen. Syftet har bland annat varit att undersöka om det trots gällande EG-direktiv om personuppgifter går att införa regler mot missbruk av personuppgifter i stället för de hanteringsregler som finns i dag. Hanteringsreglerna i PuL reglerar vilka personuppgifter som får behandlas, för vilka syften och på vilket sätt. Utredningens förslag innebär i korthet att hanteringsreglerna i PuL inte skall tillämpas på sådan vardaglig hantering som produktion av löpande text i ordbehandlingsprogram, publicering av löpande text på internet, användning av ljud- och bildupptagningar samt korrespondens med e-post, allt under förutsättning att materialet inte skall infogas i en databas med en personuppgiftsanknuten struktur såsom till exempel ett ärendehanteringssystem.
Den som i sin dator vill hantera personuppgifter i löpande text, till exempel enkla meddelanden eller kortare och längre texter, eller i ljud och bild eller i e-post, behöver således normalt inte bry sig om hanteringsreglerna i PuL. Det är bara om han eller hon vill infoga materialet i någon form av databas som det behövs ytterligare överväganden. Har databasen en personuppgiftsanknuten struktur, där just personuppgifter har markerats som sådana, måste hanteringsreglerna tillämpas. Den föreslagna, nya regleringen har i praktiken betydelse bara vid automatiserad behandling som sker med hjälp av datorer.
Den behandling som undantas från hanteringsreglerna skall enligt förslaget i stället regleras av en enkel regel till skydd mot missbruk av personuppgifterna. Behandlingen av personuppgifter får nämligen inte utföras om den innebär ett otillbörligt intrång i den personliga integriteten.
För att underlätta tillämpningen har utredningen i sina kommentarer sammanfattat några enkla och självklara riktlinjer som bör följas:
• Behandla inte personuppgifter för otillbörliga syften, såsom förföljelse eller skandalisering
• Samla inte utan godtagbara skäl en stor mängd uppgifter om en person
• Rätta personuppgifter som visar sig vara felaktiga eller missvisande
• Förtala eller förolämpa inte någon annan
• Bryt inte mot tystnadsplikt.
Förslagets överensstämmelse med EG-direktivet 95/46 om personuppgifter
Utredningen har funnit att det bör vara möjligt enligt EG-direktivet att göra undantag från de flesta materiella bestämmelserna i direktivet för sådan behandling av personuppgifter i ostrukturerat material, till exempel i form av löpande text samt ljud- och bildupptagningar som inte innefattar ett missbruk av personuppgifterna.
Den slutsatsen grundas främst på bedömningen att hantering av sådant ostrukturerat material utgör ett utnyttjande av en sådan fri- och rättighet – yttrande- eller informationsfriheten – som avses i artikel 13.1 g och att det är ett viktigt allmänt intresse i den mening som avses i artikel 8.4 och 26.1 d att detta utnyttjande av fri- och rättigheter inte hindras i samhället.
Utredningen inser att den bedömningen inte är självklar och kan ifrågasättas. Utredningen anser det dock med hänsyn till vikten av att underlätta harmlös hantering av ostrukturerat material, till exempel i form av löpande text samt ljud- och bildupptagningar, på de skäl som redovisats faktiskt vara möjligt och befogat att göra en sådan bedömning att gälla till dess motsatsen eventuellt slås fast av EG-domstolen.
EG-domstolens dom i det så kallade konfirmandmålet, mål C-101/01
Kvinnan i målet arbetade som konfirmandledare. 1998 skapade hon hemsidor på Internet i syfte att göra det möjligt för församlingsmedlemmar att lätt få den information de behövde. På hennes begäran lade Svenska kyrkans webbansvarige ut en länk på kyrkans webbplats till sidorna som kvinnan hade skapat. Sidorna innehöll uppgifter om kvinnan och 18 av hennes arbetskamrater inom pastoratet, ganska personliga uppgifter och i flera fall framställda i skämtsamma ordalag.
Kvinnan dömdes av Eksjö tingsrätt till dagsböter för flera brott mot PuL, bland annat för att hon överfört personuppgifter till tredje land. Hon överklagade till Göta hovrätt, som till EG-domstolen bland annat ställde frågor om direktivets tillämplighet. EG-domstolens dom ger stöd för att man skall kunna tolka direktivet med viss flexibilitet, särskilt när det gäller skyddet av de grundläggande fri- och rättigheterna. Därigenom skulle utredningens förslag, som presenterats tidigare i denna artikel, kunna anses överensstämma med direktivet.
Nedan följer några citat från domen som ger stöd för här angiven uppfattning.
”86 I detta sammanhang har de grundläggande rättigheterna en särskild betydelse, såsom visas av målet vid den nationella domstolen, där det sammanfattningsvis måste göras en avvägning mellan å ena sidan [konfirmandlärarens] yttrandefrihet i sitt arbete som handledare för konfirmander samt friheten att utöva verksamhet som bidrar till det religiösa livet, och å andra sidan skyddet av privatlivet för de personer om vilka [konfirmandläraren] har lagt ut uppgifter på sin webbplats på Internet.
87 Följaktligen ankommer det på myndigheterna och domstolarna i medlemsstaten inte bara att tolka sin nationella rätt på ett sätt som står i överensstämmelse med direktiv 95/46, utan även att se till att inte grunda sig på en tolkning av detta direktiv som skulle stå i strid med de grundläggande rättigheter som skyddas genom gemenskapens rättsordning eller med andra allmänna gemenskapsrättsliga principer, såsom bland annat proportionalitetsprincipen.”
Avslutande synpunkter
Vid tidpunkten för författandet av denna redogörelse finns det inget datum fastställt för en eventuell proposition. Det är alltjämt osäkert om det blir någon ny lagstiftning i enlighet med utredningens förslag.
Även om det naturligtvis finns viss osäkerhet om förslaget ligger i linje med Sveriges åtaganden i EG-direktivet om personuppgifter, en fråga som naturligtvis måste utredas än mer innan riksdagen fattar beslut, är min förhoppning att det i framtiden ändå införs en lagstiftning som i väsentliga delar överensstämmer med utredningens förslag. Det skulle nämligen underlätta markant för alla företag och myndigheter om de visste att de endast behöver följa merparten av PuLs regler när de upprättar ett verkligt register innehållande personuppgifter, och att de i princip kan bortse från PuL när de behandlar personuppgifter i den dagliga e-posthanteringen samt när de upprättar olika typer av dokument utan att det är frågan om ett register.
Redan i dag underlåter många, kanske de flesta, företag jag talar med att konsultera PuLs regler i samband med den vardagliga hanteringen av personuppgifter i e-post och andra dokument som upprättas löpande. Det anses för betungande, och meningslöst, att då konsultera PuL. Låt oss därför få en lagstiftning som är rimlig att följa. På så sätt undanröjer vi en del gränsdragningsproblem och svåra diskussioner. Det är inte heller bra att ha en lagstiftning som delvis inte efterlevs.
KARL FREDRIK BJÖRKLUND
Advokat
Publicerad i nr 6 2005