Intrång i den personliga integriteten

Många förarbeten till författningar och enstaka bestämmelser rörande behandling av personuppgifter som beslutats före 2011, då 2 kap. 6 § andra stycket regeringsformen började gälla, innehåller inte en grund-lig analys av om regleringen kan förväntas orsaka ett betydande intrång i den personliga integriteten. Även om slutsatsen ofta är att regleringen av myndigheters behandling av personuppgifter ska ske i lag, är det resonemang som leder fram till det inte sällan summariskt och mynnar många gånger ut i en hänvisning till en överenskommelse

6 Prop. 1975/76:209 s. 153.

mellan regering och riksdag från början av 1990-talet. Överens-kommelsen framgår av de förarbeten som följde på Data- och offentlighetskommitténs betänkande. Kommittén hade behandlat frågor om författningsreglering av personregister och med anledning av detta konstaterat att register med kvalificerat känsliga person-uppgifter kräver speciallagstiftning.⁸ I det efterföljande lagstiftnings-arbetet uttalade regeringen att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras sär-skilt i lag.⁹ Konstitutionsutskottet ställde sig bakom detta ställnings-tagande.¹⁰ Dessa uttalanden har senare vid åtskilliga tillfällen åbe-ropats i lagstiftningsärenden som vägledande för att välja lagform för registerförfattningsreglering. Uttalandena har med åren kommit att tillämpas på såväl regleringen av regelrätta register som myndig-heters behandling av personuppgifter i stort.¹¹

Ett exempel på ett lagstiftningsärende som regeringen ansett innefattat sådan integritetskänslig informationshantering som enskilda är skyddade mot enligt 2 kap. 6 § andra stycket regeringsformen är kustbevakningsdatalagen (2012:145). Med hänsyn till omfattningen och arten av Kustbevakningens verksamhet, den ingripande myndig-hetsutövning som ingår i myndighetens uppdrag samt behovet av att kunna behandla personuppgifter även av känsligare slag inom främst den brottsbekämpande verksamheten, ansåg regeringen att stora delar av Kustbevakningens behandling av personuppgifter innefattar sådan integritetskänslig informationshantering som enskilda är skyddade mot enligt 2 kap. 6 § andra stycket regeringsformen.¹²

Även Utredningen om personuppgiftsbehandlingen vid ISF kom, i sitt betänkande med förslag till en lag om behandling av person-uppgifter inom verksamheten för Inspektionen för socialförsäk-ringen, fram till att regleringen skulle medföra en sådan kartläggning av enskildas personliga förhållanden och sådana betydande intrång i den personliga integriteten som enligt 2 kap. 6 § andra stycket och 20 § första stycket 2 regeringsformen behöver ha stöd i lag. Som skäl angavs dels arten av den verksamhet som Inspektionen för social-försäkringen bedriver, där det finns behov av att behandla ett stort

8 SOU 1987:31 s. 161 f.

9 Prop. 1990/91:60 s. 58.

10 Bet. 1990/91:KU11 s. 11.

11 Se t.ex. prop. 1997/98:44 s. 41, bet. 1997/98:KU18 s. 43, prop. 1999/2000:39 s. 78 och 2009/10:80 s. 183 f.

antal personuppgifter, inklusive känsliga sådana och personuppgifter om lagöverträdelser m.m., dels att personuppgifter behöver samman-kopplas och att dessa behandlingar normalt sker utan att den en-skilde själv får kännedom om dem eller kan lämna sitt godkännande.

Till detta kom att personuppgifterna kan komma att sparas under avsevärd tid.¹³

Ett exempel på motsatt bedömning är när regeringen i förarbet-ena till lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering konstaterade att den behandling av personuppgifter som Institutet för arbetsmarknads- och utbildningspolitisk utvärdering har behov av att utföra för att fullgöra sitt uppdrag i sig inte kan anses innebära ett sådant betydande intrång i den personliga integriteten att det av den anledningen krävs att behandlingen regleras i lag, särskilt mot bakgrund av att behandlingen till så stor del avser avidentifierade personuppgifter för forskningsändamål. Avgörande för att välja lag-form blev därför den överenskommelse mellan regering och riksdag som nämns ovan.¹⁴

En annan bedömning i förhållande till 2 kap. 6 § regeringsformen gjorde Informationshanteringsutredningen som i sitt betänkande med förslag till myndighetsdatalag menade att det är i rena undan-tagsfall som behandling av personuppgifter hos icke brottsbekämp-ande myndigheter kan anses innehålla några särskilda moment av personuppgiftsbehandling som typiskt sett kan ses som en sådan kartläggning eller övervakning som innebär ett betydande intrång i den personliga integriteten och därför omfattas av grundlagsstadgan-det.¹⁵ Det kan noteras att Datainspektionen har ifrågasatt denna be-dömning.¹⁶

Innan man prövar om ett förslag till reglering utgör ett betydande intrång i den personliga integriteten och omfattas av grundlags-skyddet i 2 kap. 6 § andra stycket regeringsformen, kan det finnas skäl att analysera om de föreslagna bestämmelserna över huvud taget medför ett intrång. Behandling av personuppgifter med stöd av samtycke, som undantas i 2 kap. 6 § andra stycket regeringsformen, torde exempelvis inte anses utgöra samma integritetsintrång som behandling som sker utan att den registrerade tillfrågas. För att en

13 SOU 2014:67 s. 89.

14 Prop. 2011/12:176 s. 19 f.

15 SOU 2015:39 s. 206 ff.

reglering av behandling av personuppgifter ska anses utgöra ett intrång i den personliga integriteten måste regleringen rimligen avse en åtgärd som i någon mån inskränker den enskildes möjligheter att själv bestämma över sina personuppgifter. En reglerad skyldighet att behandla personuppgifter, exempelvis en föreskrift om att en myn-dighet ska föra ett visst register med personuppgifter eller att upp-gifter ska lämnas från en personuppgiftsansvarig till en annan får alltid anses medföra ett visst intrång i enskildas personliga integritet.

Skyldigheten att behandla vissa personuppgifter innebär att den registrerade inte själv kan påverka behandlingen eller omfattningen av densamma. Även en tillåtande bestämmelse som innebär att en myndighet får möjlighet att utföra en viss behandling av personupp-gifter som annars skulle ha varit otillåten, får anses medföra ett intrång i enskildas personliga integritet. I och med att behandlingen av personuppgifter har gjorts tillåten, tvingas den enskilde finna sig i eventualiteten att hans eller hennes personuppgifter behandlas utan att samtycke först inhämtas.

Integritetsskyddskommittén, som lämnade förslaget till grundlags-bestämmelsen i 2 kap. 6 § andra stycket regeringsformen, konstaterade att de från integritetsskyddssynpunkt viktigaste momenten i han-teringen handlar om hur uppgifter om enskilda får samlas in, ända-målet med behandlingen och i vilken utsträckning uppgifter på grund av uppgiftsskyldighet, som alltså bryter sekretess som gäller för uppgifterna, ska lämnas ut till andra för samkörning med uppgifter i andra myndighetsregister eller av andra skäl.¹⁷ Bestämmelser om direktåtkomst till personuppgifter hos en annan personuppgifts-ansvarig liksom de sekretessbrytande bestämmelser som krävs för att direktåtkomst ska kunna tillåtas, får genomgående anses medföra intrång i den personliga integriteten. Samma sak gäller bestämmelser som medger utökade befogenheter att sammanställa gifter. Bestämmelser som inte föranleder behandling av personupp-gifter utan i stället begränsar den personuppgiftsansvariges möjligheter att behandla personuppgifter, t.ex. i form av olika skyddsåtgärder, kan däremot inte i sig anses medföra intrång i den personliga integriteten. Bestämmelser om begränsning av åtkomst till person-uppgifter, krav på behörighetstilldelning och krav på pseudonymi-sering av personuppgifter skapar självständigt ingen möjlighet till

behandling av personuppgifter utan utgör snarare regler om skydd för den enskildes personliga integritet.