Debatt på www.pul.nu 98-11-10
"Misstolkning av EUs
datadirektiv
får förödande konsekvenser"
Alla har rätt "att mottaga och
sprida uppgifter och tankar utan inblandning av offentlig
myndighet och oberoende av territoriella gränser". Det
stadgar den europeiska konventionen för skydd av mänskliga
rättigheter. Juristen Anders Björngreen i Karlskrona
ifrågasätter om Justitiedepartementets tolkning av EUs
datadirektiv är förenligt med konventionen. Direktivet har
misstolkats på ett sätt som är förödande för
yttrandefriheten på Internet, anser han.
I justitiedepartementets informationsbroschyr om personuppgiftslagen (1998:204) anförs att det inte finns några krav på att de uppgifter som databehandlas skall vara strukturerade i ett register eller liknande. I nämnda broschyr (s. 8 f) påpekas att med "behandling" avses "allt man gör med personuppgifter", att med personuppgifter avses "(a)ll slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet" och att lagen "gäller för sådan behandling av personuppgifter som helt eller delvis görs med hjälp av datorer". Enligt justitiedepartementet gäller alltså lagen för allt man gör med hjälp av datorer med all slags information som kan hänföras till en levande person.
I en intervju för TT den 22 oktober 1998 uttalade jag att personuppgiftslagen (1998:204), och framförallt justitiedepartementets tolkning av den, enligt min uppfattning inte överensstämmer med direktiv 95/46/EG, dataskyddsdirektivet.
Jag uttalade vidare att nämnda direktiv endast är tillämpligt på personuppgifter, alltså persondata, som ingår i eller skall ingå i ett personregister, i direktivets mening, och att direktivet inte alls utgör hinder för publicering av personnamn på hemsidor på t.ex. Internet. Rättschefen på justitiedepartementet anser att mitt uttalande är "befängt" (DN 24 oktober).
I det följande redogörs för några iakttagelser som enligt min uppfattning talar för att direktivet har misstolkats på ett sätt som är förödande.
1. Tolkning av EG-direktiv
Tolkning av EG-direktiv skiljer sig på flera sätt från den juridiska tolkning som svenska jurister är vana vid. Frånvaron av förarbeten är en uppenbar skillnad som gör sig särskilt gällande för svenska jurister, vana som de är att lägga mycket stor vikt vid vad "lagstiftaren" kan ha avsett vid lagens tillkomst.
Här skall kort nämnas några ytterligare faktorer att beakta vid tolkning av direktiv.
Ett direktiv kan inte tolkas isolerat från sitt sammanhang. Direktivet har alltid till syfte att på ett eller annat sätt främja ett eller flera av de mål som anges i de grundläggande fördragen, t.ex. Romfördraget. Direktivet kan t.ex. vara nödvändigt för att den inre marknaden skall fungera bättre. Vidare måste direktivets inneboende struktur beaktas. Ett direktiv kan ibland ritas schematiskt på ett sätt som liknar en s.k. trädstruktur, som dock inte alltid framgår så tydligt. En enskild bestämmelse i direktivet måste emellertid tydas utifrån dess plats i strukturen och dennas inneboende logik. Vid tolkning av direktivets ordalydelse uppkommer problemet att direktivet skrivs på elva officiella språk. Man kan därför inte förlita sig på endast en eller två språkliga lydelser.
2. Språklig tolkning av direktivets tillämpningsområde
Artikel 3.1 i direktivet lyder som följer på engelska, tyska, franska och svenska.
"This Directive shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means of personal data which form part of a filing system or are intended to form part of a filing system."
"Diese Richtlinie gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen."
"La présante directive s'applique au traitement de données ā caractčre personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données ā caractčre personnel contenues ou appelées ā figurer dans un fichier. "
"Detta direktiv gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett personregister "
Som synes kommaterar ingen version likadant. En översättning från tyska till svenska borde emellertid bli så här:
"Detta direktiv gäller för helt eller delvis automatisk behandling av persondata såväl som för icke automatisk behandling av persondata, som ingår eller skall ingå i ett personregister."
Jämför den lydelsen med den svenska lagtexten (5§), som i och för sig arbetat in definitionen på "register" i texten:
"Denna lag gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter somär tillgängliga för sökning eller sammanställning enligt särskilda kriterier."
Redan den rent språkliga tolkningen av artikeln kan enligt min mening - främst den tyska lydelsen - uppfattas som att direktivet endast gäller databehandling av personuppgifter som ingår eller avses ingå i ett personregister.
I artikel 3.2 anges vidare att direktivet inte gäller för databehandling som görs som ett led i en aktivitet som inte omfattas av gemenskapsrätten ("in the course of an activity which falls outside the scope of Community law").
Det är inte alltid lätt att säga hur långt Gemenskapsrätten, alltså EU:s första pelare, sträcker sig. Den omfattar emellertid i princip den inre marknaden, jordbrukspolitiken, konkurrensrätten, handelspolitiken och transportpolitiken.
Bestämmelsen har inte berörts i personuppgiftslagen. Sveriges Riksdag synes anse att allt vi gör i Sverige omfattas av Gemenskapsrätten. Själv vill jag mena att t.ex. kommunernas verksamhet omfattas av Gemenskapsrätten i mycket begränsad omfattning. Lagligheten i beslut om beviljande av bygglov, tillsättande av tjänster och annat som kungörs på kommuners hemsidor torde aldrig bli föremål för EG-domstolens prövning.
Den verksamhet som organisationer som Amnesty huvudsakligen bedriver torde inte heller omfattas av Gemenskapsrätten. Inskränkningar i yttrandefriheten regleras inte av Gemenskapsrätten.
3. "Teknisk-logisk" tolkning av direktivets tekniska tillämpningsområde
Vid automatisk databehandling, ADB, erhålles alltid strukturerade data, i vart fall om behandlingen varit framgångsrik. Det är just detta som är själva syftet med ADB. Vid ADB av persondata erhålles följaktligen en strukturerad samling persondata. Det som erhålles är alltså vad som enligt direktivet konstituerar ett "personregister".
Om man inser detta så inser man även att villkoret i sista ledet, i artikel 3.1 (...som ingår i eller avses ingå i ett personregister.") är underförstått i alla språkliga lydelser.
4. Dataskyddsdirektivets syfte
Direktivets syfte är att åstadkomma en harmonisering/tillnärmning av dataskyddslagstiftingen inom EU vilket anses vara en förutsättning för att fri rörlighet för persondata inom EU skall kunna uppnås. Tanken är alltså att om skyddet för den enskildes integritet i samband med databehandling av persondata är starkt inom hela EU, så kan enskilda medlemsländer inte hindra att persondata cirkulerar mellan medlemsländerna. Syftet är alltså kopplat till upprättandet av den inre marknaden och den fria rörligheten för varor och tjänster.
I dataskyddsdirektivets preambel, eller ingress, anges vidare att direktivet är avsett att konkretisera och förstärka ("give substance to and amplify") det skydd som Europarådets konvention av den 28 januari 1981 (108/81) angående "data protection" är avsett att tillförsäkra enskilda vid automatisk behandling av persondata. Direktivet följer konventionens struktur, särkskilt vad avser definitioner och tillämpningsområde ( artikel 2 respektive 3 i både direktivet och konventionen). I datalagskommitténs betänkande anför Jan Freese bl.a. följande: "Föreliggande förslag följer självfallet Europaparlamentets och Rådets datalagsdirektiv 95/46/EG som anpassats till Europarådskonventionen och OECD:s Guide Lines..."(SOU 1997:39 s.704).
I konventionens artikel 2 anges bl.a. att "automated data file means any set of data undergoing automated processing". Varje samling data som genomgår automatisk databehandling definieras alltså som ett dataregister. I artikel 3.1 anges att konventionen tillämpas på automatiserade personregister och automatisk databehandling av persondata.
Även en tolkning av direktivets syfte ger enligt min uppfattning vid handen att direktivet endast berör databehandling av persondata som ingår i eller avser ingå i personregister. Den tolkningen sammanfaller även med definitionen i Europarådskonventionen.
5. Är det ADB av personuppgifter att lägga ut en hemsida på Internet?
Med "behandling på automatisk väg av en personuppgift" har i debatten likställts att t.ex. via Internet publicera namn eller skriva om personer.
Att publicera sig på Internet och nämna en person vid namn innebär naturligtvis inte att man därmed genomför en automatisk databehandling av persondata! En automatisk databehandling förutsätter ju att man har en viss mängd data som skall bearbetas och att denna bearbetning sker på automatisk väg.
I den mån det som skrivs överhuvudtaget kan anses utgöra "personal data" så rör det sig ändock ej om automatisk databehandling när man skriver på en s.k. hemsida. När hemsidan "läggs ut" på nätet sker endast en överföring av data, ("it is merely transmission of data"). Redan av denna anledning kan direktivet inte anses reglera namnpublicering eller dylikt på Internet.
I sammanhanget kan nämnas följande ur direktivets preambel: "Akter eller grupper av akter liksom dessas omslag, vilka inte är strukturerade enligt särskilda kriterier, faller inte under några omständigheter inom detta direktivs tillämpningsområde".
6. Den språkliga tolkningen av några grundläggande begrepp
Begreppsförvirringen i Sverige kanske beror på just att orden "personuppgift" och "behandling" valts för det som på engelska kallas "personal data" respektive "processing". Med "data" menas ju fakta medan ordet "uppgift" snarare motsvarar "meddelande" eller upplysning (uppgift = något som uppgivits). Medan ordet "processing" otvetydigt är en teknisk term, är ordet "behandla" synnerligen mångtydigt.
7. Europeiska konventionen för skydd av mänskliga rättigheter
I Europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna anges följande (artikel 10.1):
"Envar skall äga rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att mottaga och sprida uppgifter och tankar utan inblandning av offentlig myndighet och oberoende av territoriella gränser. Denna artikel förhindrar icke en stat att kräva tillstånd för radio-, televisions- eller biografföretag."
De grundläggande friheterna i denna konvention är en av de principer som EG-domstolen hyllar vid tillämpning av EG-rätt. En tolkning av ett direktiv som skulle innebära brott mot konventionen kan rimligtvis inte vara annat än felaktig.
Mot bakgrund av vad som ovan anförts vill jag ifrågasätta om Sverige, genom införande av personuppgiftslagen, särkskilt mot bakgrund av justitiedepartementets tolkning, bryter mot nämnda konvention, genom att förbjuda spridande av information via hemsidor på Internet.
Jag vill även ifrågasätta om Sverige även i övrigt har infört bestämmelser i personuppgiftslagen som går mycket långt utöver de som Sverige, genom medlemskapet i EU, har förpliktat sig att införa.
Š Jur Kand Anders
Björngreen, all rights reserved
Gamla Skeppsbrogatan 11 A, 371 33 Karlskrona
Tel. 0455-16014 E-mail: bjorngreen@telia.com
___________________________________________
Denna sida ingår i siten
"Personuppgiftslagen och yttrandefriheten",
av Christoph Andersson och Susanne Bertman
Komplement till examensarbete i "Global electronic
journalism", 20 poäng,
Södertörns högskola i samarbete med JMK, Stockholms
universitet
http://www.pul.nu