Personuppgifter pœ Internet. Undantag frœn fšrbudet i 33 personuppgiftslagen

Personuppgifter pœ Internet Undantag frœn fšrbudet i 33 personuppgiftslagen Rapport till regeringen den 1 mars 1999

2 InnehŒllsfšrteckning Sammanfattning ÉÉÉÉ..ÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉ...4 Fšrfattningsfšrslag ÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉ6 1 Uppdraget ÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉ..ÉÉÉÉ8 2 Datainspektionens utgœngspunkterééééééééééééé..9 3 Datalagstiftningen och behandling av personuppgifter šver Internet ÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉ..12 3.1 Datalagen ÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉ12 3.1.1 Mšjligheterna enligt datalagen att sprida personuppgifter šver internationella nštverk sœsom Internet...ÉÉÉÉÉÉÉ13 3.1.2 SŠrskilt om kommuners mšjligheter enligt datalagen att behandla personuppgifter pœ Internet ÉÉÉÉÉÉÉÉÉÉ.14 3.1.3 Vad gšller švergœngsvisééééééééééééééé..16 3.2 Personuppgiftslagen och behandling av personuppgifter pœ Internet ÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉ17 4 AllmŠnna utgœngspunkter ÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉ27 4.1 Internet É.ÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉ.. 27 4.2 FrŒgornas tidigare behandling É.ÉÉÉÉÉÉÉÉÉÉÉÉ31 4.3 NulŠget ÉÉÉÉÉÉÉÉÉÉ.ÉÉÉÉÉÉÉÉÉÉÉÉ39 5 Lagstiftningen i andra EU-lŠnder om šverfšring av personuppgifter till tredje land É...ÉÉÉÉÉÉÉÉÉÉÉÉÉ41 6 vervšganden och fšrslag ÉÉÉÉÉÉÉÉÉÉÉÉ...ÉÉÉÉ49 6.1 Inledning ÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉ.49 6.2 Ett generellt undantag fšr harmlšsa uppgifterééééééé.54 6.3 Kommuner ÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉ..63

3 6.4 Statliga myndigheter É..ÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉ68 6.5 Andra avvikelser frœn reglerna i personuppgiftslagen ÉÉÉ...69 6.6 Ekonomiska konsekvenser ÉÉÉÉÉÉÉÉÉÉÉÉÉÉ.70 7 Fšrfattningskommentar ÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉ..É71 Bilaga Ð Regeringsbeslut 1998-10-22 (Ju 98/3520)

4 Sammanfattning Den 24 oktober 1998 tršdde personuppgiftslagen (PuL) i kraft. Lagen bygger pœ ett inom EU gemensamt antaget dataskyddsdirektiv och ersštter 1973 Œrs datalag. I 33 PuL finns ett principiellt fšrbud mot šverfšring av personuppgifter till tredje land (lšnder utanfšr EU och EES). Fšrbudet innebšr restriktioner fšr spridning av personinformation šver Internet. I denna rapport fšreslœr Datainspektionen flera undantag frœn fšrbudet. Det skall bl.a. bli mšjligt att utan samtycke skriva om andra Šn sig sjšlv pœ Internet. Datainspektionen fšreslœr att regeringen i personuppgiftsfšrordningen infšr ett generellt undantag fšr harmlšsa uppgifter. Det skall utan hinder av fšrbudet i 33 PuL vara tillœtet fšr var och en att behandla personuppgifter i lšpande text šver Internet eller annat nšt om det uppenbart saknas risk fšr kršnkning av den registrerades personliga integritet. FšrutsŠttningen Šr att syftet Šr information eller kommunikation och att texten framstšllts fšr sœdana ŠndamŒl. Datainspektionen fšreslœr sšrskilda undantag fšr kommunernas information. Kommuner och landsting skall fœ gšra vissa protokoll samt kungšrelser, kallelser och uppgifter ur diarier tillgšngliga fšr allmšnheten via Internet. Uppgifter som direkt pekar ut andra enskilda personer Šn fšrtroendevalda skall som regel fœ gšras tillgšngliga šver Internet om det uppenbart saknas risk fšr integritetskršnkning. Fšrslaget innebšr i huvudsak att den datalagspraxis som utvecklats kring kommunernas informationsspridning šver Internet skall fortsštta att gšlla. NŠr det gšller statliga myndigheters information šver internationella kommunikationsnštverk sœsom Internet bšr det enligt Datainspektionens bedšmning lšmpligen regleras i registerlagstiftning pœ myndighetens omrœde eller i myndighetens instruktion.

5 Enligt PuL Šr det inte tillœtet fšr andra Šn myndigheter att behandla en uppgift om att nœgon har eller kan ha begœtt nœgot visst brott. Datainspektionen fšreslœr att regeringen infšr en regel i personuppgiftsfšrordningen som gšr det mšjligt att i lšpande text omnšmna en sœdan uppgift om den som uppgiften avser sjšlv pœ ett tydligt sštt har offentliggjort uppgiften, exempelvis i massmedia. Fšrslagen innebšr inte nœgra Šndringar av bestšmmelserna i PuL utan endast att undantag gšrs fšr vissa behandlingar med stšd av bestšmmelserna i lagen. Fšrslagen beršr inte heller offentlighetsprincipen eller grundlagsreglerna om tryck- och yttrandefrihet. Fšrslagen ansluter i sak till den praxis fšr Internet-anvŠndning som rœdde fšre PuL och som fortfarande kan vara tillšmplig švergœngsvis. De innebšr inga genomgripande fšršndringar utan torde kunna genomfšras utan stšrre tidsutdrškt. PŒ sikt kan det vara bšttre att genomfšra andra fšršndringar. Dessa beror dock pœ faktorer utanfšr Datainspektionens utredningsuppdrag, t.ex. dataskyddsdirektivets framtida utformning och eventuella Šndringar i grundlag.

6 Fšrfattningsfšrslag Fšrslag till fšrordning om Šndring i personuppgiftsfšrordningen (1998:1191); utfšrdad den --- Regeringen fšreskriver 1 i frœga om personuppgiftsfšrordningen (1998:1191) dels att nuvarande 11 skall betecknas11 c, dels att 8 skall ha fšljande lydelse, dels att det i fšrordningen skall infšras tre nya paragrafer, 11, 11 a och 11 b, av fšljande lydelse. 8 Det Šr trots fšrbudet i 21 personuppgiftslagen (1998:204) tillœtet att fšr informationsspridning eller kommunikation i lšpande text behandla personuppgifter om lagšvertršdelser som innefattar brott, domar i brottmœl, straffprocessuella tvœngsmedel eller administrativa frihetsberšvanden, om den registrerade har offentliggjort uppgifterna pœ ett tydligt sštt. Datainspektionen fœr i frœga om automatiserad behandling av personuppgifter meddela fšreskrifter om ytterligare undantag frœn fšrbudet i 21 personuppgiftslagen (1998:204) fšr andra Šn myndigheter att behandla personuppgifter om lagšvertršdelser som innefattar brott, domar i brottmœl, straffprocessuella tvœngsmedel eller administrativa frihetsberšvanden. Datainspektionen fœr ocksœ i enskilda fall besluta om undantag frœn fšrbudet. 11 Undantag frœn fšrbudet enligt 33 personuppgiftslagen (1998:204) mot šverfšring av personuppgifter till tredje land finns i 34 personuppgiftslagen. I 11 a Ð b denna fšrordning ges ytterligare undantag. BestŠmmelserna innebšr inte nœgot undantag frœn personuppgiftslagens regler i švrigt om fšrutsšttningarna fšr behandling av personuppgifter. 11 a Kommuner och landsting fœr via Internet eller annat nšt till tredje land fšra šver sœdana justerade protokoll som avses i 5 kap. 57 och 61 Ð 62 samt 6 kap. 30 kommunallagen (1991:900). NŠr det gšller protokoll som uppršttats i annan nšmnd Šn kommunstyrelse eller landstingsstyrelse fœr uppgifter som direkt pekar ut andra enskilda personer Šn fšrtroendevalda endast šverfšras om 1 Jfr Europaparlamentets och rœdets direktiv 95/46/EG av den 24 oktober 1995 om skydd fšr enskilda personer med avseende pœ behandling av personuppgifter och om det fria flšdet av

7 det Šr uppenbart att det saknas risk fšr integritetskršnkning. Detsamma gšller i frœga om kungšrelse om eller kallelse till sammantršde. Kommuner och landsting fœr via Internet eller annat nšt till tredje land fšra šver sœdana uppgifter i diarier som avses i 15 kap. 2 sekretesslagen (1980:100). Personuppgifter som direkt pekar ut enskilda personer fœr dock inte šverfšras. 11 b Fšr informationsspridning eller kommunikation fœr personuppgifter i lšpande text fšras šver till tredje land via Internet eller annat nšt om texten framstšllts fšr sœdant ŠndamŒl och omstšndigheterna Šr sœdana att det Šr uppenbart att det saknas risk fšr kršnkning av den registrerades personliga integritet. Denna fšrordning tršder i kraft den ---

8 1 Uppdraget Regeringen gav genom ett regeringsbeslut den 22 oktober 1998 (Ju 98/3520) Datainspektionen i uppdrag att utreda vissa frœgor som ršr den nya personuppgiftslagen och Internet, se bilaga. Datainspektionen skall utreda det nšrmare behovet av att gšra undantag frœn fšrbudet i 33 personuppgiftslagen (1998:204) nšr det gšller dels šverfšringar av personuppgifter till tredje land frœn offentliga register fšr att tillgodose kommuners intresse av att sprida information, dels šverfšringar av personuppgifter till tredje land som typiskt sett inte innebšr nœgra risker fšr de registrerade eller det annars mot bakgrund av allmšnhetens intresse att sprida och inhšmta information framstœr som angelšget att undantag gšrs, sšrskilt i samband med behandling av personuppgifter pœ internationella kommunikationsnštverk, t.ex. Internet. Datainspektionen skall ocksœ undersška om avvikelser fšr dessa intressen bšr gšras frœn reglerna i personuppgiftslagen (PuL) i andra avseenden Šn i frœga om fšrbudet mot šverfšring av personuppgifter till tredje land (t.ex. fšrbudet mot behandling av kšnsliga personuppgifter). Datainspektionen skall Šven fšreslœ utformningen av fšreskrifter om undantagen. Inspektionen Šr fri att fšreslœ sœvšl regler i lag eller fšrordning som myndighetsfšreskrifter oberoende av i vilken utstršckning regeringen utnyttjat de mšjligheter som PuL ger att vidaredelegera fšreskriftsrštt. Datainspektionen skall sšrskilt analysera hur fšrslagen fšrhœller sig till reglerna i dataskyddsdirektivet samt redovisa de ekonomiska konsekvenserna av sina fšrslag.

9 2 Datainspektionens utgœngspunkter Kommuner har behov av att med hjšlp av IT kunna informera kommuninvœnarna om den kommunala verksamheten. MŒnga kommuner utnyttjar eller vill utnyttja webbplatser pœ Internet fšr att sprida informationen, bl.a. genom att gšra offentliga protokoll och beslut i kommunfullmšktige, kommunstyrelse och andra nšmnder allmšnt tillgšngliga. Motsvarande gšller landstingen. Statliga myndigheter vill utnyttja webbplatser fšr att sprida information till medborgarna inom sina verksamhetsomrœden. Fšretag vill utnyttja webbplatser fšr att marknadsfšra produkter och tjšnster eller pœ annat sštt anvšnda sig av Internet fšr kommersiella ŠndamŒl. Fšreningar vill sprida information om sin verksamhet och všrva nya medlemmar. Enskilda privatpersoner vill kunna kommunicera med andra genom e-postmeddelanden, i olika syften ha en webbplats, handla pœ nštet eller utbyta tankar och Œsikter genom en elektronisk anslagstavla. Det fšrefaller som om endast fantasin sštter gršnsen fšr de anvšndningsomrœden och de behov som uppstœr genom ITutvecklingen. Genom den škande anvšndningen av internationella kommunikationsnštverk och dœ fršmst Internet sprids upplysningar om enskilda personer šver hela všrlden. Mšjligheterna att pœ nštverken sška och behandla information med uppgifter om enskilda personer synes vara nšst intill ošndliga. Enligt 2 kap. 3 regeringsformen (RF) skall varje medborgare i den utstršckning som nšrmare anges i lag skyddas mot att hans personliga integritet kršnks genom att uppgifter om honom registreras med hjšlp av automatisk databehandling. EG:s dataskyddsdirektiv lšgger grunden fšr vad Sverige som medlemsstat i den Europeiska unionen fšrbundit sig att iaktta i frœga om skyddet mot att mšnniskors personliga integritet kršnks genom behandling av personuppgifter. Direktivet har infšrlivats i svensk lagstiftning genom personuppgiftslagen (PuL).

10 I den debatt som uppstœtt om personuppgiftslagen och i olika motioner i riksdagen har fšrbudet i 33 PuL mot att fšra šver personuppgifter till tredje land framstšllts som ett hot mot yttrandefriheten och den svenska offentlighetsprincipen. Offentlighetsprincipen enligt 2 kap. tryckfrihetsfšrordningen (TF) innefattar inte en skyldighet fšr myndigheter att lšmna ut allmšnna handlingar elektroniskt. Att myndigheter lšgger ut information pœ Internet Šr sœledes inte ett inslag i myndigheternas skyldighet att tillhandahœlla allmšnna handlingar enligt 2 kap. TF. FrŒgan om var gršnsen fšr offentliga handlingars tillgšnglighet skall gœ Šr politisk och ankommer pœ statsmakterna. DatalagskommittŽn hade, utšver uppgiften att analysera pœ vilket sštt EG:s dataskyddsdirektiv skulle infšrlivas i svensk lagstiftning, ocksœ i uppdrag att fšreslœ de Šndringar i TF:s bestšmmelser om allmšnna handlingars offentlighet som Šr motiverade fšr att grundlagsregleringen skall vara anpassad till den nya tekniken och terminologin pœ omrœdet. I kommittžns uppdrag ingick att med hšnsyn till utvecklingen pœ IT-omrŒdet gšra en šversyn av reglerna i TF om allmšnna handlingars offentlighet. KommittŽn skulle ocksœ, mot bakgrund av utvecklingen mot globala nštverk, analysera innebšrden av den s.k. biblioteksregeln i 2 kap. 11 andra stycket TF. DatalagskommittŽn lšmnade flera fšrslag till fšršndringar. NŠr det gšller sjšlva utlšmnandet av allmšnna uppgifter fšreslog kommittžn en utvidgning av offentlighetsprincipen. Enligt fšrslaget skulle offentlighetsprincipen Šven omfatta rštt att i viss utstršckning fœ ut allmšnna uppgifter i elektronisk form. Regeringen gick i propositionen med fšrslag till personuppgiftslag inte vidare med kommittžns fšrslag om allmšnna handlingars offentlighet, eftersom ytterligare švervšganden ansœgs nšdvšndiga. Det fršmsta skšlet var att konsekvenserna av fšrslagen inte ansœgs tillršckligt utredda. Regeringen har beslutat en utredning om šversyn av bestšmmelserna i 2 kap. TF i syfte att

11 vidga mšjligheterna fšr offentlighetsprincipens tillšmpning i IT-samhŠllet (Dir. 1998:32). Konstitutionsutskottet, som den 8 december 1998 hšll en offentlig hearing kring integritetsskydd och yttrandefrihet, švervšger om riksdagen bšr ta nœgot initiativ till fšršndring av personuppgiftslagen. Regeringen har den 4 februari 1999 beslutat att en parlamentariskt sammansatt utredning skall se šver grundlagarna pœ medieomrœdet, tryckfrihetsfšrordningen och yttrandefrihetsgrundlagen (Dir. 1999:8). Som en del i šversynen skall utredningen undersška vilka fšrutsšttningar som finns att gšra grundlagsskyddet fšr yttrandefriheten mer oberoende av vilken teknik man anvšnder sig av fšr att fšrmedla yttranden och annan information till allmšnheten. Datainspektionen ser som sin uppgift att i avvaktan pœ riksdagens stšllningstagande samt resultatet av de švergripande utredningar om offentlighetsprincip, yttrandefrihet och IT som regeringen beslutat sška fšreslœ en Œtminstone tillfšllig lšsning pœ kommuners och andras behov av att sprida information via Internet och att dšrvid finna en lšmplig balans mellan dessa intressen och skyddet fšr den enskildes integritet utifrœn de fšrutsšttningar som ges i PuL och EG:s dataskyddsdirektiv.

12 3 Datalagstiftningen och behandling av personuppgifter šver Internet. 3.1 Datalagen Datalagen, som fortfarande kan vara tillšmplig švergœngsvis, reglerade anvšndningen av personregister. Med personregister fšrstods register, fšrteckning eller andra anteckningar som fšrs med hjšlp av automatisk databehandling (ADB) och som innehœller personuppgift som kan hšnfšras till den som avses med uppgiften. Fšr att automatisk databehandling av personuppgifter skulle anses falla inom datalagens tillšmpningsomrœde kršvdes i princip enligt praxis att behandlingen innefattade lagring av personuppgifterna och att syftet med lagringen var att uppgifterna skulle Œtersškas och anvšndas fšr nœgon form av informationsbehandling. Nyhetsbrev och annan information i lšpande text pœ en webbplats pœ Internet fšll dšrfšr som regel utanfšr personregisterbegreppet och dšrmed utanfšr datalagens reglering. I frœga om utlšmnande av personuppgifter ur ett personregister fanns sšrskilda regler i 11 datalagen fšr enskild verksamhet och i 7 kap. 16 sekretesslagen fšr myndigheter. Fšr utlšmnande till annan stat Šn sœdan som anslutit sig till EuroparŒdets dataskyddskonvention kršvdes medgivande av Datainspektionen, om det fanns anledning anta att personuppgifterna skulle anvšndas fšr automatisk databehandling i utlandet.

13 3.1.1 Mšjligheterna enligt datalagen att sprida personuppgifter šver internationella nštverk sœsom Internet. Nyhetsbrev och annan information i lšpande text som faller utanfšr personregisterbegreppet har utan hinder av datalagen kunnat spridas šver Internet. Fšr den som haft behov av att sprida personuppgifter ur personregister har Datainspektionen under hšsten 1997 utfšrdat generella fšreskrifter (DIFS 1997:7) fšr personregister pœ webbsidor. Fšreskrifterna gšller fortfarande švergœngsvis fšr personregister som faller under datalagen. Fšreskrifterna innebšr att personregister fšr informationsšndamœl under vissa fšrutsšttningar fœtt inršttas pœ webbsidor och gšras tillgšngliga pœ Internet utan sšrskilt tillstœnd eller medgivande av Datainspektionen. Som en fšrutsšttning har gšllt att personuppgifter endast fœtt registreras om den som uppgifterna avser har samtyckt till registreringen och utlšmnande via Internet. Ett sœdant personregister har fœtt innehœlla de personuppgifter som behšvs fšr att tillgodose ŠndamŒlet med registret. KŠnsliga uppgifter enligt datalagen har fœtt registreras endast om de utgšr grunden fšr medlemskap i en sammanslutning. Omdšmen eller všrderande upplysningar om registrerade samt personnummer har inte fœtt registreras. Kommunikation av e-postmeddelanden har som regel fallit utanfšr datalagens tillšmpningsomrœde eftersom syftet med ADB-behandlingen inte Šr att informationsbehandla personuppgifter utan att šverfšra meddelandet. Meddelandet utgšr dšrfšr som regel inte nœgot personregister. Den som chattade pœ nštet tršffades normalt inte av datalagens regler. Enligt Datainspektionens praxis uppstod normalt inget personregister genom uppgifterna pœ en elektronisk anslagstavla dvs. en ÓtjŠnstÓ fšr elektronisk fšrmedling av meddelanden dšr var och en eller en grupp av anvšndare kan tillfšra meddelanden och lšsa eller annars fœ del av andras meddelanden. Om syftet inte Šr att Œtersška och sammanstšlla uppgifter om personer som kan

14 finnas Œtergivna i meddelandena utgšr meddelandena i sig normalt inte nœgot personregister. Vanligen finns det dock ett register šver de personer som anvšnder funktionerna i en elektronisk anslagstavla (adresskatalogen). En elektronisk anslagstavla innefattar dšrmed minst ett personregister varfšr den som tillhandahœller ÓtjŠnstenÓ Œtminstone mœste ha licens enligt datalagen. Datainspektionen har Šven genom beslut i enskilda fall medgivit att uppgifter i personregister fœtt lšmnas ut till utlandet. Det har bl.a. gšllt statliga myndigheter som velat sprida information via egen webbplats pœ Internet. I frœga om statlig myndighets beslut har utlšmnandet begršnsats till sœdana personuppgifter som utgšr allmšn handling och som inte omfattas av sekretess eller Šr otillbšrliga eller kšnsliga frœn integritetssynpunkt. NŠr det gšllt utlšmnande frœn diarium av personuppgifter i Šrenden som avser myndighetsutšvning gentemot enskilda har sœdana uppgifter fšrst fœtt avidentifierats, dvs. alla uppgifter som direkt pekar ut en enskild person som t.ex. namn, initialer, personnummer och adress har mœst tas bort. 3.1.2 SŠrskilt om kommuners mšjligheter enligt datalagen att behandla personuppgifter pœ Internet De angivna mšjligheterna att sprida lšpande text elektroniskt, nšr behandlingen fallit utanfšr datalagens tillšmpningsomrœde har gšllt Šven fšr kommuner. Emellertid har kommunerna ofta inršttat protokollsregister som fallit inom datalagens tillšmpningsomrœde. Fšr sœdana register har Datainspektionen pœ grundval av datalagen utfšrdat generella fšreskrifter om protokollsregister (DIFS 1996:3) och dšrigenom gjort det mšjligt fšr kommuner och landsting att utan sšrskilt tillstœnd men med vissa begršnsningar lšmna ut information med personuppgifter pœ Internet. Fšreskrifterna avser kommunfullmšktige, landstingsfullmšktige, kommunstyrelse, landstingsstyrelse och švriga nšmnder inom en kommun eller ett landsting. Fšreskrifterna innebšr att en kommun eller ett landsting som hœller sig inom fšreskrifternas ram fœr fšra personregister (protokollsregister) utan

15 sšrskilt tillstœnd eller utlandsmedgivande enligt 7 kap. 16 sekretesslagen (1980:100). Protokollsregistren fœr, med undantag fšr vissa kšnsliga personuppgifter, innehœlla kungšrelser och kallelser till sammantršden samt justerade protokoll. Protokollsregister fœr lšmnas ut till allmšnheten via terminal eller via Internet eller motsvarande šppna nšt. NŠr det gšller protokollsregister som fšrs av annan nšmnd Šn kommunstyrelse eller landstingsstyrelse skall enligt fšreskrifterna alla uppgifter som direkt pekar ut enskilda personer, t.ex. namn, personnummer och adress tas bort. Personuppgifter som avser fšrtroendevalda behšver dock inte anonymiseras. I fšreskrifterna erinras om att sekretesslagen kan begršnsa mšjligheten att lšmna ut uppgifterna. Fšreskrifterna stšller krav pœ sšrskild information och ADB-sŠkerhet. Vidare har datainspektionen genom beslut i enskilda fall lšmnat kommunala myndigheter tillstœnd till personregister fšr att tillgodose behovet av information om kommunens verksamhet. Det har gšllt kommunala protokoll m.m. som har ingœtt i personregister och gjorts tillgšngliga šver Internet. Inspektionen har ocksœ meddelat kommunstyrelser och kommunala nšmnder tillstœnd till personregister med ŠndamŒl att utgšra diarium. TillstŒnden har innefattat medgivande om utlšmnande till allmšnheten via Internet. Den praxis som tillšmpats i de enskilda fallen kan sammanfattas enligt fšljande. Kommunstyrelsers protokoll har fœtt lšmnas ut i enlighet med vad som tillœts enligt de generella fšreskrifterna. vriga nšmnders protokoll har fœtt lšmnas ut pœ Internet med den begršnsningen att dšrur endast fœr ingœ personuppgifter som inte omfattas av sekretess och som inte Šr otillbšrliga eller kšnsliga frœn integritetssynpunkt. BetrŠffande diarier har ingen skillnad gjorts mellan kommunstyrelser eller nšmnder. Innan personuppgifter lšmnas ur diariet šver Internet har alla uppgifter som direkt pekar ut enskilda personer, t.ex. namn, personnummer och adress mœst tas bort, sœvitt gšller Šrenden som avser myndighetsutšvning gentemot enskild. Detsamma gšller vissa kšnsliga uppgifter. Personuppgifter som avser tjšnstemšn som lšmnat sitt samtycke till utlšmnande samt personuppgifter som

16 avser fšrtroendevalda behšver dock inte tas bort. Registrerade/diariefšrda handlingar i Šrenden har inte fœtt lšmnas ut pœ Internet. SŒdana handlingar har dšremot fœtt lšmnas ut pœ nšt inom kommunen. Personregister šver fšrtroendevalda har fœtt lšmnas ut pœ Internet med den begršnsningen att uppgift om bostadsadress och hemtelefonnummer endast fœtt lšmnas ut efter samtycke. Uppgifter frœn anstšllningsregister med sedvanliga arbetsrelaterade personuppgifter har fœtt lšmnas ut. Personregister hos kommuner šver fšreningar har endast fœtt lšmnas ut efter samtycke frœn de registrerade. Register šver kontaktpersoner vid fšretag har fœtt lšmnas ut utan nœgon sšrskild begršnsning. Register šver privata dagbarnvœrdare har fœtt lšmnas ut; uppgifter om bostadsadress och hemtelefonnummer har fœtt lšmnas ut endast under fšrutsšttning att de registrerade lšmnat sitt samtycke dšrtill. Register šver elever vid grundskola och gymnasium har fœtt lšmnas ut endast efter samtycke. Referenslitteratur, kšllfšrteckningar har fœtt lšmnas ut med den begršnsningen att det inte fœr avse uppgifter som Šr otillbšrliga eller kšnsliga frœn integritetssynpunkt. Register šver arrangemang (konserter, teaterfšrestšllningar etc.) har fœtt lšmnas ut utan sšrskilda begršnsningar. Sedvanliga personuppgifter som behšvs fšr att komma i kontakt med personer som kan informera om logi och camping i kommunen har fœtt lšmnas ut utan nœgra begršnsningar. 3.1.3 Vad gšller švergœngsvis PuL tršdde i kraft den 24 oktober 1998. Samtidigt upphšrde datalagen att gšlla. Datalagens bestšmmelser kan dock vara tillšmpliga pœ behandling av personuppgifter under flera Œr framšver. I frœga om behandling av personuppgifter som pœbšrjats fšre den 24 oktober 1998 eller behandling som utfšrs fšr ett visst bestšmt ŠndamŒl om behandling fšr ŠndamŒlet pœbšrjats fšre den 24 oktober skall till och med den 30 september 2001 datalagens bestšmmelser tillšmpas i stšllet fšr PuL:s. Under samma fšrutsšttningar kan datafšrordningen och Datainspektionens generella

17 fšreskrifter vara tillšmpliga pœ behandlingar av personuppgifter som sker under denna švergœngstid. Den som fšre den 24 oktober 1998 pœbšrjat behandling av personuppgifter pœ en webbplats i enlighet med ett meddelat tillstœnd och medgivande enligt datalagen eller i enlighet med Datainspektionens generella fšreskrifter kan sœledes fortsštta som tidigare fram till och med den 30 september 2001. PŒ motsvarande sštt kan den som behandlat personuppgifter šver Internet pœ ett sœdant sštt att det fšll utanfšr personregisterbegreppet fortsštta med behandling fšr samma ŠndamŒl under švergœngstiden utan att tršffas av PuL:s bestšmmelser. 3.2 Personuppgiftslagen och behandling av personuppgifter pœ Internet Personuppgiftslagen innehœller inte nœgra bestšmmelser som uttryckligen tar sikte pœ behandling av personuppgifter šver Internet. En sœdan behandling fœr sœledes bedšmas utifrœn de regler som gšller generellt fšr behandling av personuppgifter enligt PuL. En behandling av personuppgifter som inte Šr undantagen frœn PuL:s tillšmpningsomrœde mœste alltid uppfylla de grundlšggande kraven fšr behandling och ocksœ nœgon av fšrutsšttningarna fšr nšr behandling Šr tillœten. Avser behandlingen kšnsliga personuppgifter, uppgifter om lagšvertršdelser m.m. eller personnummer mœste behandlingen ocksœ vara tillœten enligt de sšrskilda bestšmmelserna dšrom. Dessutom mœste behandlingen uppfylla nœgon av de fšrutsšttningar som kršvs fšr att fœ fšra šver personuppgifter till tredje land, i de fall anvšndningen av Internet i det enskilda fallet innebšr att personuppgifter fšrs šver till tredje land.

18 GrundlŠggande krav pœ behandlingen av personuppgifter I 9 PuL Œterfinns de grundlšggande kraven fšr behandling av personuppgifter (all slags information som direkt eller indirekt kan hšnfšras till en fysisk person som Šr i livet). Den personuppgiftsansvarige (den som ensam eller tillsammans med andra bestšmmer ŠndamŒlen med och medlen fšr behandlingen av personuppgifter) mœste alltid uppfylla de grundlšggande kraven pœ behandlingen av personuppgifter, dvs. att personuppgifter bara behandlas om det Šr lagligt, att personuppgifter alltid behandlas pœ ett korrekt sštt och i enlighet med god sed, att personuppgifter samlas in bara fšr sšrskilda, uttryckligt angivna och beršttigade ŠndamŒl, att personuppgifter inte behandlas fšr nœgot ŠndamŒl som Šr ofšrenligt med det fšr vilket uppgifterna samlades in, att de personuppgifter som behandlas Šr adekvata och relevanta i fšrhœllande till ŠndamŒlen med behandlingen, att inte fler personuppgifter behandlas Šn som Šr nšdvšndigt med hšnsyn till ŠndamŒlen med behandlingen, att de personuppgifter som behandlas Šr riktiga och, om det Šr nšdvšndigt, aktuella, att alla rimliga ŒtgŠrder vidtas fšr att rštta, blockera eller utplœna sœdana personuppgifter som Šr felaktiga eller ofullstšndiga med hšnsyn till ŠndamŒlen med behandlingen, och att personuppgifter inte bevaras under lšngre tid Šn vad som Šr nšdvšndigt med hšnsyn till ŠndamŒlen med behandlingen. Fšr behandling av personuppgifter fšr historiska, statistiska eller vetenskapliga ŠndamŒl gšller vissa avvikelser frœn de grundlšggande kraven. Webbplatser (hemsidor) uppršttas fšr en mšngd olika ŠndamŒl. Generellt ger Internettekniken mšjlighet fšr enskilda att sprida Œsikter och tankar. MŒnga kanske provar Internet och uppršttar en hemsida fšr att se om de šver huvud taget kan Œstadkomma en sœdan. Andra har kanske ett bestšmt syfte med sin hemsida sœsom att tala om att de sysslar med en viss hobbyverksamhet och fšr att pœ sœ sštt komma i kontakt med andra likasinnade i Sverige eller i švriga všrlden eller fšr att pœ fritiden kunna sšlja nœgon produkt de tillverkar. Fšreningar vill tala om att de finns och sprida information om sin verksamhet till medlemmar men ocksœ fšr att kunna všrva nya medlemmar. Barn och ungdomar vill pršva sina datakunskaper, komma i kontakt med ÓbrevvŠnnerÓ eller utbyta idežr genom att ordna en chat Fšretag vill sprida information om

19 fšretaget, sina anstšllda och sina produkter och kanske idka handel direkt šver nštet. Statliga myndigheter vill informera medborgarna om sin verksamhet, sina anstšllda eller lšmna annan samhšllsinformation. Kommuner och landsting vill informera kommunmedlemmarna om sammantršden, protokoll och diarier och annan aktuell information. AnvŠndningen av e-post šver internationella kommunikationsnštverk sœsom Internet Šr allmšnt utbredd i samhšllet. I den mœn anvšndningen av Internet innefattar behandling av personuppgifter som omfattas av PuL mœste den personuppgiftsansvarige uppfylla de grundlšggande krav fšr behandling av personuppgifter som fšljer av lagen. NŠr behandling av personuppgifter Šr tillœten I 10 PuL Œterfinns bestšmmelser om nšr behandling av personuppgifter šver huvud taget Šr tillœten. Huvudregeln Šr att personuppgifter fœr behandlas om den registrerade har lšmnat sitt samtycke till behandlingen. Enligt 10 PuL fœr personuppgifter behandlas Šven utan samtycke om behandlingen Šr nšdvšndig fšr olika i lagen uppstšllda syften. Personuppgifter fœr sœledes behandlas utan samtycke om behandlingen Šr nšdvšndig fšr att a) Êett avtal med den registrerade skall kunna fullgšras eller ŒtgŠrder som den registrerade begšrt skall kunna vidtas innan ett avtal tršffas, b) Êden personuppgiftsansvarige skall kunna fullgšra en ršttslig skyldighet, c) Êvitala intressen fšr den registrerade skall kunna skyddas, d) Êen arbetsuppgift av allmšnt intresse skall kunna utfšras, e) den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lšmnas ut skall kunna utfšra en arbetsuppgift i samband med myndighetsutšvning, eller f)êett ŠndamŒl som ršr ett beršttigat intresse hos den personuppgiftsansvarige eller hos en sœdan tredje man till vilken personuppgifterna lšmnas ut skall kunna tillgodoses, om detta intresse všger tyngre Šn den registrerades intresse av skydd mot kršnkning av den personliga integriteten. Restriktionerna i 33 Ð 34 PuL mot šverfšring av personuppgifter till tredje land medfšr att samtycke ofta mœste inhšmtas vid behandling av personuppgifter šver Internet. Reglerna i 10 om fšrutsšttningarna šver huvud taget fšr behandling Šr generellt sett mer tillœtande Det finns dock exempel pœ

20 motsvarigheter mellan bestšmmelserna om nšr behandling av personuppgifter šver huvud taget Šr tillœten och nšr personuppgifter fœr šverfšras till tredje land. Exempelvis motsvaras undantaget i 34 fšrsta stycket a av 10 a och undantaget i 34 fšrsta stycket d av 10 c. Medger dœ bestšmmelserna i 10 att sœdana personuppgifter som var och en vill behandla šver Internet šver huvud taget fœr behandlas och spridas i Sverige utan samtycke frœn den registrerade? Det ligger nšra till hands att anta att 10 f, som avser behandling efter en intresseavvšgning, Šr en bestšmmelse som ofta kommer att Œberopas till stšd fšr att šver huvud taget fœ behandla personuppgifter utan samtycke. BestŠmmelsen har ingen omedelbar motsvarighet i 34 om vad som trots fšrbudet i 33 Šr tillœtet att fšra šver till tredje land. Punkten b i fšrsta stycket 34 kan dock ses som ett fall av tillœten behandling enligt 10 f. En annan bestšmmelse till stšd fšr att šver huvud taget fœ behandla personuppgifter av stor betydelse Šr punkten d i 10, som avser behandling som Šr nšdvšndig fšr att en arbetsuppgift av allmšnt intresse skall kunna utfšras. Som exempel pœ arbetsuppgifter som kan vara av allmšnt intresse nšmnde DatalagskommittŽn bl.a. Ð fšrutom arkivering, forskning, framstšllning av statistik, opinionsundersškningar avseende aktuella samhšllsfrœgor m.m. Ð etablerade idrottsorganisationers registrering av vilka personer som har vunnit svenska mšsterskap eller innehar svenska rekord i erkšnda sportgrenar liksom den registrering som sker av personer som har fœtt allmšnt erkšnda utmšrkelser, t.ex. Nobelpris. BestŠmmelsen har ingen direkt motsvarighet i 34 som kan Œberopas av den som ocksœ vill behandla uppgifterna šver Internet. Regeringen fœr dock enligt 35 andra stycket medddela fšreskrifter om undantag frœn fšrbudet i 33, om det behšvs med hšnsyn till ett viktigt allmšnt intresse. Det ligger nšra till hands att tro att myndigheters information om sin verksamhet och annan samhšllsinformation dšr Internet hittills anvšnts som ett medel fšr informationen ofta kan vara att se som en arbetsuppgift av allmšnt intresse; sšrskilt om statsmakterna Œlagt dem att anvšnda sig av teknikutvecklingen pœ IT-omrŒdet.

21 Behandling av kšnsliga personuppgifter OcksŒ bestšmmelserna om kšnsliga uppgifter i PuL (13 Ð 19 ) begršnsar anvšndningen av Internet. PuL, som Šven omfattar behandling av personuppgifter som Œterfinns i lšpande text, innehœller ett principiellt fšrbud mot behandling av kšnsliga personuppgifter. Enligt bestšmmelsen avses med kšnsliga personuppgifter sœdana som avslšjar ras eller etniskt ursprung, politiska Œsikter, religišs eller filosofisk švertygelse eller medlemskap i en fackfšrening. Fšrbudet gšller ocksœ personuppgifter som ršr hšlsa eller sexualliv. Utan hinder av fšrbudet Šr det dock enligt 15 PuL tillœtet att behandla kšnsliga personuppgifter, om den registrerade lšmnat sitt uttryckliga samtycke till behandlingen eller pœ ett tydligt sštt offentliggjort uppgifterna. Det skall i det senare fallet vara frœga om uppgifter som den registrerade sjšlv har offentliggjort. Detta undantag kan behšva Œberopas till stšd fšr att behandla personuppgifter som avslšjar politiska Œsikter, religišs švertygelse eller medlemskap i en fackfšrening. Fšr att man skall fœ behandla kšnsliga personuppgifter mœste behandlingen som sœdan ocksœ vara tillœten enligt 10. KŠnsliga personuppgifter fœr enligt 16 PuL ocksœ behandlas om behandlingen Šr nšdvšndig fšr att a) Êden personuppgiftsansvarige skall kunna fullgšra sina skyldigheter eller utšva sina ršttigheter inom arbetsrštten, b) Êden registrerades eller nœgon annans vitala intressen skall kunna skyddas och den registrerade inte kan lšmna sitt samtycke, eller c) ÊrŠttsliga ansprœk skall kunna faststšllas, gšras gšllande eller fšrsvaras. BetrŠffande behandling som Šr tillœten enligt punkten a finns det dock en begršnsning i frœga om rštten att lšmna ut uppgifterna. Uppgifter som behandlas med stšd av fšrsta stycket a fœr sœledes lšmnas ut till tredje man bara om det inom arbetsrštten finns en skyldighet fšr den personuppgiftsansvarige att gšra det eller den registrerade uttryckligen har samtyckt till utlšmnandet. BestŠmmelsen i 34 fšrsta stycket c med undantag frœn šverfšringsfšrbudet i 33 motsvarar 16 fšrsta stycket c

22 Ytterligare undantag frœn fšrbudet mot att behandla kšnsliga personuppgifter finns i 17-19 PuL. Undantaget i 17 avser behandling av kšnsliga uppgifter inom ramen fšr vissa ideella organisationers verksamhet och omfattar uppgifter om organisationens medlemmar och sœdana andra personer som pœ grund av organisationens syfte har regelbunden kontakt med den. KŠnsliga uppgifter fœr dock lšmnas ut till tredje man bara om den registrerade uttryckligen har samtyckt till det. UndantagsbestŠmmelsen torde dšrfšr inte kunna Œberopas av exempelvis en fackfšrening som utan att inhšmta den registrerades uttryckliga samtycke vill upprštta en webbplats som Šr tillgšnglig fšr allmšnheten och pœ den namnge personer som Šr medlemmar i fšreningen. Undantagen i 18 avser nšdvšndig behandling fšr vissa hšlso- och sjukvœrdsšndamœl och undantagen i 19 avser behandling av kšnsliga personuppgifter fšr forsknings- och statistikšndamœl efter egen intresseavvšgning eller efter godkšnnande av en forskningsetisk kommittž. Enligt 20 fœr regeringen eller den myndighet som regeringen bestšmmer meddela fšreskrifter om ytterligare undantag frœn fšrbudet i 13, om det behšvs med hšnsyn till ett viktigt allmšnt intresse. Regeringen har inte utnyttjat mšjligheten dšrtill. Uppgifter om lagšvertršdelser Enligt 21 Šr det fšrbjudet fšr andra Šn myndigheter att behandla personuppgifter om lagšvertršdelser som innefattar brott, domar i brottmœl, straffprocessuella tvœngsmedel eller administrativa frihetsberšvanden. Regeringen eller den myndighet som regeringen bestšmmer fœr meddela fšreskrifter om undantag frœn fšrbudet. Datainspektionen har med stšd av regeringens bemyndigande meddelat fšreskrifter (DIFS 1998:3) om undantag frœn fšrbudet. Undantagen avser socialtjšnstomrœdet, utbildningsomrœdet, advokatverksamhet eller annan juridisk verksamhet samt enstaka uppgift som Šr

23 nšdvšndig fšr att anmšlningsskyldighet enligt lag skall kunna fullgšras eller fšr att ršttsliga ansprœk skall kunna faststšllas, gšras gšllande eller fšrsvaras i ett enskilt fall. SistnŠmnda undantag korresponderar med undantaget i 34 c PuL och skulle kunna medfšra att annan Šn myndighet exempelvis via e-post šver Internet kan šverfšra en enstaka uppgift om lagšvertršdelse till tredje land fšr att gšra gšllande ett skadestœndsansprœk. Information till den registrerade I 23Ð27 finns bestšmmelser om information som den personuppgiftsansvarige skall lšmna till den registrerade. Den personuppgiftsansvarige skall enligt 23 sjšlvmant lšmna information om behandlingen av uppgifterna i samband med att uppgifter samlas in frœn personen sjšlv. Den informationsskyldigheten gšller i princip utan undantag. Vidare skall den personuppgiftsansvarige enligt 24 fšrsta stycket sjšlvmant lšmna den registrerade information om personuppgifterna har samlats in frœn nœgon annan kšlla Šn den registrerade. Informationen skall dœ lšmnas nšr uppgifterna registreras. r uppgifterna avsedda att lšmnas ut till tredje man behšver informationen dock inte ges fšrršn uppgifterna lšmnas ut fšr fšrsta gœngen. Informationsskyldigheten enligt 24 fšrsta stycket gšller inte alltid. Information behšver sœledes inte lšmnas, om det finns bestšmmelser om registrerandet eller utlšmnandet av personupppgifterna i en lag eller nœgon annan fšrfattning. Information behšver heller inte lšmnas enligt 24 fšrsta stycket om detta visar sig omšjligt eller skulle innebšra en oproportionerligt stor arbetsinsats varvid dock information under alla fšrhœllanden mœste lšmnas om uppgifterna anvšnds fšr att vidta ŒtgŠrder som ršr den registrerade. Information skall dœ lšmnas senast i samband med att sœ sker. Den information som skall lšmnas sjšlvmant enligt 23 och 24 skall omfatta uppgift om den personuppgiftsansvariges identitet, uppgift om ŠndamŒlen med behandlingen, och all švrig information som behšvs fšr att den registrerade skall kunna ta till vara sina ršttigheter i samband med behandlingen, sœsom information om mottagarna av uppgifterna, skyldighet att lšmna uppgifter och rštten att ansškan om information och fœ ršttelse Information behšver dock inte

24 lšmnas om sœdant som den registrerade redan kšnner till t.ex. pœ grund av att han eller hon redan har fœtt informationen i enlighet med annan lagstiftning. Det duger ocksœ att en personuppgiftsansvarig, som avser att fortlšpande samla in uppgifter om den registrerade, vid ett fšrsta insamlingstillfšlle lšmnat den registrerade fullstšndig information om sin behandling. NŠr uppgifter samlas in frœn den registrerade sjšlv exempelvis via Internet kan det vara mšjligt att lšmna informationen i samband dšrmed, exempelvis pœ nœgon inloggningsbild. NŠr personuppgifter samlas in frœn nœgon annan kšlla Šn de registrerade kan man tšnka sig att informationen sšnds med post eller lšmnas muntligt per telefon. Den personuppgiftsansvarige har fšrutom att sjšlvmant lšmna information vid insamling av personuppgifter en skyldighet att lšmna information efter ansškan frœn den registrerade. Den personuppgiftsansvarige Šr sœledes skyldig att till var och en som ansšker om det en gœng per kalenderœr gratis lšmna ett besked i frœgan om personuppgifter som ršr sškanden behandlas eller ej. Beskedet kan lšmnas formlšst t.ex. per telefon. Om sœdana personuppgifter behandlas skall dock skriftlig information lšmnas om vilka uppgifter om den sškande som behandlas, varifrœn dessa uppgifter har hšmtats, ŠndamŒlen med behandlingen, och till vilka mottagare eller kategorier av mottagare som uppgifterna lšmnas ut. Information behšver inte lšmnas om personuppgifter i lšpande text som inte har fœtt sin slutliga utformning nšr ansškan gjordes eller som utgšr minnesanteckning eller liknande. Undantaget gšller dock inte om uppgifterna har lšmnats ut till tredje man. Eftersom behandling av personuppgifter šver Internet eller andra šppna nšt som regel innebšr att uppgifter lšmnas ut till tredje man torde undantaget sakna betydelse fšr exempelvis personuppgiftsansvarigas behandling av personuppgifter i lšpande text pœ webbsidor. Ett generellt undantag frœn informationsskyldigheten enligt 23-26 gšller vid sekretess och tystnadsplikt gentemot den registrerade. ven detta undantag torde sakna praktisk betydelse nšr det gšller uppgifter om den registrerade som gjorts allmšnt tillgšngliga šver Internet eller andra šppna nšt.

25 RŠttelse Den personuppgiftsansvarige Šr skyldig att pœ begšran av den registrerade snarast rštta, blockera eller utplœna sœdana personuppgifter som har behandlats i strid med PuL. Den personuppgiftsansvarige skall ocksœ underrštta tredje man till vilken uppgifterna har lšmnats ut om ŒtgŠrden, om den registrerade begšr det eller om mera betydande skada eller olšgenhet fšr den registrerade skulle kunna undvikas genom en underršttelse. NŒgon sœdan underršttelse behšver dock inte lšmnas, om detta visar sig vara omšjligt eller skulle innebšra en oproportionerligt stor arbetsinsats. verfšring av personuppgifter till tredje land Enligt 33 PuL Šr det fšrbjudet att till tredje land fšra šver personuppgifter som Šr under behandling. Fšrbudet gšller ocksœ šverfšring av personuppgifter fšr behandling i tredje land. I 34 PuL anges undantag frœn det principiella fšrbudet och i 35 ges bemyndiganden om ytterligare undantag. Om anvšndningen av Internet innebšr att personuppgifter sprids utanfšr EU eller EES eller till ett land som inte anslutit sig till EuroparŒdets konvention om skydd fšr enskilda vid automatisk databehandling av personuppgifter gšller de restriktiva reglerna i PuL om šverfšring av personuppgifter till tredje land. Utan den registrerades samtycke till šverfšringen Šr det enligt 34 tillœtet att šverfšra personuppgifter till tredje land om šverfšringen Šr nšdvšndig fšr att ett avtal mellan den registrerade och den personuppgiftsansvarige skall kunna fullgšras eller ŒtgŠrder som den registrerade begšrt skall kunna vidtas innan ett avtal tršffas, ett sœdant avtal mellan den personuppgiftsansvarige och tredje man som Šr i den registrerades intresse skall kunna ingœs eller fullgšras, ršttsliga ansprœk skall kunna faststšllas, gšras gšllande eller fšrsvaras, eller vitala intressen skall kunna skyddas. Dessa undantag mšjliggšr viss šverfšring av personuppgifter via Internet men torde inte kunna anvšndas fšr en allmšn spridning av uppgifter. I 35 PuL har regeringen getts bemyndigande att meddela fšreskrifter om undantag frœn fšrbudet i 33 fšr šverfšring av personuppgifter till vissa stater

26 Det kan tillšmpas i frœga om šverfšring till lšnder med en tillršcklig skyddsnivœ och i frœga om šverfšring nšr tillršckliga garantier till skydd fšr de registrerades ršttigheter finns i form av avtal m.m. Regeringen har enligt samma paragraf en mšjlighet att meddela fšreskrifter om undantag frœn fšrbudet i 33 om det behšvs med hšnsyn till ett viktigt allmšnt intresse eller om det finns tillršckliga garantier till skydd fšr de registrerades ršttigheter. Regeringen har inte utnyttjat dessa mšjligheter. BestŠmmelserna i PuL skall inte tillšmpas i den utstršckning det skulle strida mot bestšmmelserna om tryck- och yttrandefriheten i TF eller yttrandefrihetsgrundlagen (YGL). Det undantaget kan i vissa fall tšnkas bli tillšmpligt vid behandling av personuppgifter som sker via Internet, t.ex. vid fšrande av sœdant register som avses i 1 kap. 9 YGL (databasregeln). ven andra undantag i PuL kan bli tillšmpliga pœ behandling av personuppgifter šver Internet sœsom undantaget i 7 andra stycket som avser behandling av personuppgifter som sker uteslutande fšr journalistiska ŠndamŒl eller konstnšrligt eller litteršrt skapande. En sœdan behandling mœste dock uppfylla PuL:s bestšmmelser om sškerhet. ven det generella undantaget frœn PuL i 6 om behandling av personuppgifter som en fysisk person utfšr som ett led i en verksamhet av rent privat natur kan vara tillšmpligt pœ en behandling som sker via Internet. Enligt vad som har antecknats i ett s.k. mštesprotokoll vid EG-direktivets tillkomst ansœg rœdet och kommissionen att det inte Šr tillœtet att med hšnvisning till motsvarande bestšmmelse i EG-direktivet undanta behandling av personuppgifter som utfšrs av en enskild nšr dessa uppgifter fšrmedlas inte bara till en eller flera personer utan till ett obestšmt antal personer (se SOU 1997:39 s.120 f.). Att sprida personuppgifter via en webbsida pœ Internet skulle sœledes inte kunna ses som ett led i en verksamhet av rent privat natur. Privat e-post som skickas via Internet till en bestšmd mottagare torde dock kunna anses falla utanfšr PuL:s tillšmpning.

27 4 AllmŠnna utgœngspunkter 4.1 Internet Inledning Internet Šr ett všrldsomspšnnande nšt som bestœr av tusentals mindre nšt som kopplats ihop. En viktig mœlsšttning nšr Internet skapades var att nštet skulle klara krissituationer. NŠtet utformades dšrfšr sœ att delar av det kan fungera sjšlvstšndigt Šven om andra delar av nštet inte fungerar. Detta innebšr att trafiken pœ nštet kan gœ olika všgar beroende pœ t.ex. belastningen och eventuella fel i de olika delarna av nštet. AnvŠndaren kan dšrfšr aldrig vara sšker pœ vilka všgar hans trafik gœr eller genom vilka lšnder trafiken passerar. AnvŠndningen av Internetteknik inom en begršnsad anvšndargrupp, t.ex. ett fšretag, kallas intranšt. Ofta anvšnds Internet som bšrare fšr olika intranšt. Fšr att mšjliggšra utnyttjandet av ett allmšnt tillgšngligt nšt och samtidigt behœlla informationen inom en sluten grupp krypteras kommunikationen. Allt material som offentliggšrs pœ Internet blir i princip tillgšngligt fšr alla som har en uppkoppling till nštet. Undantag Šr nšr Internet anvšnds inom en sluten anvšndargrupp. tkomsten till en hemsida kan begršnsas t.ex. genom att anvšndaren fšrst fœr ange en korrekt anvšndaridentitet tillsammans med ett tillhšrande lšsenord. Informationsservrar pœ Internet kan fysiskt befinna sig i olika lšnder. ven om namnet pœ en server har registrerats i ett visst land innebšr det alltsœ inte att servern faktiskt finns i det landet. MŒnga gœnger kan det dšrfšr vara svœrt att lokalisera en server.

28 TjŠnster pœ Internet Internet kan anvšndas som bšrare av text, bilder, video och ršster. Kommunikationen kan ske antingen i realtid, dvs. meddelandet kan lšsas vid samma tidpunkt som det lšmnas, eller genom satsvis bearbetning vilket innebšr att informationen utnyttjas vid en annan tidpunkt Šn nšr den skapades. NŠr flera anvšndare samtidigt kopplar upp sig med hjšlp av datorer mot en gemensam server i nštet fšr att kommunicera skriftligt med varandra i realtid kallas det fšr att chatta. ChattjŠnster finns i mœnga olika former. Vissa har en moderator som granskar meddelandet innan det publiceras till švriga deltagare, medan andra Šr helt šppna och fria frœn fšrhandsgranskning. Ofta finns det ett i fšrvšg definierat ÓtemaÓ fšr chatten. Som regel sparas inte meddelandena. Det finns dock sajter som sparar gamla chattar. Genom att Internet lšmpar sig fšr mœnga olika typer av informationsspridning och kommunikation erbjuds fšretag, organisationer och privatpersoner omfattande mšjligheter till tjšnster. I dag anvšnds Internet fšr kommunikation (e-post, chat, elektroniska anslagstavlor, telefoni, videokonferenser), publicering, fšrsšljning, fjšrrtjšnster (datortid, hasardspel), distansutbildning, distansarbete, nyhetstjšnster, resetjšnster, banktjšnster, marknadsfšring, systemstšd, katalog- och sšktjšnster, spel m.m. Utveckling av nya tjšnster Hittills har en ung man med hšg inkomst varit den typiske InternetanvŠndaren. I takt med att fler och fler hittar sina anvšndningsomrœden gœr datoriseringen i samhšllet och tjšnsteutbudet pœ Internet hela tiden framœt. Leverantšrerna vill nœ ytterligare anvšndare och utvecklar i snabb takt nya metoder fšr att skapa webbsidor och sška bland dessa. Som exempel kan nšmnas s.k. push-teknik dšr information levereras till anvšndaren utan att denne behšver gšra egna sškningar. Internet ger Šven mšjlighet till kundspecifik information genom att kundprofiler skapas och lagras, t.ex. i kundens egen dator i form av s.k. cookies.

29 Sškning pœ Internet Det finns troligen nšstan 100 miljoner hemsidor pœ Internet. Fšr att kunna sška information bland alla dessa anvšnder man sig av olika s.k. sškmotorer. Gemensamt fšr dessa Šr att de sšker genom informationen pœ Internet och skapar egna index med sškord. Den som skapar en webbsida kan pœverka sškmotorerna sœ att vissa ord kommer med i index Šven om de inte syns pœ sjšlva webbsidan. Vidare kan man fšreslœ att sškmotorn inte skall sška i vissa sidor. Det Šr sškmotorn sjšlv som avgšr om den vill fšlja fšrslagen. All text Šr sškbar pœ Internet. Text kan Šven lagras som bilder. Dessa Šr dock inte generellt sškbara pœ grund av att det Šnnu inte finns nœgra bra metoder fšr att definiera sškbegrepp fšr en bild. I regel lagrar man inte text som bilder eftersom dessa tar mycket plats att lagra och Šr lœngsamma att šverfšra. Lagring av information pœ Internet Information som lagras i en dator (en server) pœ Internet kan mellanlagras pœ olika stšllen nšr anvšndaren hšmtar hem informationen. Lagringen kan t.ex. ske i anvšndarnas och teleoperatšrernas datorminne. Informationen kan Šven lagras pœ diskar hos teleoperatšrerna. Sškmotorer kan i fšrvšg lagra information som sšks ofta fšr att snabbt kunna leverera den till de sškande. I betšnkandet Grundlagsskydd fšr nya medier (SOU 1997:49) finns ett avsnitt med ytterligare information om Internet. AnvŠndning av Internet i Sverige 1998 Enligt Forskningsgruppen fšr SamhŠlls- och Informationsstudier har 38 % av Sveriges hushœll ett Internetabonnemang. En studie bland 16-65-Œringar visar att 36 % av de tillfrœgade anvšnder Internet regelbundet och 24 % sšllan. E-post anvšnds dagligen av 14 %, nœgra gœnger i veckan av 13 % och sšllan av 19 %. World Wide Web anvšnds dagligen av 8 %, nœgra gœnger i veckan av 21 % och Šll 29 % A d tillf Œ d kš 9 % h tjš t Œ I t t

30 (Fšr ytterligare information om InternetanvŠndningen i Sverige, se ÓInternetanvŠndning i Sveriges befolkningó, en mœnadsrapport av Forskningsgruppen fšr SamhŠlls- och Informationssstudier). AnvŠndningen av Internet i švriga všrlden Det Šr svœrt att bestšmma antalet InternetanvŠndare eftersom man inte vet hur mœnga som har tillgœng till varje uppkopplad dator. Antalet personer som anvšnder sig av Internet uppskattades av Nua Internet Surveys i september 1998 till 148 miljoner, vilket motsvarar 3,6 % av jordens befolkning. Nordamerika har nšstan 60 % av alla anvšndare, medan Europa ligger pœ andra plats. Den stšrsta tillvšxten av antal datorer kopplade till Internet och antal InternetanvŠndare fram till Œr 2002 fšrvšntas ske utanfšr USA, och dœ fršmst i Asien. I dag anvšnder ungefšr 4 % av Europas befolkning Internet. Denna siffra fšrvšntas ška till 13 % Œr 2001. Motsvarande siffra fšr USA anges till 40 %.