Försäljning av myndighetsinformation Datainspektionens rapport December 1998
Innehållsförteckning Inledning 3 Juridiska aspekterna på myndigheternas försäljning av information 4 Utfall av enkäten 6 Avslutning 8 Enkät - myndigheter 10 Enkät - företag 15 2
Inledning Den svenska offentlighetsprincipen innebär att envar har rätt att läsa alla allmänna handlingar hos en myndighet om inte en särskild bestämmelse om sekretess hindrar det. Handlingen behöver inte finnas på papper utan myndigheten är som regel skyldig att på begäran överföra datoriserade uppgifter till papper. Allmänhetens insyn i myndigheters handlingar skall bl.a. förhindra godtycklig ämbetsutövning och korruption. Tillgången till myndigheters handlingar kan emellertid även utnyttjas för kommersiella ändamål. Information om människor som myndigheter samlar in för sin verksamhet kan då komma att användas för andra ändamål och i andra verksamheter än de som uppgifterna ursprungligen samlades in för. Detta upplevs av många som ett intrång i den personliga integriteten. Varje år får Datainspektionen klagomål från personer som vänder sig emot att en myndighet har sålt uppgifter om deras namn och adress till externa intressenter för exempelvis marknadsföringsändamål, till kreditupplysningsföretag, inkassobolag eller till marknadsundersökningar. Försäljningen är alltså en effekt av myndigheternas IT-verksamhet som allmänheten inte alltid vill godta och det är viktigt att förtroendet för användningen av modern teknik hos myndigheterna inte skadas till följd av det sätt på vilket tekniken används. Som ett led i Datainspektionens tillsynsverksamhet genomfördes under våren 1998 en enkätundersökning för att inspektionen skulle få en uppfattning om hur myndighetsinformation används som en kommersiell tillgång. Nedan redovisas de juridiska aspekterna på myndigheternas försäljning av information, utfallet av enkäten samt några reflexioner från Datainspektionen. 3
Juridiska aspekterna på myndigheternas försäljning av information Med begreppet försäljning menas i detta sammanhang att myndigheten går utöver sina skyldigheter enligt offentlighetsprincipen och - mot ersättning för myndighetens arbete - exempelvis utvecklar rutiner för att tillgodose särskilda önskemål från utestående intressenter genom att göra sammanställningar på kundens begäran eller tillhandahålla adressetiketter. Myndigheten får ta betalt för papperskopior inom ramen för offentlighetsprincipen men tar man betalt för eget arbete och/eller egna kostnader utöver papperskopiorna har myndigheten gått utöver sina skyldigheter och utlämnandet faller under begreppet försäljning. Denna rapport har koncentrerat sig på sådan försäljning som omfattar uppgifter om enskilda hämtade från IT-baserade personregister hos en statlig myndighet eller ett företag, dvs. ett företag som staten har väsentligt inflytande över genom aktiemajoritet. 1 Med personuppgift och personregister har avsetts samma begrepp som i 1 datalagen 2. För närvarande regleras de flesta myndighetsregister som innehåller kommersiellt gångbara uppgifter av datalagens regler. Enligt 7 första stycket 3. datalagen får en myndighet inte sälja uppgifter om enskilda som är hämtade ur personregister med mindre än att de registrerade lämnat sitt godkännande eller att myndigheten fått ett försäljningsbemyndigande i en författning eller ett regeringsbeslut. I samma paragraf finns också regler som anger att det är den registeransvariges skyldighet att se till att registret förs för ett bestämt ändamål, att inte andra uppgifter registreras än som står i överensstämmelse med registrets ändamål och att i övrigt uppgifter inte samlas in, lämnas ut eller används annat än i överensstämmelse med registrets ändamål eller vad som gäller enligt lag eller annan författning eller i enlighet med den registrerades medgivande. När ett register inrättas hos en myndighet skall utgångspunkten alltid vara myndighetens eget behov av information. Uppgifter som enbart är intressanta ur kommersiell synvinkel får således inte registreras hos en myndighet. Vissa uppgifter är den enskilde tvungen enligt lag att lämna ifrån sig till olika myndigheter. Det kan avse t.ex. uppgifter om inkomst och förmögenhet i beskattningssyfte eller adressuppgifter till folkbokföringen. Det finns också register som är inrättade för att staten skall kunna sprida information till allmänheten om exempelvis vem som har rätt att företräda ett företag eller vem som äger ett fordon eller en fastighet. SPAR, Statens person- och adressregister, som innehåller grunddata om personer som är svenska medborgare eller bor i Sverige, har inrättats för att tillgodose samhällets behov av aktualisering, komplettering och kontroll av personuppgifter samt för urvalsdragning i direktreklamsammanhang. 1 För enkelhetens skull används fortsättningsvis begreppet myndighet även för de statliga företagen. 2 SFS 1973:289 4
I personuppgiftslagen 3 som trädde i kraft den 24 oktober 1998, finns inget förbud mot försäljning av personuppgifter men även i denna författning finns i 9 regler om att den personuppgiftsansvarige skall se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in och att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen. Övergångsbestämmelserna till personuppgiftslagen innebär i praktiken dock att de flesta myndighetsregister regleras av datalagen till och med den 30 september 2001. 3 SFS 1998:204 5
Utfall av enkäten Enkäten omfattade 20 statliga myndigheter och tre statliga företag. Dessa var Patent- och Registreringsverket, Riksskatteverket, Kemikalieinspektionen, Riksförsäkringsverket, Vägverket, Statens Livsmedelsverk, Jordbruksverket, Socialstyrelsen, Verket för högskoleservice, Lantmäteriverket, Närings- och Teknikutvecklingsverket, Boverket, Arbetsmarknadsstyrelsen, Statens löne- och pensionsverk, Skolverket, Yrkesinspektionen (Stockholms distrikt), Alkoholinspektionen, Skogsstyrelsen, Finansinspektionen, Centrala studiestödsnämnden samt Posten AB, Vattenfall AB och AB Svensk Bilprovning. Enkätfrågorna finns som bilaga till rapporten och avsåg 1997 års försäljningsverksamhet. Samtliga tre tillfrågade företag och tio myndigheter svarade att de inte sålt några personuppgifter från IT-baserade personregister under 1997. Av dessa angav två företag att de hade fått förfrågningar om försäljning från utestående intressenter men att företaget inte ville sälja uppgifterna av etiska skäl. Av de tio myndigheter som sålt information om enskilda var det i tre fall oklart med vilket stöd myndigheten sålde personuppgifterna. Exempelvis åberopades interna beslut eller författningar som vid kontroll visade sig inte innehålla något klart försäljningsbemyndigande. Samtliga uppgav att ersättningen för försäljningen bestämts efter självkostnadsprincipen, om än i vissa fall med modifikationer. Det slag av personuppgifter som såldes var framförallt namn- och adressuppgifter som gällde personer i olika yrkeskategorier. Även uppgifter om exempelvis inkomst, skuldförhållanden och innehav av egendom såldes. Mottagare av de personuppgifter som såldes var exempelvis kreditupplysningsföretag, marknadsundersökningsföretag, direktreklammarknaden, inkassobolag, olika slag av forskningsverksamheter, kommunala myndigheter, banker, media m.m. De flesta använde IT-teknik till 50 procent eller mer för att lämna ut de sålda personuppgifterna. Ingen uppgav att personuppgifter såldes för att öka myndighetens intäkter i kommersiellt syfte. Det vanligaste syftet med försäljningen på IT-media var att öka servicen gentemot mottagaren samt att effektivisera utlämnandet av allmänna handlingar. Flera uppgav även att informationen såldes för att det föreligger ett starkt samhälleligt intresse av att sprida informationen. Intäkterna av försäljningen under 1997 varierade kraftigt mellan myndigheterna från några tusen kronor upp till flera miljoner kronor. 6
Några uppgav att de har personuppgifter som efterfrågas av köpare men som av olika anledningar inte säljs. Detta berodde t.ex. på myndighetens hänvisningsskyldighet till SPAR-registret, att uppgifterna omfattades av sekretess eller att man inte ansåg försäljningen informationsspridningen som samhällsangelägen. Uppgifter om telefonnummer och e-postadress synes vara efterfrågade men registreras oftast inte hos en myndighet. De flesta uppgav att de har en särskild enhet/avdelning/befattningshavare som handhar försäljningen på myndigheten men endast tre uppgav att de marknadsför sin försäljningsverksamhet. Flertalet uppgav att försäljningsverksamheten ökat de senaste fem åren. På frågan (som besvarades av samtliga tillfrågade) om personuppgiftslagen påverkat myndighetens/företagets framtidsplaner gällande försäljning av personuppgifter svarade endast två ja. Ingen särskild precisering hur, angavs dock. 7
Avslutning Som inledningsvis konstaterades hör det inte till ovanligheten att personuppgifter som staten samlat in används för andra ändamål än det ursprungliga syftet. Detta gäller dock inte all försäljning, eftersom t.ex. PRV:s, Lantmäteriverkets och Finansinspektionens register bl.a. har till syfte att sprida information. Försäljningen av personuppgifter synes ha ökat under de senaste fem åren och det finns ingenting som tyder på att denna trend skulle komma att brytas de närmast kommande åren. Snarare har Datainspektionen sett en tendens att möjligheten att förmedla information över stora kommunikationsnät har ökat intresset av att handla med uppgifter om enskilda, vilket torde bero på att hanteringen blir enklare, snabbare och billigare i många fall. Datainspektionen finner det anmärkningsvärt att flera myndigheter säljer information utan något stöd i författning eller regeringsbeslut. Det är av stor vikt att datalagens regler efterlevs på denna punkt. Under 1990-talet har Datainspektionen flera gånger påtalat för olika statliga och kommunala myndigheter att de inte har rätt att sälja sin information, då denna intention har framkommit när t.ex. ett företag ansökt om tillstånd hos Datainspektionen att samköra sina register med myndighetens. Det är viktigt att klargöra att författningsreglering av ett personregister inte automatiskt innebär att personuppgifterna dessutom får säljas samt att myndigheten själv inte har rätt att besluta att de personuppgifter myndigheten samlat in skall säljas. Datainspektionen har i sin tillsynsverksamhet uppfattat att den försäljning av personuppgifter som framförallt känns kränkande för individen, är den som sker för direktreklamändamål. En annan källa till klagomål är de uppgifter som säljs till kreditupplysningsbranschen. Anledningen till att dessa två sektorer renderar många klagomål hos Datainspektionen kan vara att den enskilde uppmärksammas på försäljningen i och med att en direktreklamförsändelse eller en kreditupplysningskopia kommer i brevlådan. Försäljning av information till exempelvis forskare, banker och kommunala myndigheter är inte lika påtaglig för den enskilde, varför stora delar av befolkningen troligen inte är medveten om i vilken omfattning uppgifter som de varit tvungna att lämna ifrån sig för att komma i åtnjutande av samhällets tjänster, faktiskt används för andra ändamål än de samlades in för. Datainspektionen håller det för sannolikt att fler personer skulle framföra klagomål på myndigheternas försäljningsverksamhet om detta var mer allmänt känt. Som ett belägg för detta påstående kan åberopas att FOB 90-kommissionen i sitt betänkande Folk- och bostadsräkning år 1990 och i framtiden 4 bl.a. analyserade vad den minskade svarsfrekvensen kunde bero på och kom fram till att svaret kunde sökas i den oro för personregistrering och därmed sammanhängande risker för otillbörligt integritetsintrång som sedan länge finns hos medborgarna. De s.k. NIX-listor som håller på att inrättas i SWEDMA:s 5 regi är ett steg i riktning att komma till rätta med de direktreklamutskick som upplevs som kränkande. Någon form av 4 SOU 1993:41 5 Swedish Direct Marketing Association 8
informationsinsats från samhällets sida skulle också vara lämplig, eftersom det inte kan anses förenligt med ett gott integritetsskydd att personuppgifter behandlas och säljs utan att den enskilde är medveten om det och av den anledningen inte kan protestera. Information om möjligheten att få en s.k. direktreklamspärr i SPAR, myndighetsregister, kundregister m.m. bör också spridas. Det faktum att personuppgiftslagen inte stadgar något försäljningsförbud för myndigheter innebär inte att det står myndigheten fritt att sälja vilka uppgifter man vill för vilka ändamål som helst. Reglerna liknar på många sett de som gällde enligt datalagen innan försäljningsförbudet infördes, t.ex. att uppgifter endast får behandlas för det ändamål som de är insamlade för. I förarbetena till den lagändringen 6 konstateras att en riktig tillämpning av bestämmelserna torde redan då (alltså innan försäljningsförbudet infördes) ha varit att en statlig myndighet inte får sälja personuppgifter utan uttryckligt stöd för en sådan verksamhet i lag eller förordning eller annat beslut av regeringen. Hur reglerna i personuppgiftslagen kommer att tolkas i praktiken återstår att se. Reglerna om information i 23-27 personuppgiftslagen bör kunna stärka allmänhetens medvetenhet om hur myndigheterna använder sin information. Vid prövningen om en myndighet skall få sälja uppgifter från sina databaser skall det göras en avvägning mellan behovet och nyttan av en försäljningsverksamhet å enda sidan och respekten för de registrerades personliga integritet å andra sidan. Frågan om tillgången till offentlig information och balansen mellan individens rätt till en privat sfär kontra ett berättigat intresse av effektivitet i samhället, har diskuterats av och till i Sverige i många år. 7 De flesta torde vara överens om att både offentlighet och integritet är mycket skyddsvärda intressen. Även om dessa intressen står emot varandra är det Datainspektionens uppfattning att det måste vara möjligt att hitta en balans mellan dem på så sätt att individen upplever att personuppgifter om honom inte används på ett otillbörligt sätt samtidigt som den grundlagsskyddade tryck- och yttrandefriheten inte kränks. Integritet är dock inte ett statiskt begrepp utan varierar från individ till individ och över åren. Därför måste diskussionen fortsätta. Datainspektionen kommer att följa utvecklingen på området. 6 prop. 1990/91:60 s. 49 7 Några exempel på detta är SOU 1986:46 Integritetsskyddet i informationssamhället, prop. 1990/91:60 Offentlighet, Integritet och ADB, SOU 1997:146 Grunddata i samhällets tjänst, SOU 1997:39 Integritet, Offentlighet, Informationsteknik och Dir. 1998:32 om en översyn av offentlighetsprincipen. Även inom EU:s medlemsstater har frågan väckts och inom kort presenteras grönboken Access to public information. 9
Enkät - myndigheter Myndighet Kontaktperson Telefonnummer Med försäljning avses i denna enkät sådant utlämnande av personuppgifter från ITbaserade personregister som går utöver tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet och som myndigheten har tagit ut ersättning för. (Jfr. prop. 1990/91:60 s. 42, 47.) Vad som avses med personuppgifter och personregister framgår av 1 datalagen (1973:289). 1. Sålde myndigheten under 1997 några personuppgifter från IT-baserade personregister? Om inte, besvara endast fråga 10 och 14 nedan. 2. Hur är försäljningen av personuppgifter reglerad för myndigheten? (Jfr. 7 första stycket 3 datalagen samt ovanstående prop.) Ange vilken instruktion, författning eller annan reglering som tillämpas, i förekommande fall för vart och ett av personregistren om de är olika reglerade. 3. Enligt vilka regler har ersättningen för försäljningen bestämts? 10
4. Ange benämning för vart och ett av myndighetens personregister från vilka personuppgifter sålts och gör en kort beskrivning av personregistrets ändamål. Fortsätt på bilaga om det behövs. Benämning Ändamål 11
5. Ange kort vilket slag av personuppgifter som sålts från respektive personregister. (Ex. namn, personnummer, inkomst, fastighetsinnehav.) Fortsätt på bilaga om det behövs. Benämning Slag av personuppgifter 12
6. Vad är syftet med försäljningen av personuppgifter? Ange ev. flera alternativ. Effektivisera utlämnandet av allmänna handlingar Öka intäkterna i kommersiellt syfte Öka servicen gentemot mottagaren Annat 7. Hur stor var intäkten av försäljningen under 1997, dvs. hur mycket fakturerade myndigheten för sålda personuppgifter? Ange ungefärligt belopp. 8. Vilka köper personuppgifterna? Ange om möjligt vilka verksamheter köparna i huvudsakligen bedriver. (Ex. marknadsföring, kommunal verksamhet, marknadsundersökningar, kreditupplysning, inkasso.) 9. Ungefär hur stor del av utlämnandet av sålda personuppgifter skedde på ITmedia under 1997? Ange i procent. 10. Finns det personuppgifter som efterfrågas av köpare men som myndigheten inte säljer? Om ja, vilka är dessa uppgifter och av vilken anledning säljs inte dessa? 13
11. Har ni någon särskild enhet/avdelning/befattningshavare som handhar försäljningsverksamheten på myndigheten? 12. Marknadsför myndigheten sin försäljningsverksamhet? Om ja, på vilket sätt? Bifoga ev. marknadsföringsmaterial. 13. Har försäljningen av personuppgifter ökat de senaste fem åren? Om ja, vilket slag av personuppgifter är det som efterfrågas mer än förut? 14. Har förslaget till en personuppgiftslag (prop. 1997/87:44) på något sätt påverkat myndighetens framtidsplaner gällande försäljning av personuppgifter? Om ja, på vilket sätt? Datum Namn 14
Enkät - företag Företag Kontaktperson Telefonnummer Med försäljning avses i denna enkät utlämnande av personuppgifter från IT-baserade personregister som företaget har tagit ut ersättning för och som inte kan hänföras till tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet (jfr. prop. 1990/91:60 s.42, 47). Vad som avses med personuppgifter och personregister framgår av 1 datalagen (1973:289). 1. Sålde företaget under 1997 några personuppgifter från IT-baserade personregister? Om inte, besvara endast fråga 9 och 13 nedan. 2. Finns det några instruktioner, regler eller liknande på företaget om vilka personuppgifter som får säljas och/eller hur ersättningen skall bestämmas? Bifoga i sådana fall dessa. 3. Vad är syftet med försäljningen av personuppgifter? Ange ev. flera alternativ. Effektivisera utlämnandet av allmänna handlingar när sådant utlämnande blir aktuellt Öka intäkterna i kommersiellt syfte Öka servicen gentemot mottagaren Annat 15
4. Ange benämning för vart och ett av myndighetens personregister från vilka personuppgifter sålts och gör en kort beskrivning av personregistrets ändamål. Fortsätt på bilaga om det behövs. Benämning Ändamål 16
5. Ange kort vilket slag av personuppgifter som sålts från respektive personregister. (Ex. namn, personnummer, inkomst, fastighetsinnehav.) Fortsätt på bilaga om det behövs. Benämning Slag av personuppgifter 17
6. Hur stor var intäkten av försäljningen under 1997, dvs. hur mycket fakturerade företaget för sålda personuppgifter? Ange ungefärligt belopp. 7. Vilka köper personuppgifterna? Ange om möjligt vilka verksamheter köparna i huvudsakligen bedriver. (Ex. marknadsföring, kommunal verksamhet, marknadsundersökningar, kreditupplysning, inkasso.) 8. Ungefär hur stor del av utlämnandet av sålda personuppgifter skedde på ITmedia under 1997? Ange i procent. 9. Finns det personuppgifter som efterfrågas av köpare men som företaget inte säljer? Om ja, vilka är dessa uppgifter och av vilken anledning säljs inte dessa? 10. Har ni någon särskild enhet/avdelning/befattningshavare som handhar försäljningsverksamheten på företaget? 18
11. Marknadsför företaget sin försäljningsverksamhet? Om ja, på vilket sätt? Bifoga exempel på ev. marknadsföringsmaterial. 12. Har försäljningen av personuppgifter ökat de senaste fem åren? Om ja, vilket slag av personuppgifter är det som efterfrågas mer än förut? 13. Har den nyligen antagna personuppgiftslagen (1998:204) på något sätt påverkat företagets framtidsplaner gällande försäljning av personuppgifter? Om ja, på vilket sätt? Datum Namn 19
Besöksadress: Fleminggatan 14, plan 9 Postadress: Box 8114, 104 20 Stockholm Beställningar: 657 61 42 (telefonsvarare) E-post: datainspektionen@din.se Fax: 08-652 85 52 Tel: 08-657 61 00