FRÅN DATAINSPEKTIONEN #1/2003 PUL REGLERAR SVARTA LÅDOR

Transkript

1 FRÅN DATAINSPEKTIONEN #1/2003 Vinka, du blir fotograferad! SEX-INKASSO STOPPAD \ PERSONER FICK INKASSOKRAV DÄR MAN PÅSTOD ATT DE HADE BESÖKT PORRSAJTER. DATAINSPEKTIONEN BLEV NERRINGD. SID 4 PUL REGLERAR SVARTA LÅDOR \ OM EN NY SAAB KROCKAR, LAGRAS EN MÄNGD DATA I EN SVART LÅDA. DET ÄR PERSONUPPGIFTER SOM REGLERAS AV PUL. SID 6 FÅR FLYGDATA LÄMNAS TILL USA? \ EU-KOMMISSIONEN OCH PARLAMENTET ÄR OENIGA OM DATADIREKTIVET TILLÅTER ATT USA-TULLEN MAGAZIN DIREKT #3/ FÅR ALLA UPPGIFTER OM FLYGPASSAGERARE. SID 8

2 Från att ha varit en symbol för Storebror har övervakningskameror kommit att bli en garanti för trygghet. Och användningen bara ökar. På några år har antalet kameror i Sverige fördubblats. Vinka, du blir fotograferad! I taxin på väg mot Landvetters flygplats knuffar Anna-Lena mig i sidan: Vi har blivit fotograferade! Mycket riktigt! På sidorutan sitter en liten orange dekal som talar om att bilen är kamerövervakad. En av de första i Göteborg, säger Lotta, chauffören. Min bil är med i en provserie där sex olika system testas. Kameran sitter där. Hon pekar på en liten, liten knopp vid backspegeln. Den går visst på infrarött ljus, det behövs ingen blixt, inte ens på natten. Var lagras bilderna? Vet inte. I en liten låda under här nånstans. Jag får inte veta var den sitter. Då kunde en rånare tvinga mej att visa var den är och förstöra den. Det bästa vore förstås om bilderna sändes trådlöst till en central dator med en gång när dom tas. Där vore dom säkra. Som det är nu kan ju en rånmördare bränna upp bilen så att bilderna förstörs. Det har redan visat sig att kameran har effekt. I går körde jag en kille som vägrade betala. Stick du bara, sa jag. Vi har dej på bild. Då kom plånboken upp illa kvickt. TAXICHAUFFÖRERNA är ofta utsatta för våld och hot och sedan länge har man önskat sig övervakningskameror i bilarna. Men det var först på hösten 2001 som Taxi Göteborg som första bolag fick länsstyrelsens tillstånd att montera in kameror. Men då tyckte Justitiekanslern att kamerorna var alltför integritetskränkande och överklagade länsstyrelsens beslut; först till länsrätten och sedan till kammarrätten, som slutligen godkände att taxibilar ska få ha en kamera som automatiskt tar fem stillbilder när någon av passagerardörrarna öppnas. Bilderna ska lagras i krypterad form och får bara göras läsbara vid utredning om brott. Nu söker många taxiföretag tillstånd från länsstyrelserna och kameror installeras i bl.a. Göteborg, Stockholm, Uppsala, Sundsvall, Umeå och Landskrona. SVERIGE HAR sedan några år en särskild lag om allmän kameraövervakning, LAK (1998:150). Den reglerar övervakning av allmän plats och det är länsstyrelserna som ger tillstånd och utövar tillsyn. Men ganska snart efter LAK kom PuL som säger att bilder av identifierbara personer kan vara personuppgifter. Personuppgifter regleras av PuL, och för PuL är Datainspektionen tillsynsmyndighet. Exakt när PuL ska tillämpas på kameraövervakning har diskuterats. Det är fullt klart att när digitala bilder spelas in och sparas, t.ex. i taxibilar, är det behandling av personuppgifter som regleras av PuL. Troligen gäller PuL också för digitala kameror när bilderna bara visas på bildskärm. Utvecklingen går mot digitalisering, med tiden skulle alltså allt större del av kameraövervakningen regleras av PuL. Och även av LAK. Två lagar och två tillsynsmyndigheter. (Om däremot allmänheten inte har tillträde till 2 MAGAZIN DIREKT #1/2003

3 platsen som övervakas, är bara PuL tillämplig och Datainspektionen är tillsynsmyndighet. Hänger du med?) NU HAR EN UTREDNING försökt bringa reda i röran. Man kan tycka att det enklaste vore att göra som man har gjort i de flesta EUländerna: där har man ingen särskild lag för kameraövervakning, personbilder är personuppgifter, personuppgiftslagen gäller och dataskyddsmyndigheten sköter tillsynen (se vidare Tyck till om kameraövervakning härintill). Men betänkandet Allmän kameraövervakning (SOU 2002:110) som kom i julas föreslår i stället att när det gäller övervakning av allmän plats ska tillämpliga delar av PuL upprepas i LAK. På det viset kommer all övervakning på allmän plats att regleras enbart av LAK. Men när det gäller övervakningskameror på platser dit allmänheten inte har tillträde kontor, lager, fabriker, skolor, bussgarage, etc. ska PuL gälla. Utredaren anser att den gamla ordningen fungerar bra och i stort sett kan bestå. PÅ SISTONE har det skrivits mycket i medierna om en annan form av kameraövervakning, polisens digitala hastighetsövervakningskameror. I polisdataförordningen står bl.a. att om en polismyndighet ämnar behandla uppgifter om att en person är misstänkt för brott, ska det tre veckor i förväg anmälas till Datainspektionen för förhandskontroll. Den regeln omfattar kameror för hastighetsövervakning och under 2002 kom det in ett 40-tal anmälningar. Totalt 184 plåtpoliser har godkänts. Erfarenheterna har varit goda och i år planeras ytterligare 56 kameror. Även polisens videobilar alltså polisbilar som kan videofilma trafiken, kräver förhandsanmälan. Nyligen godkändes den första ansökningen som kom från stockholmspolisen. Tyck till om kameraövervakning Leif Stenström Om man blickar ut i Europa ser man att de flesta länderna inte har någon särskild lag för kameraövervakning. Man anser att bilder är personuppgifter som ska regleras av landets personuppgiftslag. Punkt. Bara Sverige, Danmark och i viss mån Frankrike har separat heltäckande lagstiftning. I norska och isländska PuL finns ett par paragrafer om kameraövervakning. I samtliga länder utom Sverige är det dataskyddsmyndigheten som står för tillsynen. Personuppgiftslagarna i både EU och Norge och Island är baserade på EU:s dataskyddsdirektiv som ska tillämpas på samma sätt i alla EU-länder. Men när det gäller kameraövervakning har det utvecklats skiftande praxis som baseras på domar, föreskrifter, dekret och en och annan deltäckande lag. Nu har 29-gruppen, den arbetsgrupp som ska se till att dataskyddsdirektivet tillämpas på samma sätt i alla EU-länder, studerat frågan och publicerat ett Arbetsdokument om behandling av personuppgifter vid videoövervakning. För att hämta in synpunkter så brett som möjligt har man lagt ut dokumentet på Internet och uppmanar alla att komma in med synpunkter på frågan. Du hittar dit enklast genom att gå in på Datainspektionens webbplats, där det på själva hemsidan under rubriken Tyck till om videoövervakning finns en länk till dokumentet och adresser där du kan lämna synpunkter fram till den 31 maj. Nu återstår att se om arbetet leder fram till gemensamma regler för alla EU-länder. I så fall kan kanske Sveriges något udda lagstiftning komma i kläm. Även Europarådet arbetar på riktlinjer för videoövervakning Sverige är anslutet till rådets konvention för dataskydd (108/1981). Kamerasvep \ 1996 fanns i Sverige tillstånd för kameraövervakning hade antalet tillstånd ökat till drygt 6 000, men nu hade möjligheten tillkommit att sätta upp kameror utan tillstånd men med en enkel anmälan anmälningar hade kommit in under perioden, dvs. antalet kameror hade fördubblats. \ Varje tillstånd och anmälan kan omfatta flera kameror, men hur man än räknar kommer man inte i närheten av kameratätheten i UK. Där uppskattas antalet kameror till 2,5 miljoner; en londonbo fotograferas 300 gånger om dagen. \ I Berlin måste butikerna ha övervakningskameror. Försäkringsbolagen sätter det som villkor för att teckna en försäkring. \ I Victoria i Australien försågs nyligen taxibilarna med kameror. Där filmas passagerarna under hela resan och dessutom spelas ljudet in. Det har förstås blivit ett ramaskri. \ I Island hålls varje år en festival där det är mycket missbruk och våld. Då föreslogs infraröda övervakningskameror som kunde filma vad som försiggick inuti tälten. Det stannade dock vid ett förslag. \ I Norge hade en stormarknad monterat upp en mängd kameror. Egentligen krävs tillstånd från Datatilsynet, men det hade man inte sökt. Det man hade installerat var nämligen attrapper, det kostade för mycket att köpa riktiga kameror. \ Handlarn på en liten ort i Norge hade en övervakningskamera i butiken och videofilmade en kvinna och ett barn som tog en vara och gick sin väg utan att betala. För att identifiera snattarna spelade han gång på gång upp sekvensen på en TV-skärm i butiken. Snattarna blev snart identifierade och utpekade i hela byn, men då visade det sig att de hade lov av kassörskan att ta varan i utbyte mot en annan MAGAZIN DIREKT #1/2003 3

4 Sex-inkasso stoppad Ett inkassoföretag skickade ut inkassokrav på betalning för porrtjänster på Internet. Datainspektionen fick hundratals klagomål. Inkassoåtgärderna är nu stoppade och polisutredningar pågår. I SLUTET AV FEBRUARI fick Datainspektionen inom loppet av ett par dagar ta emot över 100 skriftliga klagomål på inkassokrav. Normalt kommer drygt 200 sådana klagomål per år. Vi fick också ta emot flera hundra förfrågningar per telefon. Bakgrunden var följande: DET FINNS MÅNGA företag som tillhandahåller betaltjänster på Internet, främst pornografi. Några av dem kidnappar nätsurfarens modem. Det går till så att man bygger sin webbplats som en återvändsgränd, den som väl är inne kommer inte vidare utan att klicka ja i en ruta eller klicka på en bild. Då kopplas surfarens modem vidare till företaget som identifierar numret och tar över debiteringen enligt en mycket hög taxa. Även om surfaren omedelbart kopplar bort sig, debiteras en hög inträdesavgift. Den här typen av tjänster är kända sedan flera år och tvistefrågan är om det tillräckligt tydligt framgår när betaltjänsten kopplas in. Många har känt sig lurade och vägrat betala. ETT INKASSOFÖRETAG, Persolvo, som bytte ägare i början av februari hade åtagit sig att driva in fordringarna åt ett sådant företag, Har-Exp (som tidigare har figurerat under namnen ScanBill, IB Aps och SR AB). I slutet av månaden gjorde man ett stort utskick, enligt uppgift inkassokrav på betaltjänster. 4 MAGAZIN DIREKT #1/2003

5 Detta föranledde hundratals telefonsamtal och skriftliga klagomål till Datainspektionen (som är tillsynsmyndighet för inkassoföretagen) och Konsumentverket (som hanterar frågan om surfaren har ingått ett giltigt avtal med porrföretaget). Många av de klagande hade skrivit och protesterat mot fordringen (se faktaruta). DATAINSPEKTIONEN KONTAKTADE Persolvo och påpekade att många gäldenärer ansåg att fordringen saknade grund. Enligt 8 inkassolagen bör inga inkassoåtgärder vidtas om det är sannolikt att en fordring är obefogad. I sådana fall ska inkassoföretaget utreda frågan tillsammans med uppdragsgivaren (i det här fallet porrföretaget). Tills frågan är utredd bör inga fler krav sändas ut och inga ärenden fullföljas, dvs. lämnas till kronofogde eller tingsrätt. Företaget accepterade detta. Frågan om porrföretagets debitering är laglig utreds nu av polisen i Malmö och Stockholm. Saken har också tagits upp i riksdagen (interpellation 2002/03:210). Om du får en räkning som du tycker är obefogad ska du protestera skriftligt. Då är det inte tillåtet att skicka inkassokrav på skulden. Och om du får ett inkassokrav och protesterar skriftligt får inte borgenären (den som vill ha betalt) vända sig till kronofogden och ansöka om betalningsföreläggande. Enda sättet för borgenären att få frågan prövad är då att vända sig till tingsrätten och ansöka om stämning. Om du blir stämd, måste du infinna dig till förhandlingen. Följer du de reglerna, kan du inte få någon betalningsanmärkning. Se vidare informationsbladet Betalningsanmärkningar på Det finns också råd och tips på KORTFATTAT Asylsökandes avtryck samlas i EU-register I januari startade Eurodac, EU:s dataregister med fingeravtryck från alla över 14 år som söker asyl i något EUland eller Norge eller Island. Registret ska användas för att förhindra att samma person söker asyl i flera länder eller under flera identiteter. Varje år söker personer asyl i EU, och man bedömer att procent av dessa söker i flera länder. Det kan bero på att man har fått avslag i det land man först kom till, att man tror på bättre chanser i ett annat land eller att förhållandena under väntetiden är bättre. Men enligt den s.k. Dublinkonventionen ska en asylsökande i EU få sin ansökan prövad enbart i det land han först anländer till. Många saknar identitetshandlingar och det är svårt att se om de har sökt asyl i flera länder. Det händer att personer söker asyl under flera olika identiteter. Förra året sökte personer asyl i Sverige. Här började man redan 1997 ta fingeravtryck på asylsökande över 14 år, men hittills har de bara jämförts med motsvarande data i de nordiska länderna. Förra året upptäcktes den vägen sökande som hade anlänt till något annat nordiskt land men sökt asyl i Sverige. Eurodac är en central databas som är uppkopplad till alla EU-länder utom Danmark samt Norge och Island. Bara i Sverige finns 13 stationer där fingeravtrycken samlas in. Enbart avtryck från asylsökande som är över 14 år registreras tillsammans med ett referensnummer, inga namn eller andra identitetsuppgifter. En referensgrupp ska se till att reglerna följs. Datainspektionen är Sveriges representant i den gruppen. PuL-ändringar uppskjutna PuL reglerar hur man ska hantera personuppgifter. Som vi tidigare har berättat (DIrekt 1/02 och 4/02) undersöker nu en särskild utredare om man inom ramen för EU:s dataskyddsdirektiv kan ändra lagen så att den i stället inriktas på missbruk av personuppgifter. Förslaget till lagändringar skulle ha varit klart den 31 mars, men nu har utredaren begärt förlängd tid för att kunna ta hänsyn till EG-domstolens kommande dom om tolkningen av EG-direktivet i det svenska s.k. konfirmandlärarmålet (se DIrekt 2/02). Där har generaladvokaten föreslagit att vissa behandlingar ska undantas från EG-rätten. Om domstolen går på den linjen måste luckorna täckas upp med nationella skyddsregler som medlemsländerna själva bestämmer. Om sådana regler skulle behövas bör de komma med i lagförslaget som kan läggas fram tre månader efter det att domen har meddelats. Bodström lovar se över kreditupplysning på Internet Från årsskiftet kan alla som har en webbplats anmäla en ansvarig utgivare och skaffa ett utgivningsbevis. Sådana webbplatser skyddas av Yttrandefrihetsgrundlagen (YGL). Det kan kreditupplysningsföretag utnyttja för att starta en webbtjänst där abonnenterna kan kontrollera privatpersoners kreditvärdighet utan att ha giltigt skäl och utan att personen får reda på det. Kreditupplysningslagens regler om integritetsoch konsumentskydd sätts därmed ur spel. Detta föranledde en fråga i riksdagen (nr 2002/03:657) till justitieminister Thomas Bodström som svarade att man inom Justitiedepartementet är medveten om problemet och kommer att se över reglerna. (Se även DIrekt 2/02 och 4/01). MAGAZIN DIREKT #1/2003 5

6 Om en ny Saab krockar, lagras en mängd data i en svart låda. Men innan Saab hämtar ut uppgifterna, måste man be bilens ägare, förare och passagerare om lov. Det är nämligen personuppgifter som regleras av PuL. PuL reglerar Saabs svarta lådor VISSA MODELLER av Saab har ett krockminne, en svart låda som lagrar data vid en kollision. Det kan vara uppgifter om bilens hastighet vid krocken, vilken växel som var ilagd, rattvinkeln, om föraren bromsade, vilka bilbälten som användes, vilka dörrar som var låsta, om ljuset var påslaget etc. I normala fall raderas uppgifterna när bilen stängs av, men vid en krock lagras de för att användas vid forskning och utveckling som ska ge framtidens bilar bättre krock- och köregenskaper. NÄR EN SAAB är inblandad i en krock, kontaktar försäkringsbolaget eller verkstaden Saab:s haverigrupp, som beslutar om bilen ska inspekteras. Oftast reser då en inspektör till verkstaden eller bilskroten och laddar ner kodade data från den svarta lådan i sin dator. Uppgifterna förs över till en server hos Saab i Trollhättan, där de bara är tillgängliga för personer med särskilt tillstånd. Innan data avkodas och bearbetas, tillfrågas föraren och bilägaren om tillstånd att använda uppgifterna. Då lämnas också information om vilka uppgifterna är, hur de ska behandlas och hur de ska sparas. Om Saab inte får något skriftligt godkännande raderas filen; i annat fall avkodas filen och uppgifterna bearbetas. När bearbetningen är avslutad, avidentifieras uppgifterna och sparas i minst tio år för vidare säkerhetsforskning och statistik. BILENS ÄGARE får genom instruktionsboken information om att vissa uppgifter registreras, men många Saab-ägare kände inte till den svarta lådan. Detta uppmärksammades i pressen och Datainspektionen inledde tillsyn. DEN FÖRSTA FRÅGAN gällde om registrerade data är personuppgifter. Uppgifterna i krockminnet kan kopplas till en eller flera personer med hjälp av till exempel polis- eller försäkringsutredning. Det kan vara föraren, ägaren och även passagerare i bilen. Det är alltså fråga om behandling av personuppgifter som regleras av PuL. NÄSTA FRÅGA gällde vem som är personuppgiftsansvarig. Enligt PuL är det den som bestämmer ändamålet med och medlen för behandlingen och Saab betraktade sig som personuppgiftsansvarig. Datainspektionen ansåg att det visserligen är Saab som har bestämt ändamålet med och medlen för behandlingen, men däremot har Saab ingen rättslig eller faktisk möjlighet att förfoga över (till exempel ändra och radera) uppgifterna i den svarta lådan, eftersom det är bilens ägare som äger och förfogar över själva krockminnet. Det är först när Saabs inspektör samlar in uppgifterna efter en olycka, som man kan förfoga över dem och därmed bli personuppgiftsansvarig. Det betyder att Saab måste inhämta samtycke från bilens ägare och övriga inblandade personer innan uppgifterna hämtas från krockminnet (dnr ). OM BEHANDLINGEN ska kunna genomföras utan samtycke från förare, ägare och passagerare, krävs en reglering i författning motsvarande den som gäller för färdskrivare i vissa fordon. Eftersom också andra biltillverkare kan ha liknande utrustning installerad, skrev Datainspektionen till regeringen och uppmärksammade på att det kan finnas behov av lagstiftning på området. EN ANNAN FRÅGA, som ligger utanför Datainspektionens ansvarsområde, är polisens tillgång till uppgifterna i krockminnet. Enligt rättegångsbalken kan föremål tas i beslag om de kan antas ha betydelse för en brottsutredning. Krockminnet innehåller ju uppgifter om hur föraren har agerat vid en olycka och det kan ha betydelse vid en brottsutredning. Det betyder att polisen kan komma att ta den svarta lådan i beslag. Med tanke på det integritetsintrång detta innebär, anser Datainspektionen att det är önskvärt att den som köper en Saab tydligt informeras om möjligheten att registrera uppgifter om föraren. Detta är dock en konsumenträttslig fråga. 6 MAGAZIN DIREKT #1/2003

7 NYA SKRIFTER Datainspektionens årsredovisning 2002: PuL-inspektionerna fördubblades 2002 fördubblades antalet inspektioner enligt PuL och inkomna klagomål enligt PuL ökade med 50 procent. Även anmälningarna för förhandskontroll enligt PuL ökade med 50 procent. Det framgår av Datainspektionens årsredovisning för var det första året då PuL ensam reglerade integritetsskyddet när personuppgifter behandlas datalagen upphörde ju slutgiltigt den 1 oktober Det har naturligtvis påverkat verksamhetsresultatet som rapporteras i årsredovisningen för Antalet inspektioner enligt PuL fördubblades jämfört med 2001 och inkomna klagomål enligt PuL ökade med 50 procent. En stor del av klagomålen gällde direktadresserad reklam och personuppgifter på Internet. Även anmälningarna för förhandskontroll enligt PuL ökade med 50 procent. Systemet med personuppgiftsombud var fortsatt framgångsrikt. 888 personuppgiftsansvariga anmälde ombud under året, total har nu ansvariga anmält närmare personer som ombud en person kan vara ombud för flera uppdragsgivare. Informationsverksamheten har under året fokuserats på ombuden, bl.a. anordnades fjorton seminarier för ombuden runt om i landet. Branschöverenskommelser har inte varit samma succé. Hittills är bara två stycken klara; de har fungerat bra, men systemet passar inte alla branscher. Ytterligare ett par överenskommelser är under arbete, men det kräver en stor insats att ta fram en ny branschöverenskommelse, särskilt om den ska innehålla ett mervärde jämfört med PuL. Datainspektionens kunder använder e-post i allt högre utsträckning, under 2002 kom mejlfrågor, vilket kan jämföras med frågor under 2001 och frågor året därförinnan. Förfrågningar per telefon minskar i motsvarande mån. Datainspektionen är också tillsynsmyndighet enligt kreditupplysningslagen och inkassolagen. Antalet klagomål och inspektioner enligt de lagarna ligger på ungefär samma nivå som tidigare år. Under övergångstiden när datalagen och PuL gällde parallellt, hade Datainspektionen förhöjt anslag för att hantera den dubbla lagstiftningen. Nu dras det anslaget in och verksamheten ska rymmas i den tidigare trängre kostymen. Det är inte är någon lätt uppgift eftersom det är mer komplicerat att hantera PuL än de flesta trodde, skriver generaldirektör Ulf Widebäck i sin summering av året. Datainspektionens årsredovisning 2002 kan hämtas som PDF-fil på Den tryckta utgåvan är gratis och kan beställas på webbplatsen eller per telefon Tre nya skrifter ger vägledning om PuL En viktig uppgift för Datainspektionen är att ge råd och vägledning om hur PuL ska tolkas. Tre nya skrifter reder ut tre centrala begrepp: Gallring, Samtycke och Intresseavvägning. Hur länge får man spara personuppgifter? Enligt PuL får man inte spara personuppgifter längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Den nya skriften Hur länge får personuppgifter bevaras? ger vägledning och praktiska exempel bl.a. när det gäller kundregister, medlemsregister, elevregister och register för direktreklam. Samtycke är ett centralt begrepp i PuL, men vad innebär det i praktiken? I många fall är den registrerades samtycke en förutsättning för att personuppgifter ska få behandlas, men hur ska samtycket lämnas? Finns det olika slag av samtycke? Vem kan samtycka? Måste samtycket vara skriftligt? Kan det återkallas? Den nya skriften Samtycke enligt personuppgiftslagen besvarar de här frågorna och ger praktiska exempel på samtycke bl.a. i samband med forskning, inom arbetslivet, vid publicering på Internet, för abonnentupplysningar och inom ideella organisationer. Intresseavvägning enligt PuL. En huvudregel i PuL är att det enbart är tillåtet att behandla personuppgifter om den registrerade har lämnat sitt samtycke men det finns undantag från regeln. 10 räknar upp sex sådana situationer. Den sjätte punkten, 10 f, är en sorts generalklausul som säger att personuppgifter får behandlas utan samtycke om behandlingen är nödvändig för ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. Hur gör man en sådan intresseavvägning? En praxis håller på att utvecklas och i en ny skrift, Intresseavvägning enligt personuppgiftslagen, beskriver Datainspektionen begreppet och ger exempel på hur avvägningen kan göras inom marknadsföring och direktreklam, inom arbetslivet och när uppgifter publiceras på Internet. Skrifterna kan du hämta på Datainspektionens webbplats (som PDF-filer). Det finns också tryckta utgåvor som kostar 50 kr plus moms och kan beställas på webbplatsen eller per telefon MAGAZIN DIREKT #1/2003 7

8 Ska passagerardata lämnas ut till USA? Efter den 11 september vill tullen i USA ha direkt tillgång till flygbolagens uppgifter om passagerare till och från USA. Frågan är om EU:s dataskyddsdirektiv tillåter att de europeiska bolagen lämnar ut uppgifterna. TVÅ MÅNADER efter händelserna den 11 september 2001 antog USA en reviderad version av The Aviation and Transportation Security Act med en ny bestämmelse: Utländska flygbolag som trafikerar USA ska på begäran lämna ut passagerarlistor och bokningsinformation (Passenger Name Record, PNR) till tullen i USA. Uppgifterna ska lämnas ut på elektronisk väg. I maj 2002 antogs en annan lag, Enhanced Border Security and Visa Entry Reform Act, som innehåller krav på att PNR ska lämnas till immigrationsmyndigheten. Uppgifterna ska lagras i en central databas och kan komma att lämnas ut till andra federala organ. Vissa uppgifter kan komma att bli offentliga. Under 2002 fick fyra europeiska flygbolag en begäran om att elektroniskt lämna ut PNR: Air France, British Airways, Lufthansa och Iberia. De tillfrågade bolagen begärde anstånd med att koppla upp sig mot databasen i USA. FLYGBOLAGENS PNR kan se olika ut, normalt innehåller de passagerarnas namn, adress, resrutt, bokningsdatum och betalningssätt. Det kan också innehålla kontokortsnummer, e-postadress, arbetsplats, kontaktpersoner, tidigare bokningar, önskemål om specialmat eller medicinsk assistans m.m.. Det kan finnas datafält och ytterligare ett 40-tal underfält i flygbolagens bokningsregister. Av vissa önskemål om specialmat eller assistans kan 8 MAGAZIN DIREKT #1/2003

9 man dra slutsatser om passagerarens religion, etniska tillhörighet eller hälsa, vilket är känsliga uppgifter enligt EU:s dataskyddsdirektiv och PuL. NU UPPSTOD FRÅGAN om direktivet tillåter att de europeiska flygbolagen lämnar ut uppgifterna. I oktober 2002 yttrade sig den s.k. 29-gruppen, en arbetsgrupp som övervakar att direktivet tillämpas enhetligt inom EU. Gruppen ansåg att USA:s krav leder till problem med direktivet. Exempelvis kan inte skyddet för uppgifterna garanteras när de behandlas i USA. Det kan också bli svårt att ge sitt samtycke till behandlingen. Biljetter kan bokas överallt i världen och för att kunna lämna ett korrekt samtycke måste man ha tydlig information om hur uppgifterna ska användas. Det är dessutom oklart hur uppgifterna kommer att användas i USA och den som lämnar sitt samtycke måste veta vad det är han samtycker till. Gruppen ansåg att en gemensam hållning bör utarbetas centralt i EU, till exempel av kommissionen. I OKTOBER 2002 fick Datainspektionen en förfrågan från SAS, som visserligen inte hade fått någon begäran från USA-tullen, men i förväg ville informera sig om hur ett eventuellt utlämnande av PNR överensstämmer med PuL. I sitt svar (dnr ) skrev Datainspektionen att det är tveksamt om de grundläggande kraven i PuL är uppfyllda, där sägs att uppgifter inte får användas för andra ändamål än de har samlats in för. Dessutom kan man ifrågasätta skyddet för uppgifter som lämnas ut till USA. Svaret hänvisade också till 29-gruppens yttrande. Regeringen, som kan meddela undantag från PuL om det behövs med hänsyn till ett viktigt allmänt intresse, informerades om ärendet. I FEBRUARI 2003 träffades s.k. Senior Officials från EUkommissionen och USA-tullen för att söka en lösning på problemet. USA menade att man kunde samla in uppgifterna från biljetter och andra resedokument och genom att ställa frågor till passagerarna. Detta skulle dock ta tid och orsaka förseningar. Att överföra PNR on-line kunde närmast ses som en serviceåtgärd. Känsliga uppgifter skulle skyddas i särskild ordning. Diskussionen resulterade i ett gemensamt yttrande där USA-tullen gav vissa garantier för hur uppgifterna skulle hanteras. I gengäld förklarade sig EU-kommissionen beredd att med stöd av artikel 25 i dataskyddsdirektivet besluta att uppgifterna har ett adekvat skydd i USA och alltså får föras över dit. Alla EU-länder måste följa ett sådant beslut. I DEN STÅNDPUNKTEN instämde inte Europaparlamentet. I mars röstade man för en resolution (414 röster för, 44 emot och 11 nedlagda) där man ifrågasatte om kommissionen hade tillräckligt underlag för sin bedömning. Man beklagade det gemensamma yttrandet, som enligt parlamentet saknar rättslig grund. I resolutionen stod också att man bör överväga om ärendet ska föras vidare till EG-domstolen. Diskussionerna fortsätter. Alla fakta i artikeln finns dokumenterade. Länkar till dokumenten finns på i notisen den 24 mars Ska passagerardata lämnas ut till USA? Köpt samtycke var ogiltigt Skadestånd för felaktig betalningsanmärkning För första gången har en felaktig betalningsanmärkning lett till skadestånd. DOMAR Mannen fick kronor för att ta tillbaka sin polisanmälan för en kränkande publicering på Internet. Men domstolen ansåg att man inte kan lämna samtycke i efterhand och dömde den ansvarige till kronor i böter för brott mot PuL. Mannen var husfar på ett elevhem vid Lundsbergs privatskola. Efter en kontrovers med skolledningen han hade uttalat sig i pressen om vissa missförhållanden på skolan blev han omplacerad och snart därefter sjukskriven. Detta offentliggjordes i ett informationsbrev som sänds till elevernas föräldrar och tidigare elever. Brevet publicerades också på en öppen webbplats. Vid ett möte med representanter för skolan och facket begärde mannen att informationen skulle tas bort från webbplatsen. När uppgifterna var kvar efter två veckor, polisanmälde han saken. En tid senare slutade mannen sin anställning och fick avgångsvederlag. I ett tilläggsavtal lämnade han sitt samtycke till internetpubliceringen och lovade ta tillbaka polisanmälan. För detta fick han kronor i ersättning. Tingsrätten Kristinehamn ansåg emellertid att ett samtycke inte kan lämnas i efterhand och dömde ordföranden i skolans styrelse till 80 dagsböter om kronor för brott mot PuL (Mål B ). Domen har överklagats. A hade ett annuitetslån i Handelsbanken. Enligt hennes beräkningar var lånet slutbetalt Det tyckte inte banken och ansökte om betalningsföreläggande. A bestred kravet och stämde banken för att ha tagit ut för hög ränta. Tvisten pågick till slutet av år 2000, då hovrätten slog fast att banken hade rätt. Under tiden hade Upplysningscentralen UC registrerat i sitt kreditupplysningsregister att A hade betalningsanmärkning för en misskött kredit. Noteringen fanns kvar under tre år, , och medförde att A inte kunde ta nya lån eller krediter. A stämde UC för att ha skadat henne genom att registrera och lämna ut felaktiga uppgifter. Under den period som uppgifterna var registrerade kunde hon inte anses ha misskött skulden eftersom det varit tvist om den. Stockholms tingsrätt hänvisade i sin dom (T ) till kreditupplysningslagen som säger att en betalningsanmärkning bara får registreras om det finns en dom eller myndighetsbeslut. UC hade alltså lämnat ut en oriktig uppgift och dömdes att betala kronor i skadestånd. Det här är första gången som en felaktig betalningsanmärkning har lett till skadestånd. MAGAZIN DIREKT #1/2003 9