EXTRA TJOCKT JUBILEUMSNUMMER! 1973 2013 40 ÅR MED DATAINSPEKTIONEN DATAINSPEKTIONENS TIDNING NR 3-4/2013 Hemligt granskade av forskare i 20 år 15 000 kartlagda i det omtalade forskningsprojektet Metropolit Uthängning på nätet Skampålen som utvidgade begreppet journalistiskt syfte Olagligt veckobrev? Så klarade sig Datainspektionen undan Carl Bildts utspel I FOKUS Kameraövervakning Ny lag, nya regler, nytt uppdrag för Datainspektionen
INNEHÅLL Integritet i fokus produceras av Data inspektionen Box 8114, 104 20 Stockholm Tfn 08-657 61 00 (växel) www.datainspektionen.se I detta nummer Ansvarig utgivare Kristina Svahn Starrsjö Redaktör Per Lövgren Omslagsfoto Mark Evans Tryck Tryckt hos Ineko AB i Årsta på Arctic Volume White papper. Miljö märkt trycksak 341142. ISSN 2000-5857. Kontakta redaktionen Har du synpunkter, tips på artiklar eller frågor om tidningen? Mejla till redaktionen@datainspektionen.se. Gratis prenumeration En prenumeration på Integritet i fokus är gratis. Lättast anmäler du dig på vår webbplats. Integritet i fokus kan även laddas ner i pdf-format från vår webbplats. Tidningen kommer ut fyra gånger per år. www.datainspektionen.se På vår webbplats finns mängder med bra information om personuppgiftslagen, inkassolagen och kreditupplysningslagen. Under rubriken Press kan du välja att prenumerera på våra pressmeddelanden. Under rubriken Ladda ner & beställ kan du hämta vårt informationsmaterial i pdf-format eller beställa det i tryckt format. I fokus: kameraövervakning Den 1 juli trädde en ny kameraövervakningslag i kraft. Läs mer om nyheterna i lagen och läs även om vilka regler som gäller för kameran i din mobiltelefon. Sid 6 Plus: Konstnärerna som vill rikta fokus på samhällets doldisar: övervakningskamerorna. Sid 4 Så klarade sig Datainspektionen undan Carl Bildts utspel 1998 var det i princip förbjudet att nämna personer vid namn på Internet, utan att de först godkänt det. Carl Bildt ställde frågan på sin spets: var hans veckobrev lagligt eller inte? Sid 9 Skampålen som ändrade synen på journalistik En besviken företagare hängde 1996 ut bankdirektörer på en skampåle på sin webbplats. Högsta domstolen ansåg att företagaren hade ett journalistiskt syfte. Domen innebar en kraftig utvidgning av vad som räknas som uteslutande journalistisk verksamhet då personuppgiftslagen inte gäller. Sid 12 Tidslinje: Datainspektionen 40 år Visste du att det på 70-talet krävdes tillstånd från Datainspektionen för att över huvud taget få skapa ett datorregister med personuppgifter? Eller att det på 80-talet krävdes en licens som kostade 500 kronor för att få ha ett sådant register? Följ med på en spännande resa genom Datainspektionens 40 år som myndighet. Sid 16 Metropolitskandalen Ingen integritetsfråga i Sverige har väckt så stor uppståndelse som forskningsprojektet Metropolit. 15 000 personer födda i Stockholm år 1953 följdes i 20 år utan att bli informerade om kartläggningen. Sid 20 Exklusiva intervjuer 26 Beatrice Ask, justitieminister 28 Olle Abrahamsson, ordförande i Integritetsskyddskommittén 2
LEDARE Vad hotar integriteten om 40 år? 1973. Oron för hur de nya stordatorerna kan användas för att sammanställa uppgifter om enskilda personer leder till att en ny lag stiftas, datalagen. Och en ny myndighet bildas, Datainspektionen, med uppdrag att se till att datalagen följs. 1998. Datalagen ersätts av personuppgiftslagen. Medan datalagen reglerade personregister, täcker personuppgiftslagen det betydligt större området behandling av personuppgifter. 2013. I år har det gått 40 år sedan Datainspektionen bildades. Vem kunde 1973 förutse den verklighet vi lever i idag och de sätt som numera finns för att samla in, hantera och sprida personuppgifter? När jag bläddrar bland artiklarna i jubileumstidningen som du håller i handen så inser jag att personuppgiftslagen fått en del kritik under åren. Som reglerna såg ut när den trädde ikraft 1998 var det i princip förbjudet att publicera personuppgifter som exempelvis namn på Internet! Sedan dess har lagen reviderats. Och tack vare sin teknikneutrala utformning har den kunnat hålla hyfsat jämna steg med den enorma teknikutvecklingen de senaste 10-20 åren. När lagen stiftades kunde ingen veta att det skulle finnas GPS i firmabilar, offentliga toaletter som öppnas via betal-sms eller fingeravtrycksbaserade system för att dela ut tallrikar i skolmatsalen. Nu väntar en ny dataskyddslagstiftning runt hörnet. EUkommissionen har lagt fram ett förslag som är tänkt att bli gällande lag i samtliga EU-länder. Tekniska framsteg och globaliseringen har i grunden förändrat hur våra data samlas in och används, motiverar kommissionen sitt förslag. I en intervju i detta nummer säger justitieminister Beatrice Ask att det gäller för kommissionen att skapa en reglering som håller för den tekniska utvecklingen framöver, regleringen måste vara framtidssäkrad. Jag kan bara hålla med. På samma sätt som det 1973 var omöjligt att förutsäga hur verkligheten skulle se ut 2013, är det omöjligt att nu säga hur tekniken kommer att ha förändrat samhället till år 2053, då Datainspektionen fyller 80 år. Kristina Svahn Starrsjö generaldirektör Datainspektionen INTEGRITET I FOKUS NR 3 4 2013 DATAINSPEKTIONEN 40 ÅR 3
Le, du är övervakad På tisdagen den 25 juni i år skulle författaren George Orwell ha fyllt 110 år. George Orwell är mest känd för sin bok 1984, där han beskriver ett dystopiskt framtida samhälle där befolkningen ständigt bevakas av storebror, övervakningsstaten. T vå holländska fotokonstnärer har valt att fira Orwells 110-årsdag genom att förse ett antal övervakningskameror i Utrecht med färgglada partyhattar. Så här skriver de på sin webbplats: Genom att sätta partyhattar på dessa övervakningskameror så firar vi inte bara Orwells födelsedag. Genom att rikta uppmärksamheten på dessa kameror som vi i våra dagliga liv ignorerar och inte märker, vill vi skapa en medvetenhet om hur många kameror som faktiskt övervakar oss nu för tiden, och att den övervakningsstat som Orwell beskriver sakta men säkert håller på att bli verklighet. Se även: http://front404.com/ george-orwells-birthday-party Fotokonstnärerna Thomas voor t Hekke and Bas van Oerle. 4
INTEGRITET I FOKUS NR 3 4 2013 DATAINSPEKTIONEN 40 ÅR 5
HALLÅ DÄR... Hallå där Suzanne Isberg jurist på Datainspektionen och medansvarig för myndighetens nya uppdrag kring kameraövervakning Överviktsprincipen vad är det? Det är ett mycket viktigt begrepp för att avgöra om en viss kameraövervakning är laglig eller inte. Tänk dig en balansvåg. I den ena vågskålen finns ditt och mitt intresse av att inte bli övervakade. I den andra vågskålen finns behovet av kameraövervakningen, till exempel att förhindra brott eller olyckor. För att kameraövervakningen ska vara tillåten måste behovet av kameraövervakningen väga tyngre än enskildas intresse av att inte bli övervakade. Det kallas för överviktsprincipen. Sedan den 1 juli har vi en ny kameraövervakningslag. Med den nya lagen används överviktsprincipen för all kameraövervakning, där man ska väga behovet av att övervaka en plats mot enskildas intresse av att inte bli övervakade. En annan nyhet är att möjligheterna att använda kameraövervakning utan tillstånd har utökats i butiker, vid bankomater, i vagnar och stationer i tunnelbanan samt i parkeringshus. På sådana platser räcker det i de allra flesta fall att göra en anmälan till länsstyrelsen. Den som vill kameraövervaka måste visa att det finns ett behov, till exempel att en plats är utsatt för brott. Man måste också ha undersökt om det går att lösa på andra, mindre ingripande sätt, som exempelvis bättre belysning, väktarbevakning eller ökad vuxennärvaro. Om en övervakningskamera ska få spela in och spara bildmaterial måste det dessutom vara fråga om en särskilt brottsutsatt plats. Det kan man visa till exempel genom kopior av polisanmälningar eller anmälningar till försäkringsbolag. Vad gäller för kameran i mobilen? En kamera som du håller i handen eller bär på kroppen omfattas inte av den nya lagen. Kameraövervakningslagen gäller enbart kameror som är fast uppsatta. Samtidigt som kameraövervakningslagen trädde i kraft 1 juli i år infördes dock ett nytt brott i brottsbalken: kränkande fotografering. Brottet tar sikte på sådan fotografering som innebär ett intrång i den fredade sfär som enskilda bör ha rätt till i förhållande till andra enskilda, står det i propositionen. För att dömas till straff krävs att fotograferingen sker i hemlighet och att den fotograferade befinner sig på en plats som tillhör hans eller hennes privata miljö eller som annars är avsedd för särskilt privata förhållanden, det vill säga inomhus i en bostad eller på en toalett, i ett omklädningsrum eller ett annat liknande utrymme. Straffet är böter eller fängelse i högst två år. I augusti skedde det första åtalet om kränkande fotografering. En 47-årig man hade smygfilmat en kvinna och hennes son i duschen på en camping i Halland. Straffet blev 80 dagsböter och skadestånd. Datainspektionen har nu ett centralt tillsynsansvar för all kameraövervakning och har övertagit Justitiekanslerns rätt att överklaga länsstyrelsernas beslut. Vad innebär det? Ett av Datainspektionens nya uppdrag är att skapa enhetlighet över landet. Det ska vi göra bland annat genom att följa upp och samordna den operativa tillsynen, ge råd och stöd till länsstyrelserna och ge information och råd till allmänheten och till dem som vill kameraövervaka en plats. Datainspektionen ska också granska alla beslut som länsstyrelserna fattar enligt kameraövervakningslagen. Skälet är att Datainspektionen kan överklaga länsstyrelsernas beslut för att tillvarata allmänna intressen. Bland de ärenden vi redan har överklagat finns en restaurang som fått tillstånd att sätta upp övervakningskameror. Här vill vi få svar på frågan hur väl man måste dokumentera och bevisa att platsen är särskilt utsatt för brott. Restaurangen måste kunna visa att det verkligen finns behov av övervakningskameror. Vi har också överklagat ett beslut 6
På Tele2 Arena finns närmare 400 övervakningskameror. Datainspektionen anser att sex av dessa ska tas bort. som rör nya Tele2 Arena i Stockholm. Av deras närmare 400 övervakningskameror har vi överklagat sex stycken som övervakar ett par restauranger och barer på arenan. Vi har även överklagat att kamerorna får börja inspelningen så långt som fem timmar före matchstart. Praxis är tre timmar före start. Kan du ge några exempel på svåra frågeställningar som ni kan behöva utreda närmare framöver? Ja, vad är egentligen en butikslokal? Om du vill övervaka en butikslokal för att förebygga brott räcker det att göra en anmälan till länsstyrelsen. Men vill du övervaka ett inhägnat område vid ett byggvaruhus, där du kan lasta varor, är det området då en butikslokal? Vi har överklagat ett sådant fall. Vi anser att det måste tillståndprövas, särskilt som övervakningen också är tänkt att även förebygga olyckor. Ett annat knepigt exempel är alla de webbkameror som i realtid på olika webbplatser visar bilder på till exempel byggarbetsplatser, väder eller en vacker utsikt. Titta exempelvis på sajten www.webbkameror.se. En del webbkameror är helt okej medan andra kan vara olagliga. Vill du kameraövervaka en plats men är osäker på vad som gäller, kontakta länsstyrelsen i ditt län. På webbkameror.se visas bilder från flera hundra webbkameror. Detta är den nya kameraövervakningslagen Kameraövervakningslagen trädde i kraft 1 juli 2013. Tidigare reglerades kameraövervakning av två lagar: personuppgiftslagen (för platser där allmänheten inte har tillträde) och lagen om allmän kameraövervakning (för platser där allmänheten har tillträde). Dessa regler har ersatts av kameraövervakningslagen. En nyhet i kameraövervakningslagen är att möjligheterna att använda kameraövervakning utan tillstånd har utökats i butiker, vid bankomater, i vagnar och stationer i tunnelbanan samt i parkeringshus. Det räcker i dessa fall att göra en anmälan till länsstyrelsen. Det har alltså blivit enklare än tidigare att kameraövervaka sådana platser. Sekretessen för material från kameraövervakning har stärkts och en särskild skadeståndsbestämmelse införts. Tydlig skyltning ska upplysa om att en plats är kameraövervakad. Datainspektionen har ett centralt tillsynsansvar. Myndigheten har även övertagit Justitiekanslerns rätt att överklaga länsstyrelsernas beslut i frågor om kameraövervakning för att tillvarata allmänna intressen. Som tidigare är Datainspektionen tillsynsmyndighet när det gäller kameraövervakning för platser dit allmänheten inte har tillträde. På Datainspektionens webbplats www.datainspektionen.se hittar du mer information om kameraövervakningslagen. INTEGRITET I FOKUS NR 3 4 2013 DATAINSPEKTIONEN 40 ÅR 7
Pinsamt jaga licenspengar för personregister Det var pinsamt när myndigheten på 90-talet skulle jaga licenspengar från dem som ville ha register med personuppgifter. Vi hade ju viktigare saker att göra. Det säger Leif Lindgren som var Datainspektionens chefsjurist i nära 20 år. Alla handläggare och även generaldirektören arbetade med att driva in fler licenser, berättar Datainspektionens tidigare chefsjurist Leif Lindgren. N är Leif Lindgren i början av 1990-talet tillträdde tjänsten som chefsjurist på Datainspektionen gällde datalagen. På den tiden skulle alla som hanterade personuppgifter med automatisk databehandling, ADB, betala en årlig licensavgift på ungefär 500 kronor. Pengarna finansierade Datainspektionen. Det första jag minns när jag började på myndigheten var att alla handläggare och även generaldirektören satt engagerade i stora kampanjer för att driva in fler licenser. Jag minns att jag skämdes för att vi klådde folk på pengar. Licensen var ju en sorts skatt och det var bara en bråkdel av alla som skulle betala som verkligen gjorde det. Vilket litet företag hade inte ett kundregister i datorn? Jag minns också att jag tyckte att licensjakten var en för stor uppgift för en så liten myndighet. Vi var kanske 20 jurister och vi hade viktigare saker att göra än att sitta i telefonslussar och syssla med någon sorts telefonförsäljning. Vad tyckte du om datalagen? Datalagen byggde på förhandskontroll, man måste ha tillstånd för att få registrera vissa uppgifter eller lägga upp stora register. Tillstånden reglerade registren i detalj vilket blev ohållbart när antalet register växte. Nu ser man det som självklart att inte ha den typen av förhandskontroller. När personuppgiftslagen kom 1998 slopades alla tillstånd, och Datainspektionens roll styrdes över mot att vara en tillsynsmyndighet. De befintliga tillstånden fick dock vara kvar under en flerårig övergångstid. Men på sätt och vis finns tillstånden kvar. När personuppgiftslagen kom blev det möjligt att stifta speciella registerlagar för vissa typer av register. En registerlag bestämmer i ganska stor detalj hur personuppgifter får hanteras i registret ifråga. Idag finns flera hundra sådana registerlagar och man kan undra vad skillnaden är mellan dessa och de tillstånd som användes när datalagen gällde. Personuppgiftslagen blev väldigt utskälld när den kom. Varför? 8
Nya lagar har ofta barnsjukdomar och inkörningsproblem. Ett tiotal år före personuppgiftslagen kom en ny sekretesslag som också den blev utskälld. Det påstods att polisen inte kunde få uppgifter om åldringar som förirrat sig och att man inte kunde lämna blommor till anhöriga på sjukhus. Sådant fick naturligtvis rättas till. Samma sak med personuppgiftslagen. Egentligen ska ett direktiv bara ligga till grund för en lag som är anpassad till nationella förhållanden. Men här i Sverige bedömde man att utrymmet för anpassningar var begränsat och det var bråttom. Kommittéer hade ju arbetat i decennier med att ta fram en ny datalag. Det var Datainspektionen som fick ta kritiken mot den nya lagen, fast det var en parlamentariskt sammansatt kommitté som hade tagit fram förslaget som därefter hade genomarbetats i regeringskansliet. I riksdagsbeslutet förekom reservationer. Klokt nog hade man utnyttjat direktivets möjligheter till lång övergångstid. Alla regler slog inte till direkt. Så när Carl Bildt anmälde sitt veckobrev till Datainspektionen för att demonstrera hur dålig personuppgiftslagen var, kunde Datainspektionen svara att personuppgiftslagen inte var något hinder under övergångstiden. Och innan personuppgiftslagen trädde i kraft fullt ut hade den ändrats. Hur kan vi komma åt kränkningar på nätet? Jag har ingen patentlösning på hur man ska skapa förståelse för att det som inte är OK utanför nätet inte heller är OK på nätet, utan snarare värre där. Ytterst behövs, som för all kriminalitet, ett fungerande rättsväsende som tar upp frågan. På senare tid har ju polis och åklagare tagit upp en del uppmärksammade fall som kanske gör att politiker och andra får upp ögonen för frågan. Så klarade sig Datainspektionen undan Carl Bildts utspel SENASTE NYTT: Bildts Internetbrev får innehålla namn. Så skriver Aftonbladet på sin webb 1998. Upprinnelsen är att Carl Bildt varje vecka via mejl skickar ut ett nyhetsbrev som vem som helst kan prenumerera på. I nyhetsbrevet förekommer ibland namn på personer, något som personuppgiftslagen i sitt ursprungliga utförande inte tillåter. När personuppgiftslagen trädde i kraft förbjöd den i princip att man nämner andra personers namn på Internet, utan deras otvetydiga samtycke. För att visa hur absurd den nya lagen är anmäler Carl Bildt sitt veckobrev till Datainspektionen och undrar om den nya lagen förbjuder veckobrevet. Bildts utspel skapar stor uppmärksamhet i massmedia. Carl Bildts veckobrev ställde till bekymmer för Datainspektionen. I oktober 1998 svarar Datainspektionen Carl Bildt. I svaret framgår att det ( i princip ) krävs samtyckte för att personuppgifter, som exempelvis namn, ska få spridas utanför EU via Internet. Bildt skulle alltså bli tvungen att få ett godkännande från varje person han nämner i sitt nyhetsbrev. Datainspektionen hittar dock en utväg ur dilemmat. Bildt började ge ut sitt veckobrev före oktober 1998. Under tre år, fram till oktober 2001, faller hans nyhetsbrev därför inte under personuppgiftslagen utan den äldre datalagen. Och datalagen säger att nyhetsbrev inte utgör personregister och därmed faller utanför datalagens regler. Du kan därför enligt Datainspektionens bedömning fortsätta med Dina veckobrev under övergångstiden, skriver myndigheten i sitt svar till Bildt. Inte bara Carl Bildt ville ändra personuppgiftslagen som den såg ut när den trädde i kraft. I september samma år som Bildts utspel skickade Datainspektionen en skrivelse till regeringen och pekade på att lagen måste anpassas för Internet. Det är närmast stötande att möjligheterna att till exempel informera om vem som fått Nobelpriset är begränsade, särskilt när integritetsrisker saknas, skriver Datainspektionen. FOTO: JOHAN ÖDMANN Personuppgiftslagen blev exempellöst utskälld Nya lagar får ofta kritik men personuppgiftslagen blev exempellöst utskälld när den trädde i kraft 1998, minns Olle Abrahamsson, som är rättschef på Justitiedepartementet och som var ordförande i Integritetsskyddskommittén. Anledningen var att lagen så till den milda grad tillgodosåg integritetsskyddet att den befarades urholka offentlighetsprincipen och lägga en död hand över informationsutbytet på nätet. Med tiden visade det sig dessbättre att de myndigheter och domstolar som hade att tillämpa personuppgiftslagen gjorde det mera med beaktande av sunt förnuft än lagens ordalydelse. Högsta domstolen gav 2001 en närmast halsbrytande vidsträckt tolkning av begreppet journalistiskt ändamål, och EG-domstolen förklarade år 2003 att de starkt hämmande reglerna vid överföring av personuppgifter till länder utanför EU inte skulle gälla för publiceringar på Internet. INTEGRITET I FOKUS NR 3 4 2013 DATAINSPEKTIONEN 40 ÅR 9
Slutet nära för personuppgiftsl Inom EU pågår nu arbetet med att ta fram en ny dataskyddslagstiftning. Tanken är att den nya lagen ska gälla lika i alla EU-länder och därmed ta över personuppgiftslagens roll i Sverige. Datainspektionens chefsjurist Hans-Olof Lindblom berättar om sina förhoppningar och farhågor på den nya lagstiftningen. D en 25 januari 2012 presenterade EUkommissionen ett förslag till omfattande reform av EU:s regler om skydd för personuppgifter. Kommissionens förslag innebär att det nuvarande dataskyddsdirektivet ersätts med en EUförordning som blir direkt gällande lag i Sverige och som alltså ersätter personuppgiftslagen. Som chefsjurist på Datainspektionen är en av Hans-Olof Lindbloms arbetsuppgifter att hålla sig och myndigheten à jour med hur arbetet fortskrider med den nya lagstiftningen. Personuppgiftslagen bygger på ett EG-direktiv från 1995. Ett direktiv kan tolkas lite olika i olika länder när reglerna förs in i nationell lag. Genom åren har det ju kommit en hel del domar och lagändringar som har förenklat reglerna i personuppgiftslagen men fortfarande är det samma gamla direktiv som ligger i botten. Borde inte det ha ändrats för länge sen? Man kan tycka det och det har varit flera förslag och försök i den riktningen. Men EU-kommissionen har ansett att vissa frågor kunnat lösas utan ändringar av direktivet och i andra fall att påtalade problem krävt närmare analyser. Till saken hör att det tog lång tid innan samtliga medlemsstater genomförde direktivet i sin nationella lagstiftning. Men nu anser EU-kommissionen att tiden är mogen för att reformera och modernisera dataskyddsdirektivet. En förklaring finns i Lissabonfördraget som trädde i kraft 2009. Genom det har EU:s stadga om de grundläggande rättigheterna, som innehåller en rätt till skydd för personuppgifter, blivit rättsligt bindande för EU och medlemsstaterna. En annan förklaring ligger i Målet är att anta förordningen före maj 2014 den snabba tekniska utvecklingen och globaliseringen som har förändrat omvärlden i grunden och medfört nya utmaningar för skyddet av personuppgifter. Vad vill EU-kommissionen åstadkomma med de föreslagna reglerna för dataskydd? Kommissionen vill stärka enskildas rätt till skydd för sina personuppgifter. Man vill också stärka den inre marknaden genom mer enhetliga regler i medlemsstaterna. Som det är nu kan företag som verkar inom hela EU behöva anpassa sig till krav som ser olika ut i de 27 medlemsstaterna. Nu föreslår kommissionen en harmonisering. Man vill att direktivet ska ersättas av en förordning som gäller precis som den är i alla EU-länder. Vad är positivt med förslaget? Det finns mycket som är positivt. De som är ansvariga för att personuppgifter samlas in och hanteras kommer på ett tydligare sätt behöva visa att de lever upp till dataskyddsreglerna. Riskfylld behandling av personuppgifter måste föregås av noggranna analyser av vilka konsekvenserna blir för den personliga integriteten. Med riskfylld behandling menas till exempel storskaliga register som innehåller genetiska eller biometriska uppgifter eller uppgifter om barn. Andra bra delar är att integritetsskydd måste byggas in redan från början när nya IT-system designas och att det ställs strängare krav på hur man informerar dem vars personuppgifter man samlar in. Ser du några risker med den föreslagna förordningen? Många är överens om behovet av mer harmoniserade regler men anser samtidigt att det även i fortsättningen behöver finnas utrymme för särreglering på nationell nivå. I Sverige finns uppemot 400 10
agen registerförfattningar med specialregler för olika, stora register. Vad händer med dem om man lägger en fast mall över all behandling av personuppgifter? Datainspektionens roll kan ändras Det finns också inslag som kan påtagligt förändra vår roll som oberoende och självständig tillsynsmyndighet. EUkommissionen vill säkerställa att reglerna tillämpas på samma sätt i medlemsstaterna. Dataskyddsmyndigheterna ska därför bli skyldiga att samråda med en nyinrättad sorts styrelse, European Data Protection Board, innan de vidtar någon åtgärd i ärenden som kan få effekter i flera medlemsstater. Styrelsen, som ska bestå av representanter för alla medlemsstaters dataskyddsmyndigheter, ska i sådana fall avge ett yttrande som den nationella dataskyddsmyndigheten måste ta hänsyn till. Även kommissionen ska ha rätt att yttra sig i den typen av ärenden. Vi gjorde en grov uppskattning av hur många svenska ärenden som skulle behöva anmälas för samråd till denna styrelse. Under 2012 skulle det ha blivit cirka 25 stycken. Om man ser till folkmängd och antal länder i EU skulle det betyda att den tänkta europeiska dataskyddsstyrelsen skulle få totalt 1 200-1 500 ärenden per år att granska. Kommer det att fungera i praktiken? Hur långt har arbetet med förordningen kommit? När är slutet för personuppgiftslagen här? Kommissionen har tagit fram ett förslag till förordning som nu diskuteras av en arbetsgrupp under Europeiska Unionens Råd (rådet) med representanter för EU:s 27 regeringar. Samtidigt behandlas förslaget av en kommitté i EU-parlamentet. I slutet av oktober röstade EUparlamentets kommitté och bestämde sig för ett antal förslag till ändringar av EU- Sverige ser hellre att det nya EU-regelverket blir ett direktiv med utrymme för nationella regler än en förordning, säger Datainspektionens chefsjurist Hans-Olof Lindblom. kommissionens ursprungliga förslag. När rådet sedan avslutat sina egna diskussioner om förslaget kan parlamentet och rådet börja förhandla med varandra för att ta fram ett förslag som alla eller åtminstone en majoritet finner godtagbart. Parlamentet har uttalat att målet är att förhandlingarna ska vara avslutade innan nyval till parlamentet äger rum, i maj 2014. Planen är att förordningen ska träda i kraft två år efter att den antagits. Om parlamentet och rådet kan enas och fatta beslut före maj nästa år så betyder det att förordningen träder i kraft tidigast 2016. Till sist, hur kan vi komma åt kränkningar på nätet? Datainspektionen har väldigt svårt att komma åt kränkningar på nätet, bland annat för att många sajter eller publiceringar på webben är skyddade av grundlag vilket gör att personuppgiftslagen inte gäller. Så sent som i år yttrade vi oss om ett förslag till ändring av lagarna för tryck- och yttrandefrihet och flaggade för att det bör införas en generell straffbestämmelse som kriminaliserar grova kränkningar oavsett om kränkningen sker på en sajt som är skyddad av grundlag eller inte. En sådan straffbestämmelse skulle bidra till att skapa balans mellan yttrandefrihet och integritetsskydd. INTEGRITET I FOKUS NR 3 4 2013 DATAINSPEKTIONEN 40 ÅR 11
Högsta domstolen vidgar begreppet journalistik Högsta domstolens första dom enligt personuppgiftslagen, den så kallade Ramsbrodomen, medförde en kraftig utvidgning av vad som ska räknas som uteslutande journalistisk verksamhet, då personuppgiftslagen inte gäller. B örje Ramsbro ägde ett stort företag som han sålde 1993. Han ansåg att bankerna med ojusta medel hade tvingat honom att sälja företaget alldeles för billigt. Det hela ledde till flera civilprocesser. Under 1996 skapade han en webbplats med Stiftelsen Mot Nordbanken som avsändare. Stiftelsen hade bildats av personer som var drabbade av finanskrisen och ansåg att de enskilda hade svårt att hävda sin rätt och försvara sig gentemot bankerna. Stiftelsens syfte var att informera andra om vad de varit med om, ett forum för bankers, finansbolags och enskilda kapitalisters skadegörelser före, under och efter bankkrisen. Skampåle för direktörer På webbplatsen fanns en sida, Vid skampålen, där ett antal bankdirektörer beskrevs som skurkar och bedragare. Där fanns också en form av klotterplank där utpekade kunde gå i svaromål. En av de utpekade polisanmälde webbplatsen och åklagare väckte åtal vid Stockholms tingsrätt för brott mot datalagen, som gällde då. 1999 dömdes Börje Ramsbro till dagsböter. Vilket är syftet? Domen överklagades och Svea hovrätt tog upp frågan men den här gången gällde den brott mot personuppgiftslagen, som nu hade trätt i kraft. Börje Ramsbro hävdade att publiceringen hade journalistiska ändamål och därmed var undantagen från straffansvar enligt personuppgiftslagen. Hovrätten ansåg dock inte att ändamålet var uteslutande journalistiskt utan att syftet också varit att sprida kännedom om de nedvärderande personuppgifter som det är fråga om i målet. När Svea hovrätt utdömde dagsböter överklagades domen till Högsta domstolen (HD), som tog upp frågan, det första HD-ärendet som rör personuppgiftslagen. HD ändrar beslut I sin dom ändrade HD hovrättens beslut. Publiceringen ansågs ha uteslutande journalistiska ändamål och företagaren friades från åtalet Även kränkande eller nedvärderande yttranden på Internet är tillåtet om syftet är att informera, utöva kritik och väcka debatt om samhällsfrågor av större betydelse för allmänheten 12
för brott mot personuppgiftslagen. Rätten konstaterade att även kränkande eller nedvärderande yttranden på Internet är tillåtet om syftet är att informera, utöva kritik och väcka debatt om samhällsfrågor av större betydelse för allmänheten. Man hänvisade också till Europadomstolens åsikt att yttrandefriheten innefattar rätten att framföra sådan information och sådana tankar som kränker, chockerar eller stör. HD påpekade dock att man inte får skriva vad som helst på Internet bara för att det inte är straffbart enligt personuppgiftslagen. Att publicera kränkande uppgifter kan vara straffbart som förtal. Större yttrandefrihet Domen innebar en kraftig utvidgning av vad som ska räknas som uteslutande journalistisk verksamhet, då personuppgiftslagen inte gäller. Datainspektionens dåvarande generaldirektör kommenterade domen så här: Den innebär att yttrandefriheten på Internet blir större, men samtidigt minskas skyddet för den personliga integriteten. Uppseendeväckande undantag för journalistiska syften Personuppgiftslagen gäller inte om uppgifter publiceras för journalistiska ändamål, även om enskilda kränks. Den breda frizonen för journalistiska syften har fått en del anmärkningsvärda följder. I mars 2008 knivhuggs två barn till döds i Arboga. Någon begär ut polisens förundersökningsprotokoll från tingsrätten. I protokollet ingick obduktionsbilder på de mördade barnen. Hela protokollet läggs ut för nedladdning på fildelningssajten The Pirate Bay. Morden var mycket uppmärksammade i massmedia och i kommentarer på Pirate Bays webbplats sades att protokollet gjorts tillgängligt för att förmedla en annan bild av Arbogamorden. Datainspektionen bedömde att syftet med spridningen av protokollet var journalistiskt. Datainspektionen kunde därför inte ingripa även om publiceringen säkert kan uppfattas som mycket kränkande. 2009 anhålls en läkare misstänkt för mord alternativt dråp på en liten flicka, vilket vållar stor uppmärksamhet i massmedia. Datainspektionen tar emot klagomål mot en blogg som namngett läkaren. Myndighetens bedömning är dock att publiceringen har ett journalistiskt syfte även om den är kränkande för den utpekade läkaren. På bloggen fördes en debatt kring händelsen ur ett etiskt perspektiv och om läkarens och åklagarens roller. Men det finns fall där undantaget inte gäller. I juli 2011 åtalas en sjuksköterska på SOS Alarm för vållande till annans död, då han inte hade skickat ambulans när en ung man bad om hjälp. När sköterskan frias i rätten publicerar Åklagarmyndigheten domen på sin webbplats. Datainspektionen konstaterar att publiceringen av domen med sjuksköterskans personuppgifter var kränkande och därmed otillåten enligt personuppgiftslagen. Det var inte fråga om något journalistiskt ändamål i det här fallet, eftersom det var en myndighet som publicerade uppgifterna. Domar som rör asylsökande I april 2012 polisanmäler Datainspektionen sajten Migileaks som publicerar domar från migrationsdomstolar. På sajten publiceras i bloggform inlägg om domar som rör asylsökande. Inläggen består typiskt av en kortare skriven text och en länk till den inskannade domen. Datainspektionen bedömer att sajten i stora delar har ett journalistiskt ändamål men att det finns uppgifter publicerade som är av rent privat karaktär. Att debattera och kritisera den svenska asylprocessen med hjälp av information från migrationsdomstolar kan ha ett journalistiskt ändamål, men det finns en gräns för vad man kan publicera på Internet utan att man behöver ta hänsyn till bestämmelserna i personuppgiftslagen. I det här fallet har den gränsen passerats, sa Datainspektionens dåvarande generaldirektör Göran Gräslund i samband med att myndigheten polisanmälde sajten. INTEGRITET I FOKUS NR 3 4 2013 DATAINSPEKTIONEN 40 ÅR 13
Tummen upp (och fingeravtryck i ma Ny teknik ställer nya krav på våra lagar. När biometri började användas för att läsa av fingeravtryck i matkön utlöstes en fem år lång serie ärenden som utspelade sig i rättssalar och matsalar. I juni 2004 fattade Datainspektionens styrelse ett ovanligt beslut. Ett ärende som handlade om att avläsa fingeravtryck klöv den vanligen så eniga styrelsen mitt itu. Biometriska data hade diskuterats i flera europeiska länder men nu var det första gången vi i Sverige skulle ta ställning till en sådan fråga. Datainspektionen konstaterade att avläsning av fingeravtryck är behandling av personuppgifter som regleras av personuppgiftslagen. Men skulle det tillåtas eller inte? Ärendet såg ut så här: I Vetlanda tog man betalt för skolmaten, 500 kronor per termin. Men alla elever betalade inte och elever som inte längre gick på skolan dök ibland upp för att äta gratis. För att kontrollera att den som åt verkligen hade betalat maten, installerade ett gymnasium en tallriksautomat. Den fungerade så att eleven stack in ett finger i maskinen som läste av fingermönstret och om ägaren av fingret hade betalat sin mat, lämnade maskinen ut en tallrik att äta på. För den som inte ville lämna sitt fingeravtryck fanns andra, krångligare sätt att visa att maten var betald. Styrelsen sa nej Datainspektionens styrelse beslutade med minsta möjliga majoritet att fingeravläsningen inte var tillåten. Majoriteten ansåg att registreringen stred mot de grundläggande kraven i paragraf 9 i personuppgiftslagen som säger att uppgifter som registreras ska vara adekvata och relevanta i förhållande till ändamålet. Styrelsen hänvisade också till ett uttalande från den så kallade 29-gruppen som är EU:s rådgivande instans för dataskydd: en ökad användning av biometriska uppgifter kan medföra att allmänheten blir mindre uppmärksam på hur behandlingen av dessa uppgifter kan påverka deras vardag. Om biometri används i skolbibliotek till exempel, kan det leda till att barnen blir mindre medvetna om de risker rörande dataskydd som de eventuellt utsätts för senare i livet. Tre av sju höll inte med Men beslutet var inte enhälligt. Tre av de sju ledamöterna, däribland ordföranden, Datainspektionens dåvarande generaldirektör Göran Gräslund, var av så kallad skiljaktig mening och lämnade ett särskilt yttrande där de framhöll att Datainspektionens uppdrag visserligen är att verka för att behandling av personuppgifter 14
ner) för tkön inte medför intrång i den personliga integriteten men att det målet ska uppnås utan att användningen av teknik onödigt hindras eller försvåras. Fingeravtryck är inte känsliga uppgifter enligt definitionen i personuppgiftslagen. Om dessutom eleven själv får bestämma om hans eller hennes fingeravtryck ska registreras, och det erbjuds alternativ för den som inte vill lämna sitt fingeravtryck, finns ingen risk för att den personliga integriteten kränks. Då borde tallriksautomaterna tillåtas, menade de som var av skiljaktig mening. Kort därefter fattade samma styrelse två beslut som handlade om att använda fingeravläsning för att logga in på skolans datorer. Den gången var styrelsen helt överens om att behandlingen skulle tillåtas. Tallrikshistorien var dock långt ifrån slut här. Visserligen godtog Vetlanda beslutet och stängde av tallriksautomaten men ett gymnasium i Uddevalla och ett i Lerum använde också tallriksautomater som avläste fingermönster. Datainspektionen förbjöd även dessa automater men både Uddevalla och Lerum överklagade besluten. Länsrätten (nuvarande förvaltningsrätten) behandlade Uddevallafallet snabbt och avslog överklagandet, det vill säga Datainspektionens förbud stod fast. Uddevalla överklagade till kammarrätten. Kammarrätten ändrar beslut I slutet av 2005 kom kammarrättens beslut. Domstolen ändrade de tidigare besluten. Man tyckte inte att det var så farligt att fingeravtrycket registrerades. Skolans intresse av att på ett smidigt sätt kontrollera betalningen av skolmåltiden vägde tyngre än elevernas intresse av integritetsskydd, menade rätten. Uddevalla kommun fick alltså klartecken att registrera fingeravtryck i sina gymnasieskolor. Något samtycke från eleverna behövdes inte. Datainspektionen ansåg att Kammarrätten gått för långt i sin dom, att det är ett oacceptabelt integritetsintrång att registrera fingeravtryck utan samtycke. Fingeravtryck är inte känsliga uppgifter Därför ville inspektionen att saken slutgiltigt skulle prövas i högsta instans, Regeringsrätten (nuvarande Högsta förvaltningsdomstolen). Ett överklagande lämnades in där det bland annat påpekades att vi ännu inte vet så mycket om vilka risker den nya tekniken kan föra med sig och därför bör tillämpa försiktighetsprincipen. I december 2006, nästan två år senare än Uddevalla, fick Lerum sin dom från länsrätten. Där hade man läst kammarrättens dom i Uddevallafallet och upphävde Datainspektionens beslut. Datainspektionen överklagade till kammarrätten, trots att den domstolens inställning redan var känd. Skälet var att innan Regeringsrätten blev klar med Uddevallaärendet var det olämpligt att en dom i ett liknande ärende skulle vinna laga kraft. En pikant detalj var att Lerum under tiden infört gratis skolmat och skrotat tallriksautomaterna. Fem år senare Kammarrätten fastställde som väntat länsrättens dom i Lerumfallet. Datainspektionen överklagade även den domen till Regeringsrätten. Efter nära fem år, 2009, kom så Regeringsrättens dom. Man tog bara upp Uddevallaärendet och där fick gymnasieskolan tillåtelse att använda fingeravtryck för att kontrollera att eleverna har betalat skolmåltiden. Men enligt domen måste eleverna själva få bestämma om deras fingeravtryck ska registreras, och det måste finnas ett alternativ för elever som inte vill använda sina fingeravtryck för att identifiera sig. Man vågar inte tänka på vad allt processande har kostat. Men det kanske är så det måste gå till när juridiken ställs inför helt nya företeelser. Fotnot: Sedan januari 2008 har Datainspektionen inte längre någon styrelse utan är en så kallad enrådighetsmyndighet. Däremot har Datainspektionen ett insynsråd som följer myndighetens arbete. INTEGRITET I FOKUS NR 3 4 2013 DATAINSPEKTIONEN 40 ÅR 15
Historien om Datainspektionen handlar till stor del om datalagen som gällde i 28 år, fram till oktober 2001 då den slutligen ersattes av personuppgiftslagen. Datalagen reglerade personregister, medan personuppgiftslagen har den betydligt bredare definitionen behandling av personuppgifter. Detta, i kombination med teknikutvecklingen och Internets enorma tillväxt, har kraftigt utökat Datainspektionens ansvarsområde. Datainspektionen 40 år Från stordatorer till Internet 1947 Födelsenummer införs i Sverige. 1967 Födelsenumret får en tionde siffra, kontrollsiffran, och kallas nu personnummer. 1970 Protester mot Folk- och bostadsräkningen. Kritiken är stark mot att staten samlar in uppgifter om medborgarnas levnadsförhållanden och attityder. Dessutom säljer Statistiska Centralbyrån uppgifter som man har samlat in. 1973 Datainspektionen inrättas som tillstånds- och tillsynsmyndighet med huvuduppgift att övervaka världens första nationella datalag som börjar gälla den 1 juli. Bakgrunden till lagen är att man har börjat oroa sig för hur de nya stordatorerna kan användas för att sammanställa information om enskilda personer. Den ursprungliga datalagen föreskriver att inga dataregister med personuppgifter får inrättas och föras utan tillstånd av Datainspektionen. Man hade beräknat att det fanns 5 000 personregister i Sverige, men redan första året får Datainspektionen 15 000 ansökningar om tillstånd. 1972 Kommittén lägger fram betänkandet Data och integritet med förslag till en datalag och en statlig datainspektion. 1971 Protesterna leder till att Offentlighets- och sekretesslagstiftningskommittén får i uppgift att se över integritetsfrågan. 16
1974 Datainspektionen blir tillstånds- och tillsynsmyndighet enligt de nya kreditupplysnings- och inkassolagarna, som reglerar branscher där dataregister har börjat användas i stor omfattning. 1976 84 Datalagstiftningskommittén arbetar med en översyn av datalagen. Målet är att ersätta den med en generell personregisterlag. Men kommittén kan inte enas och upplöses efter åtta år. Dock har man under tiden gjort ett antal mindre ändringar i datalagen. 1982 Register som inte anses känsliga, som kund-, löneoch medlemsregister, undantas från datalagens tillståndskrav. En licens för personregister införs. Alla som för personregister ska betala en avgift på cirka 500 kronor per år. Licensavgifterna ska finansiera Datainspektionen. 1983 Statistiska Centralbyrån planerar en ny sorts folkoch bostadsräkning. Man vill samköra existerande personregister och allmänheten ska därmed slippa fylla i blanketter. Dessutom kommer staten att spara pengar. Förslaget får skarp kritik, inte minst från Datainspektionen, och skrotas. 1984 89 Data- och offentlighetskommittén utreder integritetsskyddet i informationssamhället. Resultatet blir bland annat en ny regel i regeringsformen om den enskildes rätt till personlig integritet vid dataregistrering. 1986 Metropolitskandalen. Det avslöjas att forskare i 20 år har samlat känsliga uppgifter om 15 000 stockholmare. Det leder till tidernas största mediedrev om integritet. Under februari och mars publicerar de fyra stora stockholmstidningarna över 130 artiklar om Metropolit. 1989-93 Datalagsutredningen gör en bred översyn av datalagen. Utredningens förslag genomförs dock inte, då regeringen vill invänta arbetet med ett EG-direktiv om dataskydd. 2001 Personuppgiftslagen gäller inte när personuppgifter publiceras för journalistiska ändamål. En dom i Högsta Domstolen definierar begreppet så att det omfattar de flesta debattinlägg som förekommer på Internet, även sådana som innehåller ganska grova påhopp. Domstolen hänvisar till att yttrandefriheten innefattar rätten att framföra sådan information och sådana tankar som kränker, chockerar eller stör. 1998 Den så kallade tredjelandsregeln i personuppgiftslagen hindrar fri kommunikation över Internet. Organisationen Rör inte mitt Internet lämnar en protestlista med 40 000 namnunderskrifter till Datainspektionen och Justitiedepartementet. 1998 Personuppgiftslagen träder i kraft. Licenserna för att ha ett personregister slopas och Datainspektionens finansiering med licensavgifter ersätts med statsanslag. 1995 Datainspektionen får sin nuvarande logotyp. Bakom formen står Barbro Forsberg-Lindberg. 1995 EU:s dataskyddsdirektiv (95/46 EG) antas. Medlemsländerna får tre år på sig att införa det i sin nationella lagstiftning. Datalagskommittén arbetar fram ett förslag till personuppgiftslag som ska ersätta datalagen. 1994 En utredning föreslår ett generellt förbud mot att använda personnummer men så blir det inte. INTEGRITET I FOKUS NR 3 4 2013 DATAINSPEKTIONEN 40 ÅR 17
1973 40 år 2013 2003 EG-domstolen granskar Bodil-ärendet, en svensk sajt skapad av en privatperson. Domstolen slår fast att sajten omfattas av dataskyddsdirektivet. Många hade tidigare hävdat att privata webbsidor var undantagna från direktivet och därmed personuppgiftslagen. Domstolen anser också att publicering på Internet inte innebär att uppgifter har lämnats ut till så kallat tredje land. Detta ändrar praxis i hela EU, hittills har man ansett att publicering på Internet innebär att uppgifter publiceras i hela världen, alltså även i länder som saknar godkänt integritetsskydd. 2003 Yttrandefrihetsgrundlagen ändras så att man kan anmäla en ansvarig utgivare för en webbplats och då få ett så kallat utgivningsbevis. Det innebär att sajten skyddas av grundlag och att personuppgiftslagen inte gäller för uppgifter som läggs ut på webbplatsen. Även vissa centrala konsumentskyddande reglerna i kreditupplysningslagen sätts ur spel. 2003 När mordet på Anna Lindh utreds lämnas blodprov ut från en biobank, PKU-registret, vars enda ändamål är vård och forskning. Detta möter hård kritik eftersom förtroendet för forskningsregister skadas. 2005 Företrädare för musik- och filmbranschen registrerar ip-nummer för att spåra personer som sprider upphovsrättsskyddat material på nätet. Piratjägarna spårar fildelarnas ip-nummer, polisanmäler och vill att Internetleverantörerna ska vidarebefordra sammanlagt 400 000 varningsmejl till dem som piratkopierar. Datainspektionen slår fast att ip-nummer är personuppgifter och att personuppgiftslagen därmed gäller. Eftersom ipnumren i det här fallet är kopplade till brottsmisstankar får normalt bara myndigheter registrera uppgifterna. Datainspektionen ger dock tidsbegränsade undantag från förbudet, så att piratjägarna kan fortsätta att registrera uppgifterna. 2007 Personuppgiftslagen moderniseras. Den som publicerar personuppgifter i ostrukturerat material som exempelvis löpande text i dokument, mejl och på webbsidor, behöver inte ta hänsyn till de flesta paragrafer i personuppgiftslagen. Undantaget gäller dock inte om texten medför att någon kränks i lagens mening. När det gäller register och databaser gäller alla regler som tidigare. 2006 En webbtjänst lanseras där vem som helst via Internet kostnadsfritt och anonymt kan få reda på privatpersoners inkomst och betalningsanmärkningar. Enligt kreditupplysningslagen får sådana uppgifter bara lämnas ut till den som har ett legitimt behov och den omfrågade ska få veta vilka uppgifter som har lämnats ut och till vem. Men webbtjänsten har ett utgivningsbevis och en ansvarig utgivare och då gäller inte de reglerna i kreditupplysningslagen. På sex månader lämnar sajten ut 14 miljoner personupplysningar. 18
2010 Efter riksdagsvalet antas en ny bestämmelse i Regeringsformen som ska hindra att nya lagar medför integritetskränkningar. Förslaget kom 2008, men en ändring i grundlagen kräver två riksdagsbeslut med mellanliggande val. 2011 Nya regler i kreditupplysningslagen träder i kraft. Den som vill ha kreditupplysningar via Internet måste nu ha ett legitimt behov av informationen. Det kan till exempel vara en bank som ska behandla en låneansökan eller en hyresvärd som ska hyra ut en lägenhet. Dessutom ska en kopia av kreditupplysningen skickas till den person som upplysningen gäller. 2011 Datainspektionen stoppar LifeGene, som skulle bli den största och mest långsiktiga befolkningsstudie som någonsin genomförts i Sverige. Ändamålet framtida forskning är för luddigt för att ett samtycke ska vara godkänt enligt personuppgiftslagen. 2012 EU-kommissionen presenterar ett förslag till omfattande reformering av EU:s dataskyddsregler. EU:s 27 medlemsstater har genomfört reglerna från 1995 på olika sätt, vilket resulterar i skillnader i tilllämpningen, säger kommissionen och föreslår att en enda lag införs som gäller lika i alla EU-länder. 2013 En ny lag om kameraövervakning träder i kraft. Datainspektionen får ett centralt tillsynsansvar för all kameraövervakning. INTEGRITET I FOKUS NR 3 4 2013 DATAINSPEKTIONEN 40 ÅR 19
Den tändande gnistan är rubriken på Dagens Nyheters förstasida den 10 februari 1986. Metropolitskandalen TUSENTALS GRANSKADE I HEMLIGHET kartlades av forskare under 20 år 20