Något om registerförfattningarnas struktur

Det finns i dag ingen klar uppfattning om hur många olika särskilda registerförfattningar det finns.130 Författningarna är uppbyggda på olika sätt och saknar en gemensam begreppsstruktur. Sören Öman har dock i artikeln Särskilda registerförfattningar försökt att göra en sammanställning av några vanliga typer av bestämmelser i de särskil-da registerförfattningarna. Som underlag för genomgången har bland annat 18 angivna särskilda registerförfattningar använts. Öman kon-staterar att de särskilda registerförfattningarna för myndigheters behandling av personuppgifter normalt brukar innehålla vissa typer av bestämmelser, men att utformningen av bestämmelserna varierar och att inte alla registerförfattningar innehåller alla typer av bestäm-melser.131

Tillämpningsområde

Varje författning har ett visst tillämpningsområde, som vanligtvis brukar anges i en inledande bestämmelse.132 Det normala är att det i bestämmelsen anges att författningen gäller vid behandling av personuppgifter i en viss myndighets eller vissa myndigheters verk-samhet av visst slag. Det vanligaste är att författningen gäller för samma slags behandling som PUL, det vill säga behandling som är helt eller delvis automatiserad eller annan (manuell) behandling som avser personuppgifter som ingår i eller är avsedda att ingå i register. Ibland anges det att vissa bestämmelser i författningen bara gäller automatiserad behandling.

Författningarna gäller vanligtvis för behandling av personupp-gifter i enlighet med PUL:s definition. I vissa fall har tillämpnings-området utsträckts till att även gälla avlidna eller juridiska personer. Ibland finns det detaljerade regler om vilka uppgifter som får be-handlas om en viss kategori av personer.

När det gäller hur verksamheten anges kan det ske på olika sätt. Det kan hända att författningen hänvisar till verksamhet som

130 Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 686.

131 Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 690.

SOU 2014:45 Rättsliga förutsättningar för registerbaserad forskning

digheten ska bedriva enligt andra författningar, till exempel verksam-het enligt lagstiftningen om socialtjänsten. Det förekommer ibland också mer allmänna beskrivningar av verksamheten, till exempel be-skattningsverksamheten, men då brukar verksamheten konkretiseras i förarbetena. Utanför tillämpningsområdet faller regelmässigt verk-samhet som avser myndigheternas interna administrativa verkverk-samhet.

Författningarnas förhållande till PUL och dataskyddsdirektivet

De särskilda registerförfattningarna gäller före PUL:s bestämmel-ser, men får inte stå i strid med dataskyddsdirektivet. Direktivet gäller inte för sådan verksamhet som inte omfattas av EU-rätten och inte heller för sådana behandlingar som rör allmän säkerhet, för-svar, statens säkerhet och straffrätt. Registerlagar som faller utanför EU-rättens tillämpningsområde behöver således inte vara förenliga med dataskyddsdirektivet. Utgångspunkten är emellertid att de sär-skilda registerförfattningarna så långt som möjligt ska stämma över-ens med PUL och därmed också med dataskyddsdirektivet.133 Personuppgiftsansvaret och ändamålen med behandlingen

De särskilda registerförfattningarna innehåller vanligtvis bestäm-melser om ändamålen med behandlingen. Ibland delas ändamålen in i primära och sekundära.134 De primära ändamålen avser myndig-hetens eget behov av att behandla personuppgifter, till exempel för att kunna handlägga myndighetens ärenden. De sekundära ändamålen avser myndighetens utlämnande av personuppgifter för att tillgodose andras behov. Huvudregeln är att behandling för att lämna ut personuppgifter till annan enligt de sekundära ändamålen bara får avse personuppgifter som myndigheten samlat in och behandlat för sina primära ändamål. Myndigheten får således inte samla in personuppgifter som den inte behöver för sin egen verksamhet.

När det gäller frågan hur preciserad en ändamålsbestämmelse i en registerförfattning ska vara har regeringen i prop. 1997/98:97 om polisens register anfört att syftet med en ändamålsbestämmelse är att ange en yttersta ram inom vilken uppgifterna får behandlas och

133 Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 694 f.

Rättsliga förutsättningar för registerbaserad forskning SOU 2014:45

att det ligger i sakens natur att ändamålsbestämmelser ofta måste formuleras tämligen generellt.135

Enligt definitionen i PUL är den personuppgiftsansvarige ensam eller tillsammans med andra ansvarig för att bestämma ändamålen med och medlen för behandlingen av personuppgifter. I de sär-skilda registerförfattningarna anger man regelmässigt de tillåtna ända-målen med behandlingen. På inrådan av Lagrådet började man där-för indär-föra uttryckliga bestämmelser i de särskilda registerdär-författ- registerförfatt-ningarna om vilken myndighet som är personuppgiftsansvarig.136 Vilka personuppgifter som får behandlas

De särskilda registerförfattningarna innehåller i regel någon form av bestämmelse om vilka personuppgifter som får behandlas.137 Av författningarna, ibland kompletterade av PUL, framgår att person-uppgifter får behandlas bara om det är nödvändigt för de angivna ändamålen. Ibland finns det särskilda bestämmelser om en databas med uppgifter som används i verksamheten. Ibland finns det dess-utom en förordning med detaljerade bestämmelser om vilka upp-gifter som får finnas i registret eller databasen.

För behandling av känsliga personuppgifter enligt 13 § PUL och uppgifter om lagöverträdelser med mera enligt 21 § PUL finns det vanligtvis vissa begränsningar. Det anges till exempel att uppgifter-na bara får behandlas om det är nödvändigt med hänsyn till ända-målet med behandlingen och att de inte får användas som sökbegrepp, det vill säga för att få fram listor på personer med de egenskaper som avspeglas i uppgifterna.138

Direktåtkomst

Registerförfattningar innehåller inte sällan särskida bestämmelser om direktåtkomst. Begreppet direktåtkomst är ett av de begrepp som kan ha olika innebörd i olika registerförfattningar. Med direkt-åtkomst avses vanligtvis att någon (här kallad mottagarmyndighet) har direkt tillgång till någon annans (här kallad värdmyndighet) register eller databaser och på egen hand kan söka efter information,

135 Prop. 1997/98:97 s. 121.

136 Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 697.

137 Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 702.

SOU 2014:45 Rättsliga förutsättningar för registerbaserad forskning

dock utan att kunna påverka innehållet i registret eller databasen. I begreppet direktåtkomst ligger också att värdmyndigheten inte har någon kontroll över vilka uppgifter som mottagarmyndigheten vid ett visst tillfälle tar del av.139 Direktåtkomst kan till exempel ske genom att mottagarmyndigheten ges elektronisk tillgång till hela eller delar av värdmyndighetens elektroniska informationssamlingar.140

Det finns också myndigheter som har gemensamma register och där de deltagande myndigheterna behandlar sina egna uppgifter men också har möjlighet att ta del av uppgifter som andra myndigheter har registrerat i registret.

Direktåtkomst anses innebära särskilda risker för otillbörliga integritetsintrång. Det beror på bestämmelserna om elektroniska upp-tagningar i TF. När det gäller elektroniska uppupp-tagningar är huvud-regeln att en sådan anses förvarad hos en myndighet om upptag-ningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas (2 kap. 3 § andra och tredje stycket TF). Det saknar betydelse var den begärda elektroniska handlingen rent fysiskt befinner sig. Frågan om en elektronisk hand-ling ska anses förvarad hos en myndighet ska i stället avgöras utifrån myndighetens möjligheter att förfoga över upptagningen. Det finns två undantag från huvudregeln, som avser sammanställningar av uppgifter ur en eller flera upptagningar för automatiserad behand-ling, så kallat potentiella handlingar.141 Dels anses en potentiell hand-ling förvarad hos myndigheten endast om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder (2 kap. 3 § andra stycket andra meningen TF). Dels anses en potentiell handling inte förvarad hos en myndighet om sammanställningen inne-håller personuppgifter som myndigheten enligt lag eller förordning saknar befogenhet att tillgängliggöra. Denna regel brukar kallas begränsningsregeln.

En handling ska, för att vara allmän i TF:s bemärkelse, vara antingen inkommen eller upprättad hos myndigheten. En upptag-ning anses inkommen till en myndighet när någon har gjort den tillgänglig för myndigheten med hjälp av tekniskt hjälpmedel som

139 Se till exempel prop. 2004/05:164 s. 83, 2009/10:85 s. 168 och 2011/12:45 s. 133.

140 SOU 2012:90 s. 82.

141 En potentiell handling anses utgöra en handling hos myndigheten oavsett om samman-ställningen gjorts tidigare eller om myndigheten själv har behov av att göra en sådan sam-manställning eller inte. Bestämmelsen ger uttryck för likställighetsprincipen, som innebär att allmänheten ska ha tillgång till datalagrad information i samma utsträckning som myndig-heten.

Rättsliga förutsättningar för registerbaserad forskning SOU 2014:45

myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Bestämmelsen innebär att en upptagning för automatiserad behandling som av en myndig-het tillförts ett informationssystem som är gemensamt för flera myndigheter ska anses som inkommen hos alla myndigheter som har tillgång till systemet. I TF görs det ingen skillnad mellan den elektroniska information som en myndighet själv har samlat in och den information från en annan myndighet som den har direktåt-komst till. Sammanställningar av uppgifter ur en värdmyndighets upp-tagningar för automatiserad behandling som genom direktåtkomst görs tekniskt tillgängliga för en mottagarmyndighet utgör således som huvudregel allmänna handlingar hos mottagarmyndigheten. Det saknar betydelse om mottagarmyndigheten rent faktisk använder sig av möjligheten. Det räcker att den finns för att uppgiften ska anses utgöra allmän handling hos mottagarmyndigheten. Det med-för att om någon begär att få ut en allmän handling som är en så kallad potentiell handling från mottagarmyndigheten är denna skyl-dig att göra de sökningar i och bearbetningar av värdmynskyl-dighetens information som kan ske med rutinbetonade åtgärder. Det är oklart vilken betydelse så kallade absoluta sökförbud kan ha, det vill säga förbud i en värdmyndighets registerförfattning mot användning av vissa sökbegrepp, för att begränsa mottagarmyndighetens skyldig-het.142 Men det är klart att en motttagarmyndighet är skyldig att göra en sökning och ta fram och lämna ut en potentiell handling, även om den i sin egen verksamhet är förhindrad på grund av sök- eller ändamålsbegränsningar i författningen att utnyttja direktåtkomst.

Andra typer av bestämmelser

Många särskilda registerförfattningar innehåller bestämmelser om tillåtna sökbegrepp, som begränsar myndighetens möjlighet och skyl-dighet att ställa samman personuppgifter. De kan också innehålla bestämmelser om information, samtycke och sambearbetning. Alla dessa typer av bestämmelser påverkar möjligheten för forskare att få tillgång till uppgifter och på vilket sätt det kan ske.

SOU 2014:45 Rättsliga förutsättningar för registerbaserad forskning