Regeringens förslag: Det skall särskilt anges under vilka förutsättningar känsliga personuppgifter m.m. får behandlas i ett ärende eller i en databas.
En handling som har kommit in eller upprättats i ett ärende får behandlas i databasen. Vid sökning efter en sådan handling får som sökbegrepp användas endast personnummer och andra uppgifter som avses i 15 kap. 2 § sekretesslagen (1980:100). Som sökbegrepp får dock inte användas känsliga personuppgifter.
Utredningens förslag överensstämmer delvis med regeringens.
Remissinstanserna: Remissinstanserna tillstyrker eller har inget att erinra mot förslaget. Länsrätten i Stockholms län anser dock att begreppet ”nödvändigt” inte bör användas i lagtext utan föreslår i stället att begreppen ”särskilda skäl” eller ”synnerliga skäl” används.
Datainspektionen anser att utredningens förslag innebär en utvidgning i förhållande till vad som gäller i dag och att sökbegränsningarna fått en för allmän utformning. Sveriges Advokatsamfund anser att det kan ifrågasättas om förslaget att begränsa sökmöjligheterna är realistiskt med hänsyn till den snabba teknikutvecklingen. Det kan enligt Advokatsamfundet inte uteslutas att även en enskild part kan ha intresse av att fritextsöka i ärenden för att kunna ta till vara sin rätt i olika sammanhang. Det bör därför övervägas om det är lämpligt att helt förhindra möjligheterna för enskilda till fritextsökning. Riksskatteverket anför bl.a. att myndigheternas diarium också används som index till datoriserade ärendehanteringssystem. Det kan enligt verket ifrågasättas om inte en myndighet oavsett de föreslagna sökbegränsningarna skulle ha rätt att använda de uppgifter som registreras i ett diarium enligt 15 kap. sekretesslagen för att söka efter handlingar i en databas.
Prop. 2000/01:33
101 Skälen för regeringens förslag: Enligt 13 § personuppgiftslagen
gäller ett principiellt förbud mot behandling av känsliga personuppgifter.
Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Det finns vissa undantag från förbudet, t.ex. då den enskilde har samtyckt till behandlingen. Undantagen är emellertid inte tillämpliga på de aktuella verksamheterna. Enligt 20 § personuppgiftslagen får dock regeringen eller den myndighet regeringen bestämmer meddela föreskrifter om ytterligare undantag om det behövs med hänsyn till ett viktigt allmänt intresse. Genom 21 § personuppgiftslagen begränsas även rätten att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden. Sådana uppgifter får behandlas endast av myndigheter.
I skatteförvaltningens, kronofogdemyndigheternas och Tullverkets verksamheter torde det sällan komma i fråga att behandla känsliga personuppgifter. I vissa situationer finns det dock anledning att tillåta behandling av känsliga uppgifter i handläggningen av ärenden. En enskild kan exempelvis i ett skatteärende om förseningsavgift ange sjukdom som skäl för att deklaration inte har lämnats i tid. En sådan uppgift måste rimligen kunna behandlas på automatiserad väg i ärendet.
Enligt regeringens mening skall därför känsliga uppgifter få behandlas i de fall det är nödvändigt för verksamheten.
När det gäller behandlingen av känsliga uppgifter måste åtskillnad göras mellan behandling av uppgifter i elektroniska handlingar i ärendehanteringssystem och annan behandling. Vid registrering av mer traditionell karaktär, dvs. när uppgifter registreras för att kunna vara sökbara och användbara vid den allmänna ärendehanteringen och verksamhetsdriften hos en myndighet, bör känsliga personuppgifter och uppgifter om lagöverträdelser m.m. få behandlas i en databas endast om det är särskilt angivet i den lag som reglerar behandlingen av personuppgifter. Rege ringen återkommer till vilka känsliga uppgifter som får behandlas när innehållet i myndigheternas databaser behandlas.
När det gäller elektronisk ärendehantering är situationen densamma som vid traditionell hantering av ärenden, nämligen att det inte är möjligt för den handläggande myndigheten att påverka innehållet i de handlingar som kommer in till myndigheten. När inkomna handlingar förs in i ett ärendehanteringssystem kan således även känsliga personuppgifter komma att tas in i databasen. Det förekommer även att personer som inte berörs av ett ärende namnges i inkomna handlingar. Motsvarande resonemang kan delvis föras i fråga om handlingar som upprättas av den handläggande myndigheten. När en myndighet skall fatta beslut i ett ärende måste hänsyn självfallet tas till det material som har kommit in.
Det materialet utgör underlag för beslut. Det kan därför vara nödvändigt att i skälen för ett beslut eller i andra handlingar som upprättas i ett ärende återge sakomständigheter eller argument som innefattar uppgifter av vitt skilda slag. Att i detalj reglera vilka uppgifter som får antecknas och i vilka fall detta får ske är därför inte möjligt. Det går heller inte att förutse de olika situationer som kan uppstå i hanteringen av ärenden. För
Prop. 2000/01:33
102 att inte omöjliggöra för myndigheter att bedriva en effektiv
ärendehantering är det nödvändigt att sådan registrering är tillåten.
Regeringen föreslår mot bakgrund av det angivna att elektroniska handlingar i likhet med vad som gäller i dag skall få innehålla samtliga de uppgifter som har lämnats i ett ärende. Även i fråga om de handlingar som upprättas av myndigheten måste det finnas en stor frihet för registrering av uppgifter. I dessa fall finns det dock en möjlighet för myndigheten att påverka innehållet i handlingarna. Känsliga personuppgifter m.m. bör därför få finnas i handlingar som har upprättats av myndigheten endast om det är nödvändigt för handläggningen av ett ärende. Kravet på att det skall vara nödvändigt att behandla känsliga personuppgifter m.m. innebär inte att det krävs att det är omöjligt att hantera frågorna på annat sätt, t.ex. genom pappershantering eller genom att utelämna vissa delar av skälen för ett beslut. Vad som avses är att behandlingen av uppgifterna skall vara nödvändig för att myndigheten skall kunna sköta sina åligganden vid hanteringen av ärenden enligt gällande rutiner och regler. Enligt regeringens mening bör begreppet
”nödvändigt” användas i förevarande sammanhang.
Elektroniska akter
Behandlingen av känsliga personuppgifter m.m. i elektroniska ärendehanteringssystem kan innebära risker för otillbörligt intrång i den personliga integriteten. I dag får de regionala skatte- och utsökningsregistren innehålla s.k. elektroniska akter. För att tillgodose behovet av skydd för enskildas personliga integritet är möjligheterna att söka i de regionala registren begränsad. I ett regionalt register kan man endast söka på uppgifter om person- eller organisationsnummer, namn, firma, ärendebeteckning, taxeringsår, beskattningsår, inkomstår, redovisningsperiod, handläggande enhet, datum och uppgift om var i handläggningsgången ett ärende befinner sig. I en elektronisk handling får som sökbegrepp användas endast ärendebeteckning och beteckning på handling.
För att ärendehanteringen skall kunna skötas på ett effektivt sätt är det nödvändigt att handläggare ges möjlighet att söka efter såväl ett ärende som enskilda handlingar, t.ex. med angivande av ärendebeteckning eller beteckning på en specifik handling. Det bör dock inte vara möjligt att i ett ärendehanteringssystem med hjälp av fria sökbegrepp göra sammanställningar av uppgifter i handlingar. Beroende på de tekniska förutsättningarna skulle en sådan möjlighet kunna innebära att sammanställningar skulle kunna göras av samtliga ärenden hos t.ex. en skattemyndighet, där de enskilda parterna i skrivelser som finns elektroniskt lagrade har åberopat psykisk sjukdom som skäl för t.ex.
avdrag vid taxeringen eller undanröjande av förseningsavgift. Något behov av att kunna göra sammanställningar av den karaktären finns inte och bör av integritetsskäl inte heller tillåtas. Regeringen delar därför utredningens bedömning att det i likhet med vad som gäller i dag är nödvändigt att ställa upp vissa särskilda regler för hanteringen av elektroniska handlingar.
Prop. 2000/01:33
103 Begränsningarna i möjligheterna att söka efter en handling i databasen
är motiverat av integritetsskäl. Den nuvarande regleringen är mycket detaljerad och det finns därför skäl att förenkla den. En förenkling får dock inte innebära att reglerna får en alltför allmän utformning.
Utredningen har föreslagit att vid sökning efter en handling i databasen bör ärendebeteckning, beteckning på handlingen eller andra uppgifter, t.ex. personnummer, som behövs för att identifiera ett ärende eller en handling få användas. Förslaget innebär en utvi dgning av möjligheterna att söka fram handlingar i ett ärende. Enligt regeringens mening är utredningens förslag vidare för allmänt hållen. En annan lösning bör därför övervägas. Som Riksskatteverket anfört torde en myndighet alltid kunna söka i sitt diarium för att få fram en handling. I ett diarium får antecknas datum då handlingen kom in eller upprättades, diarienummer eller annan beteckning, från vem handlingen kom in och i korthet vad handlingen rör. De uppgifter som finns i ett diarium är normalt inte integritetskänsliga. Enligt regeringens mening finns det därför skäl att vid regleringen av möjligheterna att söka efter en handling utgå från sekretesslagens regler. Det skall dock inte vara möjligt att söka på känsliga uppgifter och uppgifter om lagöverträdelser.
Som ovan angivit är det i dag inte möjligt att söka i en handling. När en handling är identifierad och direkt tillgänglig för handläggaren finns det emellertid enligt regeringens mening skäl att se annorlunda på saken.
Att i den situationen inte tillåta de sökmöjligheter som redan i dag ges i ordbehandlingsprogram, t.ex. för att finna ett speciellt textavsnitt, framstår inte som befogat. Det är av effektivitetsskäl inte rimligt att en handläggare när han arbetar med en omfattande elektronisk handling i ett ärende skall lägga ner tid på att på egen hand söka sig fram till ett önskat textavsnitt, i stället för att genom ett enkelt sökkommando låta datasystemet utföra det arbetet. Några faror från integritetssynpunkt med att tillåta ett sådant förfarande föreligger knappast. De uppställda sökbegränsningarna bör gälla vid sökning efter handlingar, men inte i handlingarna när de väl har identifierats.
Administrativa och tekniska uppgifter
I dag anges ofta i registerförfattningar och i tillstånd från Datainspektionen att ett personregister får innehålla de administrativa och tekniska uppgifter som behövs för den aktuella verksamheten.
Behandling av uppgifter som inte kan hänföras till de registrerade personerna, utan till myndigheters verksamhet, omfattas inte av den föreslagna lagstiftningen. Vid behandling av sådana uppgifter skall i stället personuppgiftslagen tillämpas. Det hindrar emellertid inte att administrativa uppgifter behandlas i samma datasystem som de uppgifter vilka används gemensamt för den materiella verksamheten.
Administrativa uppgifter kan därför behandlas tillsammans med andra uppgifter i en databas utan särskilt stöd i lagstiftningen, under förutsättning att behandlingen sker i enlighet med ändamålen för databasen. Som exempel på rent administrativa uppgifter kan nämnas uppgift om till vilken enhet inom en myndighet ett visst ärende hör, uppgift om vem som handlägger ett visst ärende eller uppgift om vilka
Prop. 2000/01:33
104 specialkunskaper en handläggare besitter. Sådana uppgifter kan inte
hänföras till en enskild person som omfattas av en viss verksamhet, utan behandlas endast i syfte att fördela ärenden inom myndigheten. Däremot utgör en uppgift om en handläggare självfallet en personuppgift avseende handläggaren själv. De nu nämnda uppgifterna bör enligt regeringens mening, utan hinder av att det inte anges i lagstiftningen, kunna behandlas tillsammans med andra uppgifter i databasen.
Vissa uppgifter som behandlas av administrativa skäl, utgör emellertid samtidigt verksamhetsanknutna personuppgifter. Det kan exempelvis gälla uppgift om i vilken vallokal en person skall avlägga sin röst vid ett val. En sådan uppgift behandlas av administrativa skäl, men utgör samtidigt en upplysning om den röstberättigade. Detsamma gäller enligt regeringens mening för en uppgift om särskild sekretessmarkering som registreras i samband med andra uppgifter om en person, och för vilka särskild försiktighet skall iakttas i samband med utlämnande. För den nämnda kategorin av uppgifter bör den föreslagna lagstiftningen vara tillämplig.
Avgörande för bedömningen av om en administrativ uppgift som behandlas i ett gemensamt datasystem omfattas av bestämmelserna i lagförslagen, är således om uppgiften även kan anses utgöra en personuppgift som har anknytning till den materiella verksamheten. Om en uppgift i en databas anses utgöra en rent administrativ uppgift eller om den även utgör en verksamhetsanknuten personuppgift, har betydelse för om information enligt 26 § personuppgiftslagen skall lämnas eller inte. Informationsskyldigheten avser nämligen endast personuppgifter och således inte rent administrativa uppgifter.
Behandling av uppgifter av teknisk karaktär som används uteslutande eller huvudsakligen för att ett datasystem skall fungera, t.ex. koder som anger på vilket sätt en viss uppgift skall lagras i systemet, behöver inte heller regleras särskilt. Sådana uppgifter har inte någon egentlig anknytning till innehållet i en databas utan utgör närmast en del av de tekniska lösningarna i ett datasystem, och får således registreras utan att det behöver anges i den föreslagna lagstiftningen. En förutsättning är dock att de tekniska uppgifterna, ensamma eller tillsammans med andra uppgifter, inte tillför någon saklig information som kan hänföras till de registrerade personerna.