Debatt på www.pul.nu 98-12-14
Stor skillnad mellan dansk
och
svensk tolkning av EU-direktivet
Sverige och Danmark gör helt olika tolkningar av EUs datadirektiv. Enligt svensk lagstiftning är det i princip förbjudet att nämna namn på internet, men inte i Danmark. "Man undrar hur lång tid det tar innan Regeringen, Justitiedepartementet, Datainspektionen och Riksdagen inser att den svenska tolkningen orimlig", skriver juristen Anders Björngreen som bl a följt den danska debatten.
Så har då KU hållit en utfrågning av experter, vilka alla var eniga om att Sverige inte överdrivit vid implementeringen av dataskyddsdirektivet. Det frågan gäller är om direktivet innebär att det är förbjudet att publicera levande personers namn (eller andra uppgifter som kan hänföras till en viss person) på en hemsida på Internet, utan att dessförinnan har erhållit vederbörandes otvetydiga samtycke.
De medverkande experterna anser uppenbarligen att så är fallet. Jag har helt motsatt uppfattning. Jag anser alltjämt att min uppfattning är den riktiga och att "förhandlarna i Bryssel, Datalagskommittén, Lagrådet, regeringen och riksdagen", samt även Datainspektionen, har fel.
KU:s utfrågning inleddes lovande; ordföranden i Datalagskommittén, ett före detta justitieråd, fick en fråga från riksdagsledamoten Barbro Hietala-Nordlund angående Sveriges tolkning av dataskyddsdirektivet. Det har påståtts, anförde Hietala-Nordlund, att Sverige misstolkat direktivet. Justitierådet svarade att datalagskommittén har haft tillgång till "vetenskaplig expertis" och att det på grund härav är "uteslutet" att ett sådant misstag skulle ha kunnat bli begånget.
Så var det med det. Sverige har uppfattat direktivet på ett riktigt sätt och skall, som jag uppfattat Justitiedepartementets pressmeddelande, försöka få EU att ta sitt förnuft till fånga. Man avser att fortsätta diskussionerna med Kommissionen.
Jag har bl.a. anfört att direktivet (bortsett från manuella register) endast skall tillämpas på automatisk databehandling (ADB) och att data som genomgår ADB är strukturerade persondata (=personregister). Jag har vidare anfört att det inte är ADB av persondata att på Internet lägga ut en hemsida med text i vilken en person omnämns (förhållandet blir naturligtvis annorlunda om hemsidan tillhandahåller personregister för läsning eller nedladdning ).
Som en följda av EES-avtalet skall dataskyddsdirektivet implementeras även i Norge. Det kan vara av intresse att man i förarbetena till Norges nya personopgiftslov menar att utvidgningen av lagens tillämpningsområde till att gälla elektronisk databehandling av personuppgifter i stället för personregister inte blir så stor "fordi det vil foreligge et 'personregister' i personregisterlovens forstand dersom man relativt enkelt kan finne igjen personpolysninger om den enkelte som er lagret elektroniskt." (Sammendrag av personregisterlovutvalgets utredning, avsnitt 1.3.2,)
Det kan vara av intresse i sammanhanget att den danska lydelsen av artikel 3 i direktivet (i vilken alltså direktivets tillämpningsområde anges) refererar till behandling "af personoplysninger,der helt eller delvis företages ved hjaelp af edb,...", alltså "elektronisk databehandling".
Danmark har naturligtvis noterat den svenska debatten om personnamn på Internet. Den danska motsvarigheten till Datainspektionen, Registertilsynet, har emellertid uttalat att "hverken direktivet eller lovforslaget indeholder efter Registertilsynets opfattelse et krav om, at vederegivelse af personoplysninger på en hjemmeside altid kraever den pågäldendes samtycke".
Dansk minister tar avstånd från namnförbud
Den danske justitieministern fick en fråga från folketingsledamoten Kim Behnke (spörgsmål nr 272). Frågan löd (i min svenska tolkning): "Vill ministern lämna en beskrivning av hur myndigheterna ämnar lösa den nya stora uppgiften att tillse att alla danska webb-sidor uppfyller det nya EU-direktivetet med förbud mot att personnamn förekommer utan att vederbörande har givit sitt samtycke?"
Ministern svarade bl.a. att det danska lagförslaget "indeholder ikke et krav om, at offentliggörelse af personoplysninger gennem en hjemmeside på Internettet altid kraever den pågaeldendes samtykke," och hänvisar till Registertilsynets ovan återgivna uttalande. "Det påpekas i sammanhanget", forstätter ministern, "at en forpliktelse at indföre en sådan ordning ikke - som det ellers anföres i spörgsmålet - fölger af de bestämmelser i direktivet om behandling af personoplysninger (artiklerne 7-8 og 25-26), som foreslås gennemfört i dansk rätt......".
Ministern anförde vidare att "(l)ovforslaget indebaer, at personoplysninger, der efter de almindelige behandlingeregler i lovforslagets §§ 6 - 7 kan offentliggöres inden for EU, også vil kunne offentliggöres gennem en hjemmeside på Internettet. Det gaelder, selv om en offentliggörelse gennem en hjemmeside på Internettet som tidligere naevnt indebaerer, at personoplysningerne også bliver offentligt tilgaengelige i lande uden for EU (tredjelande)". Det danska lagförslaget innebär i detta avseende "ikke" ett ändrat rättsläge jämfört med gällande rätt, betonar ministern.
Jag har vidare framfört att direktivet endast skall tillämpas på personregister i direktivets mening, varmed kort uttryckt menas strukturerade persondata- samlingar som är tillgängliga för sökning.
I min förra pm, den 4 december, påpekar jag bl.a. att kommissionen i sitt ursprungliga förslag till direktiv uttryckligen angav att direktivet endast skulle tillämpas på personregister ( "personal data files", se t.ex. COM (92) 422 final - SYN 287 s. 67, se även s. 63 för definition av "personal data file"). Parlamentet ville emellertid att tillämpningsområdet skulle omfatta alla persondata som genomgår automatisk databehandling, alltså även data som inte ingår i ett register. Kommissionen gick Parlamentet delvis till mötes.
Direktivets tillämpningsområde innebär enligt kommissionen att strukturerade persondata omfattas av direktivet vare sig de är ordnade i ett manuellt register eller genom automatisk databehandling ( se a.a. s.12). Enligt kommissionen är tillämpningsområdet alltså "strukturerade persondata", vilket ju i princip är liktydigt med direktivets definition av begreppet personregister.
Detta klargjordes ytterligare i de "Förklaringar" ("Statements om the protection of individuals with the regard to the processing of personal data and on the free movement of such data") som Ministerrådet och Kommissionen utarbetat inför antagandet av den Gemensammma Ståndpunkten och som fogades som bilaga 6 till protokollet från rådsmötet den 20 februari 1995. Punkten 5 (de två första strecksatserna) i förklaringarna lyder som följer:
"Rådet och kommissionen erkänner att
- i enlighet med den gällande definitionen i artikel 2 c är direktivet endast tillämpligt på register, och inte på akter,
- de kriterier som tillåter att fastställa de element som utgör en strukturerad samling av personuppgifter, samt de kriterier enligt vilka en sådan samling är tillgänglig, får preciseras av var in en av medlemsstaterna, ".
Detta innebär att det naturligtvis står Sverige fritt att anse att hemsidor är strukturerade samlingar med personuppgifter och som därför omfattas av den lagstiftning som medlemsstaterna skall införa. Det är även fritt att anse att min, ministerrådets och kommissionens uppfattning är "befängd".
Men påståendet att EU har tvingat på Sverige regler som innebär att det är förbjudet att publicera levande personers namn (eller andra uppgifter som kan hänföras till en viss person) på en hemsida på Internet, utan att dessförinnan har erhållit vederbörandes otvetydiga samtycke, är helt felaktigt, oavsett hur många experter, utredningar, departement, rättschefer, regeringar, riksdagar eller myndigheter som förfäktar den uppfattningen.
Några iaktagelser om datalagskommitténs betänkande
Av vilken modern uppslagsbok som helst framgår följande mycket elementära fakta. Datorer arbetar med data. Data betyder fakta, är ursprungligen plural av datum ( ="givet"). En dator omvandlar data ("indata") t.ex. ett personnummer eller bokstäver, till binära tal, alltså tal i "två-systemet", ettor och nollor. Indata matas ofta in med hjälp av tangent- bord. När vi vill ta del av det som finns lagrat i en dator så omvandlar datorn dessa ettor och nollor till data ("utdata") i form av t.ex. vanliga siffror eller bokstäver som en läsare kan tolka till information. Utdata presenteras med hjälp av en utenhet, t.ex. en bildskärm eller en skrivare.
Här följer några utdrag ur datalagskommitténs utredning, SOU 1997:39 (kursiveringarna är mina).
"De uppgifter som lagrats elektroniskt skiljer sig emellertid från uppgifter på papper genom att de inte är unika som sak - de är endast digitala mönster som t.ex. kan lagras i en dator, skickas via ett nät eller göras läsbara på en skärm. Som läsare tar man inte direkt del av det lagrade, utan av en omvandling av data till text. Det brukar beskrivas så att data har frikopplats från databäraren. När man tidigare tog del av en handling såg man både data och databäraren på en gång. Nu ser man bara en återgivning av data via de tekniska hjälpmedlen, inte själva bäraren eftersom denna utgörs av ett underlag för digitala mönster som man inte kan se med blotta ögat." (SOU 1997:39 s. 495 f. )
"Det ligger nära till hands att om handlingsbegreppet skall överges, låta insynsrätten i stället omfatta innehållet i handlingen. Ett sådant synsätt innebär egentligen inte något nytt. Det får väl anses närmast självklart att det inte är själva handlingen eller data i sig som är det intressanta från offentlighetssynpunkt utan innehållet - uppgifterna däri. Att insynsrätten ursprungligen har knutits till handlingar är inte resultat av noggranna överväganden, utan betingat av praktiska skäl. Allmänheten får helt enkelt en god inblick i myndigheternas förehavanden genom tillgången till deras dokumentation utan att det inkräktar allt för mycket på verksamheten." (a.a.s. 497 f.)
De ovan återgivna avsnitten ger enligt min uppfattning vid handen att datalagskommittén med "data" menar de lagrade binära tal, "ettor och nollor", som vi inte kan ta del av förrän de av datorn omvandlats till utdata i form av t.ex. siffror eller text. Kommittén synes inte förstå att de siffror eller bokstäver som man som läsare tar del av är just "data". Man får därmed intrycket att datalagskommittén inte har grundläggande datatekniska termer klara för sig.
Datalagskommittén osäker
I följande passus i utredningen tycks begreppet "data" har två olika betydelser i samma mening: "Vi har kommit fram till att persondatalagen är ett lämpligt namn. Det är kort och leder tanken i rätt riktning, nämligen att det gäller en lag om hur uppgifter ('data') om personer skall hanteras, särskilt i fråga om sådana uppgifter som finns 'på data'." (a.a.s. 203)
Man får ibland intrycket att olika personer har skrivit olika avsnitt av utredningen utan att veta vad andra skrivit. Följande avsnitt verkar vara skrivet av en person med en annan uppfattning än den som redovisas i justitieutskottets broschyr, som ju har hämtat sina formuleringar på andra ställen i utredningen. På sidan 344 anförs nämligen:
"Det är över huvud taget osäkert vad som avses med automatisk behandling av personuppgifter enligt EG-direktivet. Därför har vi inte tagit in någon definition av det begreppet i den föreslagna lagen. Denna osäkerhet och bristen på upplysande uttalanden i t.ex. ingressen till direktivet medför också att vi inte anser oss ha någon egentlig grund för att lämna ytterligare vägledning till tillämpningen. Den som vill vara på den säkra sidan bör enligt vår mening kunna tillämpa den föreslagna lagens bestämmelser om automatisk behandling på all behandling av personuppgifter i datorformat och sådana personuppgifter som registreras i annan form utan någon direkt mänsklig inblandning. Direktivet och den föreslagna lagens bestämmelser om automatisk behandling skall ltillämpas även om behandlingen bara delvis är automatisk."
Personuppgiftslagen hjälper rasister i Sverige
Sverige har emellertid inte endast gått längre än nödvändigt vid implementeringen av direktivet. I åtminstone ett avseende har andra länder gått längre i skyddet av den personliga integriteten än vad Sverige gjort.
Den svenska personsuppgiftslagen gäller uttryckligen enbart för levande personer ( se 3 § PuL, definition av personuppgifter, www. riksdagen.se ). Som skäl härför anför datalagskommittén att reglerna i den föreslagna lagen är så långtgående att de bör reserveras för de fall där behovet av skydd för personlig integritet beträffande behandling av uppgifter om den berörde är mest uttalat, nämligen när det gäller den som är levande och som själv kan ha ett eget anspråk på personlig intregritet i detta hänseende. Vidare anförs att de regler som förutsätter att den registrerade har lämnat sitt samtycke eller som innebär att den registrerade skall informeras i vissa fall skulle bli svåra att tillämpa beträffande dem som inte lever ( sic ! se SOU 1997:39 s.337. Man undrar osökt i vilka fall dessa regler inte skulle vara svåra att tillämpa.)
Även om den gamla datalagen enligt praxis inte ansågs omfatta avlidna så utgjorde lagtexten inte hinder för en tolkning som innebar skydd för uppgifter avseende avlidna. I och med att avlidna nu i personuppgiftslagen uttryckligen inte omfattas av skydd så är det helt fritt fram för t.ex. rasistiska organisationer att lägga upp personregister över t.ex. avlidna judar och sprida dessa register. Här avses alltså riktiga register, inte omnämnande på en hemsida på Internet.
Det finns inga restriktioner för vad sådana register får innehålla; härkomst, senaste adress, förmögenhet, sexuell läggning, politisk åskådning, antal barn osv. Att ett fritt spridande av känsliga uppgifter om avlidna kan drabba de kvarlevande tar inte den svenska lagen hänsyn till.
I våra grannländer, som har andra historiska erfarenheter än vi, ser man uppenbarligen annorlunda på integritetsfrågor. I Danmark och Norge omfattas uppgifter om avlidna av skydd om dessa kan knytas till efterlevande personer.
Fast det är ju klart, med den märkliga tolkning som datalagskommitten, lagrådet, regeringen, riksdagen, justitiedepartementet och datainspektionen har gjort av dataskyddsdirektivet så får vi väl vara tacksamma för att uppgifter om avlidna inte omfattas av personuppgiftslagen; i så fall hade det i Sverige varit olagligt att t.ex. sprida Julevangeliet på Internet. Eller vad skulle Datainspektionen säga om trosbekännelsen, "Jesus Krisus, född av Jungfru Maria, pinad under Pontius Pilatus....sittande på allsmäktig Gud faders högra sida...".
Man kan undra om Datainspektionen skulle medge undantag enligt övergångsreglerna med hänsyn till att behandlingen av personuppgifterna och ändamålet med behandlingen påbörjades för bortåt två tusen år sedan.
Några reflektioner
Jag har försökt få till stånd en debatt om personuppgiftslagen och dess överensstämmelse med dataskyddsdirektivet. Inte en enda jurist har emellertid velat vare sig bemöta eller stödja min uppfattning, som har deklarerats på www.pul.nu och kunnat kommenteras av envar via e-post eller vanlig post. Det har tyvärr inte blivit någon debatt, vilket i sig är ett ämne för debatt. Är svenska jurister fega, likgiltiga eller lata? Oavsett vilket är juristernas tystnad i denna fråga, som rör yttrandefriheten, mycket oroande.
Den 22 oktober intervjuades jag av TT. Mitt namn och min uppfattning att direktivet endast skulle tillämpas på personregister var på nyherna under ett dygns tid. I landets största dagstidning, DN, från den 24 oktober uttalade emellertid Justitiedepartementets rättschef att det jag uttalat var "befängt", vilket avslutade medias rapportering. Den aktuella dagstidningen vägrade låta mig kommentera rättschefens uttalande.
Jag har som svensk ansett att det är mina valda ombud, riksdagsmännen, som jag kan hänvända mig till när något i landet är helt galet. Jag har därför sänt tre promemorior med mina synpunkter och iakttagelser till samtliga ledamöter och supleanter i konstututionsutskottet och justitieutskottet. Detta är den fjärde. Responsen från riksdagsmännen har praktiskt taget uteblivit. Ett erbjudande att medverka vid KU:s hearing har avvisats. Uppfattningen att "Stockholmare är smartare än andra" synes tyvärr vara den förhärskande.
Man undrar naturligtvis hur lång tid det tar innan Justitiedepartementet, regeringen, Datainspektionen och riksdagen inser att den svenska tolkningen av artikel 3 i dataskyddsdirektivet är orimlig. Det kanske blir detta millenium.
© Jur Kand Anders
Björngreen, all rights reserved
Gamla Skeppsbrogatan 11 A, 371 33 Karlskrona
Tel. 0455-16014 E-mail: bjorngreen@telia.com
___________________________________________
Denna sida ingår i siten
"Personuppgiftslagen och yttrandefriheten",
av Christoph Andersson och Susanne Bertman
Komplement till examensarbete i "Global electronic
journalism", 20 poäng,
Södertörns högskola i samarbete med JMK, Stockholms
universitet
http://www.pul.nu