Datainspektionens årsredovisning 2000 1/36

Datainspektionens årsredovisning 2000 1/36

2/36

Innehåll Året som gått... 4 Omvärlden... 6 Lagar... 7 Verksamhetens mål... 9 Organisation... 10 Verksamhetsområde Tillsyn... 11 Verksamhetsområde Information... 15 Verksamhetsområde Regelgivning... 17 Verksamhetsområde Tillstånd... 18 Verksamhetsområde Internationellt... 19 Erfarenheter av tillämpningen av PuL... 22 Kvalitet och effektivitet... 24 Jämställdhet, kompetensutveckling och etnisk mångfald... 24 Styrelsen... 25 Förvaltningsberättelse... 26 Resultaträkning... 28 Balansräkning... 29 Finansieringsanalys... 30 Likvida medel... 31 Väsentliga uppgifter... 31 Anslagsredovisning... 32 Nyckeltal... 32 Noter... 33 3/36

Året som gått Nu har det gått ännu ett år med personuppgiftslagen (PuL) och även med datalagen. Det har visat sig att en mycket större del av personuppgiftsbehandlingen än vad vi från början beräknade alltjämt sker enligt datalagen. Först den 1 oktober 2001, då datalagen har upphört att gälla och då PuL gäller fullt ut, inträffar alltså den verkliga Dagen PuL och först då är det slut med den besvärliga tillämpningen av övergångsbestämmelserna. Till dess måste vi alltså fortsätta att köra dubbelspår med de båda lagarna. Arbetet med att informera om nödvändigheten att inför Dagen PuL anpassa behandlingen av personuppgifter till den nya lagen har under det gångna året varit en viktig uppgift för Datainspektionen. Information har lämnats till myndigheter, företag, organisationer och andra som behandlar personuppgifter. Detta har skett genom särskilda utskick, vid seminarier och föreläsningar samt i samband med inspektioner och andra kontakter med blivande personuppgiftsansvariga. Internetproblematiken, särskilt de därmed sammanhängande frågorna om yttrandefrihetens gränser, har under året haft fortsatt aktualitet. Sakta men säkert växer det dock fram en praxis på detta rättsligt komplicerade område. Tillsynsverksamheten har nu funnit sina former men den kräver stora resurser för att ge märkbar effekt. Ett särskilt arbetskrävande tillsynsområde är polisens och tullens behandling av personuppgifter på det nationella planet. Därtill kommer att Datainspektionen som sedan tidigare är nationell tillsynsmyndighet enligt Europolkonventionen nu också blir nationell tillsynsmyndighet enligt Schengenkonventionen och enligt den s.k. CIS-konventionen vad gäller tullsamarbetet. Datainspektionens gradvisa övergång från tillståndsmyndighet till i första hand tillsyns- och rådgivande myndighet fortskrider enligt planerna. Detta har varit av godo för inspektionens personal, som ser fram emot Dagen PuL då tillståndshanteringen helt upphör. 4/36

Datainspektionens internationella verksamhet har ytterligare ökat och nya kontaktytor har skapats. Numera är ett tiotal av inspektionens tjänstemän engagerade i olika internationella dataskyddssammanhang. En krävande uppgift under år 2000 var att under två dagar i april stå för värdskapet för de europeiska dataskyddschefernas årliga vårkonferens. Det var en mycket givande konferens både vad gäller det sakliga innehållet och den sociala samvaron. Stockholm visade sig från den allra bästa sidan för de omkring 75 deltagarna. Utbytet av erfarenheter och tankar med de europeiska kollegerna har fått ökat intresse nu när de flesta EU-länderna har genomfört dataskyddsdirektivet i sin nationella lagstiftning. Den svenska regeringen har aviserat att man under det svenska ordförandeskapet avser att föreslå vissa ändringar i dataskyddsdirektivet. Vi hoppas på framgång härvidlag. Slutligen vill jag citera vad Datainspektionen nyligen har anfört i ett remissyttrande: Det tycks föreligga en övertro på att man genom att upprätta register kan komma till rätta med samhällsproblem av skiftande slag. Datainspektionen är en central förvaltningsmyndighet som har till uppgift att skydda människors privatliv i IT-samhället. Skyddet skall tillgodoses utan att användningen av ny teknik onödigt hindras eller försvåras. Datainspektionen övervakar att god sed iakttas i kreditupplysnings- och inkassoverksamhet. Datainspektionen hjälper enskilda personer som råkat ut för integritetskränkningar, följer upp klagomål och gör inspektioner. Datainspektionen utfärdar föreskrifter och allmänna råd och ger synpunkter på utredningar och lagförslag. Stor vikt läggs vid förebyggande arbete, främst information och regelgivning. Datainspektionen följer och beskriver utvecklingen på IT-området när det gäller frågor som rör integritet och ny teknik. Ulf Widebäck Generaldirektör 5/36

Omvärlden Genom personuppgiftslagen (PuL) införlivades EG:s dataskyddsdirektiv 1 med svensk lagstiftning. Direktivet anger vilket skydd som skall finnas för enskilda vid behandling av personuppgifter. Tanken är att personuppgifter skall kunna flöda fritt inom EU till gagn för den inre marknaden. Direktivet är detaljerat och ger inte något större utrymme för de enskilda staterna att välja egna lösningar i lagstiftningen. Alla EU-stater har ännu inte genomfört direktivet nationellt. Samtliga nordiska länder har dock antagit ny lagstiftning. PuL och Internet Debatten om PuL:s förbud mot att lämna ut personuppgifter till länder utanför EU som blossade upp i samband med att PuL trädde i kraft har fortsatt. Debatten har gällt om man skall vara tvungen att tillfråga berörda personer innan man publicerar uppgifter på en webbplats och om PuL begränsar yttrandefriheten. PuL ändrades med verkan från den 1 januari 2000 och det är inte längre förbjudet att föra över personuppgifter till ett land utanför EU förutsatt att landet har en adekvat nivå för skyddet av personuppgifterna. I praktiken betyder det att skyddsnivån i mottagarlandet saknar betydelse om personuppgifterna inte behöver något särskilt skydd. Ändringen innebär att de flesta kan publicera icke känsliga personuppgifter i ökad omfattning på sina webbplatser. framtidsvisioner. Regeringens IT-politik har under året behandlats i propositionen 1999/2000:86 Ett informationssamhälle för alla. Nya utredningar Utvecklingen aktualiserar integritetsskyddsfrågorna. Regeringen har aviserat en parlamentarisk utredning med uppgift att kartlägga, analysera och utvärdera lagstiftning som berör den enskildes integritet. Regeringen har under december 2000 beslutat tillsätta en särskild utredare som skall göra en översyn av Datainspektionens uppgifter och verksamhet mot bakgrund av den nya personuppgiftslagen och den snabba tekniska utvecklingen (dir. 2000:52). Utredaren skall redovisa sina förslag till regeringen senast den 15 januari 2002. 1 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Nya frågor Den snabba tekniska utvecklingen innebär ständigt nya frågeställningar. På senare år har en förskjutning skett från koncentration på stora register hos främst myndigheter till Internet och de enorma möjligheter som numera finns att lagra och bearbeta uppgifter (datamining). Också möjligheterna att sprida information vare sig den är önskad eller ej ökar, liksom möjligheterna att kommunicera med andra. Digital-TV, bredband och e-handel är inte längre 6/36

Lagar Datainspektionen är tillsynsmyndighet för personuppgiftslagen, datalagen, kreditupplysningslagen och inkassolagen. Personuppgiftslagen (PuL) PuL har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Lagen trädde i kraft den 24 oktober 1998, varvid datalagen från år 1973 upphörde att gälla. Under en övergångstid fram till den 1 oktober 2001 tillämpas dock båda lagarna. Datalagen tillämpas för behandlingar av personuppgifter som har påbörjats före den 24 oktober 1998 och PuL för behandlingar som påbörjats efter detta datum. PuL bygger på gemensamma regler som har beslutats inom EU, det s.k. dataskyddsdirektivet. Lagen omfattar behandling av personuppgifter som är helt eller delvis automatiserad samt även manuellt förda personregister. Rent privat behandling av personuppgifter är undantagen. Undantag gäller även med hänsyn till offentlighetsprincipen samt tryck- och yttrandefriheten. Särregler i annan lagstiftning tar också över bestämmelserna i PuL. I enlighet med vad som anges i förarbetena till PuL har ett anpassnings- och översynsarbete av befintliga registerförfattningar förutsatts. Under år 2000 har ett antal nya registerförfattningar trätt i kraft, såsom lagen om belastningsregister, lagen om misstankeregister, lagen om fastighetsregister och lagen om rättspsykiatriskt forskningsregister. I PuL anges grundläggande krav på behandling av personuppgifter samt när behandling är tillåten. För behandling av känsliga uppgifter finns särskilt restriktiva bestämmelser. Lagen bygger i hög grad på samtycke från den registrerade. De restriktiva bestämmelserna i PuL om överföring av personuppgifter (dataexport) till länder utanför EU har modifierats med verkan från den 1 januari 2000. Vidare innehåller PuL bestämmelser om information till de registrerade, om korrigering av personuppgifter och om säkerhet vid behandling. En huvudregel är att databehandling av personuppgifter skall anmälas till Datainspektionen, där anmälningarna förs in i ett offentligt register. Omfattande undantag från anmälningsskyldigheten finns föreskrivna i lagen, personuppgiftsförordningen och föreskrifter från Datainspektionen. Undantag från anmälningsskyldigheten gäller bl.a. när ett personuppgiftsombud har utsetts och anmälts till inspektionen. Ett personuppgiftsombud har till uppgift att självständigt kontrollera den personuppgiftsansvariges behandlingar. Vissa särskilt integritetskänsliga behandlingar skall alltid anmälas till Datainspektionen för förhandskontroll. Datainspektionens huvuduppgifter enligt den nya lagstiftningen är att utöva tillsyn bl.a. genom inspektioner, att bedriva informationsverksamhet samt att ge ut föreskrifter och allmänna råd. Datainspektionen har även fått till uppgift att avge yttranden över förslag till s.k. branschöverenskommelser. PuL kompletteras av regeringens föreskrifter i personuppgiftsförordningen (1998:1191), som numera även innehåller föreskrifter om kommunernas och landstingens 7/36

möjligheter att med hjälp av Internet sprida personuppgifter som ingår i diarier och protokoll (11 ). Datalagen Fram till PuL:s ikraftträdande tillämpades datalagen för den som registrerade personuppgifter elektroniskt. För vissa register krävdes, utöver en licens, ett särskilt tillstånd från inspektionen. För Datainspektionen innebär övergångsbestämmelserna i PuL en fortsatt tillståndshantering eftersom tillstånd enligt datalagen kan behöva ändras under övergångstiden. Också tillsynen över datalagens tillämpning fortsätter genom bl.a. inspektioner. Kreditupplysningslagen Kreditupplysningsföretagen samlar in uppgifter om företagens ekonomiska förhållanden och om enskilda personers ekonomiska och personliga förhållanden. Alla personer över 15 år finns registrerade hos de största kreditupplysningsföretagen. Den som bedriver kreditupplysningsverksamhet behöver normalt tillstånd från Datainspektionen. Tillstånd får meddelas endast om verksamheten kan antas bli bedriven på ett sakkunnigt och omdömesgillt sätt. Genom bl.a. inspektioner kontrollerar Datainspektionen hur kreditupplysningslagen efterlevs. Inkassolagen Den som skall driva in fordringar för någon annans räkning, eller fordringar som har övertagits för indrivning, måste normalt ha Datainspektionens tillstånd. För att få tillstånd krävs att någon i företagets ledning har sakkunskap inom inkassoområdet och är omdömesgill. Datainspektionen bedömer om kraven är uppfyllda och ser till att företaget iakttar god inkassosed. 8/36

Verksamhetens mål Enligt regeringens regleringsbrev för budgetåret 2000 har följande övergripande mål gällt: n automatisk databehandling av personuppgifter skall inte medföra otillbörligt intrång i enskildas personliga integritet. Målet skall nås utan att användningen av teknik onödigt hindras eller försvåras, n god sed skall iakttas i kreditupplysnings- och inkassoverksamhet, n Datainspektionen skall bedriva en minst lika omfattande inspektionsverksamhet som under de två senaste budgetåren, n informationsverksamheten skall öka de personuppgiftsansvarigas kunskap om integritetsskyddsreglerna. Verksamheten skall särskilt inriktas på att etablera fortlöpande kontakter med de personuppgiftsombud som har anmälts till inspektionen, n den genomsnittliga omloppstiden för tillståndsärenden skall inte överstiga två månader. Regeringens återrapporteringskrav Omfattningen av inspektionsverksamheten samt vad som under fältinspektionerna framkommit om datasäkerhet m.m. s. 11 14 Hur informationsverksamheten bedrivits samt hur detta påverkat de personuppgiftsansvarigas och personuppgiftsombudens kunskap om integritetsskyddsreglerna s. 15, 16 Omloppstiden för tillståndsärenden s. 18 Omfattningen av och kostnaderna för det internationella samarbetet samt en beskrivning av erfarenheter av samarbetet s. 19 21 Antalet inkomna och avgjorda ärenden s. 11, 17, 18 Antalet ej avgjorda ärenden vid ingången av respektive utgången av budgetåret s. 11, 18 Åldersstrukturen på ej avgjorda ärenden s. 12, 18 Styckkostnader s. 11, 17, 18 Övriga faktorer som kan bidra till en bedömning av om Datainspektionens verksamhet bidragit till att de övergripande målen uppnåtts s. 24 Erfarenheter av tillämpningen av personuppgiftslagen och behov av åtgärder med anledning av den nya lagstiftningen s. 22, 23 Resultatet av Datainspektionens verksamhet skall redovisas på fem verksamhetsområden: Tillsyn, Information, Regelgivning, Tillstånd och Internationell verksamhet. 9/36

Organisation Styrelse Generaldirektör Ulf Widebäck GD:s kansli Kanslichef Gunilla Simonsson Tillstånds- och tillsynsenheten Tillsynsdirektör Britt-Marie Wester Informationsenheten Informationschef Leif Stenström Juridiska enheten Chefsjurist Leif Lindgren Ekonomienheten Ekonomichef Lars Eriksson Generaldirektörens kansli svarar för registratur, arkiv, vaktmästeri, personalfrågor, internt IT-stöd samt övrig allmän administration. Kansliet består av en kanslichef och fem medarbetare samt två dataråd som arbetar med särskilda utredningsuppdrag och remisser. Tillstånds- och tillsynsenheten handlägger ärenden enligt personuppgifts-, data-, inkasso- och kreditupplysningslagarna. Enheten handlägger inkomna klagomål, genomför inspektioner och följer upp tillsynsaktiviteter. Dessutom utarbetas förslag till föreskrifter och allmänna råd. Enheten består av en tillsynsdirektör som chef, ett dataråd som ställföreträdande chef, två dataråd och tio handläggare/inspektörer. Informationsenheten informerar myndigheter, företag, organisationer, personuppgiftsombud, media och allmänheten om integritetsskyddsreglerna och Datainspektionens verksamhet. Informationsenheten arrangerar konferenser, föredrag, studiebesök, producerar en periodisk skrift samt ansvarar för inspektionens webbplats. Enheten består av en informationschef, en pressekreterare och fyra handläggare. Juridiska enheten ansvarar för arbetet med inspektionens regelgivning och remissverksamhet. Enheten biträder inom myndigheten i juridiska frågor som är av principiell betydelse eller av särskilt komplicerad natur. Juridiska enheten svarar för bevakning och samordning av inspektionens internationella arbete. Enheten består av en chefsjurist, två dataråd, ett internationellt dataråd och en internationell sekreterare. Ekonomienheten svarar för Datainspektionens budget- och ekonomiarbete, löneadministration samt inspektionens reception och telefonväxel. Enheten består av en ekonomichef och tre medarbetare. 10/36

Tillsyn Tillsyn enligt personuppgifts-, data-, kreditupplysnings- och inkassolagen kan föranledas av klagomål från enskilda, uppgifter i massmedia eller inledas på Datainspektionens eget initiativ. Tillsyn bedrivs som fältinspektioner, enkäter eller annan kontroll per telefon eller brev. Klagomål Klagomålen enligt kreditupplysningslagen och inkassolagen har ökat. Ökningen kan förklaras med att Datainspektionen har bedrivit en intensiv inspektionsverksamhet enligt kreditupplysningslagen och inkassolagen under 2000 vilket lett till att dessa frågor uppmärksammats i massmedia. Detta har medfört att människors kunskap om integritetsskyddsreglerna i kreditupplysningslagen och inkassolagen har ökat. Antalet klagomål som har kommit in under året framgår av tabellen. Klagomålen enligt datalagen har minskat med 27 procent jämfört med föregående år. Klagomålen enligt PuL har ökat med 12 procent. Minskningen av klagomål enligt datalagen och ökningen enligt PuL beror till stor del på att fler behandlingar utförs enligt PuL jämfört med förra året. Den största delen av klagomålen avser spridning av personuppgifter över Internet. I många fall leder klagomålen till att Datainspektionen inleder tillsyn. Tillsynen kan bedrivas som skrivbordstillsyn genom breveller telefonkontakter eller som fältinspektion. Antalet tillsynsärenden har ökat till 521 under 2000 jämfört med 434 under 1999. Inspektioner Antalet inspektioner har ökat under 2000. Sammanlagt har 183 inspektioner utförts (76 offentliga och 107 privata objekt) vilket kan jämföras med 167 under 1999 och 113 under 1998. Temainspektioner En temainspektion omfattar en bred och djup granskning av en bransch eller sektor. En sådan granskning kräver mer tid och Klagomål 2000 1999 Datalagen 189 260 Personuppgiftslagen 166 149 Kreditupplysningslagen 125 121 Inkassolagen 196 172 Totalt 676 702 Verksamhetsområde Tillsyn Tillsyn 1 2000 1999 1998 Kostnad (Tkr) 8 828 8 415 4 694 Genomförda inspektioner 183 167 113 - offentliga 2 76 101 74 - privata 2 107 66 39 Antal inkomna ärenden 1 274 1 193 990 Antal avgjorda ärenden 1 208 1 166 1 087 Utgående balans 197 131 104 Kostnad/avgjort ärende (kr) 7 308 7 218 4 318 Kostnad/inspektion 3 (kr) 14 342 14 254 12 422 1 Siffrorna i tabellen omfattar även klagomål och förhandskontroller. 2 Resurserna har under år 2000 i ökad utsträckning använts för inspektioner av den privata kreditupplysnings- och inkassoverksamheten. 3 För 2000 har styckkostnaden beräknats på en förbättrad tidredovisning. Kostnaderna för 1998 och 1999 har räknats om för att bli jämförbara. 11/36

Åldersstruktur för balanserade tillsynsärenden per 2000-12-31 Äldre än 6 månader 7 3 6 månader 29 2 3 månader 13 1 2 månader 99 Yngre än 1 månad 49 Summa 197 större resurser än en sedvanlig inspektion. Årets temainspektioner har genomförts dels i form av fältinspektioner dels i form av enkätinspektioner. Resultaten har sammanställts i rapporter som har spridits till berörda branscher och sektorer. Äldrevården En av temainspektionerna under året har avsett överföring av personuppgifter mellan olika huvudmän inom vården och omsorgen av de äldre. Inspektionerna visade på brister i den information som krävs enligt vårdregisterlagen. ITsäkerheten var i allmänhet bra men det fanns en del variationer mellan de personuppgiftsansvariga. De flesta av de inspekterade landstingen och kommunerna har utarbetat skriftliga rutiner för vårdplanering och informationsöverföring. Datainspektionen har i rapporten påpekat vad den som behandlar personuppgifter inom äldrevården bör tänka på. Biobankers behandling av personuppgifter En annan av årets temainspektioner har avsett behandling av personuppgifter om genetiska anlag som har kommit fram efter genetisk undersökning. Flertalet av de granskade behandlingarna av personuppgifter utförs för forskningsändamål. Vissa av behandlingarna utförs helt eller delvis för hälso- och sjukvårdsändamål. Det biologiska materialet är mycket omfattande medan personuppgifter behandlas i begränsad omfattning hos inspektionsobjekten. Informationen till de registrerade har i vissa fall inte följt dataskyddsreglerna. En vanlig missuppfattning har varit att man inte anser att anonymiserade uppgifter som lämnats ut t.ex. till en forskare är personuppgifter trots att det finns en s.k. nyckel hos biobanken. I inspektionsrapporten har Datainspektionen lämnat rekommendationer till ledning för den som behandlar personuppgifter om genetiska anlag. Nationell enhet för Schengens informationssystem Datainspektionen är nationell tillsynsmyndighet enligt artikel 114 i konventionen om tillämpning av Schengenavtalet (Schengenkonventionen). Den nationella tillsynsmyndigheten skall enligt Schengenkonventionen kontrollera att behandling och utnyttjande av uppgifter i det nationella registret N-SIS av Schengens Informationssystem (SIS) inte skadar den enskildes rättigheter. N-SIS finns hos Rikspolisstyrelsen. Datainspektionen har under året utfört en inspektion av Rikspolisstyrelsen nationella enhet för Schengen för att få information om den behandling av personuppgifter som är under uppbyggnad med anledning av Schengensamarbetet och som beräknas att vara i full drift i början av år 2001. Tullen Under året har Datainspektionen inspekterat Tullverket för att kontrollera den behandling av personuppgifter som sker med stöd av lagen (1997:1058) om register i Tullverkets brottsbekämpande verksamhet. Inspektionen visade att Tullverket inte fullt ut har anpassat behandlingen av personuppgifter till reglerna i denna lag. Datainspektionen har uppmanat Tullverket att se över sin hantering av personuppgifter så att den överensstämmer med lagstiftningen. 12/36

Inkassolagen Datainspektionen har under året genomfört 41 inspektioner av inkassoverksamhet hos kommuner som driver in sina egna fordringar och hos inkassobolag som i egenskap av ombud driver in fordringar åt andra. De vanligaste bristerna har varit att fel person utsätts för inkassokrav på grund av att inkassobolaget inte tillräckligt noggrant har kontrollerat vem som är betalningsskyldig, att kravunderlaget inte varit tillräckligt preciserat och att ansökan om betalningsföreläggande har lämnats in utan hänsyn till en saklig invändning från den som har fått kravet. Pågående temainspektioner En temainspektion under året har omfattat samtliga företag som bedriver tillståndspliktig kreditupplysningsverksamhet. Inspektionerna har varit omfattande och är ännu inte slutförda. En annan temainspektion har gällt s.k. nationella kvalitetsregister inom sjukvården. Inspektionerna, som har genomförts både med stöd av datalagen och PuL, kommer att avslutas med en rapport som beräknas bli klar i början av år 2001. En tredje temainspektion har avsett uppföljning av tidigare inspektioner inom sjukvården. Under 1998 genomfördes inspektioner rörande personregistreringen inom landsting och landstingsfria kommuner med ansvar för hälso- och sjukvården. Det framgick att IT-säkerheten var bristfällig i vissa fall. Inspektionerna har under året följts upp genom nya inspektioner. Rapporten beräknas att bli klar i början av år 2001. Under året har ett inspektionsprojekt tillsammans med Finansinspektionen påbörjats. Projektet skall undersöka om det finns missvisande uppgifter i kreditupplysningsregistren och hur kreditupplysningsuppgifter används av kreditgivare. Projektet skall också kontrollera vad som rapporteras och registreras som kreditmissbruk. Inspektionerna har varit omfattande och beräknas bli klara under våren 2001. Övriga inspektioner Kategorin övriga inspektioner har inte varit branschorienterad som temainspektionerna utan har fokuserats på utvalda delar av lagstiftningen och dess efterlevnad i många olika branscher och sektorer. Närmare 40 procent av dessa inspektioner har avslutats utan anmärkning. Anledningen till att så många inspektioner har kunnat avslutas utan anmärkning är att Datainspektionen under de senaste åren har bedrivit en intensiv inspektionsverksamhet. Påpekanden har fått ett stort genomslag hos myndigheter, företag och organisationer. Några av frågorna har också uppmärksammats i massmedia vilket har bidragit till att resultaten spridits. I de fall brister har uppdagats vid inspektionerna har de ofta varit av mindre allvarligt slag. Inspektionerna har dock visat på allvarliga brister beträffande skyldigheten att lämna information till den registrerade. För att avhjälpa dessa brister har Datainspektionen utarbetat allmänna råd om information till den registrerade enligt 23 27 PuL. Även en informationsskrift om vårdregisterlagen har utarbetats och spritts till vårdgivare inom offentlig och privat verksamhet. IT-säkerhet IT-säkerhetsinspektioner har regelmässigt utförts av inspektörer med särskild teknisk kompetens och inspektionerna har rutinmässigt omfattat fysisk säkerhet, tillträdesoch behörighetskontroll, behandlingshistorik, säkerhetskopiering, datakommunikation, utplåning, reparation och service samt i vissa fall skydd mot skadliga program. I samtliga fall där brister har konstaterats har register- och personuppgiftsansvariga förklarat hur bristerna kommer att 13/36

avhjälpas. Datainspektionen utfärdade i december 1999 nya allmänna råd om säkerhet för personuppgifter och kommer att följa upp en del av inspektionsärendena med nya inspektioner, främst där känsliga behandlingar utförs. I rutan till höger redovisas de mera allvarliga brister i ITsäkerheten som har uppdagats vid årets inspektioner. Polisanmälningar Datainspektionen har i sin tillsynsverksamhet polisanmält flera brott mot dataskyddslagstiftningen. Det har rört sig om integritetskränkande uppgifter som har publicerats på webbplatser. Förhandskontroller Vilka behandlingar som skall anmälas till Datainspektionen för förhandskontroll enligt 41 PuL framgår av 9 personuppgiftsförordningen och av föreskrifter i annan författning. I 2 polisdataförordningen finns föreskrifter om anmälan av viss automatiserad behandling enligt polisdatalagen. Beträffande skattemyndigheterna finns bestämmelser om anmälan i 2 förordningen om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar. Under 2000 har det kommit in 77 anmälningar för förhandskontroll. De flesta har avsett behandling av personuppgifter som kommit fram efter genetisk undersökning och 28 anmälningar har avsett förhandskontroll enligt polisdataförordningen. Det har inte kommit in någon anmälan från skattemyndigheterna. Anmälningarna har handlagts med förtur eftersom inspektionen inom tre veckor måste meddela om den avser att vidta några åtgärder med anledning av anmälan eller ej. Kravet på förturshantering och det rättsligt komplicerade området, framför allt de anmälningar som har kommit från polisen, har gjort handläggningen mycket resurskrävande. Säkerhetsbrister som framkommit vid årets inspektioner Regel: IT-utrustning skall ha ett tillfredsställande skydd mot stöld och händelser som kan förstöra utrustningen. Brister: Rutiner för skydd av bärbara datorer har saknats. Regel: Ett tekniskt system för behörighetskontroll skall styra åtkomsten till personuppgifterna om datorn används av mer än en person. Behörigheten skall begränsas till dem som behöver uppgifterna för sitt arbete. Användaridentitet och lösenord skall vara personliga och får inte överlåtas på någon annan. Det skall finnas rutiner för tilldelning av behörigheter. Brister: Behörigheten har inte varit begränsad till så få personer som möjligt. Användaridentiteter har inte varit personliga. Behörigheten för anställda som slutat har inte tagits bort. Rutiner har saknats angående tilldelning av behörighet. Regel: Åtkomst till personuppgifter skall kunna följas upp i efterhand genom en maskinell logg eller liknande maskinellt underlag, om datorn används av mer än en person.av detta underlag skall framgå vem som haft åtkomst, tidpunkt för åtkomsten samt till vilken persons uppgifter åtkomsten skett. Underlaget skall kontrolleras i erforderlig utsträckning. Brister: Logg har saknats. Loggen har inte kontrollerats. Regel: Personuppgifterna skall regelbundet överföras till säkerhetskopior. Kopiorna skall förvaras avskilt och väl skyddade så att personuppgifterna kan återskapas efter en störning. Brister: Det har saknats rutiner för att återskapa information från säkerhetskopian. Omfattning Inspektionsverksamheten har varit mer omfattande än de två senaste åren och målet enligt regleringsbrevet är uppfyllt. Eftersom antalet tillståndsärenden har minskat har resurser kunnat föras över från tillståndshanteringen. 14/36

Information Informationsverksamheten har under året särskilt inriktats på kontakter med personuppgiftsombuden. Årets nyheter har varit seminarier och öppna hus för ombuden ute i landet och en särskild avdelning på webbplatsen. En informationskampanj med påminnelse om att övergångstiden för datalagen snart går ut och att det är dags att förbereda verksamheten för PuL har gått ut till ombuden, myndigheter, kommuner, större företag och organisationer m.fl. Nytt för året är också magazin DIrekt, en periodisk skrift i 4-färg med reportage, nyheter och kommentarer i anslutning till Datainspektionens intresseområde. Personuppgiftsombud Personuppgiftsombuden är en viktig målgrupp för informationsverksamheten och även en betydelsefull kanal för vidarespridning av information. En jurist hos Datainspektionen är kontaktperson som bl.a. besvarar ombudens frågor och arrangerar föreläsningar på arbetsplatserna. När ett nytt ombud anmäls till Datainspektionen, får han eller hon en pärm med författningar och informationsmaterial. Därefter förses ombudet löpande med nytt material när det kommer ut. Under året har seminarier för ombud inom kommunerna anordnats i Sundsvall, Stockholm, Göteborg, Växjö och Malmö. Dessutom ett seminarium för ombud inom vården, en större konferens för nya ombud och öppna hus för ombud i Falun, Jönköping, Göteborg, Helsingborg och Malmö. Seminarierna har varit mycket uppskattade och 2001 planeras bl.a. fortsättningskurser. Under året anmälde 468 personuppgiftsansvariga ombud. Det totala antalet anmälningar är nu 1 692 och antalet ombud är 1 139 (flera personuppgiftsansvariga kan ha samma ombud). Verksamhetsområde Information Information (Tkr) 2000 1999 1998 Kostnader 1 7 379 7 310 4 559 Intäkter 1 190 1 381 1 641 konferensarvode 818 910 1 240 föreläsningsarvode 305 416 315 Försäljning, trycksaker 67 55 86 1 Kostnader redovisas netto efter avdrag för intäkter. 15/36

Föreläsningar och konferenser Datainspektionens personal är efterfrågade föreläsare och verksamheten har ökat kraftigt under de senaste åren. Under år 2000 höll inspektionen 149 föreläsningar vid egna och andras konferenser samt hos myndigheter, företag och organisationer runt om i landet och även utomlands (Vilnius och Oslo). Antalet kan jämföras med 137 stycken 1999, 89 stycken 1998 och 50 stycken 1997. Under året anordnades två större konferenser, dels en allmän konferens om tillämpningen av PuL, dels en introduktion och uppdatering för ombuden. Dessutom var Datainspektionen i april värd för de europeiska dataskyddschefernas vårkonferens. Konferenserna har utvärderats genom frågeformulär där deltagarna bl.a. har kunnat ange om olika programpunkter har varit nyttiga för dem. För de flesta programpunkterna svarade ca 80 procent av deltagarna att inslaget varit nyttigt. Av detta kan slutsatsen dras att konferenserna framgångsrikt har informerat personuppgiftsombuden och övriga deltagare. Webbplats Internet är nu en etablerad informationskanal. Nyhetsnotiser läggs kontinuerligt ut på webben och under året har det blivit möjligt att prenumerera på nyheter via en s.k. listserver. När en nyhet ett beslut, en ny skrift, en ny rapport, en lagändring, en konferensinbjudan läggs ut på webbplatsen får prenumeranten ett e-brev med en länk till nyheten och kan t.ex. direkt skriva ut den nya rapporten. Även en mängd frågor och svar om PuL har under året publicerats på webben. Nyligen infördes en funktion där användarna on-line kan lämna sina synpunkter på webbplatsens innehåll och funktioner. Vid årets slut fanns 1 107 webb-prenumeranter och antalet besökare under året uppskattas till ca 115 000. Av det stora intresset och de många positiva kommentarerna till den information som har publicerats, kan man dra slutsatsen att webbplatsen kraftigt har bidragit till att sprida kunskap om integritetsskyddsreglerna. Call-center Datainspektionens call-center är kl. 9.00 11.30 och 12.30 16.00 bemannat med två jurister som under året har besvarat ca 15 000 telefonfrågor och 1 000 e-postfrågor. Trycksaker Under året har Datainspektionen lanserat en ny produkt, magazin DIrekt, en periodisk skrift i 4-färg med reportage, nyheter och kommentarer i anslutning till Datainspektionens intresseområde. Fyra nummer har kommit ut och blivit väl emottagna, tryckupplagan är 4 000 exemplar och magazinet distribueras även via webben. Datainspektionens årsredovisning för 1999 har givits ut i en svensk och en förkortad engelsk version. Dessutom tre nya skrifter: Allmänna råd om informationsplikten enligt PuL, en informationsskrift om vårdregisterlagen samt en uppdaterad och PuL-anpassad version av Personregister i Sverige med råd om hur du kan ta reda på vad som finns registrerat om dig själv. Även informationsblad om PuL och Internet samt betalningsanmärkningar har publicerats under året. Alla Datainspektionens trycksaker kan nu kostnadsfritt hämtas på webbplatsen, vilket medför bättre spridning men mindre intäkter. Trycksakerna kan också beställas i tryckt form, i vissa fall mot en avgift. Under året har Datainspektionen sålt informationsmaterial för 67 000 kr. Presskontakter Press, radio och TV har som vanligt visat stort intresse för Datainspektionens områden. Internet och yttrandefriheten har varit en stor fråga. Vid ett välbesökt frukostmöte i inspektionens lokaler fick medierepresentanter tillfälle att diskutera aktuella frågor med generaldirektören. 16/36

Regelgivning Datainspektionen utarbetar egna författningar med generella föreskrifter. Dessutom ger inspektionen synpunkter på utredningsbetänkanden och förslag från regeringen. Inspektionen deltar också i kommittéer, arbetsgrupper och annat utredningsarbete. Föreskrifter De 20 författningarna med föreskrifter enligt datalagen upphävdes när PuL trädde i kraft. De upphävda föreskrifterna gäller dock fortfarande för personregister där bestämmelserna i datalagen skall tillämpas. Samtidigt utfärdades föreskrifter om skyldigheten att anmäla behandlingar av personuppgifter till Datainspektionen. Föreskrifterna innefattar undantag från den generella anmälningsskyldigheten enligt PuL samt bestämmelser om innehållet i anmälningar till inspektionen. Allmänna råd Nya allmänna råd om information till registrerade enligt PuL har utarbetats av inspektionen under år 2000. Råden avser både sådan information som skall lämnas självmant av den personuppgiftsansvarige och information som skall lämnas efter ansökan från den registrerade. Remisser Arbetet med remisser har varit omfattande. Under år 2000 har 96 remissyttranden avgivits jämfört med 71 under 1999. Därtill kommer en stor mängd delningar, dvs. begäran om synpunkter på utkast till författningar, lagrådsremisser och propositioner. Kommittéarbete Företrädare för Datainspektionen har under året deltagit som experter i Offentlighets- och sekretesskommittén (Ju 1999:6), Polisdatautredningen (Ju 2000:1), Informationsutbytesutredningen (Fi 1999:06), Integritetsutredningen (N 1999:10) och Domstolsdatautredningen (Ju 2000:8). Regelgivning 2000 1999 1998 Författningar och allmänna råd 1 Kostnad (Tkr) 1 142 1 764 1 208 Antal ärenden 1 5 3 Kostnad/författning (kr) 189 420 124 399 169 672 Remisser 2 Verksamhetsområde Regelgivning Kostnad (Tkr) 2 258 2 003 2 657 Antal remissvar 96 71 94 Kostnad/remissvar (kr) 23 525 28 219 28 266 1 I totalkostnaden ingår förutom arbete med egna författningar och allmänna råd även externt utredningsarbete, t.ex. expertmedverkan i offentliga utredningar. Styckkostnaden för 2000 avser arbete med allmänna råd om information till registrerade enligt PuL. 2 I kostnaden för remisser ingår även arbete med s.k. delningar vilka under verksamhetsåret har varit omfattande. 17/36

Verksamhetsområde Tillstånd Åldersstruktur för balanserade tillståndsärenden per 00-12-31 Äldre än 6 månader 14 3 6 månader 22 2 3 månader 5 1 2 månader 16 Yngre än 1 månad 42 Summa 99 Tillstånd 2000 1999 1998 Intäkter (Tkr) 0 0 1 733 Kostnad (Tkr) 1 749 2 667 6 824 Antal inkomna ärenden 830 1 101 4 030 Antal avgjorda ärenden 803 1 520 4 085 Utgående balans 99 72 491 Kostnad/avgjort ärende (kr) 2 179 1 754 1 670 Tillstånd Några nya tillstånd enligt datalagen meddelas inte, men Datainspektionen måste fortfarande pröva ansökningar om ändring av gamla tillstånd samt utlandsutlämnande av uppgifter ur personregister. Det kom under året in 152 ändringsansökningar och 20 ansökningar om utlandsutlämnande. Vidare meddelar inspektionen kompletterande föreskrifter vid tillsyn samt handlägger upphörandeanmälningar och för ett licensregister. Antalet tillståndsansökningar enligt kreditupplysningslagen ökade till 40 jämfört med 33 stycken 1999. Under året inkom 94 tillståndsansökningar enligt inkassolagen jämfört med 87 stycken 1999. Det totala antalet inkomna tillståndsärenden har minskat med 25 procent jämfört med 1999. Minskningen beror på att datalagens krav på tillstånd från Datainspektionen inte finns enligt PuL. Till verksamhetsområdet hör även förfrågningar av mera komplicerat slag än de som handläggs som informationsärenden. Förfrågningar enligt datalagen har ökat med 18 procent (130 ärenden 2000 och 110 ärenden 1999). Förfrågningar enligt PuL har ökat med 133 procent (383 ärenden 2000 och 164 ärenden 1999). Enligt regleringsbrevet skall den genomsnittliga omloppstiden för tillståndsärenden inte överstiga två månader. Under 2000 var den 43 dagar. Målet är därmed uppfyllt. Datainspektionens beslut kan överklagas. Endast tre beslut överklagades under 2000 jämfört med 19 under 1999. Mycket få av de överklagade besluten har ändrats. Av de tre överklagade besluten år 2000 har ett inte ändrats och två ännu inte avgjorts. Kostnaderna per avgjort ärende har ökat, vilket förklaras av att många enklare ärenden har försvunnit och att de ärendetyper som finns kvar kräver längre tid att handlägga. Ytterligare en orsak är att det i varje datalagsärende nu görs en bedömning av vad som kommer att gälla när PuL träder i kraft. 18/36

Internationellt Under de senaste åren har den internationella verksamheten ökat väsentligt. Därför redovisas det internationella arbetet fr.o.m. 1999 som ett särskilt verksamhetsområde. 29-gruppen Företrädare för Datainspektionen ingår i den arbetsgrupp som har inrättats med stöd av artikel 29 i dataskyddsdirektivet. Gruppen skall bl.a. se till att direktivet tillämpas enhetligt i medlemsstaterna. Dessutom skall gruppen avge yttranden till EU-kommissionen om skyddsnivån i länder utanför EU samt ge råd till kommissionen om förslag till ändringar av direktivet. Gruppen har uttalat sig om skyddsnivån för personuppgifter i tredje land bl.a. angående USA och det s.k. safe harbor-systemet som EU-kommissionen beslutade om i juli. Arbetsgruppen har vidare utarbetat rekommendationer för skydd av den personliga integriteten på olika områden. Under 2000 har gruppen sammanträtt sex gånger i Bryssel. Verksamhetsområde Internationellt Schengen En gemensam tillsynsmyndighet finns i Bryssel för att övervaka den behandling av personuppgifter som sker inom ramen för Schengensamarbetet. Företrädare för Datainspektionen ingår som observatörer. Under 2001 blir Sverige operativ medlem. Under 2000 har tillsynsmyndigheten bl.a. undersökt medlemsstaternas bestämmelser om de registrerades rätt att få tillgång till uppgifter om sig själva i Schengens informationssystem (SIS). Man har också granskat de nordiska ländernas dataskyddslagstiftning inför dessa länders operativa inträde i SIS. Under 2000 har Datainspektionen deltagit i möten i Bryssel avseende Schengen vid fem tillfällen. Inspektionen är också nationell tillsynsmyndighet enligt Schengenkonventionen. Under året har en utvärderingsgrupp från EU-rådet besökt bl.a. Datainspektionen för att få information om och göra 19/36

en utvärdering av dataskyddslagstiftningen inför det operativa medlemskapet i Schengensamarbetet. Europol Den tillsynsmyndighet för Europol som inrättades 1998 består av företrädare för respektive nationell tillsynsmyndighet. Från Sverige ingår tjänstemän från Datainspektionen. Den 1 juli 1999 inleddes Europols verksamhet och utbyte av uppgifter sker nu enligt Europolkonventionen. Sedan 1999 har Europol öppnat ett antal analysprojekt som tillsynsmyndigheten för Europol yttrat sig över och de nationella enheterna förser nu Europols analysfiler med uppgifter av betydelse för polissamarbetet. Under året har tillsynsmyndigheten också yttrat sig över frågor om Europols samarbete med tredje land. Representanter för inspektionen har under 2000 deltagit i möten i Bryssel avseende Europol vid fem tillfällen. CIS Förberedelsearbete pågår för att inrätta en gemensam tillsynsmyndighet för ett informationssystem för tullsamarbete (CIS). Under 2000 har ett möte hållits i Haag i vilket Datainspektionen deltog. I april 2000 var Datainspektionen värd för EU-datachefsmötet som hölls i Stockholm. Övrigt Chefer för dataskyddsmyndigheter runt om i världen träffas varje år för att diskutera dataskyddsfrågor vid ett internationellt datachefsmöte, ett EU-datachefsmöte samt ett nordiskt datachefsmöte. I april 2000 hölls EU-datachefsmötet i Stockholm vilket krävde betydande förberedelser. Antalet utländska deltagare var drygt 50. På dagordningen fanns bl.a. följande ämnen: Genetiska data och medicinska frågor, Tillsyn i praktiken och hantering av klagomål samt Offentlighetsprincipen och personlig integritet. Datainspektionen har även deltagit i den s.k. Berlingruppen, en arbetsgrupp som på uppdrag av det internationella mötet sysslar med frågor om dataskydd vid telekommunikation. Gruppen har sammanträtt vid två tillfällen under 2000. Representanter för Datainspektionen har under året också deltagit i två seminarier för EU-staternas dataskyddsmyndigheter. Ämnet var hantering av klagomål. Vidare har en representant för inspektionen för Justitiedepartementets räkning deltagit i en av Europarådets arbetsgrupper. En representant för inspektionen har också under 2000 vid två tillfällen i Paris respektive Rom deltagit i det s.k. Falconeprojektet; ett projekt initierat av den italienska dataskyddsmyndigheten och delfinansierat av EU-kommissionen. Syftet har varit att kartlägga dataskyddslagstiftningens inverkan på bekämpningen av organiserad brottslighet. Under året har Datainspektionen haft besök av delegationer från Malta, Polen och Rumänien. Inspektionen har också deltagit i ett s.k. Phareprojekt (EU-projekt) vad gäller Litauen. Två representanter för inspektionen har vid två tillfällen hållit seminarier i Vilnius om dataskyddsfrågor. Datainspektionen deltar också med en representant i det av Justitiedepartementet ledda Östersjösamarbetet, som syftar till att stödja de baltiska staternas lagstiftningsarbete. På nordisk nivå har förutom datachefsmötet hållits ett möte för handläggare och ett för teknisk personal. 20/36

I Stockholm diskuterade EU:s datachefer bl.a. Genetiska data, Tillsyn i praktiken och hantering av klagomål samt Offentlighetsprincipen och personlig integritet. Erfarenheter Det internationella arbetet har inte bara inneburit intressanta utblickar och möjligheter att hävda svenska intressen utan de frågor som behandlats har varit värdefulla också för Datainspektionens nationella arbete. Det har t.ex. gällt tolkningen av den nya lagstiftningen mot bakgrund av det EU-gemensamma direktivet samt frågan om hanteringen av klagomål som behandlats i gemensamma seminarier. Erfarenheterna från arbetet i tillsynsmyndigheterna för Europol respektive Schengen har använts vid nationell tillsyn. Det internationella arbetet har ökat i omfattning och varit resurskrävande. För att klara uppgifterna på bästa sätt har flera av de anställda engagerats i detta arbete under året. De totala kostnaderna för det internationella samarbetet har uppgått till 6 165 Tkr jämfört med 3 476 Tkr 1999. De väsentligt ökade kostnaderna beror på att det internationella arbetet ökat i omfattning till följd av de internationella avtalen och Datainspektionens värdskap för EUdataschefsmötet. Beloppen avser till större delen personalkostnader. Tidsåtgången har varit tolv procent av den totala arbetstiden, jämfört med åtta procent under 1999. 21/36

Erfarenheter av tillämpningen av PuL Enligt övergångsbestämmelserna till PuL skall, till och med den 30 september 2001, datalagen tillämpas för behandlingar som påbörjats före den 24 oktober 1998. De flesta har inte börjat tillämpa PuL Datainspektionen har i tillsynsverksamheten strävat efter att finna inspektionsobjekt som utför behandlingar enligt PuL. Vid inspektioner enligt datalagen har de registeransvariga regelmässigt tillfrågats om de också behandlar/ snart kommer att påbörja behandling av personuppgifter enligt PuL. Tillsynen har visat att de flesta ännu inte utför några behandlingar enligt PuL eller i vart fall att det inte sker i någon större omfattning. Dessutom har inspektionen fortfarande under året fått åtskilliga frågor om datalagens tillämpning och ansökningar om ändring av tillstånd enligt datalagen. Övergångstiden innebär alltså inte någon successiv övergång till de nya reglerna utan mycket talar för att de flesta kommer att börja tillämpa PuL fullt ut först den 1 oktober 2001. Undantag finns dock och det viktigaste är hälso- och sjukvården där numera vårdregisterlagen gäller. Vårdregisterlagen Vårdregisterlagen reglerar den datoriserade journalföringen inom hälso- och sjukvården. Den trädde i kraft den 24 oktober 1998 och har inga övergångsbestämmelser. Det innebär t.ex. att gamla tillstånd enligt datalagen har upphört att gälla. Vårdregisterlagen kompletteras av PuL. Sedan genomförda inspektioner av olika vårdregister har påvisat brister när det gäller informationen till de registrerade, har Datainspektionen under år 2000 givit ut en informationsskrift om vårdregisterlagen för att underlätta för de personuppgiftsansvariga. Dessutom har uppföljande inspektioner ägt rum inom vårdområdet (jfr avsnittet Tillsyn s. 11). Anmälningar om behandling För personuppgiftsansvariga som inte har utsett och anmält ett personuppgiftsombud, finns skyldighet enligt 36 första stycket PuL att anmäla behandling av personuppgifter som är helt eller delvis automatiserad till Datainspektionen. Bestämmelser om undantag från anmälningsskyldigheten finns i 3 5 personuppgiftsförordningen och i Datainspektionens föreskrifter om skyldigheten att anmäla behandlingar av personuppgifter till Datainspektionen. Vidare finns undantag inom skatte- och tullområdena. Undantagen är relativt omfattande. Datainspektionen för ett särskilt register över anmälda behandlingar. Under budgetåret har det kommit in 242 anmälningar om behandling av personuppgifter. Hur anmälningarna fördelat sig under året framgår av tabellen på nästa sida. Under år 1999 gjordes 513 anmälningar. Att antalet anmälningar mer än halverats 2000 jämfört med 1999 beror antagligen på att det numera finns en branschöverenskommelse för direktreklambranschen. Den som följer branschöverenskommelsen behöver inte göra någon anmälan. Det är svårt att förutse hur många anmälningar som kommer att ske fortsättningsvis under övergångstiden respektive när PuL träder i kraft fullt ut. Det är sannolikt att en stor ökning kommer att inträffa i anslutning till att datalagen helt upphör september/oktober 2001. Anmälningar för förhandskontroll En redogörelse för anmälningar för förhandskontroll finns i avsnittet Tillsyn (s. 14). Registerförfattningar PuL är generellt tillämplig på all behandling av personuppgifter om det inte finns avvikande bestämmelser i någon annan lag eller förordning. I propositionen om PuL 22/36

uttalade regeringen att det inte finns anledning att avvika från det tidigare uppställda målet att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras särskilt i lag (se prop. 1997/98:44 s. 41). Det finns särregler i registerförfattningar som har tillkommit redan på datalagstiden och som ännu inte anpassats till de nya reglerna. Det är angeläget att en anpassning sker före övergångstidens slut. Personuppgiftsombud I avsnittet Information (s. 15) finns en redogörelse för Datainspektionens arbete med personuppgiftsombuden. Erfarenheterna är hittills mycket goda. Internet Vid behandling av personuppgifter på webbsidor blir ofta PuL tillämplig. Att uppgifterna görs tillgängliga världsvitt medför att även PuL:s bestämmelser om överföring av personuppgifter till tredje land blir tillämpliga. Datainspektionen, som har erfarit att reglerna är svåra att överblicka för enskilda, har under året givit ut ett informationsblad om PuL och Internet. Datainspektionen har avgjort en rad internetärenden som rört förhållandet till tryck- och yttrandefriheten samt undantaget i 7 PuL för sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål. Ärendena har rönt stor uppmärksamhet i media. Behov av åtgärder Som framförts till regeringen i en delårsrapport i augusti 2000, finns enligt Datainspektionens mening anledning att överväga gränserna för yttrandefrihetens område med hänsyn till internetanvändningen. I rapporten angavs att en lösning kan vara att det i brottsbalken införs en bestämmelse om brott mot privatlivets fred och att tryckfrihetsförordningens eller yttrandefrihetsgrundlagens regler blir tillämpliga. Datainspektionen har under våren 2000 skrivit till regeringen och påtalat behovet av ytterligare undantag från förbudet enligt PuL mot behandling av känsliga personuppgifter. Det gäller undantag vid ord- och textbehandling av löpande text. Det råder oklarhet om vilka typer av manuellt förda register med personuppgifter som omfattas av PuL, främst vad gäller innebörden av begreppet särskilda kriterier (5 andra stycket). Datainspektionen har fått många förfrågningar härom. Enligt Datainspektionens mening, som framförts i en delårsrapport, behövs förtydliganden i lagstiftningen. Datainspektionen har under året överlämnat fyra beslut i förhandskontrollärenden till regeringen, eftersom behov kan finnas av ytterligare författningsreglering. Anmälningar om behandling enligt 36 PuL under 2000 januari 18 juli 10 februari 18 augusti 16 mars 27 september 25 april 25 oktober 20 maj 22 november 23 juni 24 december 14 Totalt antal anmälningar 242 23/36