Internationell reglering till skydd för den personliga integriteten vid behandling av personliga integriteten vid behandling av

personuppgifter

5.2.1 FN:s allmänna förklaring om de mänskliga

rättigheterna m.m.

Den allmänna förklaringen om mänskliga rättigheter antogs år 1948 av FN:s generalförsamling. Förklaringen omfattar politiska och med-borgerliga rättigheter men även sociala, ekonomiska och kulturella. Den allmänna förklaringen är inte bindande för medlemsstaterna men ses numera som ett uttryck för sedvanerättsliga regler. Skyddet för den personliga integriteten behandlas i artikel 12. Där stadgas att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. Vidare anges i artikel 29 att en person endast får underkastas sådana inskränkningar som har fast-ställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och friheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.

FN har också antagit den internationella konventionen om med-borgerliga och politiska rättigheter. Konventionen antogs 1966 och trädde i kraft 1976. För närvarande är cirka 150 stater, däribland Sverige, anslutna till konventionen. I artikel 17 i konventionen upp-repas innehållet i ovannämnda artikel 12 i den allmänna förklaringen. För att öka respekten för konventionens rättigheter har vissa kon-troller införts, band annat rapporteringsskyldighet för medlemsstater-na. Kommittén för mänskliga rättigheter (Human Rights Committee) har inrättats för att övervaka att medlemsstaterna efterlever sina skyldigheter enligt konventionen.

I sammanhanget bör också nämnas att FN:s generalförsamling år 1990 antog riktlinjer om datoriserade register med personuppgifter (Guidelines concerning computerized personal data files). Riktlinjer-na anger tio grundläggande principer som medlemsstaterRiktlinjer-na ska ta hänsyn till vid lagstiftning avseende datoriserade register med person-uppgifter. Det anges bland annat att personuppgifter inte får samlas in eller behandlas på ett olagligt sätt eller användas för syften som står i strid med FN:s stadga. Ändamålet med registret ska vara spe-cificerat, berättigat och på något sätt uttryckligt angivet för den

SOU 2014:45 Rättsliga förutsättningar för registerbaserad forskning

som berörs. Detta är för att försäkra att alla personuppgifter som samlas in och behandlas är relevanta och adekvata för det angivna ändamålet, att uppgifterna inte används i strid med det angivna ända-målet och att uppgifterna inte bevaras längre än som krävs för att uppfylla det angivna ändamålet. Enligt riktlinjerna ska var och en ha rätt att få reda på om information om henne eller honom är registre-rad och i så fall vilken. Var och en ska vidare ha rätt till rättelse eller utplåning av onödiga eller felaktiga uppgifter. Uppgifter som kan ge upphov till diskriminering, till exempel information om ras eller etniskt ursprung, sexualliv, politiska åsikter eller religiös eller filoso-fisk övertygelse bör inte registreras. Den som för registret ansvarar för att tillbörliga åtgärder vidtas för att skydda uppgifterna från obehörig åtkomst, missbruk och smitta av datavirus. Det ska i varje land finnas en myndighet med ansvar att övervaka att lagstiftningen på området efterlevs. Överträdelse av bestämmelserna ska leda till sanktioner.

5.2.2 Europakonventionen

Den europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) inkorporerades i svensk rätt den 1 januari 1995 och gäller sedan dess som lag i Sverige. Av 2 kap. 19 § rege-ringsformen framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.

Det är framför allt artikel 8 i konventionen som har betydelse för skyddet av den personliga integriteten. I bestämmelsen anges att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Av andra punkten följer att en offentlig myndighet inte får inskränka denna rätt annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förbyggande av oordning eller brott eller till skydd för hälsa och moral eller för andra personers fri och rättigheter.

Behandling av personuppgifter kan falla inom tillämpningsom-rådet för artikel 8 i Europakonventionen, dock endast i de fall be-handlingen avser uppgifter om privatliv, familjeliv, hem eller korre-spondens. Artikel 8 innebär att staten ska avhålla sig från ingrepp i den skyddade rättigheten, men också en skyldighet för staten att

Rättsliga förutsättningar för registerbaserad forskning SOU 2014:45

vidta åtgärder för att skydda den enskildes privata sfär.1 Bestäm-melsen innebär således en skyldighet att upprätthålla skyddet för privatlivet genom lagstiftning, men kan också medföra en skyldig-het för myndigskyldig-heter att agera i enskilda fall.

För att vara förenligt med artikel 8 måste ett ingrepp i den kon-ventionsskyddade rättigheten ha stöd i inhemsk lag. Lagen ska vara tillgänglig för allmänheten och utformad med sådan precision att inskränkningarna är förutsebara.2 Ingreppet ska vidare vara nödvän-digt. Det krävs således att det finns ett ”angeläget samhälleligt behov”. Slutligen ska inskränkningen i den grundläggande rättigheten stå i rimlig proportion till det syfte som ska tillgodoses genom inskränk-ningen. Varje konventionsstat har viss frihet att avgöra om en in-skränkning är nödvändig, men Europadomstolen förbehåller sig rätten att övervaka om friheten utnyttjas på ett rimligt sätt.

5.2.3 Europarådets Dataskyddskonvention

Europarådets ministerkommitté antog år 1981 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av person-uppgifter, den så kallade dataskyddskonventionen. Konventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i EU har ratificerat konventionen. Konventionen är bindande för de länder som tillträtt den. Till konventionen ansluter en rad rekommenda-tioner om hur personuppgifter bör behandlas inom olika områden, till exempel rekommendation nr R (83) 10 till skydd för person-uppgifter som används för vetenskaplig forskning och statistik. Rekommendationerna är inte direkt bindande.

Konventionen har enligt artikel 1 till syfte att säkerställa respek-ten för grundläggande fri- och rättigheter, särskilt rätrespek-ten till personlig integritet i samband med automatisk databehandling av personupp-gifter.3 Konventionens tillämpningsområde är enligt artikel 2 automa-tiserade personregister och automatisk databehandling av person-uppgifter i allmän och enskild verksamhet. Varje konventionsstat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet. Den centrala delen av konventionen är kapi-tel II (artikel 4–11) som innehåller de grundläggande principerna för dataskydd. Det finns bland annat krav på att personuppgifter

1 Danelius, H., Mänskliga rättigheter i europeisk praxis, 4 uppl., 2012, s. 347 f.

2 Danelius, H., Mänskliga rättigheter i europeisk praxis, 4 uppl., 2012 s. 351.

SOU 2014:45 Rättsliga förutsättningar för registerbaserad forskning

som undergår automatisk databehandling ska erhållas och behand-las på ett korrekt och lagligt sätt, vara ändamålsenliga, relevanta och inte onödiga för de ändamål för vilka de lagras och inte bevaras längre tid än nödvändigt (artikel 5). Uppgifter som avslöjar ras, politiska åsikter, hälsa och sexualliv samt att någon dömts för brott får inte behandlas om inte nationell lag ger ett ändamålsenligt skydd (artikel 6). Konventionen innehåller också bestämmelser om bland annat krav på säkerhetsåtgärder, information till den registrerade samt sanktioner och rättsmedel.

Europarådet inledde år 2010 en översyn av konventionen som fortfarande pågår.

5.2.4 OECD:s riktlinjer

Inom Organisationen för ekonomiskt samarbete och utveckling (OECD) har en expertgrupp utarbetat riktlinjer avseende integri-tetsskyddet och flödet av personuppgifter över gränserna: Guidelines

Governing the Protection of Privacy and Transborder Flows of Personal Data. Riktlinjerna antogs år 1980 av OECD:s råd. Samtidigt antogs

en rekommendation till medlemsländernas regeringar att beakta riktlinjerna i nationell lagstiftning. Sverige har liksom samtliga andra medlemsländer godtagit rekommendationerna och därmed åtagit sig att följa riktlinjerna. Syftet med dessa är att försöka undvika de risker för intrång i den personliga integriteten och individens frihet som personuppgifter kan utgöra på grund av det sätt på vilket de behand-las, deras natur eller det sammanhang i vilket de används.4 Rikt-linjerna är tillämpliga på personuppgifter inom både den offentliga och den privata sektorn och avser både uppgifter som lagras auto-matiskt och uppgifter som förs manuellt. Riktlinjerna är att uppfatta som minimiregler. Det är således inget som hindar att det nationella skyddet görs mer omfattande än riktlinjerna anger. Riktlinjerna inne-håller en särskild avdelning som anger åtta grundläggande principer till skydd för den personliga integriteten på det nationella planet. Här anges bland annat att personuppgifter ska vara relevanta för de ändamål för vilka de ska användas och vara riktiga och fullständiga samt hållas aktuella. En annan grundläggande princip är att de ända-mål för vilka personuppgifterna samlades in ska vara preciserade senast vid insamlingen.

Rättsliga förutsättningar för registerbaserad forskning SOU 2014:45

5.2.5 Europeiska unionens stadga om de grundläggande

rättigheterna

Vid Europeiska rådets möte i Nice år 2000 antog medlemsstaterna Europeiska unionens stadga om de grundläggande rättigheterna (EU-stadgan).5 Stadgans syfte är att kodifiera de grundläggande fri-och rättigheter som EU redan dessförinnan har erkänt. I stadgan anges de grundläggande rättigheterna under sex huvudrubriker: värdighet, frihet, jämlikhet, solidaritet, medborgarskap och rättvisa. Liksom Europakonventionen förbjuder stadgan bland annat tortyr, slaveri och tvångsarbete och ger ett skydd för människans rätt till frihet och säkerhet och rätten till en rättvis rättegång. Stadgan innehåller dessutom ytterligare rättigheter som inte finns med i Europakonven-tionen, till exempel personuppgiftsskydd och rätten till god förvalt-ning.

När det gäller skyddet för den personliga integriteten anges i stadgan att var och en har rätt till fysisk och mental integritet (arti-kel 3). Alla har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer (artikel 7) samt skydd för person-uppgifter som rör honom eller henne (artikel 8). I artikel 8 anges vidare att personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim grund. Vidare ska var och en ha rätt att få till-gång till insamlade uppgifter och att få rättelse av dem. I artikeln stadgas också att en oberoende myndighet ska kontrollera att regler-na efterlevs.

Enligt artikel 35 har var och en rätt till tillgång till förebyggande hälsovård och till medicinsk vård på de villkor som fastställs i natio-nell lagstiftning och praxis. En hög nivå av skydd för människors hälsa ska säkerställas vid utformning och genomförande av all unionspolitik och alla unionsåtgärder.

Lissabonfördraget innebär att Europeiska unionens stadga om de grundläggande rättigheterna numera är rättligt bindande när EU-institutionerna och medlemsländerna tillämpar EU:s lagar och regler.6

5 SOU 2010:4 s. 104.

SOU 2014:45 Rättsliga förutsättningar för registerbaserad forskning

5.2.6 Sammanfattning

Av redogörelsen framgår att Sverige förbundit sig att säkerställa respekten för grundläggande fri- och rättigheter, däribland rätten till personlig integritet i samband med automatisk databehandling av personuppgifter. När det gäller hur skyddet för den personliga integriteten i samband med databehandling ska utformas är det vissa principer som återkommer i de olika dokumenten och riktlinjerna. Av central betydelse är kravet att personuppgifter endast får samlas in för ett eller flera angivna ändamål. Uppgifterna ska erhållas och behandlas på ett korrekt och lagligt sätt, vara ändamålsenliga, rele-vanta och inte onödiga för de ändamål för vilka de lagras och inte bevaras längre tid än nödvändigt. Uppgifter av särskilt känslig natur, vanligtvis sådana som avslöjar ras eller etnicitet, politiska åsikter, facklig tillhörighet, hälsa och sexualliv eller att någon har dömts för brott, får endast behandlas under särskilda omständigheter som regleras i lag. Vanligtvis finns också krav på bestämmelser om bland annat säkerhetsåtgärder, information till den registrerade samt sank-tioner och rättsmedel. I sammanhanget bör påpekas att det i vissa av de angivna dokumenten också finns rättigheter som delvis måste tillgodoses genom forskning, till exempel rätten till förebyggande hälsovård och till medicinsk vård i EU-stadgan.

De principer som redovisas ovan återkommer i dataskyddsdirek-tivet som redovisas i avsnitt 5.3.2.

5.3 Nationell reglering till skydd för den personliga