"Datainspektionen gör orimlig
tolkning av EUs datadirektiv"
"Datainspektionen gör en orimlig tolkning av EUs
datadirektiv", hävdar juristen Anders Björngreen i Karlskrona. Han redovisar vad
som gått snett när EU-direktivets skrivningar blivit svensk lagtext. "Inspektionens
tolkning kolliderar med EUs principer om yttrandefrihet", konstaterar han.
AV ANDERS BJÖRNGREEN
Den tragikomiska farsen kring den svenska implementeringen av EU:s dataskyddsdirektiv tycks inte ta slut. Det är emellertid glädjande att bl.a. Svenska Dagbladet äntligen försöker få till stånd en debatt om personuppgiftslagen. Det har anförts i debatten att personuppgiftslagens definition av vad som utgör personuppgifter är orimligt vid. Så är dock inte fallet.
Vad gäller lydelsen stämmer personuppgiftslagen numera ganska väl överens med EU:s dataskyddsdirektiv. Hur lagen tolkas och tillämpas är dock en annan sak.
Problemet är den felaktiga tolkning som bl.a. Datainspektionen gör av begreppet
"behandling". Datainspektionen menar i princip att allt man gör med hjälp av
en dator är behandling. Därmed, tycks man mena, är det behandling av personuppgift att
på Internet publicera uppgifter om en
människa.
Gäller bara register
Som jag påpekade redan i samband med att den svenska personuppgiftslagen trädde ikraft i oktober 1998 är dataskyddsdirektivet enbart tillämpligt på register (se t.ex. Svenska Dagbladet den 23 oktober 1998). I direktivet anges detta i artikel 3 på så sätt att uppgifter som struktureras genom automatisk databehandling omfattas av direktivet.
Tyvärr är den svenska versionen av artikel 3 i direktivet något oklar, vilket
troligtvis har medverkat till den svenska begreppsförvirringen. Den danska versionen är
desto klarare. Där anges att direktivet är tillämpligt på personuppgifter som
genomgår "edb", vilket är danska för
ADB.
Jag tror att de flesta håller med mig om att det inte är fråga om ADB av personuppgifter om man nämner en människa på en hemsida.
Datainspektionen lägger emellertid i begreppet "behandling" vad vi jurister
vanligen lägger i det när vi talar om "behandling" av t.ex. offentliga
uppgifter. Med behandling av uppgift menar vi helt enkelt
allt handhavande av en uppgift. Om en uppgift lämnas ut till någon så har den per
definition behandlats på ett annat sätt än om den sekretessbelagts. Datainspektionen
synes inte förstå att
dataskyddsdirektivet inte menar denna sorts "behandling".
Dataskyddsdirektivet gäller för uppgifter som struktureras genom automatisk databehandling, ADB. En naturlig fråga är naturligtvis hur det kommer sig att hela den svenska lagstiftningsapparaten kunnat missförså en så enkel sak.
En förklaring är vad som skedde i samband med direktivets tillkomst. I sitt
ursprungliga förslag till dataskyddsdirektiv angav kommissionen uttryckligen att
direktivet endast skulle tillämpas på personregister ("personal data files",
se t.ex. COM (92) 422 final - SYN 287 s. 67, se
även s. 63 för definition av "personal data file"). Parlamentet ville
emellertid att tillämpningsområdet skulle omfatta alla persondata som genomgår
automatisk databehandling, alltså även data som inte ingår i ett register. Kommissionen
gick Parlamentet delvis till mötes.
Detta hände under resans gång
Direktivets tillämpningsområde innebär enligt Kommissionen att strukturerade persondata omfattas av direktivet vare sig de är ordnade i ett manuellt register eller genom automatisk databehandling ( se a.a. s.12). Enligt Kommissionen är tillämpningsområdet alltså "strukturerade persondata", vilket ju i princip är liktydigt med direktivets definition av begreppet personregister.
När ministerrådet skulle anta en gemensam ståndpunkt i samband med tillkomsten av
direktivet, klargjordes vidare att direktivet enbart är tilllämpligt på register. I de
"Förklaringar" ("Statements on the protection of individuals with regard
to the processing of personal data and on the free movement of such data") som
Ministerrådet och Kommissionen utarbetade inför antagandet av den Gemensammma
Ståndpunkten och som fogades som bilaga 6 till protokollet från rådsmötet den 20
februari 1995 anförs följande:
"Rådet och kommissionen erkänner att - i enlighet med den gällande definitionen i artikel 2 c är direktivet endast tillämpligt på register, och inte på akter - de kriterier som tillåter att fastställa de element som utgör en strukturerad samling av personuppgifter, samt de kriterier enligt vilka
en sådan samling är tillgänglig, får preciseras av var in en av medlemsstaterna".
I en av de svenska versioner som finns av detta protokoll finns emellertid en
felöversättning: istället för ordet register har ordet kortregister angivits. Detta
kan ha föranlett lagstiftaren att inte
beakta vad som anfördes i protokollet. Vederbörande handläggare har helt enkelt inte
ansett denna del av protokollet ha relevans för hela direktivets tillämpningsområde.
Sveriges linje kolliderar med EG-rätten
Detta innebär att det inte i sig strider mot direktivet att Sverige anser att alla
hemsidor som nämner personer är strukturerade samlingar med personuppgifter och därför
omfattas av den lagstiftning som
medlemsstaterna skall införa. Den svenska tolkningen kolliderar emellertid med de
principer om yttrandefrihet som gäller i EU och därmed EG-rätten.
Datainspektionens tolkning är orimlig och strider mot romfördraget och Europakonventionen om de mänskliga rättigheterna. Den strider därmed även mot svensk lag.
___________________________________________
Denna sida ingår i projektet
"Personuppgiftslagen och yttrandefriheten",
av journalisterna Christoph Andersson och Susanne Bertman
http://www.pul.nu