4 Förhållandet till vissa andra rättsområden
4.5 Dataskydd
4.5.1 EU:s dataskyddsreform
Dataskyddsregleringen utgör ett starkt skydd för den enskilde avse- ende hur myndigheter och andra enskilda verksamheter behandlar personuppgifter. Under år 2018 genomfördes en genomgripande data- skyddsreform inom EU som omfattade dels en allmän dataskydds- förordning (GDPR), dels ett dataskyddsdirektiv som behandlar data- skyddet vid brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet. En konsekvens av reformen är att personuppgiftslagen (1998:204) har upphävts och att den svenska lagstiftningen om personuppgiftsbehandling har setts över och anpassats.
Dataskyddsförordningen och dataskyddslagen
Dataskyddsförordningen började tillämpas den 25 maj 2018. Förord- ningen, som är direkt tillämplig, utgör en ny generell reglering för behandling av personuppgifter inom EU och ersätter 1995 års data- skyddsdirektiv. Förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis sker på automatisk väg och på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. I förordningen regleras bl.a. grund- läggande principer för behandling av personuppgifter, den registre- rades rättigheter, personuppgiftsansvar, överföring av personupp- gifter, tillsyn över personuppgiftsbehandling, rätten för enskilda att få tillgång till rättsmedel och sanktioner mot ansvariga som inte lever upp till förordningens krav.
Från dataskyddsförordningens tillämpningsområde undantas per- sonuppgiftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verk- ställa straffrättsliga påföljder, inkluderande skydd mot samt före- byggande och förhindrande av hot mot den allmänna säkerheten. Personuppgiftsbehandling för dessa syften omfattas i stället av det nya dataskyddsdirektivets tillämpningsområde.
Dataskyddsförordningen både förutsätter och medger nationella bestämmelser som kompletterar eller föreskriver undantag från för- ordningens regler. I Sverige kompletteras dataskyddsförordningen av
lagen (2018:218) med kompletterande bestämmelser till EU:s data- skyddsförordning (dataskyddslagen) och förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning. Lagen med tillhörande förordning förtydligar under vilka förutsätt- ningar personuppgifter får behandlas med stöd av dataskyddsförord- ningen.
Dataskyddslagen är subsidiär i förhållande till annan lag eller för- ordning, vilket innebär att avvikande bestämmelser i registerförfatt- ningar har företräde (1 kap. 6 §). Lagen – och dataskyddsförordningen – ska inte heller tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen (1 kap. 7 §). Myndigheter kan alltså utan hinder av dataskyddsförordningen på begäran från en enskild lämna ut papperskopior eller pappersutskrif- ter av allmänna handlingar i enlighet med 2 kap. TF, såvida hand- lingarna inte innehåller sekretessbelagda uppgifter. När det gäller myndigheters tillgängliggörande av information på eget initiativ, t.ex. genom att göra allmänna handlingar tillgängliga via internet, ska där- emot dataskyddsförordningen och dataskyddslagen tillämpas fullt ut. Detta gäller även vid överföring av personuppgifter mellan myndig- heter enligt offentlighets- och sekretesslagen (jfr Sören Öman, Data-
skyddsförordningen (GDPR) m.m., Zeteo, 7 juni 2019, kommentaren
till 1 kap. 7 § dataskyddslagen).
Dataskyddsdirektivet och brottsdatalagen
Dataskyddsdirektivet har genomförts i svensk rätt i huvudsak genom brottsdatalagen (2018:1177). Syftet med lagen är både att skydda fysiska personers grundläggande fri- och rättigheter i sam- band med personuppgiftsbehandling och att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt.
Brottsdatalagen ska tillämpas av myndigheter som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätt- hålla allmän ordning och säkerhet, när de behandlar personuppgifter för ett sådant syfte. Lagen ska även tillämpas av andra aktörer än myndigheter som har anförtrotts myndighetsutövning för syftena brottsbekämpning, lagföring, straffverkställighet eller upprätthållande
SOU 2020:55 Förhållandet till vissa andra rättsområden
77
av allmän ordning och säkerhet när de behandlar personuppgifter för ett sådant syfte. Dessa myndigheter och aktörer benämns behöriga
myndigheter.
Brottsdatalagen innehåller grundläggande bestämmelser om hur personuppgifter får behandlas. I lagen finns även bestämmelser om personuppgiftsansvarigas skyldigheter, enskildas rättigheter och till- synen över personuppgiftsbehandling, samt om sanktionsavgifter, skadestånd och rättsmedel. Lagen kompletteras av brottsdataförord- ningen (2018:1202), som genomför vissa detaljbestämmelser i data- skyddsdirektivet.
Brottsdatalagen är subsidiär i förhållande till annan lag eller för- ordning. De myndigheter som ska tillämpa brottsdatalagen har i de flesta fall särskilda registerförfattningar som gäller utöver brotts- datalagen och som innehåller preciseringar, undantag eller avvikelser från bestämmelserna i den lagen, t.ex. bestämmelser om längsta tid för behandling och sanktionsavgifter.
4.5.2 Grundläggande principer för personuppgiftsbehandling Grundläggande krav vid behandlingen
All behandling av personuppgifter måste uppfylla vissa grundlägg- ande krav som framgår av artikel 5.1 i dataskyddsförordningen (jfr 2 kap. 3, 6–8 och 15–17 §§ brottsdatalagen). Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt. Uppgifterna ska sam- las in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning eller finalitetsprincipen). Uppgifterna ska vidare vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen (uppgiftsminimering) samt korrekta och, om det är nöd- vändigt, uppdaterade. Alla rimliga åtgärder ska vidtas för att säker- ställa att felaktiga personuppgifter raderas eller rättas utan dröjsmål. Personuppgifter får inte heller förvaras under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen och de ska skyddas genom lämpliga säkerhetsåtgärder.
Det är den personuppgiftsansvarige som ska säkerställa att kraven följs vid behandlingen av uppgifterna (artikel 5.2).
Rättslig grund
För att en behandling av personuppgifter ska vara laglig måste den vila på en rättslig grund enligt artikel 6.1 i dataskyddsförordningen. De rättsliga grunderna är samtycke, avtal, rättslig förpliktelse, grund- läggande intresse, allmänt intresse, myndighetsutövning och – såvitt avser behandling som utförs av enskilda – intresseavvägning. Person- uppgiftsbehandlingen ska även vara nödvändig.
Om behandlingen utförs med stöd av någon av de rättsliga grun- derna rättslig förpliktelse, allmänt intresse eller myndighetsutövning måste denna vara fastställd i unionsrätten eller i nationell rätt i enlig- het med artikel 6.3.
När en myndighet, vars behandling av personuppgifter faller under brottsdatalagen, lämnar ut allmänna handlingar omfattas inte den behandlingen av brottsdatalagen. I stället blir dataskyddsförordning- ens bestämmelser tillämpliga och i de flesta fall är det de rättsliga grunderna rättslig förpliktelse och allmänt intresse som aktualiseras (Brottsdatalag, prop. 2017/18:232, s. 107 f. och 131 ff.).
Känsliga personuppgifter
Dataskyddsförordningen förbjuder, som huvudregel, behandling av personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning. Detsamma gäller behandling av genetiska och biometriska uppgifter (artikel 9.1 data- skyddsförordningen; jfr 2 kap. 11 och 12 §§ brottsdatalagen).
4.6
Säkerhetsskydd
4.6.1 Säkerhetsskyddslagen
Säkerhetsskydd innebär bl.a. förebyggande åtgärder för att skydda säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott. Kraven på säkerhetsskyddet har förändrats genom utveck- lingen i omvärlden och på informationsteknikområdet, ökningen av säkerhetskänslig verksamhet som bedrivs i enskild regi och en ökad internationell samverkan. För att stärka säkerhetsskyddet har säker- hetsskyddslagstiftningen nyligen varit föremål för en översyn och en
SOU 2020:55 Förhållandet till vissa andra rättsområden
79
ny säkerhetsskyddslag (2018:585) trädde i kraft den 1 april 2019. Den nya lagen gäller för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd, s.k. säkerhetskänslig verksamhet (1 kap. 1 §).
Säkerhetsskyddet omfattar inte bara skydd av säkerhetskänslig verksamhet, utan även skydd av säkerhetsskyddsklassificerade uppgifter. En uppgift är säkerhetsskyddsklassificerad om den rör säkerhetskäns- lig verksamhet och därför omfattas av sekretess enligt offentlighets- och sekretesslagen, eller skulle ha omfattats av sekretess om den lagen hade varit tillämplig (1 kap. 2 §). Det andra ledet i bestämmel- sen tar sikte på enskilda verksamhetsutövare som normalt inte om- fattas av offentlighets- och sekretesslagens regler.
Säkerhetsskyddsklassificerade uppgifter delas in i olika säkerhets- skyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Det finns fyra olika säkerhetsskydds- klasser: kvalificerat hemlig vid en synnerligen allvarlig skada, hemlig vid en allvarlig skada, konfidentiell vid en inte obetydlig skada och
begränsat hemlig vid endast ringa skada (2 kap. 5 §).
Lagen innehåller krav på olika säkerhetsskyddsåtgärder i form av informationssäkerhet, fysisk säkerhet och personalsäkerhet för de aktörer som bedriver säkerhetskänslig verksamhet.
Åtgärder inom informationssäkerhet ska företas dels för att före- bygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, dels för att förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet (2 kap. 2 §). Tillämpningsområdet för säkerhetsskyddsåtgärden informationssäkerhet har utvidgats bl.a. till att även avse skydd av uppgifter och informationssystem som inte utgör eller innehåller säkerhetsskyddsklassificerade uppgifter, men som har ett högt skyddsvärde av andra skäl, t.ex. system inom digital infrastruktur eller för styrning av viktiga samhällsfunktioner. Det ut- ökade skyddet avser framför alltuppgifternas riktighet och tillgäng- lighet (Ett modernt och stärkt skydd för Sveriges säkerhet – ny säker-
4.6.2 Informationssäkerhet
Reglerna om informationssäkerhet i säkerhetsskyddslagen gäller inte för alla verksamheter utan för de som är mest skyddsvärda. Krav på informationssäkerhet som gäller för samtliga statliga myndigheter finns emellertid i förordningen (2015:1052) om krisberedskap och bevakningsansvarigas myndigheters åtgärder vid höjd beredskap. Av 19 § framgår att varje myndighet ansvarar för att sina informations- hanteringssystem uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett till- fredsställande sätt och att behovet av säkra ledningssystem för infor- mationssäkerhet särskilt ska beaktas. Förordningen kompletteras av föreskrifterna om statliga myndigheters informationssäkerhet och om statliga myndigheters rapportering av it-incidenter från Myndig- heten för samhällsskydd och beredskap (MSBFS 2016:1 och 2016:2). I föreskrifterna finns ytterligare reglering kring utformning av led- ningssystem för informationssäkerhet samt krav på myndigheternas informationssäkerhetsarbete, bl.a. gällande incident- och kontinui- tetshantering.
För kommuner och regioner finns inte motsvarande reglering om informationssäkerhet som för statliga myndigheter. I lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap med tillhörande förordning, finns bestämmelser om vilka åtgärder kommuner och regioner ska vidta för att hantera krissituationer i fred för att kunna minska sår- barheten i sin verksamhet. Regleringen innehåller emellertid inte några specifika bestämmelser om informationssäkerhet i bemärkelsen säker informationshantering.
4.7
Immateriella rättigheter
4.7.1 Upphovsrätt Allmänt om upphovsrätt
Upphovsrätt gäller som huvudregel för litterära och konstnärliga verk oavsett i vilken form dessa har kommit till uttryck och regleras i lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk (upphovsrättslagen, URL). För att upphovsrätt ska föreligga krävs att verket har höjt sig till en viss grad av självständighet och origina-
SOU 2020:55 Förhållandet till vissa andra rättsområden
81
litet, s.k. verkshöjd (Peter Adamsson m.fl., Kommentaren till lagarna
inom immaterialrätten, Zeteo 2008, kommentaren till 1 kap. 1 § URL).
I myndigheternas verksamheter förekommer ett stort antal verk och andra alster som kan vara föremål för upphovsrätt eller närstå- ende rättigheter. Rätten för enskilda att ta del av allmänna handlingar gäller även för handlingar som är upphovsrättsligt skyddade (2 kap. 26 b § URL).1 Den person som fått ut handlingen får däremot inte
någon rätt att utnyttja verket utöver vad upphovsrättslagen medger. Den fria användningen av allmänna handlingar kan alltså begränsas av upphovsrättslig reglering (1 kap. 11 § TF). Myndigheter som har upphovsrätt till en handling kan därför ställa upp villkor för vidareut- nyttjandet av handlingen i enlighet med reglerna i upphovsrättslagen.
Upphovsrättslagen gör skillnad mellan upphovsrätt för handlingar som har upprättats hos myndigheten och handlingar som har kom- mit in till myndigheten. Upphovsrätten till handlingar som kommer in till en myndighet innehas i huvudsak av någon annan än myndig- heten. Eftersom öppna data-direktivet inte är tillämpligt på hand- lingar som omfattas av tredje mans upphovsrätt enligt artikel 1.2.c är det i första hand handlingar som har upprättats av myndigheter som är av intresse för framställningen.
Upphovsrätt till upprättade handlingar
Vissa kategorier av handlingar av stats- eller förvaltningsrättslig karak- tär som upprättats av en myndighet – författningar, beslut, yttran- den och officiella översättningar av sådana handlingar – skyddas nor- malt inte av upphovsrätt och får återges helt fritt (1 kap. 9 § URL). Detta gäller emellertid inte för kartor, alster av bildkonst, musika- liska verk eller diktverk som ingår i en sådan handling. Har ett verk av denna typ tagits in i exempelvis ett beslut omfattas det likväl av upphovsrätt, men denna är dock inskränkt eftersom verken, med undantag av kartor, får återges fritt enligt 2 kap. 26 a § första stycket URL. Upphovsrättsmannen har emellertid rätt till ersättning. Upp- hovsrätt gäller även till ett verk som ingår i en bilaga till ett myndig- hetsbeslut, om beslutet avser utlämnande av en allmän handling där verket ingår i handlingen. Verket behåller alltså sitt upphovsrättsliga skydd trots att det blir en del av myndighetens beslut.
1 Sekretess kan emellertid gälla för uppgifter i vissa typer av handlingar som har lämnats in till
Andra upprättade myndighetshandlingar än de av stats- eller för- valtningsrättslig karaktär, t.ex. handböcker, skyddas som huvudregel av upphovsrätt, men även sådana handlingar får enligt 2 kap. 26 a § andra stycket URL återges fritt. Undantag från rätten till fri åter- givning görs emellertid i 2 kap. 26 a § tredje stycket URL för vissa kategorier av handlingar som har ansetts behöva samma upphovs- rättsliga skydd som inom den privata sektorn. Det rör sig bl.a. om kartor, tekniska förebilder, datorprogram och handlingar som till- handahålls allmänheten i samband med myndighetens affärsverksam- het. För att framställa exemplar av sådana handlingar eller för att göra dem tillgängliga krävs rättighetshavarens tillstånd.
Upphovsrätt gäller alltså fullt ut för kartor, oavsett om dessa fram- ställts i myndighetens offentliga verksamhet eller i dess affärsverk- samhet. Kartor kan därför inte fritt återges utan myndighetens till- stånd. En förutsättning för det upphovsrättsliga skyddet är emellertid att kartan uppnår verkshöjd. Det är oklart om kartdata som används för automatiserad kartritning utgör kartor i upphovsrättslig mening och därmed omfattas av undantagen i 1 kap. 9 § och 2 kap. 26 a § URL (Jonas Ledendal m.fl., Offentlighet i det digitala samhället, Norstedts Juridik 2018).
4.7.2 Andra immateriella rättigheter
Utöver det upphovsrättsliga skyddet kan det i handlingar som finns hos myndigheter förekomma sådant som är föremål för annat im- materialrättsligt skydd, t.ex. skydd för varumärken eller mönster som begränsar rätten att fritt vidareutnyttja handlingen. Detta kan förekomma i såväl upprättade som inkomna handlingar och rättig- heterna kan tillkomma såväl myndigheter som tredje man.
83
5
Arbetet med digital information
från den offentliga sektorn
5.1
Inledning
Information som samlas in eller framställs i den offentliga sektorn är en stor tillgång för samhället. Möjligheten att utnyttja sådan infor- mation vidare har genom offentlighetsprincipen gamla anor i Sverige. Digitaliseringen av offentlig förvaltning och nya tekniska lösningar för att ta del av information av olika slag gör att de praktiska möj- ligheterna att vidareutnyttja information har ökat markant.
I detta kapitel redogör vi för det digitaliseringsarbete som utförs i Sverige och inom EU avseende information från den offentliga sektorn. Inledningsvis redogör vi för nyttan med ett ökat tillgäng- liggörande och vidareutnyttjande av information, avsnitt 5.2, och för risker i samband med ökad tillgång till information, avsnitt 5.3. I avsnitt 5.4 beskriver vi den digitala inre marknaden inom EU. Där- efter behandlas riksdagens och regeringens arbete med digitalisering, avsnitt 5.5, och slutligen den offentliga förvaltningens arbete med digital information och de regeringsuppdrag som finns på området, avsnitt 5.6.
I detta kapitel kommer begreppen information och handling att användas synonymt, om inte något annat särskilt anges. Begreppen behandlas närmare i avsnitt 8.2.