Nu kommer webb-domarna

FRÅN DATAINSPEKTIONEN #2/2002 Nu kommer webb-domarna INTE STRAFFBART KIKA I JOURNAL \ HOVRÄTTEN FRIKÄNDE EN SJUKSKÖTERSKA SOM GJORT EN OTILLÅTEN SLAGNING I ETT STATSRÅDS SJUKJOURNAL. SID 5 NÄR PUL KOM TILL NORRKÖPING \ DATAINSPEKTIONEN GAV ÖSTERGÖTLANDS PERSONUPPGIFTSOMBUD EN DUVNING I PUL. SID 6 BIOBANKER SÅ IN I NORDEN * DE NORDISKA DATACHEFERNA MÖTTES I SVERIGE OCH DISKUTERADE NYA LAGAR MAGAZIN DIREKT #3/2001 1 FÖR BIOBANKER. SID 8

På sista tiden har det kommit flera domar som har gällt kränkningar på Internet. Sexuella trakasserier på nätet har bedömts som grovt förtal och i några fall lett till fängelsestraff. Nu kommer webb-domarna DOMAR ENLIGT PUL, och tidigare enligt datalagen, har varit sällsyntheter. På tjugo år har det blivit en handfull domar. Men de senaste månaderna har flera fall avgjorts där åtalet har gällt kränkningar på Internet. Vissa av domarna har gällt brott mot PuL, men i grövre fall, som sexuella trakasserier på nätet, har den främsta åtalspunkten varit grovt förtal. Några av domarna har lett till fängelsestraff. EN MAN PUBLICERADE sexkontaktannonser på webbplatsen Smygis. I annonserna uppgav han sin före detta sambos namn, ålder, ögonfärg, hårfärg och längd samt att hon var intresserad av tillfälliga sexuella kontakter med män i Närke. Annonsen var illustrerad med en pornografisk bild på sambon eller en person som var mycket lik sambon. Webbplatsen besöktes av upp till 10 000 personer per dygn och annonserna uppmärksammades i den lilla ort i Närke där kvinnan bodde. Hon fick anonyma telefonsamtal och man ringde på hennes dörr om nätterna. Under en tid flyttade hon från orten och sina barn, därefter återvände hon och trädde fram i lokaltidningen för att undvika förtal. Kort därefter publicerades nya annonser på nätet. Kvinnan fick ångest och depressioner och är i behov av terapi. SOLNA TINGSRÄTT ANSÅG att mannen har lagt ut uppgifterna för att utsätta kvinnan för missaktning. Han har handlat hän- 2 MAGAZIN DIREKT #2/2002

synslöst och annonserna ha varit tillgängliga för ett mycket stort antal personer. Därför bedömdes brottet som grovt. Mannen dömdes till tre månaders fängelse och 100 000 kronor i skadestånd. Brottsrubriceringen var grovt förtal och även brott mot PuL, eftersom känsliga personuppgifter hade överförts till tredje land. DETTA ÄR ETT AV ett antal liknande fall där tingsrätter har dömt män för att de har publicerat nakenbilder eller sexkontaktannonser i namn av före detta sambor eller flickvänner. Flickorna har fått psykiska besvär och i vissa fall flyttat från orten. Vid ett tillfälle fastställde Göta hovrätt en dom i Lindesbergs tingsrätt på en månads fängelse och 50 000 kronor i skadestånd. Här hade mannen publicerat nakenbilder på sin förra flickvän på rent pornografiska webbplatser, t.ex. Wetdreamz. Domen överklagades till Högsta domstolen som inte gav prövningstillstånd. Domen i Solna tingsrätt är ovanlig då den även innefattar brott mot PuL. Det vanliga har annars varit att domarna enbart har gällt förtal eller grovt förtal. Utgivare för nättidning dömd för inlägg på chatt Aftonbladets nätupplaga aftonbladet.se har en ansvarig utgivare som tidigare också var ansvarig för debattavdelningen, chatten, Tyck till. Varje dag kom det in i genomsnitt 1 500 inlägg som kontrollerades översiktligt och olagliga inlägg togs bort. I oktober 2000 slank fyra rasistiska inlägg genom kontrollen och låg ute på webbplatsen under några timmar. En privatperson gjorde anmälan till Justitiekanslern som valde att väcka åtal för tryckfrihetsbrott. En jury förordade att den ansvarige utgivaren skulle åtalas. Så skedde också, och i mars i år dömde Stockholms tingsrätt utgivaren för hets mot folkgrupp till villkorlig dom och dagsböter. Domstolen ansåg att redaktionens förhandsgranskning var otillräcklig. Efter domen stängde aftonbladet.se sin debattavdelning. Den öppnades senare på nytt, men nu i form av en elektronisk anslagstavla. En sådan chatt regleras av PuL och en särskild lag om elektroniska anslagstavlor. Enligt förarbetena till den lagen är den som sätter upp anslagstavlan skyldig att någon gång per vecka kontrollera att inget olagligt publiceras. Dock är grundregeln att skribenten ansvarar för vad han har skrivit. I Allmänna villkor för Aftonbladets Chatt friskriver sig redaktionen från allt ansvar. Det är inte prövat om en sådan friskrivning är giltig. Länk till barnporr var brott mot PuL En man hade från Internet hämtat hem bilder på fem- till femtonåriga flickor som poserade helt eller delvis avklädda. Inga vuxna och inga övergrepp förekom på bilderna. När mannens svägerska använde datorn hittade hon bilderna och såg dessutom att mannen på sin webbplats hade lagt ut bilder på henne själv som barn. Bilderna var vardagliga, men de var länkade till webbplatser med barnpornografiskt innehåll. Svägerskan kände sig utnyttjad, rädd, äcklad och kränkt och kontaktade kvinnojouren som rekommenderade polisanmälan. I polisförhören uppgav mannen att han trodde det var tillåtet att samla på bilder med avklädda flickor han hade undvikit att ladda hem bilder på övergrepp mot barn eftersom han trott att gränsen för barnpornografibrott gick där. Han visste inte heller att det kunde vara förbjudet att lägga ut vardagliga bilder på nätet. Trollhättans tingsrätt ansåg att de avklädda flickorna poserade på ett utmanande sätt och dömde mannen för barnpornografibrott. Rätten ansåg också att publiceringen av bilderna på svägerskan var brott mot PuL och att brottet inte var ringa eftersom bilderna hade länkats till webbsidor med koppling till barnpornografi. Domen blev skyddstillsyn och 80 dagsböter, dessutom skulle mannen betala sin svägerska 5 000 kronor för kränkningen och ytterligare 5 000 kr för sveda och värk. Skadestånd till utpekade åtalade Tingsrätten i Helsingborg dömde en 19-åring till dagsböter för brott mot PuL. Han hade på sin webbplats pekat ut fem pojkar som våldtäktsmän. Dessa förekom i utredningen av det välkända målet där en 14-årig flicka i Rissne utnyttjades sexuellt och två av dem, 15 och 16 år gamla, dömdes senare av Svea hovrätt till vård inom socialtjänsten. 19-åringen hade lagt ut pojkarnas namn, telefonnummer och personnummer på nätet, bland annat med uppmaningen Slå en pling till våldtäktsmännen. Han dömdes också att betala 5 000 kronor i skadestånd till två av pojkarna. Chikanerade flicka, dömdes till dagsböter Han var besviken på henne och ville att andra skulle få ta del av hans åsikter om henne. Han ansåg att informationen som han hade lagt ut på sin webbplats var harmlös. Det ansåg inte Uppsala tingsrätt som också gjorde bedömningen att uppgifterna var av rent privat karaktär och att publiceringen därmed inte hade journalistiska ändamål. Mannen dömdes till 50 dagsböter för brott mot PuL. FAKTA OM FÖRTAL Förtal är ett brott som inte faller under allmänt åtal och åklagare driver sådana mål bara i undantagsfall om det som det står i lagen av särskilda skäl anses påkallat ur allmän synpunkt. Fallen med sexannonser och nakenbilder på Internet tillhör uppenbarligen den kategorin, men det finns exempel på andra påhopp på nätet där åklagaren har valt att inte driva ett förtalsmål. Om då inte heller PuL är tillämplig t.ex. på grund av det vidsträckta undantaget för journalistiska ändamål kan den som anser sig baktalad och vill driva en rättsprocess själv gå in i åklagarens ställe och lämna in en stämningsansökan. Men den som driver ett sådant mål och förlorar, riskerar att själv få betala rättegångskostnaderna. Här finns alltså en gråzon i svensk lagstiftning. I de flesta andra länder finns en lag om straffrättsligt skydd för privatlivets fred, och den fångar upp kränkningar som kan vara grova, men inte så grova att de klassas som förtal. Frågan utreddes på 80-talet, men då ansåg man att sådana kränkningar i huvudsak är tidningsskriverier och där fungerar systemet med ansvarig utgivare och pressens etiska regler bra. Men i och med webben och dess oansvariga utgivare har bilden ändrats. MAGAZIN DIREKT #2/2002 3

Fallet där en konfirmandlärare i Småland bötfälldes för sin webbpresentation av några anställda i pastoratet är riksbekant. Nu har också EG-domstolen i Luxemburg tagit sig an fallet. I april höll domstolen muntlig förhandling om ett förhandsavgörande som Göta hovrätt har begärt. Utslaget kommer tidigast i höst. EG-domstolen prövar svensk webb-dom EN KONFIRMANDLÄRARE publicerade en webbplats där hon presenterade ett tjugotal anställda i ett pastorat i Småland. Presentationerna var skrivna i jag-form, men utan personernas samtycke. Pastorn hade fått beskriva sig som snäll, foglig och lite tråkig, någon hade illustreras med en teckning av en djävul. Några av personerna kände sig illa berörda av publiceringen och reagerade kraftigt, kvinnan stängdes av från konfirmandundervisningen och flyttade senare från orten. Men först ville hon rentvå sig och valde att polisanmäla sig själv för brott mot PuL. ÅTAL VÄCKTES och åklagaren begärde yttrande från Datainspektionen, som bara kunde konstatera att några av uppgifterna inte fick behandlas enligt PuL. Där fanns bland annat uppgifter om hälsa (någon hade skadat ett ben och var sjukskriven) och politiska åsikter (någon uppgavs vara socialdemokrat). Uppgifterna hade dessutom i strid mot PuL överförts till tredje land och behandlingen hade inte anmälts till Datainspektionen. FLERA AV REGLERNA i PuL hade alltså åsidosatts, därav några som är straffbelagda. Dock påpekade inspektionen att ringa brott mot PuL kan vara straffria. Men Eksjö tingsrätt ansåg inte att brottet var ringa och dömde kvinnan till böter. Domen överklagades till Göta Hovrätt som vände sig till EG-domstolen med en begäran om att den ska pröva om PuL är förenlig med EU:s dataskyddsdirektiv. Domstolen beslöt att ta upp frågan och den ska också pröva om direktivet strider mot de allmänna principerna om yttrandefrihet och andra fri- och rättigheter som gäller inom EU. EG-domstolen tar alltså enbart ställning till principfrågorna. Om konfirmandläraren ska fällas för brott eller ej, avgörs därefter av Göta hovrätt. I SLUTET AV APRIL hölls muntlig förhandling. EG-domstolen hade fått in yttranden från den svenska regeringen och Nederländernas dataskyddsmyndighet (som i stort sett gick på Datainspektionens linje), Storbritanniens dataskyddsmyndighet (som ansåg att webbplatsen var privat och därmed undantagen från direktivet), samt EU-kommissionen (som ansåg att undantaget för journalistiska ändamål kunde tillämpas). Nu ska domstolen fundera och ett beslut kommer tidigast i höst. KOMMENTAR 1: 13 PuL räknar upp ett antal känsliga personuppgifter, bl.a. uppgifter som rör hälsa, som inte får behandlas utan samtycke från den registrerade. Alla uppgifter om hälsa betraktas alltså som känsliga, även om de förefaller bagatellartade det finns ju inget rimligt sätt att lista harmlösa åkommor. I stället har lagstiftaren valt att undanta ringa brott från straffbestämmelserna i PuL. KOMMENTAR 2: Synen på privata webbplatser skiljer sig inom EU. Datainspektionens åsikt är att information som publiceras på webben och därmed görs tillgänglig i hela världen, aldrig kan vara uteslutande privat. Men Storbritanniens Office of the Information Commissioner har en annan åsikt. Möjligen kan det bero på att myndigheten förutom integritetsskyddet även sköter tillsynen över the Freedom of Information Act. 4 MAGAZIN DIREKT #2/2002

Kika i sjukjournal var inte straffbart NÄR INTEGRATIONSMINISTERN Leif Blomberg 1998 togs in på Sahlgrenska sjukhuset och under fem dagar vårdades för den hjärnblödning som ledde till hans död, läste 87 personer hans sjukjournal. Det stora antalet inloggningar i datajournalen ledde till en kontroll som visade att utöver dem som var delaktiga i vården av Blomberg hade 26 obehöriga läst journalen. Dessa hade gjort sig skyldiga till dataintrång, vilket är straffbart. En utredning startades och efter en polisanmälan åtalades en av de 26, en sjuksköterska, i ett pilotmål i tingsrätten. Tanken var att om den åtalade fälldes, skulle även de övriga åtalas. TINGSRÄTTEN DÖMDE den åtalade sjuksköterskan till dagsböter och domen överklagades till Hovrätten för Västra Sverige, som något överraskande frikände sköterskan. I domen (dnr B 1056-01) skriver rätten om de 26 som hade läst journalen utan att ha rätt till det: Det får anses som ytterst sannolikt att de allra flesta gjorde det enbart av nyfikenhet på grund av Leif Blombergs ställning som statsråd. RÄTTEN KONSTATERADE att den åtalade sjuksköterskan hade gjort sig skyldig till dataintrång, men man godtog hennes påstående att hon hade läst journalen i utbildningssyfte, för att finna lämpliga formuleringar för egen journalskrivning. Rätten godtog också att hon inte kände till att detta är förbjudet. NU ÄR DET INTE TILLÅTET att läsa journaler om patienter som man inte vårdar, även om man gör det i utbildningssyfte Och man befrias inte från straffansvar bara för att man inte känner till att en gärning är brottslig. Trots detta blev domen frikännande med motiveringen att brottet var lindrigt och att missuppfattningen var ursäktlig. Se även krönikan på baksidan FÖRBUDET ATT KIKA i journaler gäller inte bara personal inom vården. Offentliganställda tjänstemän får bara söka fram personuppgifter i dataregister om det är ett led i handläggningen av ärenden. Det är inte ovanligt att tjänstemän prickas eller döms för dataintrång. Några färska exempel: \ Elva handläggare på Riksskatteverket varnades för att olagligt ha hämtat information om kolleger, bl.a. i samband med en vårdnadstvist och en chefstillsättning. Tre av de elva riskerar dessutom åtal för dataintrång. Slagningar på allmänheten kontrolleras inte. (Källa: DN) \ En före detta socialsekreterare i Södermanland har åtalats för dataintrång. Hon hade vid mer än 60 tillfällen gjort sökningar på klienter utan att det motiverades av pågående ärende. (Källa: Östgöta-Correspondenten) \ En polis i Eskilstuna hade gjort fem slagningar i polisens register utan att arbetet krävde det. Han dömdes för dataintrång. (Källa: Eskilstuna-Kuriren) \ En polis i Göteborg dömdes till dagsböter för dataintrång. Han hade sökt fram en omhändertagen kvinnas hemliga bostadsadress. (Källa: Svenska Dagbladet) MAGAZIN DIREKT #2/2002 5

När PuL kom till Norrköping Norrköpings kommun har hela femton personuppgiftsombud. En vacker majdag kom Datainspektionen på besök och gav dem och många andra östgötska ombud en duvning i PuL. I NORRKÖPINGS KOMMUN finns det 20 nämnder. När vi skulle införa systemet med personuppgiftsombud gick vi ut med en fråga om nämnderna ville ha andel i ett centralt ombud eller utse ett eget. Femton svarade att de ville ha ett eget ombud. Om så många ska kunna arbeta på ungefär samma sätt krävs samordning och utbildning, så vi ringde till Datainspektionen och frågade om någon därifrån kunde ställa upp och hålla en utbildningsdag. Vi fick svaret att man inte har resurser att ställa upp och undervisa en så liten grupp. Då bjöd vi in ombuden i alla kommuner i Östergötland ja, dom får betala en avgift och fick ihop 35 stycken. Den gruppen var tillräckligt stor, så här är vi nu. MONICA ROSANDER, sammankallande i nätverket för personuppgiftsombud i Norrköpings kommun, har arrangerat en kurs för östgötska personuppgiftsombud. Föreläsare är Kristina Blomberg, Datainspektionens kontaktperson för alla ombud. Det här är hennes tjugoandra utbildningsdag i år, totalt brukar det bli ett fyrtiotal om året. Utom i fjol, rekordåret, när PuL började gälla fullt ut och alla ville ha utbildning samtidigt. Då blev det sjuttiofem. 6 MAGAZIN DIREKT #2/2002

TILL NORRKÖPING har det kommit ombud från Finspång, Kinda, Mjölby, Valdemarsvik, Västervik och till och med från Nyköping, fast det ligger i Sörmland. Och inte bara ombud. Ett par kommunjurister finns också på plats. Det visar sig under dagen att kommunjuristen ofta har ett nära samarbete med ombudet eller ombuden. I Norrköping samarbetar t.ex. flera ombud och kommunjuristen med att ta fram en policy för hur lärare ska hantera personuppgifter. Man har också skrivit en standardiserad informationstext för blanketter och en mall för vad som ska ingå i den förteckning som ombudet ska föra över registren i verksamheten. Det här är en viktig insikt för oss från Datainspektionen, som på stående fot beslutar att i fortsättningen bjuda in även kommunjurister, bolagsjurister och liknande till de seminarier som annars är reserverade för ombuden. DET HELA INLEDS med att alla presenterar sig själva och vissa av sina frågor och problem. Rundan tar en dryg timma. Några frågor besvaras direkt, andra noteras och tas sedan upp där de hör hemma, när Kristina under resten av förmiddagen går igenom PuL från början till slut. Något överraskande är det är påfallande många frågor som kommer från tekniska nämnder. Det handlar t.ex. om hur man ska hantera ekonomiska uppgifter i samband med bygglov och uppgifter om handikapp för dem som söker anpassningsbidrag. Andra frågor är mer väntade: Vad ska/får man lämna ut enligt PuL? Enligt offentlighetsprincipen? Vad gäller för enskilda firmor och personnummer? Någon är ansvarig för turismen och undrar över bilder på webben och så kommer alla de vanliga frågorna om skolans register: Får man lämna ut klasslistor, vad får lärarna registrera vid utvecklingssamtal osv. Vi från Datainspektionen säger oss att vi nog får anordna en särskild konferens med skolfrågor i höst. EN ANNAN SAK SOM överraskar är hur olika kommunerna har organiserat sig. Några har ett ombud per nämnd, andra har ett centralt ombud som sköter hela kommunen. En kommun har en särskild nämnd för barnomsorgen, en annan har en gymnasienämnd. I Norrköping betalas lönerna ut centralt, så där ligger t.ex. uppgifter om brandmännens löner, medan resultaten av testerna av brandmännens fysik registreras lokalt hos nämnden, som för övrigt är Bygglovs- och miljöskyddsnämnden. Frågan uppstår hur man med en sådan organisation drar gränsen mellan ansvarsområdena. PROBLEMEN ÄR MÅNGA och efter lunch blir det tillfälle till djupare diskussioner i arbetsgrupper. Arbetena redovisas, nya frågor som dykt upp ventileras och besvaras tills alla är nöjda. Då är det dags att packa och dra sig mot järnvägsstationen. Det visar sig att ute är det strålande majsol. Fotnot: Datainspektionen ska täcka sina kostnader och tar betalt för sina utbildningar. Riktpriset är 6 000 kronor för en heldag. Plus reskostnader. Under hösten anordnas också åtta seminarier för ombud. Datum och detaljer finns på www.datainspektionen.se. Katarina Thorsell, kommunsekreterare i Nyköping: Vi har valt en modell där jag är ombud för alla kommunens nämnder. Jag sitter vägg i vägg med kommunjuristen och vi samarbetar mycket, t.ex. har vi tagit fram en gemensam blankett för alla nämnder och en checklista. Varje nämnd har en kontaktperson för PuLfrågor. Kontaktpersonerna är ambitiösa och frågar mycket, men det tar tid innan allt tränger in. Lagen är ju så bakvänt skriven med huvudregeln att allt förbjudet och därefter massor av undantag, det är så svårt att förklara. Thomas Gustafsson, ekonom och personuppgiftsombud på Norrköpings gymnasienämnd: Jag började med att informera personalen om att det finns ett ombud och vad det är. Därefter har vi inventerat alla register på gymnasierna och listat dem. Där hade vi problem med definition, vad är ett register? Nu diskuterar vi med kommunjuristen om ett utkast till policy för lärarna. Vad får man t.ex. notera vid utvecklingssamtal? Åke Andersson, enhetschef för kommunstyrelsens sekretariat i Västervik: I vår kommun har varje nämnd och kommunalt bolag sitt eget ombud, totalt tio stycken. Gruppen samarbetar med en konsult, bl.a. inför införandet av ett intranet. Leila Gäfvert, nämndsekreterare i barnomsorgsnämnden i Mjölby: Det är ovanligt med en fristående barnomsorgsnämnd och jag jobbar nära nämnderna för skola och omsorg och deras ombud. Vi har jobbat speciellt med informationstexter på blanketter. Varje förälder som fyller i ansökningar, scheman och inkomstuppgifter ska veta vad som registreras och hur uppgifterna hanteras. MAGAZIN DIREKT #2/2002 7

Biobanker så in i Norden Nya lagar för biobanker och genetiska databaser var ett av huvudämnena när de nordiska datacheferna samlades i Stenungsund för att diskutera gemensamma frågor. VI ANSER att utredningen är så ofullständig att den bör göras om helt och hållet innan den läggs fram för Stortinget! Förslaget innehåller inget nytt. Vi har redan 7-8 lagar inom hälsoområdet, det lilla som det här förslaget tillför kan åstadkommas med ett par paragrafer i någon av de lagarna. Man har inte insett vikten av integritetsskydd. Det här handlar inte om integritet, det handlar om pengar. Man menar att biobanker ska bli en betydlig ekonomisk resurs, den nye olien. Norska Datatilsynet skräder inte orden när man på det nordiska datachefsmötet kommenterar ett förslag till norsk lag om biobanker. Datatilsynet var inte inbjuden att delta i lagstiftningsarbetet, trots att man i 20 år har varit den myndighet som givit tillstånd till biobanker. Det norska lagförslaget skiljer på forskningsbiobanker och banker för diagnostik. Det ställs hårdare krav på forskningsbankerna som ska godkännas av en etisk kommitté. Samtycke är huvudregel, men det finns många undantag. Sedan 20-talet har man i Norge samlat in totalt 10 miljoner prover och det lär bli svårt att inhämta samtycke om man vill föra över gamla prover ur diagnostiska banker till forskningen. För prover från avlidna krävs inget samtycke, men eftersom proverna också säger något om de efterlevande, ska uppgifterna behandlas med tillbörlig hensyn til avdödes familie og slekt. Hur familjen ska kunna utöva sin eventuella rätt framgår dock inte. När det gäller tillsynen är ansvarsfördelningen mellan departementet och Datatilsynet oklar, men Datatilsynet har just inlett en kartläggning av landets ca 65 blodbanker. Svenska Datainspektionen gjorde en liknande kartläggning för två år sedan (rapport 2000:1 Biobankers behandling av personuppgifter). ISLAND har lagreglerat området sedan ett par år tillbaka (se DIrekt 4/01). Sigrún Jóhannesdóttir, direktör för isländska Datatilsynet tycker att det norska förslaget påminner om den isländska. Man ska dock vara noga med att göra skillnad mellan biobanker och genetiska databaser. I mars kom det in en ansökan om ändring av säkerhetsvillkoren i den isländska lagen så att det ska bli möjligt att ställa frågor över nätet. Grundvillkoret i lagen är annars att databasen ska finnas på Island och bara hanteras på Island. Vi besvarar inte den frågan innan vi har fått in synpunkter från Sundhetsministeriet det här handlar faktiskt om politik! 8 MAGAZIN DIREKT #2/2002

Isländska polisen vill ta genetiska prov på alla nyfödda de kan ju komma att begå brott men än så länge har Datatilsynet kunnat bromsa det förslaget. I SVERIGE har riksdagen nyligen antagit en lag om biobanker (SFS 2002:297) som träder i kraft den 1 januari 2003. Lagen reglerar enbart biobanker inom hälso- och sjukvården och enbart hur det biologiska materialet ska hanteras. De tillhörande personuppgifterna regleras av PuL och vårdregisterlagen. Det är problematiskt, eftersom skyddet för uppgifterna måste vara lika starkt som för materialet. Socialstyrelsen har tillsynen över biobankerna och Datainspektionen över personuppgifterna, vilket också kan komplicera tillämpningen. Enligt PuL och personuppgiftsförordningen ska viss behandling av känsliga uppgifter för forskning anmälas till Datainspektionen för förhandskontroll. Behandling av genetiska data ska alltid anmälas, i övriga fall undantas behandlingar som har godkänts av en forskningsetisk kommitté. Men en kommitté godkänner ju ett projekt ur etisk synvinkel, och ofta framgår det inte om man har tagit ställning till hur personuppgifterna i projektet får behandlas. En annan aktuell fråga är hur kodade uppgifter som överförs till tredje land ska betraktas. Är det personuppgifter? Just nu pågår i regeringskansliet arbete med en lag om forskningsetisk prövning, ett tidigare oreglerat område. Dessutom pågår en utredning om genterapi, kloning m.m. som ska vara klar i februari 2003. Där tar man bland annat upp frågan om släktingar som berörs av genetiska undersökningar. FINLAND har ett tiotal biobanker som har varit i drift sedan 70- talet. Debatten är optimistisk, man ser mer till möjligheterna att använda materialet för att söka bot för sjukdomar än riskerna för integritetsintrång. I Danmark är ingen lag om biobanker på gång. En annan ständigt aktuell fråga är övervakningskameror. I Norge har Datatilsynet sedan gammalt tillsynen över kamerorna och Islands PuL har kompletterats med regler för när man får samla känsliga uppgifter med kamerorna och hur man får behandla informationen. I Danmark och Finland reglerar PuL hur insamlad information får behandlas. Sverige har en lag om allmän kameraövervakning med länsstyrelserna som tillsynsmyndigheter, men bilder från digitala kameror regleras av PuL. Andra frågor som ventilerades var registrering i arbetslivet (Finland har fått en ny lag) och personuppgifter i skolan. KORTFATTAT Regeringsrätten prövar kreditupplysning på Internet Regeringsrätten har beslutat att överpröva en dom i kammarrätten som ger alla näringsidkare möjlighet att via Internet kontrollera privatpersoners kreditvärdighet utan att ha giltigt skäl och utan att personen får reda på det. Enligt kreditupplysningslagen (KuL) får kreditupplys ningar om privatpersoner lämnas ut enbart till den som behöver uppgifterna för ett kreditavtal eller liknande (legitimt behov). Enligt samma lag ska dessutom den omfrågade få en kopia på de kreditupplysningar som lämnas ut. Dessa regler gäller av förklarliga skäl inte om upplysningarna är publicerade i en tryckt skrift. AB Svensk Upplysningstjänst i Malmö ger ut tryckta skrifter med kreditupplysningar och nu har man också startat en webbtjänst, en sökbar databas med samtliga betalningsanmärkningar som har publicerats i skrifterna under de senaste tre åren. Bolaget hänvisar till Yttrandefrihetsgrundlagen (YGL) och menar att samma undantag som gäller för tryckt skrift också ska gälla för webbtjänsten. Den som abonnerar på tjänsten ska alltså kunna hämta kreditupplysningar utan att ha legitimt skäl och utan att behöva meddela den omfrågade. Reglerna i KuL om integritets- och konsumentskydd sätts därmed ur spel. Andra kreditupplysningsföretag har startat liknande tjänster. Datainspektionen, som är tillsynsmyndighet för kreditupplysningsbranschen, ansåg i ett beslut att YGL inte är tillämplig och att KuL ska tillämpas på webbtjänsten. Bolaget överklagade till länsrätten som gav bolaget rätt och upphävde beslutet. Datainspektionen överklagade i sin tur till Kammarrätten i Stockholm som fastställde länsrättens dom. Datainspektionen överklagade då hos Regeringsrätten, som nu har meddelat prövningstillstånd (mål nr 7014-2001). KB får fortsätta samla in webbsidor Regeringen har beslutat om en förordning (SFS 2002:287) som innebär att Kungliga biblioteket (KB) får fortsätta sin insamling av webbsidor. Två gånger om året dammsuger KB Internet och samlar in samtliga svenska webbsidor. Sedan starten 1997 har man lagrat 65 miljoner sidor, som anses vara en del av det svenska kulturarvet. Materialet ska vara underlag för framtida forskning. I höstas gjorde Datainspektionen tillsyn och konstaterade att insamlingen innebar att personuppgifter behandlades i strid mot gällande rätt. I sitt beslut skrev Datainspektionens styrelse att man inser behovet och värdet av att bevara det digitala kulturarvet, men att behandlingen av personuppgifter bör regleras i lag eller förordning med bestämmelser om bl.a. vilka uppgifter som får behandlas och för vilka ändamål samt hur uppgifterna får lämnas ut. För att fästa uppmärksamhet på problemet gjorde Datainspektionen en framställning hos regeringen. Nu har regeringen beslutat om en förordning (SFS 2002:287) som reglerar KB:s fortsatta insamling av webbsidor. Förordningen träder i kraft den 1 juli. Tre nya anslutna till konventionen Ytterligare tre länder har anslutit sig till Europarådets dataskyddskonvention. Estland ratificerade konventionen i november i fjol med ikraftträdande den 1 mars i år. Cypern och Rumänien ratificerade i februari, i kraft den 1 juni. Totalt 27 länder har nu ratificerat konventionen: de 15 EU-länderna, Island, Lettland, Litauen, Norge, Slovakien, Slovenien, Schweiz, Tjeckien, Ungern samt de tre nytillkomna. MAGAZIN DIREKT #2/2002 9

KORTFATTAT Telefonkatalogen får läggas ut på nätet De vanliga svenska telefonkatalogerna ges numera ut av Eniro Sverige AB, som också har en webbplats, där man sedan länge har kunnat söka i den företagsinformation som finns i telekatalogernas gula delar. I februari lades också abonnentupplysningarna i telefonkatalogens vita delar ut på webbadressen privatpersoner.gulasidorna.se. Redan första dygnet gjordes enligt uppgift mer än en miljon sökningar. Ett tjugotal abonnenter ansåg att tjänsten är ett hot mot den personliga integriteten och klagade till Datainspektionen som inledde tillsyn enligt PuL (dnr 331-2002). Eniro yttrade sig och uppgav att informationen som lämnas ut via nätet redan finns publicerad i tryckta kataloger och på cd-rom. Mottagaren har ingen möjlighet att ändra uppgifterna. Därför ansåg Eniro att utlämnandet av personuppgifter skyddas av Yttrandefrihetsgrundlagen. I sitt beslut instämde Datainspektionen i att den aktuella behandlingen av personuppgifter är grundlagsskyddad och följaktligen inte faller under PuL:s tillämpningsområde. Ärendet avskrevs. Alla telefonnummer i samma katalog EU:s taltelefonidirektiv (98/10/EG) föreskriver att medlemsstaterna ska ha fullständiga kataloger över alla telefonabonnenter med fasta och mobila telefonnummer om inte abonnenten har motsatt sig att vara med (opt-out). Nu har riksdagen antagit ändringar i telelagen (1993:597) som innebär att en teleoperatör ska lämna ut abonnentuppgifter till den som bedriver abonnentupplysning. Uppgifterna får enbart lämnas ut om abonnenten har lämnat sitt samtycke (opt-in), de svenska reglerna är alltså strängare än vad direktivet kräver. Lagändringarna trädde i kraft den 1 juni. De nya reglerna omfattar inte e-postadresser. Ingenting sägs om hur man ska hantera abonnemang med kontantkort, som ju kan köpas anonymt. Uppgifterna ska kunna publiceras i tryckta kataloger, på cd-rom, som databas på Internet eller lämnas ut som nummerupplysning per telefon. Det sägs ingenting om vem eller vilka som ska sammanställa katalogen, det överlåts åt marknaden. Frågan om en fullständig abonnentförteckning har utretts flera gånger (se DIrekt 2/01) men de tidigare förslagen har fått kritik och dragits tillbaka. Datainspektionen har i sina remissvar framfört att utgångspunkten bör vara den enskildes önskemål om hur hans/hennes uppgifter ska användas. Företag som sammanställer och bearbetar abonnentuppgifter från olika teleoperatörer kan öppna för en stor spridning av personuppgifter, vilket medför risk för att uppgifterna används för andra ändamål än adressupplysningstjänster. Det har visat sig att abonnenterna inte är speciellt intresserade av att offentliggöra sina mobiltelefonnummer och det skulle kunna medföra att många utnyttjar sin rätt till hemligt telefonnummer. Nu ger de nya reglerna i stället möjlighet att vägra lämna samtycke till att uppgifterna förs in i den nya katalogen. Stopp för oönskad e-postreklam Nya EU-regler kräver att den som vill skicka obeställd reklam med e-post eller SMS måste ha mottagarens samtycke. Reglerna ska träda i kraft under 2003. EU-parlamentet har nu godkänt ett förslag till ett nytt direktiv som ska ersätta det nuvarande teledataskyddsdirektivet. Det nya direktivet reglerar skydd för personuppgifter i samband med elektronisk kommunikation alltså inte enbart telekommunikation. Förslaget är en kompromiss, frågan har dragit ut på tiden och har behandlats flera gånger i både rådet och parlamentet (se DIrekt 2/01 och 4/01). Nu förväntas rådet och parlamentet inom ett par månader formellt underteckna direktivet och man räknar med att medlemsländerna under 2003 ska föra in reglerna i sin nationella lagstiftning. Det nya direktivet innehåller bl.a. regler om krav på samtycke (opt-in) för att få skicka obeställd reklam via e-post och SMS. Likaså kommer samtycke att krävas för att få behandla uppgifter om var mobiltelefonanvändare befinner sig (lokaliseringsdata). Cookies skall bara få användas om tillräcklig information har lämnats och den enskilde ska kunna motsätta sig att cookies används. Slutligen sägs att det är den enskilde som bestämmer om hans/hennes telefonnummer, e-postadress och fysiska adress ska få finnas med i allmänt tillgängliga kataloger. Mer information finns i ett pressmeddelande från Europeiska kommissionen den 30 maj: http://europa.eu.int/ rapid/start/cgi/guesten.ksh (sök efter dokument IP/02/783) I den svenska marknadsföringslagen finns en regel som innebär att man inte får sända e-postreklam till den som motsätter sig det (opt-out). När det nya direktivet träder i kraft måste marknadsföringslagen ändras på nytt så att direktivets regler om opt-in för e-postreklam gäller. Ett förbud mot oönskad e-postreklam inom EU löser inte alla problem eftersom det mesta kommer från USA. En överenskommelse mellan EU och USA blir nästa steg. Opt-in: Man får bara sända e-postreklam till den som har lämnat sitt samtycke, dvs. till mottagare som har valt alternativet (option) att läggas in på sändlistan. Opt-out: Man får inte sända e-postreklam till den som har valt alternativet (option) att stryka sig (out) från sändlistan. 10 MAGAZIN DIREKT #3/2001

UTBILDNING Datainspektionens kurser och seminarier hösten 2002 Under hösten anordnar Datainspektionen åtta seminarier för personuppgiftsombud och fyra grundkurser i PuL som är öppna för alla. Då vi har sett att ombudet ofta har ett nära samarbete med kommunjuristen, bolagsjuristen och motsvarande är även dessa välkomna på seminarierna som annars är reserverade för ombuden. Detaljer och anmälan på www.datainspektionen.se. Frågor till liliann.edlund@datainspektionen.se, tel 08-657 61 33. GRUNDSEMINARIER FÖR PERSONUPPGIFTSOMBUD 10 september Stockholm 11 september Stockholm 8 oktober Umeå 15 oktober Stockholm 19 november Malmö 21 november Stockholm 5 december Göteborg 6 december Göteborg GRUNDKURSER I PUL 24 september Stockholm 21 oktober Stockholm 12 november Stockholm 4 december Göteborg Hur vill du ha i fortsättningen? \ På www.datainspektionen.se Vi lägger fortlöpande ut nyhetsnotiser på vår webbplats. Fyra gånger per år samlar vi ihop, redigerar och kompletterar materialet som då bildar ett nytt nummer av magazin DIrekt. Magazinen samlas i pdf-format under rubriken Kunskapsbanken. \ E-post med länk Du kan prenumerera på Datainspektionens nyheter. När något nytt publiceras på vår webbplats, t.ex. när ett nytt nummer av magazin DIrekt har kommit ut, får du som prenumerant ett e-brev med en länk. Anmäl dig som prenumerant på www.datainspektionen.se. \ Med post Vi kan också sända dig en tryckt utgåva av magazin DIrekt. Fyll i uppgifterna på kupongen här nedanför och skicka eller faxa den till oss. Du kan också e-posta uppgifterna. Oavsett distributionsform är DIrekt gratis. magazin DIrekt produceras av Datainspektionen, Box 8114, 104 20 Stockholm. Tel: 08-657 61 00 (växel), 08-657 61 42 (beställningar). Fax: 08-652 86 52. E-post: datainspektionen@datainspektionen.se. Webbplats: www.datainspektionen.se Layout: Datainspektionen Foto och illustration: Tim Flach/Stone omslag, Steve Decanio/The Image Bank s. 2, Otto Dickmeiss s. 5, Ingvar Anehed s. 6-7, Jakob Halaska/Windh s. 8, Photodisc s. 10. Ansvarig utgivare: Ulf Widebäck. Redaktör: Leif Stenström. ISSN 1404-7832. JA! JAG VILL HA MAGAZIN DIREKT med post Brevporto SKRIV TYDLIGT! (Du behöver inte svara om du tidigare skickat in kupongen eller om du hämtar DIrekt via Internet) Företag/myndighet/organisation:... Personnamn... Postadress... Jag medger att uppgifterna dataregistreras. DATAINSPEKTIONEN BOX 8114 104 20 STOCKHOLM MAGAZIN DIREKT #3/2001 11

B PORTO BETALT Vem var nyfiken? Datainspektionen Box 8114 104 20 Stockholm NÄR STATSRÅDET Leif Blomberg 1997 vårdades och senare avled på Sahlgrenska sjukhuset i Göteborg, visade loggen att 87 personer hade tittat i hans datoriserade sjukjournal. Den höga siffran ledde till kontroll, som visade att tjugosex av dessa inte deltog i vården av Blomberg. Den som inte deltar i vården får inte titta i journalen. Den som gör det ändå begår ett brott, dataintrång, och det är straffbart. DET HÄR ÄR EXEMPEL på integritetsintrång som vi på Datainspektionen ägnar våra dagar år att försöka förhindra. Genom inspektioner, till exempel. Året innan, 1996, inspekterade vi Sahlgrenska sjukhuset, bland annat neurokirurgiska kliniken där Blomberg senare vårdades. De som var med då minns särskilt att de anmärkte på att loggningen inte fungerade som den skulle. Uppenbarligen togs kritiken på allvar, för nu fungerade loggen perfekt. Ett exempel på mönstergillt integritetsskyddsarbete, kan man tycka. Frågan är bara till vilken nytta. EN AV DE TJUGOSEX, en sjuksköterska, åtalades för dataintrång. Hon skulle fungera som pilotfall om hon blev fälld skulle de övriga också åtalas, var det tänkt. Tingsrätten dömde henne till några dagsböter, men hon överklagade och hovrätten friade! Visserligen hade hon begått brottet dataintrång står det i domen, men i just hennes fall var brottet inte särskilt allvarligt. Hon hade nämligen suttit på sitt nattpass och studerat. Hon ville lära sig hur man skriver journaler och hade använt riktiga journaler som studieexempel. Att hon råkat välja just Blombergs journal var en ren slump. Detta trodde rätten på! Visserligen, skriver man, hade troligen flera av de tjugosex läst ministerns journal av nyfikenhet. Men inte i just det här fallet. JAG ÄR INTE JURIST och kan därför göra mig till tolk för det så kallade allmänna rättsmedvetandet. Det är klart att jag inte är ute efter att en underbetald sjuksköterska ska bötfällas, men vilka signaler ger domen? Jo, att integritetsskydd inte är särskilt viktigt. För om detta inte är dataintrång på riktigt, kan det över huvud taget bli det? Sjukjournalen är ju det mest integritetskänsliga som finns. DESSUTOM: Hur tror ni att kamraterna på Datainspektionen känner sig nu? Det är ett stort jobb att inspektera ett stort sjukhus. Här har man planerat, kontaktat, rest, letat, funnit brister och fått dem åtgärdade. Till vilken nytta? Det var ju tydligen inte särskilt viktigt. VAD HÄNDER NU med de återstående tjugofem som gluttade i journalen? Åklagaren har sagt att ingen kommer att åtalas som gjorde det i studiesyfte. Den som gluttade av nyfikenhet räcker upp en hand! Leif Stenström DATAINSPEKTIONENS INFORMATIONSCHEF NÄSTA NUMMER KOMMER I SEPTEMBER. HA EN RIKTIGT TREVLIG SOMMAR!