Departementspromemorian Domstolsdatalag (Ds 2013:10)

Transkript

1 2013 Yttrande Diarienr Ert diarienr Ju2013/1684/DOM Justitiedepartementet Enheten för processrätt och domstolsfrågor Stockholm Departementspromemorian Domstolsdatalag (Ds 2013:10) Datainspektionen har granskat förslaget till domstolsdatalag utifrån sin uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Sammanfattning Datainspektionen efterlyser en analys av de enskilda myndigheternas faktiska möjligheter att leva upp till de krav som ställs på personuppgiftsansvariga i bestämmelserna till skydd för den personliga integriteten. Utifrån denna analys bör man närmare överväga personuppgiftsansvarets placering. I det fortsatta lagstiftningsarbetet bör det närmare övervägas att i lagtexten tydliggöra att de primära ändamålen även omfattar vidarebehandling av personuppgifter för planering, uppföljning och utvärdering hos de enskilda myndigheterna. Datainspektionen anser att närmare föreskrifter om begräsningar i åtkomsten bör ges i förordning. Datainspektionen anser att behovet av en sekretessbestämmelse närmare bör övervägas. Inspektionen avstyrker 19 i dess nuvarande utformning. För att säkerställa ett i alla avseenden fullgott integritetsskydd anser Datainspektionen att behovet av mer detaljerade villkor för utlämnande på Postadress: Box 8114, Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: Webbplats: Telefax:

2 medium för automatiserad behandling bör övervägas i det fortsatta lagstiftningsarbetet. Datainspektionen avstyrker på förevarande underlag 20 andra stycket. Datainspektionen föreslår att bestämmelser om innehållet och sökbegränsningar i Allmänhetens datorer övervägs i det fortsatta lagstiftningsarbetet. Datainspektionen efterlyser en analys av behovet av särreglering avseende rättsfallsregister i den föreslagna domstolsdatalagen. Personuppgiftsansvar (avsnitt 9.1) Datainspektionen efterlyser en analys av de enskilda myndigheternas faktiska möjligheter att leva upp till de krav som ställs på personuppgiftsansvariga i bestämmelserna till skydd för den personliga integriteten, särskilt i fråga om säkerheten vid personuppgiftsbehandling (30 och 31 samt 32 första stycket personuppgiftslagen 1998:204). Utifrån denna analys bör man närmare överväga personuppgiftsansvarets placering. Utgångspunkten i 3 personuppgiftslagen är att den som bestämmer om varför en behandling av personuppgifter ska ske och hur den ska ske har ansvaret för behandlingen. I promemorian (s. 71) står det att, eftersom varje domstol är en egen myndighet som formellt sett använder sig av ett eget datorsystem i sin verksamhet, är det på ett principiellt plan varje enskild domstol som i det enskilda fallet ytterst har att bestämma vilka personuppgifter som ska registreras i respektive verksamhetsstöd och hur personuppgifter i övrigt ska behandlas. Det är Domstolsverket som utvecklar, lagrar uppgifter och delvis förvaltar domstolarnas verksamhetsstöd Vera. Domstolsverket styr således systemet. Ju mer styrande ett system är, desto mer bestäms av systemutvecklaren. RIF och den tekniska utvecklingen torde innebära att de enskilda myndigheterna i framtiden får än mindre faktiska möjligheter att påverka vilka uppgifter som ska behandlas vid den enskilda myndigheten. Däremot har varje myndighet en faktisk möjlighet att bestämma över den praktiska personuppgiftsbehandling som utförs. Utredningens förslag att placera det totala personuppgiftsansvaret på varje enskild myndighet överensstämmer inte helt med grundtanken att det är den som styr över behandlingen som också har ansvaret. Sida 2 av 10

3 Bestämmelser till skydd för den personliga integriteten vid personuppgiftsbehandling ställer höga krav på den personuppgiftsansvarige och dennes system samt förutsätter att den personuppgiftsansvarige har faktiska möjligheter att leva upp till kraven i bestämmelserna samt att efterkomma eventuella beslut från tillsynsmyndigheten. Utan sådana faktiska möjligheter för den personuppgiftsansvarige får bestämmelserna en begränsad betydelse för skyddet för den personliga integriteten. (Se Datainspektionens rapport 2012:1, Rättsväsendets informationsförsörjning och den personliga integriteten, s. 34 f. och s. 52 f.) Tillåtna ändamål (avsnitt 10.2) I det fortsatta lagstiftningsarbetet bör det närmare övervägas att i lagtexten tydliggöra att de primära ändamålen även omfattar vidarebehandling av personuppgifter för planering, uppföljning och utvärdering hos de enskilda myndigheterna. Av ordalydelsen i den föreslagna 6 framgår inte att de primära ändamålen även omfattar vidarebehandling av personuppgifter för planering, uppföljning och utvärdering hos de enskilda myndigheterna. Datainspektionen är medveten om Lagrådets uttalande att planering, uppföljning och utvärdering kan ses som en integrerad del av själva verksamheten. Såsom den föreslagna 6 är utformad är dock det förhållandet att detta omfattas av de primära ändamålen alltför otydligt för den enskilde. Ur ett integritetsperspektiv bör det vara tydligt för den enskilde för vilka ändamål som dennes personuppgifter får behandlas. Tillgången till personuppgifter (avsnitt 11.2) Datainspektionen anser att närmare föreskrifter om begräsningar i åtkomsten bör ges i förordning. Den föreslagna 8 är mycket vid i sin utformning. En sådan vid bestämmelse bör kompletteras med mer preciserade bestämmelser om tillgången till personuppgifter i förordningsform, vilket möjliggörs genom det föreslagna andra stycket i paragrafen. Enligt promemorian (s. 90) bör det vara domstolarnas uppgift att med stöd av Domstolsverket, utifrån respektive myndighets organisation och struktur, säkerställa att åtkomsten till personuppgifter begränsas i enlighet med bestämmelsen. Promemorian innehåller, förmodligen mot bakgrund av det sagda, inte någon analys av vilka bestämmelser som kan behövas. Det finns integritetsrisker med att överlåta till varje enskild domstol, även om stöd ges av Domstolsverket, att säkerställa Sida 3 av 10

4 att åtkomsten till personuppgifter begränsas i enlighet med bestämmelsen. Den enskilde bör åtnjuta samma integritetsskydd oavsett hos vilken domstol dennes personuppgifter behandlas. Begränsningar i åtkomsten till personuppgifter bör därför ur ett integritetsskyddsperspektiv i första hand ske i förordningsform. Sökning offentlighet och sekretess (avsnitt 13.3) Datainspektionen anser att behovet av en sekretessbestämmelse närmare bör övervägas. Promemorian innehåller inte någon analys av de konsekvenser för den personliga integriteten som ett utlämnande av en sammanställning av uppgifter som utförts med stöd av de föreslagna 14 och 15 kan innebära. På förevarande underlag går det därför inte att bedöma behovet av en sekretessbestämmelse. Utlämnande på medium för automatiserad behandling (avsnitt 14.2) Utlämnande i andra fall än som avses i 18 Inspektionen avstyrker 19 i dess nuvarande utformning. I promemorian (s.125) motiveras den förslagna bestämmelsen i 19 med att det framöver kan komma att bedömas nödvändigt att i vissa fall tillåta utlämnande av mer än enstaka personuppgifter i elektroniskt format till enskild. Det anges vidare att det också kan finnas behov av att anpassa regleringen när den tekniska utvecklingen går framåt och formerna för elektroniskt utlämnande förändras. Att regeringen eller den myndighet som regeringen bestämmer ges möjlighet att föreskriva att uppgifter får lämnas ut på medium för automatiserad behandling även i andra fall än de som anges i 18 innebär en möjlighet att i förordnings- och föreskriftsform, utan begränsningar, utvidga området för när utlämnande kan ske. En sådan utvidgning inskränker skyddet för den personliga integriteten ytterligare jämfört med vad den föreslagna 18 redan medger. Utgångspunkten är att personuppgiftsbehandlingar som innebär begränsningar i integritetsskyddet tillåts genom bestämmelser i lag (2 kap. 6 och 20 första stycket 2 regeringsformen). För att förebygga framtida behov att meddela ytterligare begränsningar i integritetsskyddet bör i första hand regleringen i den föreslagna 18 om tillåtna utlämnanden vara så uttömmande det är möjligt. Möjligheten att förskriva undantag från, det vill säga en utvidgning av, tillåtna utlämnanden bör enbart anförtros regeringen i förordningsform och då under förutsättning att det i en bestämmelse i Sida 4 av 10

5 domstolsdatalagen preciserat anges i vilka fall det kan finnas behov av att föreskriva undantag från den föreslagna 18. Behov av ytterligare integritetsskydd vid utlämnande på medium för automatiserad behandling För att säkerställa ett i alla avseenden fullgott integritetsskydd anser Datainspektionen att behovet av mer detaljerade villkor för utlämnande på medium för automatiserad behandling bör övervägas i det fortsatta lagstiftningsarbetet. Det kan förslagsvis göras genom en bestämmelse, enligt vilken regeringen eller den myndighet som regeringen bestämmer ges möjlighet att meddela föreskrifter om begränsning av utlämnande på medium för automatiserad behandling och säkerhet vid sådant utlämnande. En sådan bestämmelses förhållande till rätten till partsinsyn kan behöva belysas närmare. Utlämnande av vissa typer av uppgifter som i det enskilda fallet inte bedöms vara sekretessbelagda kan ändå ha ett personuppgiftsinnehåll som gör att det kan innebära en risk för kränkning av den personliga integriteten om uppgifterna sprids. Vissa typer av personuppgifter är mindre lämpliga för elektroniskt utlämnande. Eftersom det är fråga om att i många fall lämna ut känsliga personuppgifter, uppgifter om brott eller andra uppgifter av känslig karaktär, finns särskilda säkerhetsrisker vid ett elektroniskt utlämnande. Det är ur ett integritetsperspektiv inte tillräckligt att överlåta åt de enskilda myndigheterna att i varje enskilt fall bedöma vilka uppgifter som är mindre lämpliga för elektroniskt utlämnande. Den personuppgiftsansvarige ska vidta lämpliga tekniska åtgärder för att skydda de personuppgifter som behandlas och åtgärderna ska åstadkomma en lämplig säkerhetsnivå enligt 31 personuppgiftslagen. Ett utlämnande på medium för automatiserad behandling ska således hålla en lämplig säkerhetsnivå. Ur ett integritetsskyddsperspektiv är det önskvärt att ett sådant utlämnande håller en hög säkerhetsnivå och att denna nivå är densamma oavsett vilken myndighet som är ansvarig för utlämnandet. Direktåtkomst (avsnitt 14.3) Direktåtkomst för parter Datainspektionen avstyrker på förevarande underlag 20 andra stycket i den förslagna domstolsdatalagen enligt vilken en part och en parts ombud, biträde eller försvarare får ges direktåtkomst till personuppgifter i sitt mål eller Sida 5 av 10

6 ärende. Vi är inte övertygade om att intresset av att parter och ombud ges möjlighet till direktåtkomst till sitt mål eller ärende är proportionerligt i förhållande till den inskränkning i skyddet för den personliga integriteten som det innebär. Direktåtkomst för myndigheter som är parter innebär att många myndigheter skulle få tillgång till en betydande mängd personuppgifter. Även försvarare, ombud och biträden som ofta förekommer i domstolarna skulle få tillgång till stora mängder personuppgifter. Det rör sig i många fall av känsliga personuppgifter, uppgifter om brott eller andra typer av uppgifter som är av känslig karaktär. Av promemorian (s. 129) framgår att utredningen anser att det inte är meningsfullt att undanta känsliga personuppgifter från möjligheterna till direktåtkomst. Utredningen hänvisar till (s. 134 f.), när det gäller myndigheter, att det till största delen rör sig om personuppgifter som redan behandlas i myndigheternas system. Utredningen hänvisar vidare till att det genom rättsliga och tekniska begränsningar kan säkerställas att dessa myndigheter inte använder direktåtkomsten till att göra avancerade eller integritetskänsliga sammanställningar. Ju fler personuppgifter en direktåtkomst ger tillgång till och ju fler personer som får tillgång till uppgifterna, desto större är integritetsriskerna. Särskilt stora risker föreligger när åtkomst bereds till känsliga personuppgifter. I samband med att en direktåtkomst medges, sker en förhandsprövning av förutsättningarna för utlämnande av uppgifterna. Förhandsprövningen innehåller en sekretessbedömning innebärande att den personuppgiftsansvarige måste förutse vilka handlingar som kan komma att lämnas in i målet eller ärendet och vad dessa handlingar kan komma att innehålla. När en direktåtkomst väl är medgiven, har inte den personuppgiftsansvarige längre kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av. I detta sammanhang bör även påpekas att de uppgifter som mottagaren har direktåtkomst till, i normalfallet får anses utlämnade i offentlighets- och sekretesslagens mening. Vid en begäran om utlämnande hos mottagaren är det mottagaren som ska göra en sekretessprövning utifrån de sekretessregler som gäller för mottagaren. Olika stark sekretess kan råda hos utlämnaren och mottagaren. När en mottagare är en enskild part finns inte något sekretesskydd. Det sagda innebär stora integritetsrisker. Att i författningsform reglera åtkomstbegränsningar ger ett visst skydd för den personliga integriteten vid direktåtkomst. När det gäller åtkomstbegränsningar vid direktåtkomst för myndigheter torde det vara svårt att införa andra än generella begräsningar utifrån vad varje myndighet behöver för sin verksamhet. Som exempel kan anföras Åklagarmyndigheten Sida 6 av 10

7 som är part i majoriteten av brottmålen i de allmänna domstolarna. På Åklagarmyndigheten arbetar cirka 900 åklagare som företräder myndigheten i domstol. Det är vanligt att det inte är samma åklagare som ansöker om stämning som sedan för talan i tingsrätten. Det är vidare vanligt att det inte är samma åklagare som sedan för talan i hovrätten och i förekommande fall Högsta domstolen. Det sagda innebär att det är svårt att begränsa åtkomsten på individnivå. Liknande resonemang torde kunna föras beträffande exempelvis migrationsmålen, skattemålen och socialförsäkringsmålen i förvaltningsdomstolarna. Generella åtkomstbegräsningar på myndighetsnivå kan inte anses ge ett fullgott skydd för den personliga integriteten, särskilt eftersom det i många fall är fråga om känsliga uppgifter, uppgifter om brott och andra uppgifter av känslig karaktär. När det gäller enskilda parter anger utredningen (s. 134) att direktåtkomst till egna mål och ärenden i förvaltningsdomstolarna oftast bara ger tillgång till personuppgifter som avser den enskilde själv. Datainspektionen anser dock att det i flera olika måltyper ofta kan förekomma personuppgifter om fler personer än den enskilde själv. I exempelvis mål som avser vård enligt lagen (1990:52) om särskilda bestämmelser om vård av unga förekommer att utredningar innehåller uppgifter om släktingar till den unga, precis som i mål som avser vård enligt lagen (1991:1129) om rättspsykiatrisk vård eller lagen (1991:1128) om psykiatrisk tvångsvård. Även i tvistemål, exempelvis vårdnadsoch umgängesmål, förekommer handlingar som innehåller personuppgifter avseende andra än den enskilde själv. I brottmål är det mycket vanligt med fler än en tilltalad och fler än en målsägande. Det är även mycket vanligt med ett eller flera vittnen. Tilltalade och målsäganden kan genom direktåtkomst få tillgång till sådana personuppgifter avseende varandra och vittnen som de inte behöver för sin talan i målet (exempelvis kallelser till vittnen innehållande adresser). Datainspektionen anser sammanfattningsvis att parters direktåtkomst innebär stora integritetsrisker eftersom det i mål hos domstolarna ofta kan förekomma personuppgifter som avser andra än den enskilde parten själv. Utredningen pekar på (s. 135) att de personuppgiftsansvariga myndigheterna är generellt skyldiga att genom tekniska och organisatoriska åtgärder skydda de personuppgifter som behandlas och att innan en domstol eller nämnd medger någon utomstående direktåtkomst, bör den enskilda myndigheten därför utifrån rådande förhållanden bedöma om den datasäkerhet som kan åstadkommas vid direktåtkomst är tillräckligt hög. Det ställs i detta hänseende således höga krav på den personuppgiftsansvarige. En sådan säkerhetsbedömning måste ske i varje enskilt mål eller ärende. Dessutom måste den personuppgiftsansvarige löpande följa upp medgiven direktåtkomst. Ombud som byts ut och parter som återkallar sin talan ska Sida 7 av 10

8 fråntas sin direktåtkomst till målet eller ärendet. Efter att en dom eller beslut vunnit laga kraft, finns inte heller anledning att ha kvar direktåtkomsten. Mot denna bakgrund ställer sig Datainspektionen frågande till om en direktåtkomst för parter och ombud verkligen kan motiveras ur effektivitetssynpunkt. Eftersom den föreslagna domstolsdatalagen medger utlämnande på medium för automatiserad behandling till part, parts ombud, biträde eller försvarare, ställer sig Datainspektionen tveksam till dessas behov av direktåtkomst. Behovet av insyn i sitt mål eller ärende och behov av ökad tillgänglighet till domstolarna och nämnderna borde kunna tillgodoses genom ett säkert utlämnande på medium för automatiserad behandling. Allmänhetens terminaler Datainspektionen föreslår att bestämmelser om innehållet och sökbegränsningar i Allmänhetens terminaler övervägs i det fortsatta lagstiftningsarbetet. Allmänhetens terminaler möjliggör sökningar i verksamhetsregistret vid den myndighet där terminalen är belägen. I terminalen hos de allmänna domstolarna visas uppgifter såsom målnummer, vad saken rör (brottsrubricering och lagrum), aktörer, uppgifter om dom och beslut. Aktörer är de personer som är inblandade i processen såsom misstänkt, målsägande, vittne men också försvarare och åklagare. Misstänkt och målsägande finns redovisade med både namn och personnummer. Det som antecknats i diariet kan läsas. Det är möjligt att söka i systemet på olika sätt. Det går att söka dels direkt efter ett specifikt mål utifrån exempelvis målnumret. Det går också att söka efter en person utifrån namn och personnummer. Det är också möjligt att söka efter samtliga mål tillhörande viss brottsgrupp såsom exempelvis Brott mot person. Även avslutade mål är sökbara. Det finns inte någon legaldefinition av begreppet direktåtkomst men den vedertagna innebörden är att någon utomstående direkt får tillgång till att söka, sammanställa eller ta del av uppgifterna utan att kunna påverka innehållet. Dessutom innebär direktåtkomst att den utlämnande myndigheten inte har kontroll över vilka uppgifter mottagaren får del av. Åtkomsten kan däremot vara begränsad. Även om allmänhetens möjlighet att läsa elektroniskt lagrade offentliga uppgifter genom Allmänhetens terminal inte brukar betraktas som direktåtkomst, är det fråga om en direkt tillgång till personuppgifter hos de enskilda myndigheterna. Uppgifter om enskilda och sökmöjligheter utifrån Sida 8 av 10

9 uppgifter om enskilda personer måste stämma överens med reglerna till skydd för den personliga integriteten i den utsträckning som tillgången inte följer av offentlighetsprincipen. De enskilda myndigheternas uppgifter och sökmöjligheter i Allmänhetens terminal sträcker sig idag utöver vad som måste registreras enligt 5 kap. 2 offentlighets- och sekretesslagen gällande inkomna och upprättade handlingar och enligt 6 kap. 6 samma lag om serviceskyldighet vid automatiserad behandling. Polisens variant av Allmänhetens terminal är inte i bruk på grund av tekniska svårigheter. På åklagarkamrarna kan allmänheten få tillgång till verksamhetsregistret via Allmänhetens dator som visar ärendenummer och diarieföringsuppgifter. Även om det idag inte finns möjligheter att kartlägga enskilda personer genom att söka i system efter system hos myndigheterna i rättskedjan, kan vad som exponeras i Allmänhetens terminal ändå ha betydelse för den sammanlagda bilden när myndigheterna använder gemensam identitet på brottsmisstanken. Datainspektionen anser därför att integritetsriskerna för enskilda måste beaktas utifrån ett rättskedjeperspektiv när det gäller allmänhetens tillgång till personuppgifter genom Allmänhetens terminal. Att offentlighetsprincipen har företräde framför den föreslagna domstolsdatalagen och personuppgiftslagen innebär inte att det är möjligt att inskränka rätten till privatliv utöver vad som är direkt föreskrivet beträffande rätten att ta del av allmänna handlingar (se Förvaltningsrätten i Stockholm dom den 24 april 2012 i mål nr ). (Se Datainspektionens rapport 2012:1, Rättsväsendets informationsförsörjning och den personliga integriteten s. 41 f. och s. 57 f.) Rättsfallsregister Datainspektionen efterlyser en analys av behovet av särreglering avseende rättsfallsregister i den föreslagna domstolsdatalagen. Promemorian innehåller inte någon sådan analys. Det kan ur ett integritetsperspektiv finnas behov av särskilda bestämmelser avseende exempelvis registrets innehåll, sökbegränsningar och gallring. Enligt de nu gällande förordningarna om registerföring vid domstolarna och nämnderna får myndigheterna vid sidan av sina mål- och ärenderegister föra automatiserade rättsfallsregister för återsökning av vägledande avgöranden, rättsutredningar och liknande rättslig information. Ett sådant register får endast innehålla de uppgifter som anges i en detaljerad bilaga till förordningarna. Sida 9 av 10

10 Datainspektionen konstaterar att rättsfallsregister kommer att falla inom ramen för tillämpningsområdet för den föreslagna domstolsdatalagen. I lagen finns inga särskilda bestämmelser som avser rättsfallsregister. Datainspektionen har, efter lagens ikraftträdande, att inom ramen för sin tillsynsverksamhet kontrollera att de enskilda myndigheterna tillämpar den föreslagna domstolsdatalagens integritetsskyddsregler även på rättsfallsregister. Rättsfallsregister innebär enligt inspektionens mening vissa integritetsrisker och därför kan det finnas behov av skyddsbestämmelser i lag. En risk är förekomsten av lokala variationer av registret hos de enskilda myndigheterna. Variationer i registrens innehåll, sökmöjligheter och gallring innebär olika integritetsrisker hos olika myndigheter. Utgångspunkten bör vara att integritetsskyddet är detsamma oavsett vilken myndighet som behandlar personuppgifterna. En annan integritetsrisk är det förhållandet att en automatiserad samling rättsfall i brottmål kan betraktas som en variant av belastningsregistret, i vart fall om sökning på personnummer eller namn är möjlig. Rättsfallen får bevaras så länge det är nödvändigt med hänsyn till ändamålet med behandlingen (4 första stycket 3 den föreslagna domstolsdatalagen och 9 första stycket i) personuppgiftslagen). I en rättsfallssamling, som bland annat motiveras av enhetlig rättstillämpning, finns ett naturligt behov av att bevara rättsfall under lång tid. Risken att rättsfallen sparas längre tid än de avsnitt de genererat avseende respektive tilltalad i belastningsregistret är stor, vilket innebär stora integritetsrisker, särskilt mot bakgrund av allmänhetens rätt att ta del av allmänna handlingar. Detta yttrande har beslutats av tillförordnade generaldirektören Hans-Olof Lindblom i närvaro av tillsynschefen Britt-Marie Wester och juristen Cecilia Bergman, föredragande. Hans-Olof Lindblom Cecilia Bergman Bilaga Datainspektionens rapport 2012:1, Rättsväsendets informationsförsörjning och den personliga integriteten Sida 10 av 10