Internationell reglering

I det följande behandlas reglering som härstammar från Förenta nationerna, Europarådet samt Europeiska unionen, i den ordningen.

FN:s allmänna förklaring om de mänskliga rättigheterna m.m.

Artikel 12 i FN:s allmänna förklaring om mänskliga rättigheter stadgar att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för an-grepp på sin heder eller sitt anseende. Var och en har rätt till lagligt skydd mot sådana ingripanden och angrepp. FN:s allmänna förklar-ing om de mänskliga rättigheterna är inte rättsligt bindande men ses som ett uttryck för sedvanerättsliga regler.

Sverige är ansluten till FN:s konvention om medborgerliga och politiska rättigheter, som i artikel 17 upprepar innehållet i ovan-nämnda artikel 12 i den allmänna förklaringen. Konventionen är till skillnad från förklaringen bindande för anslutna stater.

FN:s generalförsamling antog den 14 december 1990 riktlinjer om datoriserade register med personuppgifter.⁵ Riktlinjerna anger tio grundläggande principer rörande minimigarantier som medlems-staternas lagstiftning ska uppfylla. Dessa principer rör bland annat uppgifters korrekthet, ändamålsbeskrivningar, insyn i behandlingen och för vilka skäl undantag från dessa principer kan tillåtas.

Europakonventionen m.m.

En utgångspunkt för all personuppgiftsbehandling är den Europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen), som stadgar att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Europakonventionen in-korporerades i svensk rätt den 1 januari 1995 och gäller sedan dess som lag i Sverige.⁶ Av 2 kap. 19 § regeringsformen framgår att lag

5 ”Guidelines concerning computerized personal data files”, resolution 45/95.

6 Lag (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättig-heterna och de grundläggande frirättig-heterna.

eller annan föreskrift inte får meddelas i strid med Sveriges åtagan-den på grund av konventionen.

Det är framför allt artikel 8 i konventionen som har betydelse för personuppgiftsbehandling. I bestämmelsen anges att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Artikel 8 innebär att staten ska avhålla sig från in-grepp i den skyddade rättigheten, men också en skyldighet för staten att vidta åtgärder för att skydda den enskildes privata sfär.

Rätten till skydd för privatlivet har av Europadomstolen getts en vid tolkning. Skyddet omfattar bl.a. uppgifter om den enskildes identitet, inklusive namn och kön, uppgifter om hälsa och sexuell läggning samt information som rör den personliga utvecklingen och relationer till andra individer. Det krävs inte att det är fråga om rent privata relationer, utan skyddet kan även omfatta relationer och aktiviteter som är relaterade till den enskildes yrkesliv. Skyddet gäller även mot angrepp av den enskildes ära och ryktbarhet och mot spridning av information som rör privata förhållanden. Vidare omfattar rätten till respekt för privatlivet ett skydd mot registrer-ing och utlämnande av uppgifter ur allmänna register.⁷

Dataskyddskonventionen

Europarådets konvention (nr 108) till skydd för enskilda vid automa-tisk databehandling av personuppgifter (dataskyddskonventionen) från år 1981 har till syfte att säkerställa respekten för grundlägg-ande fri- och rättigheter, särskilt rätten till personlig integritet, i samband med automatisk databehandling av personuppgifter. Kon-ventionens tillämpningsområde är automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet. Konventionen har ändrats år 1999 och ett tilläggsproto-koll (nr 181) har antagits år 2001.

Till konventionen ansluter en rad rekommendationer om hur personuppgifter bör behandlas inom olika områden, till exempel rekommendation nr R (83) 10, antagen den 23 september 1983, till skydd för personuppgifter som används för vetenskaplig forskning

7 Se SOU 2016:41 s. 151 och där refererade rättsfall.

och statistik. Rekommendationerna är, till skillnad från konventio-nen, inte direkt bindande.

Europarådet inledde år 2010 en översyn av konventionen som fortfarande pågår. De övergripande syftena med översynen är att bemöta utmaningar för den personliga integriteten som en följd av användning av ny informations- och kommunikationsteknik, samt att stärka konventionens uppföljningsmekanism.

Första fasen av detta arbete slutfördes år 2014. Den andra fasen, som inleddes år 2016, syftar till att ta fram ett slutligt förslag som även ska säkerställa överensstämmelse med dataskyddsförordningen.⁸

Europarådets konvention om mänskliga rättigheter och biomedicin

Europarådet antog år 1996 en konvention om mänskliga rättigheter och biomedicin. Konventionen skyddar människor i samband med hälso- och sjukvård och medicinsk forskning, och innehåller bl.a.

principer om information och samtycke, ställföreträdare för icke beslutskompetenta personer, gendiagnostik och genterapi, forsk-ning och försök på människor, tagande och användforsk-ning av biolo-giskt material från människor.

Europeiska unionens stadga om de grundläggande rättigheterna m.m.

Europeiska unionens stadga om de grundläggande rättigheterna (stadgan) antogs år 2000. Lissabonfördraget har medfört att stadgan numera är rättligt bindande när EU-institutionerna och medlems-länderna tillämpar EU:s regelverk.

Vad gäller skyddet för den personliga integriteten anger stadgan att var och en har rätt till fysisk och mental integritet (artikel 3), respekt för sitt privatliv och familjeliv, sin bostad och sina kommu-nikationer (artikel 7) samt skydd av de personuppgifter som rör honom eller henne (artikel 8). I artikel 8 anges vidare att person-uppgifter ska behandlas lagenligt för bestämda ändamål och på

8 Se även http://www.coe.int/en/web/portal/28-january-data-protection-day-factsheet för en beskrivning av översynsarbetet.

grundval av den berörda personens samtycke eller någon annan legitim grund. Vidare ska var och en ha rätt att få tillgång till in-samlade uppgifter och att få rättelse av dem.

Även artikel 16.1 i fördraget om Europeiska unionens funktions-sätt anger att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

Dataskyddsdirektivet och dataskyddsförordningen

Det nuvarande dataskyddsdirektivet⁹ har införts i svensk lagstift-ning i form av personuppgiftslagen (1998:204). Dataskyddsdirekti-vet utgör en precisering och en förstärkning av principerna i data-skyddskonventionen.

Dataskyddsförordningen, som ersätter dataskyddsdirektivet och vars tillkomst behandlas ingående i de olika delarna av detta betän-kande, utgår från och respekterar de grundläggande friheter som erkänns i stadgan.

Det nya dataskyddsdirektivet

Parallellt med de nationella anpassningarna till dataskyddsförord-ningen sker arbete med införlivande av det nya dataskyddsdirekti-vet.¹⁰ Enligt artikel 63 i det nya dataskyddsdirektivet ska medlems-staterna senast den 6 maj 2018 anta och offentliggöra de lagar och andra författningar som är nödvändiga för att efterleva detta direktiv.

Det är Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06) som har i uppdrag att föreslå en sådan reglering.¹¹ Utredningen har lämnat ett delbetänkande den 5 april 2017¹² och lämnar slutbetän-kande senast den 30 september 2017. Utredningens förslag till brotts-datalag syftar till att genomföra dataskyddsdirektivet i svensk rätt.

9 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

10 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

11 Dir. 2016:21.

12 SOU 2017:29 Brottsdatalag.

Dataskyddsdirektivets mål är att fastställa bestämmelser om skydd för fysiska personer med avseende på behandling av person-uppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straff-rättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten (artikel 1.1).

Dataskyddsdirektivets tillämpningsområde är därmed snävare än dataskyddsförordningens, som syftar till att fastställa bestäm-melser om skydd för fysiska personer med avseende på behand-lingen av personuppgifter och om det fria flödet av personuppgifter (artikel 1.1). Gränsdragningen mellan direktivet och förordningen kan dock behöva tydliggöras, särskilt avseende personuppgifts-behandling för vetenskapliga forskningsändamål.

Behandling av personuppgifter för vetenskapliga ändamål inom dataskyddsdirektivets tillämpningsområde

Principer för behandling av personuppgifter framgår av artikel 4 i dataskyddsdirektivet. Artikel 4.3 anger att behandling som utförs av en personuppgiftsansvarig kan inbegripa arkivändamål av allmänt intresse och vetenskaplig, statistisk eller historisk användning för de ändamål som anges i artikel 1.1 under förutsättning att det finns lämpliga skyddsåtgärder för de registrerades rättigheter och fri-heter. Utredningen om 2016 års dataskyddsdirektiv föreslår en be-stämmelse i 2 kap. 5 § brottsdatalagen som föreskriver att en behörig myndighet får behandla personuppgifter för vetenskapliga, statis-tiska eller historiska ändamål inom denna lags tillämpningsområde.

Detta gäller således behandling av personuppgifter för veten-skapliga ändamål inom direktivets och den föreslagna brottsdata-lagens tillämpningsområde, dvs. för ändamålen att förebygga, för-hindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder eller behandling i syfte att upprätthålla allmän ordning och säkerhet (förslag till 1 kap. 2 § brottsdatalagen).

Behandling av personuppgifter för vetenskapliga forskningsändamål utanför dataskyddsdirektivets tillämpningsområde

Regleringen i dataskyddsdirektivet är utformad som ett undantag från dataskyddsförordningens tillämpningsområde, vilket innebär att om personuppgifter behandlas för något annat ändamål än brotts-bekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet ska direktivet, och den föreslagna brottsdatalagen, inte tillämpas. En myndighet kan således ha såväl verksamhet som faller inom direktivets tillämpningsområde som utanför det. Det är de faktiska aktiviteterna som styr när direktivet blir tillämpligt. Detta innebär att behandling av personuppgifter som omfattas av unionsrätten faller in under tillämpningsområdet för antingen direktivet eller förordningen. Direktivet och förord-ningen kan inte vara tillämpliga på samma behandling för samma syfte. Har behandlingen däremot flera olika syften kan såväl direk-tivet som förordningen vara tillämpliga parallellt.¹³

I artikel 9.1 i dataskyddsdirektivet anges att personuppgifter som samlats in för något av de i direktivet angivna ändamålen inte får behandlas för något annat ändamål om inte sådan behandling är tillåten enligt unionsrätten eller nationell rätt. När personuppgifter behandlas för andra ändamål än dem som anges i artikel 1.1 ska data-skyddsförordningen tillämpas, om behandlingen omfattas av unions-rätten.

Artikel 9.2 anger vidare att om myndigheter som omfattas av direktivet har andra verksamhetsuppgifter än dem som anges i arti-kel 1.1 ska dataskyddsförordningen tillämpas på behandling för sådana andra ändamål. Det gäller även behandling för arkivändamål av allmänt intresse eller för historiska eller vetenskapliga forsk-ningsändamål eller för statistiska ändamål, om behandlingen om-fattas av unionsrätten.

Detta gäller således för personuppgiftsbehandling för ändamål utanför direktivets tillämpningsområde. Prövningen av om sådan behandling är tillåten ska därmed enbart göras utifrån bestämmel-serna i dataskyddsförordningen och nationell kompletterade lag-stiftning.

13 SOU 2017:29 s. 171 f.

Av artikel 2.1 d i dataskyddsförordningen framgår att förord-ningen inte ska tillämpas på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.

Dessa bestämmelser i direktivet och förordningen mynnar ut i att Utredningen om 2016 års dataskyddsdirektiv föreslår en upplysande bestämmelse i 2 kap. 21 § brottsdatalagen med följande lydelse:

Behandling för ändamål utanför denna lags tillämpningsområde 21 § Av artikel 2.1 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med av-seende på behandling av personuppgifter och om det fria flödet av så-dana uppgifter och om upphävande av direktiv 95/46/EG (allmän data-skyddsförordning), i den ursprungliga lydelsen, framgår att dataskydds-förordningen ska tillämpas när en behörig myndighet behandlar person-uppgifter för ändamål utanför denna lags tillämpningsområde.

Detta innebär sammanfattningsvis att personuppgiftsbehandling för vetenskapliga ändamål i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verk-ställa straffrättsliga påföljder eller i syfte att upprätthålla allmän ordning och säkerhet faller inom dataskyddsdirektivets, och den föreslagna brottsdatalagens, tillämpningsområde. En ytterligare förutsättning är att behandlingen också utförs av en behörig myndig-het enligt direktivet.

All annan personuppgiftsbehandling för vetenskapliga forsk-ningsändamål ska tillämpa dataskyddsförordningen och komplette-rande nationell rätt.

3.2.2 Nationell lagstiftning