Remissyttrande över betänkandet Hur står det till med den personliga integriteten? (SOU 2016:41)

Justitiekanslerns utgångspunkter

Justitiekanslern vakar över tryck- och yttrandefriheten och har tillsyn över att de som utövar offentlig verksamhet följer lagar och andra författningar m.m. I Justitiekanslerns uppdrag ingår även att bevaka statens rätt och att medverka till att rätts­tillämpningen är effektiv och av hög kvalitet.

Justitiekanslerns genomgång av det aktuella betänkandet har skett utifrån dessa utgångs­punkter. Genomgången följer betänkandets disposition och alla kapitel- och sidhänvisningar avser betänkandet, om inte annat anges.

Kommitténs sammantagna bedömning (kapitel 3)

Justitiekanslern anser att kommittén har gjort en gedigen och värde­full genomgång av de risker för intrång i den personliga integriteten som kan upp­komma i samband med användning av informationsteknik.

Det är betydelsefullt med den typ av helhetsgrepp om utvecklingen som kommittén har tagit. Genomgången har ett tydligt individperspektiv och avser både offentlig och privat verksamhet. Den kan därför ses både som en uppdatering av och ett komplement till den kartläggning och analys som Integritets­skydds­kommittén gjorde i sitt delbetänkande år 2007 (Skyddet för den personliga integriteten – Kartläggning och analys, SOU 2007:22).

Kommitténs generella slutsats (s. 51) är att den enskilde på ett flertal om­råden drabbas av stegvisa försämringar av den personliga integriteten. Det sägs bl.a. att hanteringen av personuppgifter ökar i och med digitaliseringen, samtidigt som den enskildes kunskap om hur uppgifterna hanteras minskar. Kommittén bedömer att den enskildes möjlighet att genom ett verkligt fritt val bestämma hur uppgifterna om honom eller henne ska hanteras minskar.

Justitiekanslern instämmer i kommitténs bedömning att digitaliseringen medför risker från ett integritetsperspektiv. Som kommittén påpekar innebär teknikutvecklingen samtidigt stora fördelar. Det är knappast möjligt, och inte heller önskvärt, att stoppa den tekniska utvecklingen och samhällets arbete måste därför rikta in sig på att hantera riskerna och att värna den personliga integriteten i det nya landskapet. I det sammanhanget kan det glädjande nog konstateras att integritetsfrågorna generellt sett är föremål för betydande uppmärksamhet och diskussion. Det finns ett stort engagemang i den allmänna debatten och såväl regeringen som myndigheterna arbetar aktivt med frågorna. Detta återspeglas bl.a. i det stora antal offentliga utredningar som har genomförts på området. När det gäller dataskydd pågår det vidare ett intensivt arbete på EU-nivå. På ett övergripande plan kan integritetsfrågorna därför inte sägas vara försummade, även om det givetvis krävs ett kontinuerligt arbete för att värna den personliga integriteten.

Förhållandet till tryck- och yttrandefriheten (avsnitt 3.3.8)

Kommittén nämner (s. 58 f., 60 f. och 165 f.) det förhållandet att person­uppgiftslagen (1998:204), nedan PUL, inte tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihets­förordningen eller yttrandefrihetsgrundlagen. Detta framgår av 7 § PUL.

Justitiekanslern konstaterar att denna ordning, att PUL sätts ur spel när tryckfrihetsförordningen eller yttrandefrihetsgrundlagen är tillämplig, kan ge anledning till viss oro för den personliga integriteten, särskilt med tanke på att det är relativt lätt att få utgivningsbevis för en webbplats. När ett sådant bevis har utfärdats är PUL inte tillämplig. I vissa fall kan det därmed uppstå en konflikt mellan tryck- och yttrandefriheten å ena sidan och den personliga integriteten å andra sidan. En sådan konflikt kan uppstå också i förhållande till offentlighetsprincipen och möjligen även i relation till den s.k. PSI-lagstift­ningen (jfr s. 304 f. i betänkandet om denna lagstiftning).

Justitiekanslern vill betona att den öppenhet som de svenska grundlagarna för med sig har ett mycket stort värde. Denna öppenhet måste i vissa fall ändå vägas mot behovet av skydd för den enskildes personliga integritet. I detta sammanhang kan det noteras att Medie­grundlags­kommittén nyligen har föreslagit att vissa typer av söktjänster inte ska omfattas av skydd enligt yttrandefrihetsgrundlagen (Ändrade mediegrundlagar, SOU 2016:58). För­slaget motiveras utifrån riskerna för intrång i den personliga integriteten.

Tillsyn (avsnitt 3.3.5, 6.7 och 23.2)

Kommittén anför som en av sina slutsatser (s. 56 f.) att tillsynen över den personliga integriteten är otillräcklig och att tillsynen i dag är splittrad på flera olika myndigheter. Kommittén har dock avstått från att fördjupa sig i frågan, eftersom den samtidigt har analyserats av en annan utredning.

Justitiekanslern anser i likhet med kommittén att tillsynen i fråga om den personliga integriteten är viktig och att Datainspektionen har en central roll i detta arbete. Det kan vidare diskuteras om inspektionen har de resurser som krävs, bl.a. när det gäller personal, eller om en förstärkning behövs.

Mer tveksamt är om det finns ett problem med splittring av tillsynen. Utredningen om tillsynen över den personliga integriteten, som har letts av justitiekanslern, har nyligen överlämnat betänkandet Ett samlat ansvar för tillsyn över den personliga integriteten (SOU 2016:65) till regeringen. Utredningen konstaterar att tillsynen över behandlingen av personuppgifter till stor del är samlad hos en myndighet, Datainspektionen, som också har ett övergripande ansvar när det gäller skyddet för den personliga integri­te­ten. Därutöver finns några myndigheter som har ett begränsat tillsyns­ansvar över viss behandling av personuppgifter. Det förklaras ofta av att denna tillsyn har en stark koppling till myndighetens tillsyn i övrigt. Mot bl.a. denna bak­grund bedömer utredningen att det inte är möjligt eller ens lämpligt att samla all tillsyn över behandling av personuppgifter hos en enda myndighet (se framför allt avsnitt 8.3 i det nämnda betänkandet).

Justitie­kanslern konstaterar att frågan om hur tillsynen i övrigt ska vara ordnad behandlas utförligt i det nämnda betänkandet. Det saknas skäl att kommentera den framtida tillsynen närmare i detta remissyttrande.

Lika viktigt som en kraftfull tillsyn är dock att personuppgiftsansvariga har möjlighet att göra rätt och värna den personliga integriteten redan från början. Detta förutsätter i sin tur ett klart och tydligt regelverk som går att överblicka och tillämpa. Detta måste framhållas särskilt med tanke på det omfattande arbete som pågår med anpassningar till nya EU-regler.

När det gäller Justitiekanslerns egen tillsyn kan följande tilläggas till den beskrivning som kommittén ger. Justitiekanslern är vad som brukar kallas ett extraordinärt tillsynsorgan, vilket betyder att Justitiekanslerns tillsyn inte är avsedd att ersätta den tillsyn som ankommer på andra myndigheter, som Datainspektionen. Detta hindrar dock inte att Justitiekanslern ibland, t.ex. i samband med inspektioner, uppmärksammar frågor som gäller behandling av personuppgifter. Som berörs närmare nedan är Justitie­kanslern vidare den myndighet som handlägger skadeståndsanspråk mot staten med hänvisning till felaktig personuppgiftsbehandling, se 3 § förordningen (1995:1301) om hand­läggning av skadeståndsanspråk mot staten. I sina skadeståndsärenden tar Justitiekanslern, oavsett om skadestånd lämnas eller inte, ofta ställning till om behandlingen av personuppgifter har skett i enlighet med PUL eller särskilda register­författningar. Skaderegleringen kan på så sätt sägas innehålla ett ganska stort mått av tillsyn på området.

Skadestånd (avsnitt 3.3.6, 6.8.4 och 23.3)

Skadestånd för felaktig behandling av personuppgifter kan, på det statliga området, lämnas efter beslut av Justitiekanslern eller efter rättegång i allmän domstol. Det är mycket vanligare att anspråk fram­ställs hos Justitiekanslern än i domstol. Justitie­kans­lerns verksamhet i detta avseende (den frivilliga skaderegleringen) beskrivs på ett korrekt sätt i avsnitt 23.3 i betänkandet.

I sin sammantagna bedömning (s. 57) anger kommittén dock att det skade­ståndsrättsliga sanktionssystemet inte verkar användas i någon större om­fattning och inte kan sägas fungera fullt ut, bl.a. eftersom kommittén för perioden 2012–2015 funnit endast fem tvistemål om skadestånd enligt PUL.

Kommittén tycks här bortse från att Justitie­kans­lern under samma period har fattat omkring 230 beslut som gällt skadestånd med hänvisning till felaktig behandling av personuppgifter, bortsett från de ca 3 000 beslut som har rört skadestånd p.g.a. uppgiftssamlingen ”Kringresande”. I dessa 230 fall har skadestånd beviljats i ca 110 fall. Det skadeståndsrättsliga systemet används alltså i större utsträckning än vad som framgår av kommitténs sammantagna bedömning. En prövning hos Justitie­kanslern är på många sätt fördelaktig för den enskilde, som t.ex. inte behöver betala någon ansökningsavgift.

När det gäller skadestånd kan det också finnas skäl att kommentera några sakuppgifter i betänkandet. Kommittén anger (s. 171) att om den personliga integriteten har kränkts på ett sätt som strider mot regeringsformen kan det finnas en rätt till skadestånd som grundas direkt på grundlagen. Kommittén hänvisar till NJA 2014 s. 323. Det rättsfallet gällde dock en överträdelse av 2 kap. 7 § andra stycket regeringsformen, dvs. skyddet för det svenska med­borgarskapet. Den absoluta merparten av regeringsformens bestämmelser, bl.a. 2 kap. 6 § andra stycket om skydd mot integritetsintrång, kan enligt gällande rätt inte anses vara direkt skadeståndssanktionerade.

När det gäller Justitiekanslerns beslut om skadestånd med hänvisning till uppgiftssamlingen ”Kringresande” (s. 627 f.) kan nämnas att vissa av de personer som förekommit i uppgifts­samlingen har väckt talan mot staten vid Stock­holms tingsrätt och begärt en högre ersättning än den på 5 000 kr som Justi­tiekanslern tidigare beslutat om. Tingsrätten har i en dom den 10 juni 2016 bifallit kärandenas talan och beslutat att staten ska lämna skadestånd med ytterligare 30 000 kr till var och en av de elva kärandena. Justitiekans­lern har över­klagat domen till Svea hovrätt, som har meddelat prövnings­tillstånd.

E-förvaltning (kapitel 11)

Kommittén bedömer (s. 321 ff.) att regeringen och myndigheterna inom ramen för satsningar på e-förvaltning har fokuserat på att öka sprid­ningen och användningen av personuppgifter, för att på så sätt utnyttja de möjlig­heter som teknikutvecklingen ger. Enligt kommittén har man arbetat betyd­ligt mindre med att skydda personuppgifter, trots att teknikutvecklingen ger förbättrade möjligheter även i det avseendet. Enligt kommittén förekommer det att frågor om t.ex. personuppgiftsansvar, behörig­hetstilldelning och för­en­lighet med register­författningar behandlas i ett sent skede – eller i värsta fall inte alls – när nya system utvecklas och tas i drift. Detta innebär enligt kommittén bl.a. att man riskerar att bygga in egenskaper i system, arbets­former och i författningar som kan bli mycket svåra och dyra att ändra på, om följderna för den personliga integriteten visar sig bli allvarliga.

Justitiekanslern anser att kommittén pekar på en viktig fråga. Det är lätt hänt att myndigheter i entusiasm över de tekniska möjligheterna utformar nya system och arbetssätt utan att beakta integritetsrisker på ett tillfredsställande sätt. Integritetsaspekten, och en analys av gällande rätt, måste alltid finnas med och prioriteras när nya system och arbetsformer utvecklas. Detta är en lednings- och styrningsfråga och här finns utrymme för förbättringar.

Kommitténs överväganden och förslag (avsnitt 24.5)

Kommitténs överväganden och förslag utgår i stora delar från de frågor som Integritetsskyddskommittén lyfte i sitt slutbetänkande (Skyddet för den personliga integriteten - Bedömningar och förslag, SOU 2008:3).

Det föreslås således att Datainspektionens uppdrag ska utvidgas till att omfatta bl.a. en analys av utvecklingen på it-området när det gäller frågor som rör integritet, ny teknik och de legala förutsättningarna för integritets­skydd. Det föreslås vidare att Datainspektionen ska lämna en årlig redo­visning om utvecklingen inom detta område till regeringen. Det föreslås slutligen att regeringen i en årlig skrivelse ska informera riksdagen om utvecklingen och det aktuella tillståndet när det gäller dessa frågor.

Kommittén anser att det saknas behov av ett nytt integritets­skydds­organ som, på det sätt som Integritetsskydds­kommittén ansåg kunde över­vägas, skulle ha till huvuduppgift att verka för en säkrare avvägning av motstående intressen i lagstiftningen. Skälet för kommitténs bedömning i denna del är bl.a. att Data­inspektio­nen redan i dag har ett övergripande ansvar för skyddet av personuppgifter, vilket innebär att myndigheten regel­mässigt är remissinstans i sådana frågor och ofta finns representerad i utredningar. Det finns dessutom ett flertal andra myndigheter och organisationer som granskar förslag till ny lagstiftning ur ett integritetsskyddsperspektiv.

Justitiekanslern kan redan nu ställa sig bakom kommitténs bedömning att det inte behövs ett nytt integritetsskyddsorgan, trots att kommittén ännu inte följt upp effekterna av 2011 års förstärkning av grund­lagsskyddet för den personliga integriteten. Som kommittén påpekar granskas redan i dag nya lagförslag ur ett integritetsskyddsperspektiv och det saknas skäl att tro att ett nytt organ skulle medföra någon avgörande skillnad i det avseendet.

När det gäller övriga förslag syftar dessa framför allt till att förse regeringen och riksdagen med kunskap om utvecklingen på området samt att bidra till en överblick över utvecklingen och dess effekter. Justitiekanslern har inget att invända mot dessa förslag. Det framstår inte som att den föreslagna ordningen riskerar att komma i konflikt med EU-rättens krav på en full­ständigt oberoende tillsynsmyndighet (jfr avsnitt 9.3 i SOU 2016:65).

Fortsatt arbete och kommande lagstiftning (avsnitt 3.1 och 6.5.8)

Kommittén anger (missivet och s. 49) att kommittén nu fortsätter med en uppföljning av effekterna i lagstiftningsarbetet av den förstärkning av grund­lagsskyddet för den personliga integriteten som genomfördes år 2011. Det anges vidare att kommittén avser att överväga förslag till åtgärder för att minska de integritetsrisker som har kartlagts i delbetänkandet.

Justitiekanslern vill i denna del bara påpeka att det, utifrån hur kommitté­direktiven är utformade, är något oklart vad kommittén syftar på när det gäller arbetet med förslag till åtgärder. Det arbete som just nu pågår inom ramen för andra utredningar (bl.a. Dataskyddsutredningen och Utredningen om 2016 års dataskyddsdirektiv) är till stor del inriktat på att säkerställa genom­förandet av den nya dataskydds­för­ordning som ska börja tillämpas 2018 och det nya direktiv som ska gälla på det brotts­bekämpande området. Om kommittén avser att föreslå åtgärder på integritetsskyddsområdet är det av stor vikt att det sker en samordning med bl.a. dessa utredningar.

Avslutningsvis vill Justitiekanslern rent allmänt framhålla vikten av plane­ring och sam­ordning inom Regeringskansliet när det gäller utrednings- och lagstiftnings­arbetet på detta område. Flera utredningar har inte kunnat full­följa sina uppdrag fullt ut, eller har fått sitt arbete delvis omkullkastat, till följd av det arbete som parallellt har bedrivits på EU-nivå. Det gäller bl.a. Informationshanteringsutredningen, som lade stor kraft på att utarbeta ett förslag till myndighetsdatalag (Myndighetsdatalag, SOU 2015:39). Det har vidare förekommit att frågor som ligger nära varandra har hanterats av olika utredningar på ett olyckligt sätt. Behovet av ett nytt integritets­skydds­organ har t.ex. analyserats av Integritetskommittén samtidigt som anknytande frågor om ett sådant organ har uppdragits åt Utredningen om tillsynen över den personliga integriteten att utreda. För en utomstående framstår uppdel­ningar av detta slag som svårbegripliga. Brister i planering och sam­ordning riskerar ytterst att påverka och försämra kvaliteten i lagstiftningen.