Nya förenklade regler i personuppgiftslagen
Nr 7 2007 Årgång 73Den 1 januari 2007 erhöll vi en delvis ny personuppgiftslag, PuL. Denna nya lag innehåller en rad genomgripande förändringar. Dessa nya regler i PuL innebär till viss del en övergång från en så kallad hanteringsmodell till en missbruksmodell. Här nedan kommer vi att redogöra för dessa förändringar, varför de är nödvändiga och vad de innebär. Avslutningsvis refereras i korthet tre beslut där Datainspektionen har tillämpat dessa nya regler. Samtliga lagrumshänvisningar i denna artikel avser PuL.
Hur förändrades PuL från den 1 januari 2007?
Den viktigaste förändringen i PuL utgörs av en ny 5 a §. Förändringen innebär att den som hanterar personuppgifter i ostrukturerad form, till exempel löpande text på Internet, eller använder vanliga filsystem och e-postprogram, inte behöver bry sig om följande hanteringsregler i PuL:
• Grundläggande krav på behandlingen av personuppgifter (9 §)
• När behandling av personuppgifter är
tillåten (10 §)
• Förbud mot behandling av känsliga personuppgifter (13 -19 §§)
• Uppgifter om lagöverträdelser (21 §)
• Personnummer (22 §)
• Information till de registrerade
(23–26 §§)
• Rättelse (28 §)
• Förbud mot överföring av person-uppgifter till tredje land (33 och 34 §§)
• Upplysningar till allmänheten om
behandlingar som inte har anmälts (42 §)
Även behandling av personuppgifter i ostrukturerad form kan dock kränka den som uppgifterna avser. Behandling som undantas från PuLs hanteringsregler enligt här ovan omfattas därför av en missbruksregel. Missbruksregeln, som beskrivs närmare här nedan, innebär att behandling som innebär en kränkning av den registrerades personliga integritet är förbjuden oavsett om behandlingen avser personuppgifter i ostrukturerad form.
Bakgrund till förändringarna
En lagstiftning uppbyggd enligt en hanteringsmodell reglerar själva hanteringen av personuppgifter oavsett om hanteringen kan betecknas som harmlös eller känslig från integritetssynpunkt. Regleringen omfattar all användning av personuppgifter oavsett syfte, omfattning och art. I en sådan modell finns därmed regler, så kallade hanteringsregler, rörande hur personuppgifter skall hanteras från det att de samlas in till dess de utplånas. En reglering enligt missbruksmodellen koncentrerar sig i stället på sådant utnyttjande av personuppgifter som kan karakteriseras som ett missbruk. Enligt missbruksmodellen är behandlingen av personuppgifter tillåten så länge behandlingen inte kränker den personliga integriteten. Enligt denna princip behöver inte de ovan angivna hanteringsreglerna åtföljas så länge inte personuppgifterna missbrukas varigenom den personliga integriteten kränks.
PuL trädde i kraft 1998 och bygger på EUs personuppgiftsdirektiv, 95/46/EG. Arbetet med utformningen av detta direktiv påbörjades redan i mitten av 80-talet. Hanteringsreglerna i PuL, som är tämligen detaljerade, har därför sin grund i principer som togs fram när stora dataregister började bli vanliga i samhället. De principerna är fortfarande giltiga för system där man enkelt kan söka och ställa samman personuppgifter, till exempel traditionella myndighetsregister, stora ärendehanteringssystem eller andra databaser. Till följd av sökmöjligheterna i dessa register ökar integritetsriskerna med behandling av personuppgifter i desamma. Tekniken har sedan mitten av 80-talet utvecklats, främst genom Internet. Numera används persondatorer och IT för vardaglig ostrukturerad hantering av personuppgifter. Hanteringsreglerna i PuL blev därför redan innan PuL trädde i kraft 1998 alltför omfattande och byråkratiska för att tillämpas i andra situationer än vid behandling av personuppgifter i register eller annan struktur som är gjord för att enkelt söka uppgifter. De nya reglerna i PuL skall underlätta vardaglig automatiserad behandling av personuppgifter, vilken typiskt sett inte medför några större integritetsrisker, till exempel löpande text i dokument eller på internet.
Av nya 5 a § framgår att all behandling, som inte ingår i eller är avsedd att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter, skall omfattas av en missbruksmodell. För denna behandling gäller då inte de ovan angivna hanteringsreglerna i PuL. Genom införandet av 5 a § skapas dock nya gränsdragningsproblem, vilka behandlas nedan.
Vad innebär ”personuppgiftsanknuten struktur”?
Ett problem med den nya lagstiftningen är att i princip allt digitalt material i någon mening har strukturerats, är sökbart på flera sätt och kan sammanställas utifrån olika kriterier. Utvecklingen synes också gå mot ökad strukturering och automatisering av alltfler personuppgifter. Enligt förarbetena skall begreppet personuppgiftsanknuten struktur tolkas genom rättstillämpningen. Dock ges viss vägledning. Enligt förarbetena skall nämligen regelrätta register och databaser även framdeles omfattas av hanteringsreglerna. Däremot skall till exempel personuppgifter i löpande text, eller enstaka ljud- och bildupptagningar där det centrala är bilden eller ljudet, inte omfattas av hanteringsreglerna. Vidare, för att nödgas tillämpa hanteringsreglerna, krävs att personuppgifterna omfattas av någon form av indexering som tar sin utgångspunkt i just personuppgifterna. Personuppgifterna skall utgöra den centrala rollen och inte enbart finnas där som en del i ett större sammanhang. Vad som åsyftas är en medveten indexering och inte sådana index som datorer nyttjar för att sortera data i form av strängar eller andra uppdelningar. Detta resonemang innebär till exempel att sökmotorer på internet inte omfattas av hanteringsreglerna. Om man däremot på något sätt har markerat personuppgifterna för att senare kunna söka upp just dessa har man skapat en personuppgiftsanknuten struktur. Ett dokument- eller ärendehanteringssystem, som har strukturerats för att underlätta sökningen efter och sammanställningen av personuppgifter, har definitivt en personuppgiftsanknuten struktur. Liksom tidigare kommer personal- och kundregister att omfattas av PuLs hela regelverk, eftersom dessa har strukturerats för att påtagligt underlätta sökning eller sammanställning av personuppgifter. Det krävs följaktligen att strukturen har nått en viss kvalitet eller höjd. Likaledes omfattas i stort sett alla mer regelrätta register av hanteringsreglerna. Däremot kommer enkla namnlistor inte att omfattas, såsom till exempel klasslistor eller medlemslistor på internet. Ej heller bör e-postkorrespondens omfattas av hanteringsreglerna. Däremot omfattas de loggfiler som företag för över sina anställdas e-postkommunikation av hanteringsreglerna.
Slutligen skall hanteringsreglerna även tillämpas på ostrukturerat material som har anknytning till en samling av personuppgifter som har strukturerats på sådant sätt att hanteringsreglerna blir tillämpliga. Infogas sålunda e-postkorrespondens innehållande personuppgifter om en viss kund X, som i sig utgör ostrukturerat material, i ett kundregister under samma kund X, kommer hanteringsreglerna i PuL att tillämpas på dessa personuppgifter.
Vad innebär en ”kränkning av den personliga integriteten”?
Även behandling av personuppgifter i ostrukturerad form är förbjuden om den innebär en kränkning av den registrerades personliga integritet. En intresseavvägning måste företas i syfte att utröna vad som utgör en sådan kränkning. Intresseavvägningen balanserar den enskildes rätt att freda sin privata sfär mot andra i det enskilda fallet motstående intressen. Avvägningen skall bland annat beakta det sammanhang i vilket uppgifterna förekommer, syftet med behandlingen och vilken spridning uppgifterna har fått. Som utgångspunkt används dels de grundläggande kraven i 9 §, dels reglerna om tillåtna behandlingar i 10 §. Om kraven i dessa bestämmelser är uppfyllda, trots att de egentligen inte skall tillämpas på behandling av personuppgifter i ostrukturerad form, kan behandlingen inte anses kränka den enskildes personliga integritet. Samlas däremot uppgifter in för otillbörliga syften, till exempel för att skandalisera eller förfölja någon, innebär detta givetvis en kränkning av den personliga integriteten. Som exempel nämner förarbetena bilder på Internet av pojk- eller flickvänner utan kläder, att samla in en stor mängd uppgifter om en enskild person i syfte att kartlägga dennes liv och att medvetet sprida felaktiga personuppgifter.
Nya straffrättsliga bestämmelser i PuL, 49 § första stycket e och f
Samtidigt som de här beskrivna reglerna infördes erhöll vi även nya straffrättsliga bestämmelser i PuL. Behandling av personuppgifter i ostrukturerad form kommer endast att vara förenad med straffansvar då någon med uppsåt, eller av grov oaktsamhet, behandlar känsliga personuppgifter (till exempel uppgifter om hälsa med mera), uppgifter om lagöverträdelser eller då personuppgifter på ett felaktigt sätt har överförts till tredje land. För övriga behandlingar i strid med missbruksregeln utgår endast skadestånd.
Avgöranden från Datainspektionen (DI)
DI har i några beslut tillämpat den nya missbruksregeln. I två fall prövade DI kameraövervakning på icke allmän plats. DI konstaterade inledningsvis att material som registreras vid inspelning normalt inte kan anses vara påtagligt strukturerat i den mening som avses i 5 a § och att missbruksregeln därför skall tillämpas. DI prövade därefter samtliga relevanta omständigheter i respektive ärende och kom fram till att kameraövervakningen i dessa fall inte var kränkande.
I ett annat ärende tog DI ställning till obligatorisk skanning av kunders legitimation i samband med köp av alkoholhaltiga drycker, ett fall av ostrukturerad behandling där missbruksregeln skall tillämpas. Var denna behandling kränkande i de fall kundens ålder uppenbarligen översteg 18 år? Genom en intresseavvägning, och mot bakgrund av att skanningen var uppenbart obehövlig, ansåg DI att behandlingen innebar en kränkning av den personliga integriteten. Detta beslut bekräftar att DI använder 9 och 10 §§ även där dessa enligt 5 a § inte är tillämpliga. För det fall hanteringsregeln hade varit tillämplig skulle inte denna skanning ha uppfyllt de grundläggande kraven i 9 §. Vari ligger då skillnaden mellan en prövning enligt missbruksregeln och hanteringsreglerna? Den frågan är inte besvarad.
Sammanfattning
Förändringarna i PuL innebär i och för sig ett helt nytt tankesätt. Emellertid kommer de flesta företag som behandlar personuppgifter även efter förändringarna tvingas tillämpa PuLs hanteringsregler. Framtiden får nu utvisa vilka tillämpningsproblem den nya lagstiftningen medför.