Innehåll

• Inledning
• Lagens form
• Informerat samtycke
• Begreppet ras bör inte finnas i lagen
• Alltför generellt bemyndigande för regeringen
• Rättsmoral
• Kortare övergångsperiod
• Hemställan

Inledning

Informationstekniken medför många positiva möjligheter för ett samhälles utveckling men innebär också risker. Därför måste vår lagstiftning ge starkt skydd dels för medborgarnas personliga integritet, dels för samhällets sårbarhet och säkerhet. Endast undantagsvis skall det vara möjligt att bryta detta skydd och då med lagstöd i varje sådant fall.
    Frågan om personlig integritet är komplicerad och har lösts på olika sätt i olika länder eftersom balansen är svår mellan medborgarens rätt till egen skyddad sfär och samhällets legitima intresse av insyn. Sårbarheten har ökat genom att vårt samhälle är beroende av informationstekniken. Effekten av detta diskuteras inte minst nu när vi snart skall gå in i nästa årtusende vilket äldre datorprogram inte varit förberedda för.
    Den aktuella propositionens förslag till personuppgiftslag bygger på EG-direktiv som Sverige är skyldigt att införliva med svensk lag. Bakgrunden till direktivet är en önskan att stärka människors personliga integritet och åstadkomma en gemensam hög skyddsnivå för personliga uppgifter inom EU. Denna gemensamma syn på betydelsen av skydd för personuppgifter skall göra det möjligt för information att kunna flöda fritt mellan länderna.
    Utgångspunkten att det är individen själv som bestämmer över sina personuppgifter och att uppgifter om den enskilde är en oupplöslig del av den personliga integriteten är en uppfattning som Folkpartiet hävdat under lång tid. Enligt vår uppfattning förutsätter ett intrång i den personliga integriteten synnerligen goda skäl. Ett sådant skäl är när den enskilde själv medger det, så kallat informerat samtycke. Ett annat skäl kan vara att det allmännas intressen kan ses överordnade den enskildes. I det senare fallet bör alltid finnas stöd i lag. Samtidigt är den svenska offentlighetsprincipen ett fundament i vår rättstradition som vi liberaler bejakar. Att hålla balansen mellan integritet för den enskilde och största möjliga offentlighet är svår. Intresset av att granska den offentliga makten kan ibland få vika för den enskildes rätt till integritet.
    Mot denna bakgrund är det inte självklart att EG-direktivets innebörd på ett komplicerat sätt är helt förenligt med vår offentlighetsprincip. Vi anser att utredningen – Datalagskommittén – borde ha ägnat mera tid åt denna problematik för att hitta en lösning där hänsyn till vår offentlighet och våra sekretessregler än tydligare överensstämmer med de direktiv som EU ställt sig bakom och att propositionen borde ha vidarefört dessa överväganden.

Lagens form

I enlighet med sina från EU härrörande direktiv har den aktuella lagen givits en form som kan benämnas "hanteringslag", dvs den anger vad som är tillåten hantering av personuppgifter, inte vad som är förbjuden. Detta är en ovanlig, och i detta fall, i tillämpning olämplig form. Särskilt inom ett tillämpningsområde som informationsteknikens, med dess höga utvecklingstempo, är det olämpligt att föreskriva vad som är tillåtet, snarare än motsatsen. Det kan komma att innebära begränsningar som inte var avsedda vid lagens tillkomst, eftersom det är svårt, ja omöjligt, att förutse all tillämpningsutveckling som kan bli aktuell. Onödiga begränsningar kan komma att bli verklighet.
    Det är att föredra att vid lagskrivning på områden med utvecklingstempo, som inom informationsteknikens tillämpning, välja en sådan lagteknisk modell, där det regleras som är olämpligt, snarare än det som är lämpligt. IT-kommissionen har hösten 1997 initierat en analys av möjligheterna att omarbeta den nu aktuella lagtextformen till en missbruksmodell. Det vill emellertid synas som om möjligheterna till omarbetning är små, bl a eftersom lagen är nära kopplad till ett betydande antal andra lagar. Datalagskommittén övervägde också dessa möjligheter, men kommitténs majoritet valde att kvarstå vid hanteringsmodellen.
    Det finns anledning att med kraft ta upp formfrågan. Vi föreslår att berörd EU-institution i Bryssel tillskrivs med en uppmaning att snarast inleda arbete med formulering av en ståndpunkt där en missbruksmodell förordas. Anpassning till en sådan modell innebär en till sin omfattning inte negligerbar arbetsinsats i alla berörda EU-länder. Folkpartiet liberalerna förordar emellertid att detta genomförs.

Informerat samtycke

Folkpartiet liberalerna anser att den tidigare termen informerat samtycke skall användas. Dels finns i EG-direktivet förtydligande ord som "otvetydigt" och/eller "uttryckligt" vilka av Datalagskommitten inte beaktades. Dels anser vi att informerat samtycke anger vad som menas, dvs att medborgaren har haft tillgång till fullständig information och även tagit del av denna information och därvid fått klart för sig vad den betyder. Vi menar att informerat samtycke innebär en större insikt i vad man gett sitt samtycke till.

Begreppet ras bör inte finnas i lagen

I förslaget till personuppgiftslag 13 § anges de personuppgifter som är förbjudna att behandla. Men samtidigt finns många exempel i de följande paragraferna som anger undantag från förbudet. Eftersom det i lagens tillämpning därmed kan antas att förbjudna uppgifter i vissa fall inte längre är förbjudna bör man så långt möjligt precisera vad som kan behandlas/registreras. Som första punkt i 13 § tas upp ras och etniskt ursprung. Folkpartiet liberalerna anser att ordet ras bör avlägsnas ur lagen. Det finns ingen gemensam definition av vad begreppet står för och det kan därför missförstås. Dessutom säger begreppet etniskt ursprung mera korrekt varifrån personen i fråga härstammar.

Alltför generellt bemyndigande för regeringen

Enligt förslagets 20 § begärs ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer om att meddela ytterligare undantag från det generella förbudet för behandling av känsliga uppgifter. Som skäl anges "om det behövs med hänsyn till ett viktigt allmänt intresse". Folkpartiet liberalerna avslår denna begäran. Även Lagrådet har invändningar. Vi menar att skälet som anges är alltför långtgående och opreciserat och att det därför inte ligger i lagstiftarens intresse att ge bemyndigandet.

Rättsmoral

Personuppgiftslagen är avsedd att förbättra situationen vad gäller att rättsligt korrekt kunna genomföra vanliga informationstekniska bearbetningar som kan beröra hantering av personuppgifter. Bland de mest uppenbara sådana är användning av e-post via Internet som ofta innebär att utländska databaser berörs. Användning av Internet gör bruk av mellanlagring av meddelanden och adresser i databaser som dels kan befinna sig inom vårt lands gränser, dels utomlands. Det är omöjligt att i förväg i detalj fastställa vilka databaser som kommer att beröras av en viss utväxling av meddelanden.
    I förslaget till personuppgiftslag anges i 33 § att det, med vissa i 34 och 35 §§ angivna undantag, är förbjudet att till tredje land föra över personuppgifter som är under behandling. Förbudet gäller också överföring av personuppgifter för behandling i tredje land. Detta förbud ansluter till lagens EU-direktiv.
    Detta direktiv författades emellertid i Bryssel innan användningen av Internet hade blivit vanlig. Överföring till tredje land av meddelanden och filer som innehåller personuppgifter är numera synnerligen vanlig. Detta utan att den registrerade informerats, eller att andra av lagens undantag mot förbudet mot sådan behandling är giltiga, I otaliga situationer, t ex i anknytning till vanlig e-post, eller i samband med öppna elektroniska anslagstavlor, är sådan behandling i nuläget en normal företeelse. Det är omöjligt att precisera när detta sker, och hur ofta. Ingen överblick kan heller hållas över detta.
    Detta förbud, i 33 §, kan i själva verket inte efterlevas som avsett är. Det kan ej uteslutas att även andra av lagens förbud kan komma att visa sig svåra att upprätthålla, då de tillkommit i en annan tid.
    En oöverblickbar och frekvent hantering av personuppgifter i strid med personuppgiftlagen skapar ett obehagligt rättsmoraliskt läge. Det är otillfredsställande att stifta en lag, som i viktiga avseenden inte kommer att kunna efterlevas.
    Personuppgiftslagen utgör därmed exempel på lag som tillkommit ur fas med verkligheten. Situationen är betydelsefull i det att den utgör exempel på den rättsliga anpassning som våra internationella överenskommelser, i det här fallet med EU, kräver.
    En kraftig restriktivitet vid tillämpning av ett flertal bestämmelser i denna lag måste sannolikt känneteckna verksamheten vid tillsynsmyndigheten, i detta fall Datainspektionen. Så t ex kan undantagen mot förbud mot personuppgiftsbehandling för journalistik samt för konstnärligt och litterärt skapande komma att bli frekvent tillämpade. Detta kan också i praktiken komma att röra undantag för personuppgiftshantering inom vanlig ord- och textbehandling. Det finns anledning upprepa att det är otillfredsställande att stifta en lag där möjligheten till efterlevnad redan vid införandet måste sättas ifråga. Vi anser att Sverige bör framhålla för berörda EU-institutioner att denna lag, som förvisso tillkommit i anslutning till aktuellt direktiv, inte kommer att kunna tillämpas så som var avsett. Det bör snarast inledas arbete på formulering av direktiv till sådan ny lag som bättre överensstämmer med normal personuppgiftshantering under 2000-talet.

Kortare övergångsperiod

Enligt 35 § kan regeringen eller den myndighet regeringen bestämmer (i detta fall Datainspektionen) i vissa fall medge undantag från förbudet i 33 §. Detta kan bli besvärande och särdeles resurskrävande för DI, om många medborgare skulle välja att söka efterleva lagen. Det kan bli fråga om en stor mängd enskilda bedömningsärenden, som t ex härrör från användning av vanlig e-post.
    En treårig övergångsperiod, då två olika lagar ska tillämpas, är en lång och för både medborgare och DI krävande tid – som borde kunna vara kortare. Två år bör räcka.

Hemställan

Med hänvisning till det anförda hemställs

• 1. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om att förhandlingar om direktiv för en missbruksmodell för en ny personuppgiftslag inleds inom EU,

• 2. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om en begäran att införa begreppet informerat samtycke i stället för endast samtycke,

• 3. att riksdagen beslutar att "ras" i förslaget till personuppgiftslag 13 § skall utgå,

• 4. att riksdagen avslår förslaget om bemyndiganden enligt 20 §,

• 5. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om behovet av att förhandlingar om direktiv till en personuppgiftslag som är anpassad till ett modernt kommunikationssamhälle, som bl.a. uppmärksammar Internet, inleds inom EU,

• 6. att riksdagen beslutar att den nya lagen tillämpas efter två år i stället för efter tre år.