Remissyttrande över betänkandet Översyn av personuppgiftslagen (SOU 2004:6)
Förslagen i huvudsak
I betänkandet föreslås att personuppgiftslagens hanteringsmodell inte skall behöva tillämpas beträffande hanteringen av harmlösa personuppgifter som inte ingår i personregister. En ändring av personuppgiftslagen i dessa avseenden är tveklöst angelägen och efterfrågad. För egen del ställer jag mig så långt bakom utredningens förslag.
Utredningen har gått igenom de rättsliga förutsättningarna för att undanta hanteringen av de angivna personuppgifterna från tillämpningen av vissa bestämmelser i personuppgiftslagen. Enligt min mening synes utredningens bedömning av de rättsliga förutsättningarna vara väl övervägd. Det återstår emellertid alltjämt vissa frågetecken, bl.a. när det gäller vad som ligger i EG-direktivets begrepp "fri- och rättigheter" (artikel 13.1 g), se betänkandet s. 109 f. Såvitt kan bedömas har utredningen uttömt möjligheterna att bringa klarhet i den rätta innebörden av begreppet. Mot bakgrund av den omfattande analys som utredningen har gjort delar jag uppfattningen att den föreslagna begränsningen av personuppgiftslagen bör vara möjlig enligt EG-direktivet.
Skadeståndsregeln m.m.
Utredningen föreslår att behandlingen av personuppgifter enligt 5 a § skall få utföras bara om behandlingen inte innebär ett otillbörligt intrång i den personliga integriteten. Utredningen har övervägt om begreppet "otillbörligt intrång i den personliga integriteten" bör preciseras i lagtexten eller i en annan författningstext (s. 143 f.) och kommit fram till att någon sådan precisering inte bör ske. I avsnitt 7.7.5 diskuteras om en överträdelse av bestämmelsen bör förenas med sanktioner. Utredningens slutsats är att en överträdelse av den föreslagna bestämmelsen bör vara förenad med skadeståndsskyldighet. Det är däremot, anser utredningen, inte nödvändigt att straffbelägga brott mot bestämmelsen.
Den föreslagna ordningen ter sig inte invändningsfri. För den som tillämpar bestämmelsen kommer det - i brist på närmare precisering i lagtexten - att råda oklarheter om vad som är en tillåten behandling. Vilka förfaranden som kan anses skadeståndsgrundande kommer därmed i hög grad att överlämnas till rättspraxis.
En annan fråga är om det över huvud taget är lämpligt med en särskild skadeståndsbestämmelse i detta fall. Skadeståndsbestämmelsen i personuppgiftslagen är speciell - jämfört med reglerna i skadeståndslagen - genom att den innefattar ett strikt skadeståndsansvar och ger en rätt till skadestånd för kränkning utan att ett brottsligt förfarande måste visas. Det synes inte självklart att en överträdelse av den föreslagna 5 a § skall föranleda skadeståndsansvar enligt reglerna i personuppgiftslagen. Ett alternativ vore att tillämpa skadeståndslagen i denna del, närmast 2 kap. 3 §. Frågan framstår som komplicerad och borde övervägas betydligt noggrannare än utredningen synes ha gjort. Skadestånd för "otillbörligt intrång i den personliga integriteten" är nämligen en nyhet i svensk rätt när rekvisitet anges på det sättet.
Ytterligare en fråga är om en överträdelse av bestämmelsen skall vara straffri. Utredningen har inte närmare redovisat sina överväganden i denna del. Det förefaller inte givet att den som behandlar exempelvis känsliga personuppgifter i strid med 13 § personuppgiftslagen i ett personregister skall riskera straff medan motsvarande behandling i löpande text skall vara straffri. Ståndpunkten borde i varje fall motiveras bättre.
De frågor som jag nu har tagit upp bör enligt min mening bli föremål för ytterligare överväganden under den fortsatta beredningen.
Som framgår av betänkandet handlägger Justitiekanslern anspråk på skadestånd mot staten med stöd av 48 § personuppgiftslagen, se 3 § lagen (1995:1301) om handläggning av skadeståndsanspråk mot staten. De anspråk som riktas mot staten har hittills rört anspråk som grundas på olika fel i myndighetsregister. Den nu föreslagna ändringen kommer därför - såvitt kan överblickas - inte att få någon praktisk konsekvens för statens skadereglering.
Övrigt
Beträffande lagtextens utformning har jag ett smärre påpekande. Som rubrik till den föreslagna 5 a § anges "Personuppgifter som inte ingår i personregister". Begreppet "personregister" förekommer inte i personuppgiftslagen i dess nuvarande lydelse. I förarbetena diskuterades begreppet, se bl.a. SOU 1997:39 s. 496 f. och det konstaterades att begreppet kunde ha olika innebörd. I dag förekommer såväl "personregister" som "databas" i författningstext för att beteckna en strukturerad samling av personuppgifter. Mot bakgrund av det sagda och av att 3 § personuppgiftslagen innehåller vissa legaldefinitioner bör det övervägas om inte den definition som ges i 5 a § bör lyftas till 3 §.
Övriga förslag som läggs fram i betänkandet föranleder inga särskilda synpunkter från min sida.