FRÅN DATAINSPEKTIONEN #3/2001 ORO FÖR UTLÄMNADE UPPGIFTER

Transkript

1 FRÅN DATAINSPEKTIONEN #3/2001 Vad händer dagen PuL? OLIKA OM KAMERAÖVERVAKNING I DE NORDISKA LÄNDERNA BEHANDLAS KAMERAÖVERVAKNINGEN OLIKA. RAPPORT FRÅN DET NORDISKA DATACHEFSMÖTET. SID 6 ORO FÖR UTLÄMNADE UPPGIFTER MÅNGA KÄNNER OBEHAG OCH VISSA KÄNNER SIG HOTADE NÄR NAMN, HEMADRESS OCH PERSONNUMMER LÄMNAS UT. SID 8 VÄGLEDANDE DOMAR REGERINGSRÄTTEN, HÖGSTA DOMSTOLEN, KAMMARRÄTT OCH LÄNSRÄTT HAR AVGJORT MAGAZIN DIREKT #3/ PRINCIPIELLT INTRESSANTA MÅL. SID 10

2 Den 1 oktober börjar den nya personuppgiftslagen (PuL) att gälla fullt ut. Du som har kunnat tillämpa den gamla datalagen under övergångstiden på tre år måste nu vara klar med anpassningen till den nya lagen. Men du kan ta det lugnt! Normalt innebär inte övergången något dramatiskt. Några punkter måste du dock kolla upp. Vad händer dagen PuL? PERSONUPPGIFTSLAGEN BÖRJADE GÄLLA den 24 oktober 1998, men hittills har den bara gällt behandlingar av personuppgifter som påbörjats efter den dagen. Alla äldre register från datalagstiden har reglerats av datalagen även under övergångstiden. Men den 1 oktober 2001 är övergångstiden slut och personuppgiftslagen slår igenom på allvar. När datalagen slutgiltigt upphör att gälla betyder det också att Datainspektionens föreskrifter som har utfärdats med stöd av datalagen samtidigt upphör att gälla. Samma sak gäller för alla licenser och tillståndsbeslut enligt datalagen. I stället måste du som är personuppgiftsansvarig (se informationsbladet Personuppgiftsansvar ) självständigt se till att du får fortsätta behandla personuppgifter enligt PuL. Se här en enkel checklista: Är behandlingen tillåten enligt PuL? (se integritetstrappan på nästa sida) 2 MAGAZIN DIREKT #3/2001

3 Behöver jag informera de registrerade? (Datainspektionen har givit ut allmänna råd om detta) Behöver jag hämta in de registrerades samtycke? (se de allmänna råden om information) Uppfyller säkerheten kraven i PuL? (Datainspektionen har givit ut allmänna råd om detta) Det finns också en skyldighet i PuL att man ska anmäla sina behandlingar av personuppgifter till Datainspektionen, men det är långt ifrån alla behandlingar som faktiskt behöver anmälas. Det finns en lång rad undantag från anmälningsskyldigheten, både i lag, förordning och författning. Undantagen finns listade i Datainspektionens faktablad Anmälan och förhandskontroll. En anmälan innebär inte att inspektionen gör en prövning av om behandlingen är tillåten enligt PuL den bedömningen får du göra själv. I stället fungerar anmälan som ett offentliggörande av att en viss behandling av personuppgifter ska påbörjas. Anmälningarna förs upp på en lista som är offentlig. TERMEN BEHANDLING AV PERSONUPPGIFTER är en nyhet i PuL datalagen reglerade ju personregister. Med behandling menas alla typer av helt eller delvis automatiserad hantering, t.ex. insamling, bearbetning, lagring och överföring av personuppgifter. Uttrycket behandling är bredare än register och det medför att PuL omfattar ett större område än vad datalagen gjorde. Exempelvis gäller bestämmelserna i PuL även när man behandlar personuppgifter i löpande text. Så har det inte varit förut eftersom löpande text ju inte är ett register. Även vissa manuella register omfattas av PuL. För manuella register från datalagstiden är dock övergångstiden lång ända till Om du ska påbörja en ny behandling av personuppgifter är det viktigt att du i förväg tänker över för vilket ändamål du vill göra behandlingen. Du får nämligen inte behandla uppgifterna i strid med ändamålet och du kan inte utan vidare ändra ändamålet i efterhand. Om du t.ex. har samlat in uppgifter med ändamålet att administrera en förening, kan du inte utan vidare använda medlemsregistret för att sända ut direktreklam om du ska utvidga ändamålet, måste du fråga medlemmarna först. Om du har ett datalagsregister som nu blir ett PuL-register får inte ändamålet ändras utan de registrerades godkännande. Varje företag, myndighet, organisation eller motsvarande som vill behandla personuppgifter måste självständigt se till att följa bestämmelserna i PuL. I lagen anges när det är tillåtet att behandla personuppgifter och Datainspektionen ger inte längre tillstånd för olika register. De personuppgiftsansvariga följer alltså lagen på eget ansvar. EN GENOMGÅENDE PRINCIP i PuL är att det nästan alltid är tillåtet att behandla personuppgifter om den registrerade personen själv ger sitt samtycke till det. Detta betyder dock inte att samtycke är den enda förutsättningen för att få behandla personuppgifter. Det finns gott om situationer när man kan behandla personuppgifter utan att den enskilde har samtyckt, t.ex. i en avtalssituation, vid myndighetsutövning, på grund av allmänt intresse, efter en intresseavvägning, m.m. En förutsättning för att den enskilde ska kunna samtycka är förstås att han eller hon har fått tillräcklig information om den planerade behandlingen. Men även när samtycke inte behövs krävs tydlig information om varför och hur personuppgifterna ska behandlas. Integritetstrappan Hur ska du kunna veta om en viss behandling av personuppgifter är tillåten? Ett sätt att hitta rätt bland bestämmelserna i PuL är att ta hjälp av integritetstrappan, en lathund för hur PuL kan tillämpas. Reglerna är enkla; du börjar längst ner och du kan inte hoppa över något trappsteg. Kontrollera lagligheten med hjälp av integritetstrappan! Första steget innebär att du kontrollerar att den behandling du planerar uppfyller de grundläggande kraven i 9 PuL. Bestämmelsen innehåller bland annat krav på att ändamålet ska vara bestämt och att man bara får behandla personuppgifter som är korrekta och relevanta i förhållande till ändamålet. Därefter går du vidare och kontrollerar att behandlingen verkligen är tillåten. I 10 PuL anges att det är tillåtet att behandla personuppgifter till exempel när den enskilde har samtyckt eller när behandlingen krävs för att kunna uppfylla ett avtal eller för att kunna utföra en arbetsuppgift av allmänt intresse. Det finns också en regel som säger att behandlingen är tillåten om ditt intresse av att behandla personuppgifterna är starkare än den registrerades intresse av integritetsskydd. Om det är känsliga uppgifter som ska behandlas så finns särskilda bestämmelser som reglerar när detta är tillåtet. MAGAZIN DIREKT #3/2001 3

4 I 22 PuL finns en särskild bestämmelse som talar om när man får registrera personnummer. Och slutligen finns särskilda regler för överföring av personuppgifter till tredje land, t.ex. via Internet. Observera att det inte alls, som vissa tidningar har påstått, är förbjudet att publicera personuppgifter på Internet utan den registrerades samtycke. Det finns en rad undantag, se t.ex. informationsbladet Personuppgifter och Internet. Om du dessutom kan hävda att uppgifterna är av allmänt intresse och att du bedriver journalistisk verksamhet, är reglerna än mer generösa då behöver du bara följa säkerhetsbestämmelserna i lagen. Datainspektionen har givit ut ett informationsblad Övergången till personuppgiftslagen med en checklista över allt du behöver tänka på Dagen PuL. Alla skrifter och informationsblad som nämns i texten (även lagtexten) kan kostnadsfritt hämtas på Allt material finns också i tryckt version och kan beställas via webben eller per telefon Informationsbladen är gratis, de allmänna råden kostar 50:- Polisens spaningsregister fick två års andrum Det sitter en utredning och jobbar med frågan om fler polisregister behöver lagstöd, och jag vet att många poliser hoppas att Asp (Allmänna spaningsregistret) ska kunna räddas med en ny lag. Det sade Åke Sundgren, personuppgiftsombud vid Polismyndigheten i Stockholms län i en intervju i DIrekt 4/00. Räddningsarbete pågår. Asp förs idag enligt datalagen med Datainspektionens tillstånd. PuL är mer restriktiv när det gäller behandling av känsliga uppgifter och delar av Asp kan inte föras enligt PuL. Polisdatautredningen anser att Asp och vissa andra datalagsregister är viktiga och inte får stoppas den 1 oktober; man vill ha mer tid på sig att analysera läget och eventuellt föreslå lagändringar. Utredningen begärde därför hos regeringen att vissa polisregister inte ska beröras av dagen PuL utan få föras på oförändrade villkor under ytterligare två år. Regeringen lade en proposition (2000/01:91) och i maj beslöt riksdagen att övergångsreglerna i polisdatalagen ska ändras när det gäller polisregister som den 24 oktober 1998 fördes med Datainspektionens tillstånd. För dessa ska tillståndet fortsätta att gälla till och med den 31 december Detta är ett unikt undantag från övergångsbestämmelserna i PuL. Myndigheter får behandla känsliga uppgifter i löpande text En av de stora skillnaderna mellan datalagen och PuL är att datalagen enbart reglerar personregister medan PuL också omfattar personuppgifter i löpande text. I vissa ärenden kan myndigheter behöva hantera känsliga uppgifter i löpande text. För att inte verksamheten ska lamslås den 1 oktober, har nu personuppgiftsförordningen, PuF, (SFS 1998:1191) kompletterats. I SFS 2001:582 införs en ny 8 :... får känsliga personuppgifter behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Ändringen träder i kraft den 1 oktober. De viktigaste skillnaderna mellan datalagen och PuL Datalagen Datainspektionens uppgifter förändras Tillstånd Licens Rådgivning Information Tillsyn Från tillstånd till självständig bedömning Tillstånd Eget ansvar Ändamål Grundläggande krav (9 ) Innehåll Tillåtet? (10 m.fl.) Information Information Gallring Säkerhet Säkerhet Från register till behandling Personregister Enbart ADB Inte löpande text Lagring krävs Vem är ansvarig? Behandling, även Manuella register Löpande text Ljud och bilder Registeransvarig Personuppgiftsansvarig Den för vars verksamhet Den som bestämmer registret förs och som ändamål och medel förfogar över registret för behandlingen Känsliga personuppgifter Sjukdoms- och hälsouppgifter Politik & religion Omdömen & värderingar Brottsuppgift Tvångsvård m.m. IT-säkerhet PuL Hälsa & sexualliv Ras, etniskt ursprung Politik, religion & filosofi Medlemskap i fackförening (Brottsuppgift får bara myndighet behandla) Föreskrifter i tillstånd Eget ansvar Integritetsklasser Egna analyser Allmänna råd och bedömningar Risker, känslighet Organisation Allmänna råd 4 MAGAZIN DIREKT #3/2001

5 KORTFATTAT Allt fler utser personuppgiftsombud Sedan PuL infördes 1998 har allt fler företag, myndigheter och organisationer utsett personuppgiftsombud. Den 1 september hade personuppgiftsansvariga utsett totalt fysiska personer till personuppgiftsombud i sin verksamhet. Att det är färre personer än verksamheter beror på att samma person kan vara ombud för flera uppdragsgivare. Det är frivilligt att utse ett personuppgiftsombud. Tanken är att ombudet ska vara en tillgång för den personuppgiftsansvarige när det gäller integritetsskydd när personuppgifter behandlas. Ombudet har bl.a. till uppgift att kontrollera den personuppgiftsansvariges behandling av personuppgifter, att föra förteckning över behandlingar och hjälpa registrerade att få rättelse. Vid behov ska ombudet samråda med Datainspektionen. Den personuppgiftsansvarige har alltid det yttersta ansvaret för all behandling även om han har utsett ett personuppgiftsombud. Mer information finns i Datainspektionens informationsskrift Personuppgiftsombudet som du kan hämta på Den tryckta utgåvan kostar 50:- och kan beställas via webben eller per telefon Läs också intervjuer med ombud i magazin DIrekt som finns på webben: I nr 1/00 sidan 5, nr 2/00 sidan 2, nr 4/00 sidan 2 och nr 1/01 sidan 2. På en konferens som Datainspektionen anordnade i våras berättade tre personuppgiftsombud om sina uppdrag. För två av dem tar uppdraget som personuppgiftsombud cirka 5 % av arbetstiden i anspråk. Dokumentation från konferensen finns på webbplatsen. För att hjälpa både nya och mer erfarna personuppgiftsombud anordnar Datainspektionen regelbundet heldagsseminarier. Deltagarantalet begränsas till 25 personer för att alla ska hinna ventilera sina speciella problem. Seminarierna är mycket populära och blir snabbt fulltecknade. Under hösten har tre extraseminarier på grundnivå satts in, men även dessa är redan fullbokade. Inspektionen har inte resurser att lägga in fler seminarier under hösten, så intresserade får inrikta sig på återbudsplatser eller se till att vara tidigt ute inför vårens seminarier. Program finns på webbplatsen under rubriken Personuppgiftsombud. Ombuden har en särskild kontaktperson på Datainspektionen, Kristina Blomberg, kristina.blomberg@datainspektionen.se eller Alla vill ha missbrukslag I våras gjorde Justitiedepartementet en utvärdering av det EG-direktiv som ligger till grund för PuL. Man sände en enkät till 109 myndigheter, organisationer och företag. Allmänheten inbjöds också att besvara enkäten via Internet. Ca 80 svar kom in och övervägande delen var negativa till direktivet, som ansågs vara svårt att tillämpa och tolka. 67 svar kom in på frågan om man skulle föredra en missbruksmodell i stället för dagens hanteringsmodell som reglerar hur personuppgifter får användas. 54 var positiva till en missbruksmodell, en (!) var negativ och 12 neutrala. Nu har enkätresultaten sammanställts i departementspromemorian Ds 2001:27, EG-direktivet om personuppgifter en offentlig utvärdering. Promemorian, som också innehåller en skiss till missbruksmodell av direktivet som regeringen vill driva inom EU, kan hämtas på Resultatet av enkäten diskuteras i en samrådsgrupp med riksdagspartierna. Reklam är inget skäl att lämna ut uppgifter Kammarrätten i Sundsvall har prövat ett fall av intresseavvägning enligt paragraf 10 f i PuL. Det gällde ett företag, Mecenat AB, som begärde ut Centrala Studiestödsnämndens (CSN) register över studenter på universitet och högskolor. Man ville ha listor med namn och adresser för att kunna skicka ut ett erbjudande om rabatter hos ett antal företag. CSN beslutade med stöd av paragraf 7:16 i sekretesslagen (personuppgifter får inte lämnas ut om det kan antas att de kommer att behandlas i strid med PuL) att inte lämna ut de begärda uppgifterna. Man ansåg att de registrerades intresse av skydd för den personliga integriteten vägde tyngre än bolagets intresse av att distribuera rabattkort och därmed marknadsföra ett okänt antal företags tjänster och produkter. Med det resonemanget kan inte undantaget i paragraf 10 f PuL tillämpas och därmed skulle en behandling av uppgifterna strida mot PuL. Bolaget överklagade. Kammarrätten instämde med CSN och avslog överklagandet (Mål nr ). Datainspektionen granskar Schengenregister Datainspektionen har påbörjat en granskning Schengens Informationssystem (SIS). Tillsynen har inletts med inspektioner av polisens gränskontroller vid Arlanda flygplats och i Ystad samt kustbevakningen i Simrishamn. SIS är det gemensamma datoriserade informationssystem som finns för att den fria rörligheten inom Schengen inte ska öppna för ökad internationell brottslighet. Rikspolisstyrelsen (RPS) ansvarar för behandlingen av personuppgifterna i den svenska delen av SIS och även där har Datainspektionen gjort inledande inspektioner. Om du vill veta vad som finns registrerat om dig ska du vända dig till RPS, Box 12256, Stockholm. Vissa uppgifter kan vara sekretessbelagda. Datainspektionen är nationell tillsynsmyndighet enligt Schengenkonventionen. Det innebär att Datainspektionen ska kontrollera att behandlingen sker på ett korrekt sätt enligt lagen (2000:344) om Schengens informationssystem. Frågor och svar om SIS finner du på Kunskapsbanken; Frågor och svar; SIS eller Schengensamarbetet. MAGAZIN DIREKT #3/2001 5

6 Norska Datatilsynet har det. Isländska Persónuvernd får det snart. Danska Datatilsynet och svenska Datainspektionen har det inte, men kan bakvägen få en del av det. Det handlar om tillsynsansvaret för det kanske mest integritetskänsliga området av alla kameraövervakning. Att samla bilder från digitala kameror kan bli en PuL-fråga. Ämnet diskuterades när de nordiska dataskyddscheferna träffades i isländska Húsavík i slutet av augusti. Nordiskt datachefsmöte: Olika regler för känsligaste området DE VÄRSTA FALLEN av integritetsintrång jag har sett har varit i samband med kameraövervakning. Det är Knut-Brede Kaspersen, sektionschef på norska Datatilsynet, som berättar. Handlarn på en liten ort hade en övervakningskamera i butiken och videofilmade en kvinna och ett barn som tog en vara och gick sin väg utan att betala. För att identifiera snattarna spelade han gång på gång upp sekvensen på en TV-skärm i butiken. De blev snart identifierade och stämplade som snattare i hela byn. Senare visade sig att det inte var fråga om snatteri de hade lov av kassörskan att ta varan i utbyte mot en annan. Men då var skadan redan skedd. Ett annat exempel: Det hade varit stölder i damernas omklädningsrum i idrottshallen. En entreprenör riggade upp en dold kamera och videofilmade. I NORGE FINNS REGLER för kameraövervakning inskrivna i personopplysningsloven, och Datatilsynet har tillsynsansvaret. En liknande regel är på väg in i Islands personuppgiftslag. Också här i Island har vi haft problem med integritetsintrång vid kameraövervakning, säger Sigrún Jóhannesdóttir, direktör för Persónuvernd, den isländska datainspektionen. Varje år har vi här på Island en stor fest, Verslunarmannahelgin, där folk drikker sig fra vid og sans og bruker adskillige stoffer. Där är mycket våld, misshandel och våldtäkter. Nu finns ett förslag att kameraövervaka området. Inte bara med vanliga kameror, utan också med infrarödkameror så att man kan se vad som försiggår inuti tälten. Än så länge är det inte vårt bord, men när nu lagen ändras så att vi får ansvaret måste vi diskutera var gränserna ska gå och sedan gå ut med rådgivning. Hur mycket av sin integritet är folk beredda att offra för att få bättre säkerhet? Och hur ska vi kunna veta vad som är allmänt accepterat? Räcker det med att sätta upp anslag som talar om att området är övervakat och anse att den som inte säger ifrån har samtyckt? På flygplatsen pågår t.ex. försök med s.k. face-it edb, ett system där kameraövervakning kombineras med mönsterigenkänning så att vissa ansikten kan identifieras. HUR EFFEKTIV är kameraövervakning? I Norge har Polishögskolan utvärderat en försöksverksamhet i rapporten Politiets fjernsynsovervåking ved Oslo Sentralstation en evaluering av kameraenes efekt på kriminalitet og ordensproblemer. Under några månader kameraövervakades ett område i Oslo där det är mycket kriminalitet, Karl Johann i närheten av centralstationen. Resultatet blev att brottsligheten i området inte minskade, men däremot ökade antalet uppklarade fall. I SVERIGE OCH DANMARK regleras kameraövervakningen i egna lagar, i Sverige är länsstyrelserna tillstånds- och tillsynsmyndigheter. Men en bild räknas som personuppgift, och nu kommer de digitala kamerorna på bred front. Att hantera sådana bilder kan vara behandling av personuppgift som faller under PuL. Ett färskt exempel är kamerorna för hastighetsövervakning som polisen tog i drift i somras. De kamerorna är digitala och då krävdes förhandsbesked enligt PuL. Nu ska kameraövervakningen i Sverige utredas. Direktiv för utredningen, Utvärdering av lagen om allmän kameraövervakning m.m. Dir. 2001:53 kom i juni och utredaren ska bl.a. fundera över hur och om PuL ska tillämpas på kameraövervakning. I FINLAND, SLUTLIGEN, finns varken en separat lag för kameraövervakning eller någon regel i personuppgiftslagen. Vi tycker inte att det behövs särskilda regler för övervakningskameror, säger Finlands Dataombudsman Reijo Aarnio. Bilder är personuppgifter och då gäller personuppgiftslagen. EN NY FRÅGA för alla de nordiska länderna är SIS, Schengens informationssystem. Det är polisen i de olika länderna som har hand om systemet och ska hantera de registrerades tillgång till 6 MAGAZIN DIREKT #3/2001

7 uppgifter om sig själv. SIS är ju ett spaningsregister, så uppgifter som kan störa polisens spaning lämnas inte ut. Även en uppgift om att man inte är registrerad kan störa spaningsarbetet. Den som inte får ut sina uppgifter kan klaga. Det enda klagomålet hittills i Norden är danskt, och i Danmark överklagas polisens beslut till Datatilsynet. Vart man ska överklaga i Sverige beror på hur utdraget har begärts ut: om det är en begäran enligt offentlighetsprincipen ska beslutet överklagas i domstol; om det är en begäran enligt PuL ska den klagande vända sig till Datainspektionen. En komplikation är att en person som vägras utdrag i ett land kan vända sig till ett annat. Då gäller det att reglerna är lika så att beskedet blir likadant. Olika åsikter om vad som är privat I alla de nordiska ländernas personuppgiftslagar finns en regel som säger att lagen inte gäller behandlingar av rent privat natur. Men när det gäller publicering på Internet går åsikterna isär om vad som är privat. Sverige tillämpar samma definition som på datalagstiden, dvs. privat är något man gör hemma på kammarn och möjligen visar för någon god vän. Typexempel är dagböcker, anteckningar, telefonlistor och liknande. Det som publiceras på Internet är offentliggjort och inte längre privat. Därmed gäller PuL för t.ex. dagböcker på nätet. I de övriga nordiska länderna anser man att en personlig webbplats är privat område och därmed undantagen från personuppgiftslagen. Däremot gäller andra lagar om t.ex. ärekränkning, förtal och hets mot folkgrupp, så man får inte skriva vad som helst bara för att webbplatsen är privat. Sverige saknar något som de övriga nordiska länderna har, nämligen en lag som skyddar privatlivets fred säger Ulf Widebäck, Datainspektionens generaldirektör. Förhållandena är alltså annorlunda här, men trots det har jag svårt att se att något som kan läsas av miljoner människor ska kunna räknas som helt privat. Vår inställning i den här frågan ger oss en massa extra tillsynsarbete, men det får vi ta. Nu finns dock tecken på att internetfolket själva börja få upp ögonen för att cyberspace inte är helt privat. Se krönikan Det finns någon därute på baksidan. MAGAZIN DIREKT #3/2001 7

8 Utlämnade uppgifter oroar Med stöd av offentlighetsprincipen kan vem som helst få ut hemadress, hemtelefonnummer och personnummer för offentliganställda och många andra. Bara i extrema undantagsfall skyddas uppgifterna av sekretess. Många känner obehag och vissa känner sig hotade. TVÅ NAZISTER åtalades nyligen för att ha samlat in uppgifter om personer: invandrare, vänstermänniskor, journalister, åklagare m.fl. Personnummer, adresser, ibland bilder. Mycket var hämtat ur offentliga register. EN MORDDÖMD NAZIST har i fängelset samlat in offentliga uppgifter för att kartlägga poliser och kriminalvårdare. Vissa uppgifter har publicerats på en nazistisk webbsida. EN FELPARKERARE i Helsingborg hänvisade till offentlighetsprincipen och begärde ut namn och personnummer på parkeringsvakten som hade lappat hans bil. Kommunen ansåg att eftersom en parkeringsvakt i sitt arbete utsätts för okvädningsord och hot om våld skulle inte uppgifterna lämnas ut. Man hänvisade till sekretesslagen 7:11 (det kan antas att personen eller närstående utsätts för våld eller allvarligt men om uppgiften röjs). Men felparkeraren överklagade beslutet och kammarrätten ålade kommunen att lämna ut parkeringsvaktens namn. ORDNINGSVAKTER som har genomgått en viss utbildning och är godkända av polisen bär en legitimation, en vaktbricka. Brickan har ett nummer graverat på framsidan, numret och uppgifter om vakten finns registrerat i polisens ordningsvaktsregister ORVAR. Enligt tidningsintervjuer utsätts vakterna nu för en ny form av hotelse: Personer som avvisas bryter inte ut i hot och tillmälen utan går lugnt fram och antecknar numret på brickan. Signalen är tydlig: Nu kan jag ta reda på vem du är och var du bor! En av de intervjuade tänkte sluta som vakt, han ville inte utsätta sin familj för sådana risker. Se där några exempel på grupper av personer som tycker att det är obehagligt att deras uppgifter finns tillgängliga i offentliga register. Men obehaget finns också i mer harmlösa sammanhang, t.ex. när någon begärde ut samtliga uppgifter om alla anställda på Datainspektionen eller i det uppmärksammade fallet när GP begärde ut uppgifter om 2000 tjänstemän och politiker i Göteborg (se nästa sida). 8 MAGAZIN DIREKT #3/2001

9 GP vs Göteborgs kommun Grälet mellan Göteborgs-Posten (GP) och Göteborgs kommunstyrelse har pågått nära ett år. Här är turerna: GP begär enligt offentlighetsprincipen ut personnummer, hemadress, hemtelefonnummer, lön, m.m. för tjänstemän och politiker i kommunen Kommunen avslår begäran med hänvisning till 7:16 sekretesslagen (personuppgifter får inte lämnas ut om det kan antas att mottagaren kommer att behandla uppgifterna i strid med PuL). Kommunen anser inte att undantaget i PuL för journalistiska ändamål är tillämpligt GP överklagar. I ett yttrade till kammarrätten (dnr ) skriver Datainspektionen att uppgifterna bör lämnas ut enligt undantagsbestämmelserna i 7 PuL (tryckfrihetsförordningen alternativt journalistiska ändamål) Kammarrätten upphäver kommunens beslut och skriver i sin dom (mål nr ) att de begärda uppgifterna ska lämnas ut om sekretess inte föreligger på annan grund än 7:16 sekretesslagen Kommunen lämnar ut de begärda uppgifterna med undantag av tjänsteförmåner och anställningstid, men bara för 800 av de personerna. För 90 personer inom socialtjänsten samt hälso- och sjukvården har personnummer, hemadress och hemtelefonnummer sekretessbelagts enligt 7:11 sekretesslagen (det kan antas att personen eller närstående utsätts för våld eller allvarligt men om uppgiften röjs). Övriga ca personer hade inte kunnat identifieras eftersom ansökan var baserad på namn medan kommunens personaladministrativa register där personer finns registrerade har personnummer som sökbegrepp. Bl.a. har stavning, initialer, och flera personer med samma namn vållat problem GP överklagar utlämningsbeslutet och vill ha ut alla uppgifter I sin dom (mål nr ) anser kammarrätten att det är rimligt att kommunstyrelsen ska kunna ta fram de begärda uppgifterna. När det gäller personal inom sjuk- och hälsovård samt socialtjänsten bör sekretessen prövas på individnivå. Vidare skriver kammarrätten att den som begär utlämnande av allmän handling bör kunna utgå från att ett personaladministrativt register hos en kommun är fullständigt och korrekt. Det har skrivits mängder av debattinlägg som finns på Göteborgs webbsajt Sök på personnummerfrågan eller integritet. Där finns också länkar till domar, beslut, överklaganden och yttranden. NYA SKRIFTER Reviderade råd om inkasso Det har kommit en ny omarbetad upplaga av Datainspektionens allmänna råd om tillämpning av inkassolagen. Råden ger inspektionens syn på vad som menas med god inkassosed. Den viktigaste ändringen är att det har kommit ny lagstiftning som gäller vid indrivning av elavgifter och hot om avstängning av elleverans. Råden kan hämtas på Den tryckta versionen kostar 100:- och kan beställas via webben eller per telefon Känsliga personuppgifter i forskningen Forskare behöver ofta registrera känsliga personuppgifter. Vad säger PuL om det? Vilken roll spelar de forskningsetiska kommittéerna? När behövs samtycke? När behöver man göra förhandsanmälan till Datainspektionen? De viktigaste svaren på de frågorna finns nu samlade på ett informationsblad PuL och känsliga personuppgifter i forskningen som kan hämtas på En tryckt version kan beställas via webben eller per telefon Personuppgifter i arbetslivet Hur får personuppgifter behandlas i arbetslivet? Vad får arbetsgivaren registrera utan den anställdes samtycke? Hur får man använda arbetsgivarens dator och e-post? Vad gäller för datoriserade rekryteringssystem, in- och utpasseringssystem och loggregister? Det är några av de frågor som Datainspektionen tar upp i den nya skriften Personuppgifter i arbetslivet, en genomgång av frågor som kan uppstå när arbetsgivare ska tillämpa PuL. Skriften kan hämtas på En tryckt version kostar 50:- och kan beställas per telefon eller via webbplatsen. Den 15 oktober presenteras skriften vid en konferens i Stockholm. För mer information, se webbplatsen. MAGAZIN DIREKT #3/2001 9

10 Sjukpensionär är det uppgift om hälsa? I ett intressant mål har länsrätten prövat ett par av avvägningarna i 10 PuL: Är behandlingen nödvändig för att fullgöra en rättslig skyldighet? Överväger intresset av att göra behandlingen de registrerades intresse av skydd? En annan avgörande fråga var vad som kan anses vara uppgift om hälsa. AFA Sjukförsäkringsaktiebolag ansökte hos Datainspektionen att ur socialförsäkringsregistret få ut uppgifter om personer som under har haft förtidspension eller sjukbidrag. En sådan ansökan ska göras enligt socialförsäkringsregisterlagen. Uppgifterna skulle samköras med ett antal register för att söka fram personer som har rätt till ersättning från AFA men inte ansökt om det. Datainspektionen ansåg att behandlingen skulle strida mot PuL och avslog ansökan (dnr ). En stor del av uppgifterna gällde personer som inte hade med saken att göra och skulle sorteras bort. För att man ska få behandla personuppgifter utan samtycke måste något av undantagen i 10 PuL gälla och Datainspektionen ansåg att så inte var fallet. Dessutom är det enligt 13 PuL (med några få undantag) förbjudet att behandla uppgifter som rör hälsa. Datainspektionen menade att uppgift om sjukpensionering är uppgift om hälsa och att behandlingen därmed inte var tillåten. AFA överklagade och anförde att de försäkrade inte finns registrerade hos AFA förrän de anmäler sig och att det här var det enda enkla sättet att få kontakt med dem. En rättslig skyldighet, ansåg AFA, som gör att 10 b PuL kan tillämpas (man får utan samtycke behandla personuppgifter om det är nödvändigt för att fullgöra en rättslig skyldighet). Dessutom borde 10 f PuL gälla (intresset av att göra behandlingen överväger de registrerades intresse av skydd). Länsrätten ansåg i sin dom (mål ) att behandlingen inte var nödvändig för att uppfylla en rättslig skyldighet. Undantaget i 10 b PuL var alltså inte aktuellt. Men med hänsyn till omständigheterna (vissa i gruppen har intresse av att få ersättning; övriga sorteras bort automatiskt) kunde i en avvägning enligt 10 f PuL bolagets intresse av att göra behandlingen väga tyngre än de registrerades intresse av integritetsskydd. Återstod så frågan om sjukpensionär är uppgift om hälsa. Länsrätten kom fram till att en uppgift om att en person har haft förtidspension eller sjukbidrag inte är uppgift om hälsa. Rätten ändrade Datainspektionens beslut; uppgifterna skulle lämnas ut. Datainspektionen accepterar länsrättens syn på intresseavvägningen enligt 10 f PuL, men står fast vid att uppgift om förtidspension är hälsouppgift enligt 13 PuL och att inget av undantagen i PuL är tillämpligt. Domen har överklagats (dnr ). Betygsutdrag var inte manuellt register enligt PuL Regeringsrätten har i en dom tagit ställning till vad som är ett manuellt register som regleras av PuL. Företaget Virtutech begärde enligt offentlighetsprincipen att få ut betyg för studenter vid Kungliga tekniska högskolan, KTH. Företaget ville erbjuda de bästa studenterna arbete. KTH antog att uppgifterna skulle sammanställas i ett otillåtet register och att ett utlämnande skulle strida mot paragraf 7:16 i sekretesslagen som säger att personuppgifter inte får lämnas ut om det kan antas att de kommer att behandlas i strid med PuL. PuL gäller även manuella register som är sökbara enligt minst två kriterier. Företaget överklagade beslutet hos kammarrätten och invände att man inte skulle skapa något register, bara ta del av betygen för att kunna rekrytera bra personal. Datainspektionen yttrade sig och sade att det rörde sig om uppgifter om många personer som troligen skulle sorteras dels efter namn, dels efter medelbetyg. Därmed borde kriterierna för ett manuellt register enligt PuL vara uppfyllt. Rätten avslog överklagandet (mål nr ). Regeringsrätten gav emellertid prövningstillstånd och ändrade kammarrättens dom (mål nr ). Man konstaterade att uppgifterna inte skulle göras sökbara via kortregister, sökmarkörer eller liknande och ansåg att för att en samling personuppgifter ska vara ett manuellt register enligt PuL måste man kunna söka på ett betydligt effektivare sätt än i form av granskning dokument för dokument. Om man sorterar dokument i en viss ordning utan ytterligare åtgärder skapar man alltså inte ett manuellt register enligt PuL. Paragraf 7:16 i sekretesslagen fick ny lydelse i samband med att PuL antogs. Det här är första gången som de nya reglerna prövas av högsta instans. Länsrättsdom överklagad Datainspektionen har överklagat en dom från länsrätten som sätter vissa regler i kreditupplysningslagen ur spel (mål nr , se DIrekt 2/01). Enligt kreditupplysningslagen (KuL) får kreditupplysningar om privatpersoner lämnas ut enbart till den som behöver uppgifterna för ett kreditavtal eller liknande. När en upplysning lämnas ut ska den omfrågade få en kopia. Dessa regler gäller av förklarliga skäl inte om upplysningen är publicerad i en tryckt skrift. AB Svensk Upplysningstjänst i Malmö ger ut tryckta skrifter med kreditupplysningar och nu har man också startat en webbtjänst, en sökbar databas med samtliga betalningsanmärkningar som har publicerats i skrifterna under de senaste tre åren. Bolaget hänvisar till Yttrandefrihetsgrundlagen (YGL) och menar att samma undantag som gäller för tryckt skrift också gäller för webbtjänsten. Men i ett beslut (dnr ) ansåg Datainspektionen att YGL inte är tillämplig eftersom företaget inte sysslar med traditionell nyhetsförmedling och att KuL ska tillämpas för webbtjänsten. Bolaget överklagade, länsrätten ansåg att YGL gäller och upphävde beslutet. Nu har Datainspektionen överklagat domen till Kammarrätten i Stockholm (dnr ). 10 MAGAZIN DIREKT #3/2001

11 DOMAR Svensk lag gäller också texter på utländsk server I ett principiellt viktigt domslut fastslår Högsta Domstolen, HD, att man kan vara ansvarig för innehåll på en webbplats även om materialet ligger på en utländsk server. Tidningen Nordland hade lagt ut nazistiskt material på sin webbplats, som ligger på en server i USA. Justitiekanslern JK ville åtala tidningens ägare för hets mot folkgrupp, men det var oklart om han var ansvarig enligt svensk lag (yttrandefrihetsgrundlagen, YGL) när materialet var placerat på en utländsk server. Nu har HD slagit fast (mål nr Ö ) att då ingen utgivare för tidningen är utsedd, är det tidningens ägare som ansvarar för webbplatsen enligt YGL och därmed för eventuella yttrandefrihetsbrott i texterna. Detta oavsett var servern är belägen. Känsliga uppgifter om flygmat British Airways, BA, fick 1998 tillstånd enligt datalagen att föra ett bokningsregister och ett kundregister. Uppgifterna fick lämnas ut till alla länder. I tillståndet fanns föreskrifter med krav på informerat samtycke. Orsaken var att vissa önskemål om service kunde vara känslig uppgift både enligt datalagen och PuL. Ett önskemål om specialmat kan ge information om hälsa (t.ex. diabetiker) eller religion (koschermat). Även önskemål om assistans kan vara hälsouppgift (t.ex. rullstol). BA överklagade, man ansåg att uppgifterna inte skulle räknas som känsliga och ville att föreskrifterna skulle tas bort. Länsrätten gick dock på Datainspektionens linje och avslog överklagandet (mål nr Ö ). Hur vill du ha i fortsättningen? På Vi lägger fortlöpande ut nyhetsnotiser på vår webbplats. Fyra gånger per år samlar vi ihop, redigerar och kompletterar materialet som då bildar ett nytt nummer av magazin DIrekt. Magazinen samlas i pdf-format under rubriken Kunskapsbanken. e-post med länk Du kan prenumerera på Datainspektionens nyheter. När något nytt publiceras på vår webbplats, t.ex. när ett nytt nummer av magazin DIrekt har kommit ut, får du som prenumerant ett e-brev med en länk. Anmäl dig som prenumerant på Med post Vi kan också sända dig en tryckt utgåva av magazin DIrekt. Fyll i uppgifterna på kupongen här nedanför och skicka eller faxa den till oss. Du kan också e-posta uppgifterna. Oavsett distributionsform är DIrekt gratis. magazin DIrekt produceras av Datainspektionen, Box 8114, Stockholm. Tel: (växel), (beställningar). Fax: E-post: datainspektionen@datainspektionen.se. Webbplats: Layout: Helena Thelander. Foto och illustration: EyeWire s. 1, Photodisc s. 2, 5, 7, och 10, Lars Rehnberg s. 8. Ansvarig utgivare: Ulf Widebäck. Redaktör: Leif Stenström. ISSN JA! JAG VILL HA MAGAZIN DIREKT med post Brevporto SKRIV TYDLIGT! (Du behöver inte svara om du tidigare skickat in kupongen eller om du hämtar DIrekt via Internet) Företag/myndighet/organisation:... Personnamn... Postadress... Uppgifterna dataregistreras. DATAINSPEKTIONEN BOX STOCKHOLM MAGAZIN DIREKT #3/

12 B PORTO BETALT Datainspektionen Box Stockholm Det finns någon därute HEJSAN! Jag är mellanstadielärare och jag och min klass hade tänkt att alla barnen ska ha varsin egen hemsida på Internet där dom kan skriva dagbok och lägga in dikter och teckningar. Vi har också tänkt lägga in foton på barnen. Är det okej? SÅNA FRÅGOR får vi ofta, och då svarar vi att det är okej om barnen och deras föräldrar tycker att det är okej (dvs. vi skriver inte så, vi skriver frivilligt, särskilt och informerat samtycke, den som personuppgifterna avser, och sånt, men det betyder samma sak). Om vi har gott om tid kanske vi lägger till att även om alla samtycker, så bör man nog fundera en extra gång på vad man lägger ut, för det är inte bara kompisar och söndagsskolfröknar som läser hemsidor och kanske tar kontakt med barnen. FÖRESTÄLLNINGEN OM vem som läser texter och tittar på bilder man lägger ut på nätet präglas av total oskuld. Men det finns någon därute, och det är inte bara fula gubbar av alla grader. Om man söker i Evreka på Inspark får man 722 träffar, på många finns bilder som inte alltid är särskilt smickrande. Kul att visa polarna kanske, men nu är det ju inte bara dom som tittar och laddar ner. Och vilka dumheter skrivs inte i alla dessa dagböcker? Och i alla dessa chattar? Vem vill stå för det om tio år? Kanske inför en tänkt arbetsgivare? KUNGLIGA BIBLIOTEKET, KB, ska arkivera pliktexemplar av allt tryck som produceras. Nu har man börjat dammsuga Internet och spara det också för framtiden. Miljoner webbsidor laddas ner. I Norge har Nationalbiblioteket gått ett steg längre. Man samlar in material från bl.a. chattar, systematiserar det och gör det sökbart. OM KB:S INSAMLING är tillåten enligt PuL är ännu inte utrett. Datainspektionen har öppnat ett tillsynsärende som inte är avslutat. I en tidningsintervju menar riksbibliotekarien att vem som helst kan ladda ner och spara hemsidor och dessutom ändra i dem och sända dem vidare. Och där har han en point: När du lägger ut information på nätet kastar du ner den i ett svart hål där vad som helst kan hända med den. Den kan ju laddas ner i länder utom räckhåll för Datainspektionen. DET FINNS NÅGON därute. Tänk på det innan du lägger ut något på Internet! Leif Stenström DATAINSPEKTIONENS INFORMATIONSCHEF NÄSTA NUMMER KOMMER I DECEMBER 12 MAGAZIN DIREKT #3/2001