En missbruksmodell. R-2004/0554 Stockholm den 30 augusti Till Justitiedepartementet

Transkript

1 R-2004/0554 Stockholm den 30 augusti 2004 Till Justitiedepartementet Sveriges advokatsamfund har genom remiss den 23 april 2004 beretts tillfälle att avge yttrande över Personuppgiftslagsutredningens betänkande Översyn av personuppgiftslagen, SOU 2004:6 (Ju2004/1417/L6). Med anledning härav anför Advokatsamfundet följande. Advokatsamfundet delar Personuppgiftslagsutredningens bedömning att det, trots gällande EG-direktiv, i fråga om behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud och bild, är möjligt att införa regler mot missbruk i stället för regler om hanteringen av sådana uppgifter. Advokatsamfundet har dock vissa farhågor beträffande den av utredningen föreslagna avgränsningen av undantaget från hanteringsreglerna i personuppgiftslagen (PUL). Vidare ifrågasätter Advokatsamfundet om en missbruksmodell måste begränsas så som Personuppgiftslagsutredningen synes föreslå och ansluter sig, såvitt gäller skyldigheten att tillhandahålla registerutdrag, till det särskilda yttrandet. I övrigt har Advokatsamfundet inga invändningar mot Personuppgiftslagsutredningens förslag, men efterlyser ytterligare överväganden rörande vissa anknytande frågor om förhållandet till sökbegränsningar enligt 2 kap. 3 tryckfrihetsförordningen (TF) samt om sekretess enligt 9 kap. 7 sekretesslagen efter den redaktionella ändring som gjordes i samband med PUL:s tillkomst. En missbruksmodell Personuppgiftslagsutredningens förslag, som innebär en välkommen anpassning till den verklighet som råder när personuppgifter behandlas utan att ha strukturerats i register för sökningar eller sammanställningar, synes knyta an till en idé som förts fram redan år 1996 av IT-utredningen, innan Datalagskommittén presenterade sitt förslag till personuppgifts-

2 2 lag (se SOU 1996:40 s. 25 och 165 ff.). 1 IT-utredningens författningsförslag genomfördes visserligen delvis se lagen (1998:112) om ansvar för elektroniska anslagstavlor men utredningens förslag till undantag från datalagen (1973:289) för löpande text lades inte fram. Regeringen hänvisade till behov av att analysera Datalagskommitténs förslag samt synpunkter som framfördes under beredningen av Datalagskommitténs förslag (prop. 1997/98:15 s. 22). Sedermera uttalade regeringen i motiven till PUL (1998:204) att ordoch textbehandling eller liknande av personuppgifter i löpande text inte generellt kan undantas från PUL, eftersom det skulle strida mot EG-direktivet (prop. 1997/98:44 s. 54). Några regler baserade på en missbruksmodell infördes därmed inte. I samma proposition uttalades emellertid, under rubriken Personuppgifter i löpande text, att inte ens EGrätten kan tvinga någon att göra det som i praktiken är omöjligt (a. prop. s. 83). Det är tillfredsställande att Personuppgiftslagsutredningen nu lagt fram förslag till en reglering som baseras på en missbruksmodell. Även om de tolkningar av direktivet, på vilka förslaget vilar, inte är självklara och kan ifrågasättas är det som utredningen uttalat (s. 119) befogat att göra en sådan tolkning av direktivet, att gälla till dess motsatsen eventuellt slås fast av EG-domstolen. Utredningens förslag synes också tillgodose behovet av att kunna publicera löpande text via webbplatser och liknande (jfr IT-utredningens förslag till undantag från datalagen för att tillgodose ett fritt meningsutbyte). Även om Advokatsamfundet anser att utredningens förslag är bra och välkommet, vill samfundet fästa uppmärksamheten på de tillämpningsproblem som avgränsningen av det föreslagna undantaget från hanteringsreglerna för med sig. När utredningen anger vad den syftar till att undanta från hanteringsreglerna framstår det undantagna området som konkret och relativt lättillämpat (så exempelvis på sidan 131), men den närmare genomgången och valda exempel ger emellertid en annan bild, framförallt beroende på att utredningens avgränsning görs beroende av strukturens kvalitet och/eller nivå. Den centrala frågan blir vad som skall krävas av en struktur för att den, i enlighet med lagtexten, skall anses påtagligt underlätta sökningar efter eller sammanställningar av just personuppgifter. Under rubriken Behandling av känsliga uppgifter i löpande text m.m.- nedan redovisar Advokatsamfundet ytterligare sin syn i detta hänseende, men samfundet vill här peka på den rättsosäkerhet som osäkerheten kring vad som ingår i det undantagna området kan medföra, vilket är särskilt bekymmersamt då även oaktsamma (må vara att oaktsamheten måste vara grov) förseelser är straffbelagda. I denna del bör även vissa terminologiska frågor övervägas. I rubriken till den föreslagna bestämmelsen i 5 a används begreppet personregister för att beskriva vad som inte ingår, samtidigt som ren löpande text utan någon som helst registerstruktur synes falla utanför tillämpningsområdet om det ingår i en samling. Till detta kommer andra uttryck i motivtexten såsom regelrätt personregister, databas, tydlig personuppgiftsanknuten register- 1 Följande undantag föreslogs i förslaget till lag om elektroniska förmedlingstjänster: 2 Bestämmelserna i 1-20 och datalagen (1973:289) skall inte tillämpas på personregister som ingår i en tjänst enligt denna lag, i den mån 1. registret innehåller bara löpande text och uppgifter om meddelanden och användare, och 2. registret förs för att användarna skall kunna lämna eller inhämta uppgifter för ett fritt meningsutbyte, en fri och allsidig upplysning eller ett fritt konstnärligt skapande. Med löpande text avses information som inte har strukturerats så att sökning av personuppgifter underlättas.

3 3 struktur, löpande text m.m. utan närmare klargörande. Dessa frågor bör enligt Advokatsamfundets mening övervägas närmare. Vidare bör områden där hanteringsreglerna passar mindre väl eller rent av kan hindra behandlingar som sker idag, utan att de i praktiken ifrågasätts, övervägas ytterligare; t.ex. 1. behandlingar av säkerhetsskäl, där den personuppgiftsansvarige delvis inte kan veta om åtgärden strider mot hanteringsreglerna i -PUL, och 2. känsliga personuppgifter i korrespondens, något som föranlett viss författningsreglering i registerlagar men inte berörts av Personuppgiftslagsutredningen. Behandlingar av säkerhetsskäl Ett i praktiken viktigt vardagligt användningsområde är de virusprogram som numera finns i varje informationssystem samt sådana intrångsdetekteringssystem som blivit allt vanligare. Kontroller kan härvid ske på olika nivåer och brandväggar och liknande utrustning har blivit alltmer avancerad. Utrustningen packar i vissa fall till och med upp och sätter ihop IP-paket för att kontrollera om elektroniska kuvert och mottagna handlingar egentligen utgör angrepp på informationssystem eller innehåller skadlig kod. Behovet av sådana skydd anses numera uppenbart i de flesta IT-miljöer (jfr 31 PUL). Samtidigt torde åtgärderna formellt sett utgöra behandlingar som omfattas av PUL:s hanteringsregler i den mån data som kontrolleras representerar personuppgifter. Skulle uppgifterna dessutom utgöra känsliga personuppgifter eller personuppgifter om lagöverträdelser kan behandlingen vara förbjuden. Den som kör virusprogram och liknande på inkommande material har vanligtvis inte kontroll över strukturen på det som tas emot, innan det packats upp och behandlas med avsedda program. Eftersom den personuppgiftsansvarige inte vet något om strukturen och ingen människa läser vid dessa behandlingar kan den föreslagna undantagsregeln baserad på materialets struktur inte tillämpas. Personuppgiftslagsutredningen har i och för sig övervägt andra möjliga avgränsningskriterier än materialets struktur, t.ex. syftet med behandlingen (s. 107 och 126 f.). Utredningen fann emellertid bl.a. till följd av att syftet oftast inte syns utåt att en avgränsning utifrån materialets struktur är det mest ändamålsenliga. Advokatsamfundet vill här peka på att EG-direktivet inte synes hindra att alternativa avgränsningar införs. För nu aktuella, vanligtvis väl avgränsade behandlingar, syns ändamålet tydligt och ingen människa tar del av några personuppgifter. Uppgifterna läggs inte heller till grund för några åtgärder de åker endast med i behandlingarna för att detektera och stoppa datavirus och annan kod som kan angripa den personuppgiftsansvariges system. Även om ingen i praktiken ifrågasätter dessa skyddsåtgärder synes lagen formellt förbjuda behandlingar av data som representerar vissa typer av uppgifter (se t.ex. 13 och 21 PUL). Det bör därför övervägas att komplettera den föreslagna bestämmelsen i 5 a första meningen PUL i syfte att undgå en tillämpning av hanteringsreglerna på berörda tekniska åtgärder för att automatiskt skydda personuppgifter enligt 31 PUL. Så snart någon person tar del av personuppgifter med anledning av viruskontroller eller liknande skulle hanteringsreglerna kunna göras tillämpliga medan skyddsregeln i 5 a andra meningen PUL synes kunna ge ett tillräckligt skydd så länge behandlingarna endast avser automatiserade skydd mot angrepp.

4 4 Behandling av känsliga uppgifter i löpande text m.m. När personuppgiftsansvariga ersätter den pappersbaserade kommunikationen med elektroniska meddelanden kan inkommande meddelanden innehålla vilken löpande text som helst, t.ex. känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Elektronisk kommunikation har nu närmast blivit huvudregel och organisationernas investeringar i system för att hantera e-post, e-tjänster och överföringar av filer, t.ex. ordbehandlingsdokument, är betydande. Mottagaren kan vid sådan kommunikation inte veta vad texten innehåller förrän uppgifterna har behandlats automatiserat och kan inte heller rimligen läsa varje inkommande meddelande i syfte att säkerställa att uppgifter som inte får behandlas blir raderade. Är handlingarna elektroniskt undertecknade kan det vidare ifrågasättas om en delvis radering skulle kunna utgöra en förfalskningsåtgärd. 2 Olika skyddsintressen och regelverk möts här på ett sätt som inte är lätt att förena med den praktiska verkligheten. På myndighetsområdet har olika lösningar valts för att rättsligt hantera frågan. För skatteoch exekutionsväsendet infördes undantag i skatteregisterlagen (1980:343) för handling som kommit in eller upprättats i ett ärende (11 ), samtidigt som ett skydd mot automatiserade sökningar infördes så att det i handling, som kommit in eller upprättats i ett ärende, som sökbegrepp fick användas endast ärendebeteckning och beteckning på handling (13 ). Tanken var att tillgodose skyddet för den personliga integriteten genom att delvis återskapa de manuella trösklarna för löpande text så att automatiska sökningar i princip inte skulle få ske i de elektroniska handlingarna utan endast i diariet; dvs. de ADB-register som motsvarade dagboksblad (se vidare Ds 1994:80). En begränsning av skyldigheten att lämna registerutdrag infördes också (18 ). Liknande begränsningar finns nu, efter PUL:s tillkomst, i s.k. databaslagar och övervägs att införas på andra områden, men tillåtna sökbegrepp är mera omfattande; bl.a. namn och person- eller samordningsnummer; se 2 kap. 10 lag (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. En annan metod att hantera frågan om känsliga uppgifter i löpande text infördes år 2001 genom 8 personuppgiftsförordningen (1998:1191; PUF), där det generellt föreskrivs att känsliga personuppgifter får behandlas av en myndighet i löpande text, om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. En tredje metod för en myndighet att delvis hantera frågan är, enligt Datainspektionens svar på en fråga av en myndighet, att arkivera och bevara materialet med stöd av 8 andra stycket PUL. För företag och andra enskilda finns inga undantag föreskrivna, trots att motsvarande problem uppkommer och att förbud gäller för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m. Personuppgiftslagsutredningen nämner inte dessa praktiska frågor. I praktiken torde företagen bortse från hanteringsreglerna rörande t.ex. känsliga uppgifter vid sin korrespondens via e-post och översändande av ordbehandlingsdokument m.m. En fortsatt sådan utveckling skulle som utredningen uttrycker det (s. 106) kunna leda till att de grundläggande och viktiga dataskyddsprinciperna råkar i vanrykte och inte tillämpas ens vid sådan strukturerad behandling av personuppgifter där de 2 Jfr Svea hovrätts, avd. 10, dom den 31 maj 2002, i det s.k. Alcalá-målet (B )

5 5 är oundgängliga för integritetsskyddet. Möjligen har Personuppgiftslagsutredningens tystnad i denna fråga berott på att den missbruksmodell som föreslås i 5 a PUL förväntas ge erforderligt utrymme genom de undantag som där föreskrivs från bl.a. 13 och 21 PUL. Analysen av möjligheterna till undantag från direktivet har dock inte omfattat nuvarande undantag i 8 PUF. Utredningen konstaterar endast att 8 PUF kan behöva ses över (s. 270). Frågan är vilket utrymme utredningens förslag ger för att undgå kollisioner mellan regler om att t.ex. känsliga uppgifter inte skall behandlas automatiserat (inte ens i löpande text) respektive intresset av att kunna bevara löpande text elektroniskt; se t.ex. 7 kap. 1 andra stycket och 6 bokföringslagen (1999:1078). Den föreslagna avgränsningen i 5 a utifrån vad som utgör samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter synes rent språkligt ge ett betydande utrymme, t.ex. för scannade handlingar som förvaras i form av bilder med de manuella trösklar som detta för med sig, men även för annan löpande text. Utredningen inleder också sina överväganden med att undantag bör vara möjliga för behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text (s. 125). Den närmare genomgången och valda exempel ger emellertid en annan bild. Den centrala frågan blir vad som skall krävas av en struktur för att den, i enlighet med lagtexten, skall anses påtagligt underlätta sökningar efter eller sammanställningar av just personuppgifter. Det är enligt den allmänna motiveringen inte tillräckligt att just personuppgifter har markerats som sådana. Om t.ex. ett filsystem inte bara används på sedvanligt sätt utan dessutom ingår i ett mer kvalificerat system för personuppgiftsanknuten strukturering t.ex. ett kvalificerat dokument- eller ärendehanteringssystem skall hanteringsreglerna tillämpas (s. 132); jfr motsvarande uttalande rörande datorstödd kommunikation. Tanken går härvid till diarieliknande register och andra sådana strukturer där personuppgifter markeras, medan den löpande texten i de handlingar som registrerats kunde omfattas av undantaget enligt 5 a i utredningens förslag ( jfr den tanke som enligt vad som redovisats ovan legat bakom vissa registerlagar). Beträffande frågan om vad som skall utgöra en samling av personuppgifter i förslagets mening uttalar utredningen emellertid att personuppgifterna kan finnas t.ex. i ordbehandlingsdokument, i inscannade dokument och i ljud- och bildupptagningar som i och för sig kan vara ostrukturerade men som ingår i den strukturerade samlingen av uppgifter, t.ex. ett ärendehanteringssystem. Det är själva samlingen av uppgifter (t.ex. ärendehanteringssystemet) som skall vara strukturerad på visst sätt, inte varje personuppgift eller handling som ingår i samlingen (s. 133). En handling synes därmed kunna vara ostrukturerad, men ändå ingå i ett system som utesluter en tillämpning av den föreslagna missbruksregleringen. Som exempel nämner utredningen ett försäkringsbolags ärendehanteringssystem med bl.a. inscannade intyg och andra handlingar, t.ex. e-postkommunikation, som kan sammanställas. Utredningen uttalar härvid att alla uppgifter som kan hänföras till de strukturerade personuppgifterna ingår i samlingen. Utredningens uttalanden synes ge vid handen att det, som i exemplet ovan från skatteregisterlagen, skulle räcka med att de handlingarna kan nås med ärendebeteckning och beteckning på handling; de ingår i en samling där annat material har strukturerats så att det nått den nivå som krävs. Utredningens förslag torde därmed innebära att de föreslagna lättnaderna i regleringen blir tillämpliga endast i begränsad utsträckning. Alterna-

6 6 tivet för andra än myndigheter som har en särskild reglering för sin databas kan bli att företag och andra enskilda underlåter att skapa den ordning och reda i sina elektroniska handlingar som behövs. Rent praktiskt kan bl.a. följande frågor ställas. Räcker det att en myndighet har ett enligt 15 kap. sekretesslagen väl fungerande elektroniskt diarium för att alla elektroniska handlingar som hör till den samling som därvid skapas skall falla utanför det föreslagna undantaget från hanteringsreglerna? Till den samling som skapas kommer att höra inlagor från både fysiska och juridiska personer. Faller allt utanför undantaget för att vissa ärenden avser fysiska personer? För företagens del blir istället sannolikt frågan om att underlåta att markera personuppgifter som sådana aktuell för att inte hela samlingar skall falla utanför undantagsregeln. Registerutdrag Med det snäva tillämpningsområde rörande löpande text o.l. som 5 a synes få enligt utredningens förslag delar Advokatsamfundet den bedömning av frågan om registerutdrag som har gjorts i det särskilda yttrandet. Registerlagar och sökbegränsningar m.m. Reglerna i TF om allmänna handlingars offentlighet innebär enligt de klargöranden som nyligen gjorts för IT-miljö att olika regler gäller för s.k. färdiga handlingar t.ex. elektronisk post, protokoll och beslut i elektronisk form respektive sammanställningar av uppgifter, s.k. potentiella handlingar. En sammanställning skall anses förvarad hos en myndighet endast om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder medan en färdig elektronisk handling anses förvarad oavsett om det krävs mer omfattande åtgärder för att ta fram den i läsbar form (prop. 2001/02:70 s. 5 och 18 f.). I detta sammanhang framförde lagrådet vissa synpunkter rörande s.k. rättsliga begränsningar dvs. att en myndighet enligt lag eller förordning saknar befogenhet att göra en viss överföring, exempelvis till följd av föreskrivna begränsningar av sökbegrepp. Personuppgiftslagsutredningen har i avsnitt 15 berört frågor om sökbegränsningar, men utan att ta upp skyddet för löpande text i färdiga handlingar. 3 Enligt 2 kap. 3 TF anses en upptagning, t.ex. en färdig elektronisk handling, vara förvarad hos en myndighet om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Undantag föreskrevs tidigare i 3 för upptagning som ingår i personregister, om myndigheten enligt lag eller förordning eller särskilt beslut, som grundar sig på lag, saknar befogenhet att göra överföringen ; jfr ovan redovisade exempel på sökbegränsningar i lag med avseende på färdiga handlingar. Genom det nämnda lagstiftningsärendet föreskrevs emellertid i stället att en sammanställning av uppgifter ur en upptagning för automatiserad behandling anses dock inte förvarad hos 3 Advokatsamfundet har tidigare påtalat dessa frågor, bl.a. i remissvar över Domstolsdatautredningens slutbetänkande Informationshantering och behandling av uppgifter vid domstolar En rättslig översyn, SOU 2001:100.

7 7 myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. I lagmotiven anfördes bl.a. följande: Som Lagrådet påpekat bör undantaget ta sikte endast på sammanställningar av uppgifter ur upptagningar för automatiserad behandling. Sådana sammanställningar som innehåller personuppgifter skall inte anses förvarade hos en myndighet om myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Detta innebär i sin tur att s.k. färdiga elektroniska handlingar inte omfattas av begränsningsregeln. Sådana handlingar är alltså alltid att anse som förvarade hos en myndighet även om de innehåller personuppgifter och det i lag eller förordning finns förbud för myndigheten att använda vissa sökbegrepp vid sökningen efter handlingarna. Bestämmelsen har i denna del formulerats om med beaktande av Lagrådets synpunkt (prop. 2001/02:70 s. 38). Som bestämmelsen numera är utformad kan det ifrågasättas om en begränsning enligt lag eller förordning i en myndighets rätt att göra sammanställningen tillgänglig omfattar sökbegränsningar som tar sikte på att av integritetsskäl hindra alltför låga manuella trösklar för att söka en eller flera färdiga handlingar. Om en särskild reglering för denna situation skulle anses påkallad skulle den enligt Lagrådet lämpligen kunna tas in i exempelvis 2 kap. 12 TF (a.prop. s. 56). Enligt Advokatsamfundets bedömning är det av avgörande betydelse för informationssamhällets utveckling att hanteringen av färdiga handlingar i myndigheternas system, som av kostnadsskäl ofta drivs i samverkan, kan avgränsas inte bara genom fysiska och tekniska hinder mot åtkomst utan även genom rättsregler. Bestämmelserna i 2 kap. TF synes dock inte med den från den 1 januari 2003 gällande lydelsen, kunna ge stöd för sökbegränsningar som tar sikte på färdiga handlingar. Att reglerna om offentlighetsinsyn tar över bestämmelserna i PUL framgår klart genom Personuppgiftslagsutredningens förslag till ändringar i 7 kap. 16 sekretesslagen. Därmed bryts den s.k. likställighetsprincipen så att den som åberopar reglerna i 2 kap. TF ges vidare möjligheter till sökningar än den myndighet som har att lämna ut färdiga handlingar och för vilken sökbegränsningar föreskrivits. En av de grundläggande idéerna bakom databaslagarnas persondataskydd för elektroniska akter att i den omfattning det behövs skapa elektroniska motsvarigheter till de manuella trösklarna i pappersmiljö synes därigenom bli satt ur spel. Slutligen vill Advokatsamfundet i anknytning till Personuppgiftslagsutredningens genomgång av vissa redaktionella ändringar i sekretesslagen, som gjorts i samband med PUL:s tillkomst, väcka frågan om den ändring rörande myndighets verksamhet för enbart teknisk bearbetning eller teknisk lagring för annans räkning, som samtidigt gjordes i 9 kap. 7 sekretesslagen, kom att leda till en icke avsedd inskränkning av sekretessen. Enligt äldre lydelse skulle sekretessen omfatta personregister som avses i datalagen (1973:289), för uppgift om enskilds (dvs. fysiska eller juridiska personers) personliga eller ekonomiska förhållanden. Efter ändringen omfattar skyddet personuppgifter som avses i personuppgiftslagen (1998:204). Det finns alltså inte längre någon koppling till en sådan samling av uppgifter som ett personregister, vilket kan innehålla betydande mängder av uppgifter om andra än fysiska personer. Regeln kan komma att bli av betydelse för 24-timmarsmyndigheterna när de skall samverka bl.a. genom enbart teknisk bearbetning eller teknisk lagring för varandra. Därvid räcker det inte att uppgifterna enligt 2 kap. 10 TF är undantagna från offentlighetsinsyn hos den myndighet som endast

8 8 bearbetar och lagrar. Uppgifterna behöver också omfattas av tystnadsplikt för tekniker och andra som kommer åt tjänsten så att de inte får lämna ut uppgifterna muntligen. Uppgifterna kan omfattas av andra regler om sekretess, men kanske endast hos den andra myndigheten. SVERIGES ADVOKATSAMFUND Anne Ramberg