• No results found

Svartlistning av störande flygpassagerare

N/A
N/A
Protected

Academic year: 2021

Share "Svartlistning av störande flygpassagerare"

Copied!
40
0
0

Loading.... (view fulltext now)

Full text

(1)

ÖREBRO UNIVERSITET 2007-06-17 Institutionen för BSR Rättsvetenskap Offentlig rätt D-uppsats VT-07

Svartlistning av störande

flygpassagerare

Författare: Johan Sverlander Handledare: Jesper Ekroth

(2)

Tack!

Jag vill särskilt tacka Henrik Lundberg, Annika Ramstedt och Eva-Lotta Sandström på

Luftfartsstyrelsen samt Magnus Eriksson på SAS, vilka har bidragit med värdefull vägledning i mitt arbete. Tack även till min handledare Jesper Ekroth på Örebro Universitet.

(3)

Sammanfattning

Störande passagerare kan utgöra ett flygsäkerhetsproblem för flygbolag. Ett möjligt alternativ för flygbolagen att undvika sådana passagerare på sina flygningar är att upprätta svarta listor över dessa passagerare för att sedan hindra sådana att boka flygbiljett med flygbolaget. Detta är en form av behandling av personuppgifter, vilket regleras av bestämmelser i personuppgiftslagen (1998:204) som är ett resultat av ett EG-direktiv. Grunden för tillåten behandling av

personuppgifter är att den enskilde har medgivit sitt samtycke till sådan behandling. Eftersom det rimligen kan antas att en passagerare inte kommer att samtycka till att han eller hon kan komma att registreras i en svart lista över störande passagerare, fokuserar uppsatsen på huruvida

svartlistning är tillåten utan medgivit samtycke.

Kärnfrågan i analysen rör huruvida flygbolagens intresse av att trygga säkerheten väger tyngre än passagerarens skydd mot kränkning av sin personliga integritet. Analysen visar på att en

intresseavvägning öppnar för möjligheten att upprätta svarta listor. En ytterligare möjlighet att svartlista störande passagerare som utreds är om flygbolagen kan upprätta svarta listor för att fullgöra ett avtal.

(4)

Innehållsförteckning

1 Inledning ... 1 1.1 Bakgrund ... 1 1.2 Syfte ... 1 1.3 Frågeställningar ... 1 1.4 Avgränsning... 2 1.5 Disposition ... 2

2 Allmänt om störande flygpassagerare och svarta listor... 3

2.1 Störande beteenden och säkerhet ... 3

2.2 Svarta listor ... 4 3 Personuppgiftslagen ... 6 3.1 Persondatadirektivet 95/94/EG ... 6 3.2 Syfte ... 6 3.3 Subsidiär lagstiftning ... 7 4 Behandling av personuppgifter ... 8 4.1 Definitioner ... 8 4.2 Grundläggande krav ... 9

4.3 Tillåten behandling av personuppgifter ... 10

4.3.1 Samtycke ... 10

4.3.2 Utan samtycke ... 11

4.4 Specifika typer av personuppgifter ... 15

4.4.1 Känsliga personuppgifter ... 15

4.4.2 Lagöverträdelser ... 15

4.5 Behandling av personuppgifter i ostrukturerat material ... 16

4.6 Säkerhetsåtgärder ... 18

4.7 Informationsskyldighet ... 18

5 Svarta listor ... 19

5.1 Artikel 29-gruppens arbetsdokument om svarta listor ... 19

5.2 I Nederländerna ... 20

5.3 Praxis från Datainspektionen ... 21

5.3.1 Dnr 1917-2004 AB Svensk Pantebelåning ... 21

5.3.2 Dnr 840-2005 Connex Sverige AB ... 23

5.3.3 Dnr 1260-2005 Sveriges Camping- & Stugföretagares Riksförbund ... 23

5.3.4 Dnr 81-2005 AB Svenska Bostäder... 24

6 Analys/diskussion... 26

(5)

1

1

Inledning

1.1

Bakgrund

Störande flygpassagerare ombord på flygningar har utgjort och utgör idag ett

flygsäkerhetsproblem inom den civila luftfarten för flygbolagen, genom att sådana passagerare kan framkalla skada för medpassagerare, flygbesättning och för flygplanet. I värsta fall kan ett mycket störande beteende vara av sådan art att det hotar flygdugligheten. En eventuell åtgärd för att förhindra att störande personer i framtiden finns ombord på flygplanen är att flygbolagen uppför svarta listor över sådana passagerare.

Det råder ingen självklarhet att uppföra sådana listor med uppgifter om störande passagerare. En spänning uppstår mellan den enskildes intresse av skydd mot kränkning av sin personliga

integritet och flygbolagens intresse av att trygga flygsäkerheten och förhindra störande passagerare att resa med flygbolaget. Denna uppdagades exempelvis i en statlig utredning, i vilken önskemål från flygbolag hade mottagits om att införa ett centralt system med svarta listor tillgängligt för alla svenska researrangörer och flygbolag. Utredningen ansåg dock ”att det intresse som flygbolagen och samhället i övrigt har av att komma till rätta med det problem som för närvarande finns med oregerliga passagerare kan på intet sätt uppväga den kränkning av den personliga integriteten som ett system med svartlistning skulle innebära”.1

I den svenska lagstiftningen är det personuppgiftslagen (1998:204, PuL) som reglerar när

behandling av personuppgifter är tillåten. PuL är resultatet av EG-direktivet 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (persondatadirektivet).

1.2

Syfte

Syftet med uppsatsen är att med utgångspunkt i PuL utreda de legala möjligheterna för svenska flygbolag att behandla samt delge svarta listor över störande passagerare.

1.3

Frågeställningar

1. Vilka legala möjligheter har svenska flygbolag att svartlista störande passagerare i syfte att hindra sådana passagerare att boka flygbiljett?

2. Om sådana möjligheter föreligger, vilka möjligheter har flygbolag att delge dessa svarta listor till andra flygbolag?

(6)

2

1.4

Avgränsning

Den här uppsatsen kommer främst att behandla PuL och den svenska civila luftfarten.

1.5

Disposition

Uppsatsen kommer i kapitel 2 att inleda allmänt om störande flygpassagerare och svarta listor i allmänhet i syfte att definiera och förklara dessa begrepp. I kapitel 3 förklaras bakgrunden och syftet med PuL samt vad som avses med kränkning av den personliga integriteten. Vidare kommer kapitel 4 att redogöra för de grundläggande kraven för behandling av personuppgifter och när behandling av personuppgifter är tillåten. Kapitel 5 kommer att närmare undersöka innebörden av svarta listor samt hur Nederländernas lagstiftning ser ut i förhållande till upprättande av svarta listor. I samma kapitel redogörs fyra avgöranden från Datainspektionen som är relevanta för svartlistning. Analysen behandlar sedan frågeställningarna i kapitel 6, för att avslutningsvis göra en avslutande kommentar.

(7)

3

2 Allmänt om störande flygpassagerare och svarta

listor

2.1

Störande beteenden och säkerhet

Det finns olika benämningar i fråga om störande flygpassagerare. Internationellt förekommer begrepp som “unruly passengers”, ”disruptive passengers”, och ”air rage”.2 En oregerlig passagerare kan beskrivas som en passagerare som inte följer flygbesättningens instruktioner, som bryter mot ett rökförbud eller ett krav på att ha säkerhetsbälte på sig eller som verbalt eller fysiskt angriper andra passagerare eller flygbesättningen3.

Enligt den Internationella civila luftfartsorganisationen (ICAO), definieras oregerliga passagerare som “passengers who fail to respect the rules of conduct on board aircraft or to follow the

instructions of crew members and thereby disturb the good order and discipline on board aircraft”4.

Under en flygning kan det uppstå en rad olika incidenter till följd av flygpassagerares störande beteenden, vilka i olika mån kan hota säkerheten. En passagerare som uppträder våldsamt mot passagerare och besättningen, eller som exempelvis pga olika anledningar allvarligt skadar flygdugligheten utgör ett större hot mot flygsäkerheten än en passagerare som exempelvis trotsar ordningsbestämmelser om att bära säkerhetsbälte. Enligt ICAO: s förslag till lagstiftning gällande oregerliga passagerare, kan oregerliga handlingar bestå av misshandel, fysiska och verbala hot, skadegörelse mm5.

Vissa specifika kategorier av störande beteenden ombord på flygplan kan leda till straffrättsliga åtgärder enligt brottsbalken (1962:700, BrB). Enligt BrB 13:5 a 1 st, är kapning av luftfartyg straffbelagt med högst fyra års fängelse. Den som allvarligt skadar ett luftfartyg, eller den som vidtar åtgärder som är ägnad att framkalla fara för säkerheten för ett luftfartyg döms för luftfartssabotage till fängelse i högst fyra år, enligt 2 st. Enligt förarbetena till bestämmelsen, innefattar det vilken åtgärd som helst som orsakar fara för ett luftfartygs säkerhet under flygning6. Om brott i de ovan nämnda fallen anses vara grovt, är sådant brott straffbelagt med fängelse i lägst två år och högst tio år, eller på livstid, enligt 3 st.

Flera störande beteenden torde omfattas av bestämmelsen om luftfartssabotage i BrB 13:5 a 2 st. Det ska dock beaktas att eftersom luftfartssabotage inte kan åläggas med böter som straff, är det sannolikt att bestämmelsen inte omfattar minde allvarliga beteenden, som även de kan vara ett hot mot flygsäkerheten.7

2 Dahlberg, 2001, s 1. 3 SOU 1999:42, s 330. 4 ICAO Circular 288, s 2. 5Ibid., s 15. 6 Prop. 1973:92, s 39. 7 SOU 1999:42, s 333.

(8)

4 I det kontrakt som passageraren ingår med flygbolaget innefattas vissa resevillkor som rör

åtgärder av vissa störande beteenden. Enligt Scandinavian Airlines (SAS) resevillkor kan flygbolaget vägra passageraren ombordstigning om passageraren tidigare har misskött sig under en flygning, och flygbolaget har anledning att tro att sådan misskötsamhet kan upprepas.8

Vidare finns straffrättsliga bestämmelser om den som av grov oaktsamhet genom att umgås ovarsamt med eld eller sprängämne eller på annat sätt vållar allvarlig skada för ett luftfartyg i trafik, enligt BrB 13:6. Han eller hon döms för allmänfarlig vårdslöshet till böter eller fängelse i högst sex månader, eller högst två år om brottet är grovt. Enligt BrB 3:9, döms den som av grov oaktsamhet utsätter annan för livsfara eller fara för svår kroppsskada eller allvarlig sjukdom för framkallande av fara för annan till böter eller fängelse i högst två år. I detta sammanhang måste även beaktas brott, vilka inte är nämnda ovan, som kan begås under en flygning.

Det har förekommit många fall där oregerliga passagerare inte har kunnats åtalas för sina brott i avsaknad av tillämplig lagstiftning i det land som flygplanet landar i.9

Inom luftfarten förekommer i huvudsak två begrepp i fråga om säkerhet. Flygsäkerhet är det ena begreppet vilket avser den teknisk-operativa säkerheten. Det andra begreppet är luftfartsskydd vilket avser hot av olagliga handlingar såsom våld, terrorism, kapning, sabotage mm.10 De störande beteenden som denna uppsats avser rör främst den operativa säkerheten ombord på ett flygplan, d v s flygsäkerheten.

2.2

Svarta listor

Enligt artikel 29.1 i persondatadirektivet, har det inrättats en arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter. Den skall vara ett rådgivande och oberoende EU-organ. Arbetsgruppen har bl.a. till uppgift att utreda hur persondatadirektivet tillämpas i de nationella författningarna, enligt artikel 30.1 a, och att ge rekommendationer i alla frågor som rör skyddet av personuppgifter inom EU enligt artikel 30.3. Med dessa artiklar som utgångspunkt, har arbetsgruppen utarbetat ett arbetsdokument om svarta listor från 2002. Där fastslås att svartlistning är ett intrång i den enskildes liv när särskilda uppgifter om enskilda personer förs in i databaser ”så att de kan identifieras med en viss situation eller vissa fakta”.11

Enligt en allmän definition som arbetsgruppen har utarbetat, innebär en svart lista ”att man samlar in och sprider specifika uppgifter om en specifik grupp av personer och som sammanställs enligt specifika kriterier, beroende på vilken sorts svart lista det handlar om”.12 Vidare anges att denna hantering i allmänhet får ”ogynnsamma och menliga följder för de enskilda personer som förs upp på en sådan lista och kan diskriminera en grupp av personer genom att avstänga dem

8 Se SAS General Terms of Carriage, article 7.1.4. 9 ICAO Circular 288, 2002, s 1.

10 SOU 1999:42, s 167.

11 Artikel 29-gruppens arbetsdokument om svarta listor, s 2. 12 Ibid., s 3.

(9)

5 från en viss tjänst eller skada deras anseende”.13 Detta arbetsdokument kommer att behandlas närmare i kapitel 5.

En typ av svart lista som visserligen inte rör personuppgifter, men som är av intresse pga dess samband till flygsäkerheten inom Europa, är den som upprättades i en EG-förordning av EU-kommissionen gällande förbud av vissa flygbolag från tredje land att bedriva verksamhet inom EU. Förordningen antogs i mars 2006 och den namnger 92 flygbolag som pga. bristande flygsäkerhet inte får bedriva verksamhet inom EU.14

13 Artikel 29-gruppens arbetsdokument om svarta listor, s 3.

14 Kommissionens förordning 474/2006 om upprättande av en gemenskapsförteckning enligt kapitel II i Europaparlamentets och rådets förordning (EG) nr 2112/2005 över de flygföretag som har belagts med verksamhetsförbud inom gemenskapen.

(10)

6

3

Personuppgiftslagen

3.1

Persondatadirektivet 95/46/EG

Persondatadirektivets syfte är bl.a. att skydda personers grundläggande fri- och rättigheter i fråga om behandling av personuppgifter, särskilt rätten till privatliv enligt artikel 1.1. Rätten till respekt för sitt privatliv är skyddad i artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

Persondatadirektivet skapar utrymme för medlemsstaterna att själva föreskriva

undantagsbestämmelser från vissa av de principer som gör behandling av personuppgifter tillåtna. Detta kommer att tydliggöras speciellt i avsnitt 4.4.2 och 5.2. PuL innehåller i stor utsträckning samma eller liknande begrepp och ordval som i persondatadirektivet.

I sammanhanget måste nämnas att PuL har genomgått vissa förändringar från och med 1 januari 2007. Den nya PuL innebära att fokus i viss utsträckning flyttas från hantering av personuppgifter till förbud mot viss hantering av sådana personuppgifter i enlighet med en missbruksmodell15. Hur denna missbruksmodell kommer till uttryck kommer att behandlas närmare i avsnitt 4.5.

3.2

Syfte

PuL är ett resultat av persondatadirektivet och ersatte den äldre datalagen (1973:89). Syftet med PuL är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter enligt PuL 1 §. Den enskildes skydd mot kränkning av sin personliga integritet är grundlagsskyddad. Av RF 2:2 2 st framgår att varje medborgare skall i den utsträckning som närmare anges i lag skyddas mot att hans personliga integritet kränks genom att uppgifter om honom eller henne registreras med hjälp av automatisk databehandling. I fråga om den enskildes privatliv, skall det allmänna verka för att värna den enskildes privatliv och familjeliv, enligt RF 1:2 4 st.

Det finns ingen enhetlig juridisk definition av begreppet personlig integritet, trots att det är centralt begrepp i den svenska lagstiftningen.16 Vägledning kan fås av vad begreppet

integritetskränkning innebär. Enligt en generell uppfattning, avser begreppet den situation när den enskilde förlorar kontrollen över sin egen person eller över vissa uppgifter som angår honom eller henne17. Integritetskränkning kan förklaras med ”i den mån som det sker ett intrång i deras privata sfär och/eller uppgifter om dem, som det finns rimliga skäl att beteckna som

integritetskänsliga, sprids”.18 Uppgifterna kan avse personliga egenskaper, uppfattningar eller handlingar19. I fråga om det skett ett intrång i den personliga sfären och huruvida intrånget är 15 Prop. 2005/06:173, s 1. 16 SOU 2004:6 s 28. 17 Ibid., s 29. 18 SOU 1997:39, s 796. 19 Ibid., s 796.

(11)

7 integritetskänsligt, torde det bero på personens egna subjektiva uppfattning. Detta kan förklara svårigheterna med att definiera begreppet personlig integritet och integritetskränkning. Avsnitt 4.5 kommer att utveckla ytterligare vad som avses med kränkning av den personliga integriteten. Insamlade och spridande av personuppgifter kan upplevas kränkande av den som uppgifterna angår. Om uppgifterna dessutom är negativa, vilket är fallet i fråga om svarta listor, är sannolikheten stor att de kan upplevas mycket kränkande gällande den enskildes personliga integritet.

Rätten till personlig integritet kan betecknas som en prima facie-rättighet, vilken är en ”giltig och välgrundad rättighet som dock i en konkret handlingssituation kan sättas ur spel om den kommer i konflikt med någon annan rättighet som väger tyngre”.20

3.3 Subsidiär lagstiftning

Om det finns bestämmelser i annan lag eller förordning som avviker från PuL, skall de

bestämmelserna gälla, enligt PuL 3 §. PuL är därmed subsidiär i relation till andra författningar i fråga om avvikande bestämmelser i lag eller förordning. Beslut, som inte är lag eller förordning, fattade av regering eller riksdag eller utfärdade föreskrifter från myndigheter, tar inte över bestämmelserna i PuL. Frågan huruvida en särskild bestämmelse är avvikande från PuL får göras efter en tillämpning av sedvanliga metoder för tolkning av författningar. Enligt förarbetena förekommer avvikande författningar oftast i registerförfattningar.21

20 SOU 1997:39, s 16.

(12)

8

4 Behandling av personuppgifter

Denna uppsats syftar till att utreda svenska flygbolags möjligheter att upprätta svarta listor över störande passagerare mot bakgrund av PuL: s bestämmelser. Därav följer att det är PuL 5 a § om undantag för behandling av personuppgifter i ostrukturerat material, 9-10 §§ om kraven på tillåten behandling, samt de specifika typerna av personuppgifter som begränsar

personuppgiftsbehandling i 13 och 21 §§ som är av huvudsakligt intresse.

Ytterligare bestämmelser i PuL som är relevanta för svartlistning är den personuppgiftsansvariges informationsskyldighet gentemot den enskilde samt de säkerhetsåtgärder som den

personuppgiftsansvarige är skyldig att vidta. PuL behandlar flertalet frågor kring behandling av personuppgifter, men alla faller inte inom ramen för syftet med denna uppsats. Sådana frågor rör bl.a. behandling av personuppgifter i fråga om hälso- och sjukvård samt forskning och statistik, tillsynsmyndighetens befogenheter och personuppgiftsansvarigs anmälan av behandling av personuppgifter.

4.1

Definitioner

Med behandling av personuppgifter avses, enligt PuL 3 §, åtgärder som insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning,

utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Vidare definieras personuppgifter som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter kallas personuppgiftsansvarig, enligt PuL 3 §. Huvudregeln är att de personuppgiftsansvariga skall vara etablerade i Sverige för att lagen skall gälla, enligt 4 § 1 st. Lagen gäller även för sådana som är etablerade i ett tredje land men som behandlar

personuppgifter med hjälp av utrustning som är placerad i Sverige, enligt 2 st. Vidare kallas den till vilken personuppgifter lämnas ut för mottagare. Tredje man är, enligt PuL 3 §, någon annan än den registrerade, den personuppgiftsansvarige, personuppgiftsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har befogenhet att behandla personuppgifter.

Lagen är tillämplig för både automatiserad och delvis automatisk behandling av personuppgifter enligt PuL 5 § 1 st. Den är även tillämplig i fråga om manuell behandling av personuppgifter under förutsättning att uppgifterna ingår eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, enligt 2 st22.

Ytterligare begrepp som är centrala i PuL och som kräver en närmare undersökning, t.ex. begreppet samtycke, kommer att behandlas senare i relevanta avsnitt.

(13)

9

4.2

Grundläggande krav

PuL ställer flera krav på den personuppgiftsansvarige vid behandling av personuppgifter vilket framgår av 9 § 1 st. De grundläggande kraven är att

a) personuppgifter behandlas bara om det är lagligt,

b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed,

c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, d) personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket

personuppgifterna samlades in,

e) de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,

f) de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella,

g) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och

h) personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Ovanstående bestämmelse i PuL 9 § anger flertalet krav gällande behandling av personuppgifter. Personuppgifter skall behandlas lagligt (a) och på ett korrekt sätt (b), innebärande att behandling bara får ske enligt vad som anges i PuL eller annan relevant lagstiftning.23 Personuppgifter skall även behandlas i enlighet med god sed (b), vilken kan exempelvis utvecklas genom föreskrifter som har utfärdats med stöd av lagen, eller genom branschöverenskommelser.24

PuL 9 § c-f rör behandling av personuppgifter i relation till ändamålet med behandlingen. Ändamålen skall vara särskilda innebärande att ändamålet inte får vara av en alltför allmän karaktär. Praxis och föreskrifter från regeringen och Datainspektionen får avgöra närmare vad som anses med särskilda ändamål. Ändamålet måste även vara uttryckligt angivet, och

ändamålen med behandlingen måste bestämmas när personuppgifterna insamlas. Ändamålet ska vara berättigat, och det är PuL och i anknytande lagstiftning som anger om det är berättigat att samla in och behandla personuppgifter. Det råder osäkerhet om begreppet ”berättigade ändamål” i sig har någon betydelse.25

Vidare ska personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, enligt PuL 9 § d. Denna bestämmelse syftar till att motverka risken att personuppgifter behandlas till något ändamål som inte var planerat när uppgifterna samlades in26. Praxis och regler från regeringen och Datainspektionen får närmare ange vad som kan anses vara oförenligt ändamål. I fråga om oförenliga ändamål, understryker lagstiftaren att om uppgifter lämnas ut till en annan, måste de vara förenliga med det ursprungliga ändamålet.27 Av detta följer att det ”bör… inte vara möjligt att kringgå reglerna genom att en personuppgiftsansvarige lämnar

23 SOU 1997:39, s 350. 24 Prop. 1997:98:44, s 143. 25 SOU 1997:39, s 350.

26 Peterson & Reinholdsson, 2004, s 94. 27 Ibid., s 350.

(14)

10 ut uppgifterna till en annan, som vid sin insamling bestämmer ändamål som är oförenliga med de ursprungliga”.28 Enligt lagrådet ger dessa bestämmelser uttryck för den s.k. finalitetsprincipen, vilken lagrådet menar är den viktigaste principen i PuL. Av detta följer att sambearbetning är tillåten om dessa två bestämmelser är uppfyllda.29 Den personuppgiftsansvarige måste alltså se till att den som uppgifterna utlämnas till inte använder dem för något ändamål som strider mot de ursprungliga.

De behandlade personuppgifterna ska vara adekvata och relevanta i förhållande till ändamålet med behandlingen, innebärande att de inte ska vara fler än vad som är nödvändigt med hänsyn till ändamålen med behandlingen, enligt PuL 9 § e30. De ska även vara riktiga och aktuella. Felaktiga och ofullständiga uppgifter ska åtgärdas enligt vad som avses i 9 § g. Slutligen ska den

personuppgiftsansvarige se till att uppgifterna inte bevaras en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen, enligt punkt 9 § h.

4.3

Tillåten behandling av personuppgifter

PuL 10 § anger de fall när behandling av personuppgifter är tillåten. Det skall dock beaktas att PuL innehåller vidare bestämmelser, t ex vilka specifika typer av personuppgifter som är förbjudna att behandla, som måste beaktas. Uppsatsen kommer att undersöka detta närmare senare i kapitlet. Av 10 § framgår att:

Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att

a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas,

b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet, c) vitala intressen för den registrerade skall kunna skyddas,

d) en arbetsuppgift av allmänt intresse skall kunna utföras,

e) den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller

f) ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

4.3.1 Samtycke

Ett medgivet samtycke från den registrerade är grundprincipen för tillåten behandling av

personuppgifter, enligt PuL 10 §. Enligt definitionen i 3 §, är ett samtycke varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne.

28 SOU 1997:39, s 351. 29 Prop. 2000/2001:126, s 34. 30 SOU 1997:39, s 351.

(15)

11 Samtycket skall utgöras av en viljeyttring innebärande att den måste var uttrycklig31. Vidare uppställer PuL 3 § ytterligare krav. I fråga om kravet på frivillighet, innebär det att den

registrerade skall ha fritt val om han eller hon vill att personuppgifter skall behandlas32. Det kan uppstå situationer där personen i fråga förutsätts att ge ett samtycke till en viss behandling av personuppgifter för att den registrerade ska få det han önskar. Det kan röra telefonabonnemang, semesterresa, bostadsbidrag, anställning, livsnödvändig sjukvårdsbehandling etc. Om personen inte kan avstå från att ge samtycke, är det inte rimligt att förstå samtycket som frivilligt.33 Personen i fråga skall först informeras om den behandling av personuppgifter som är aktuell innan samtycke kan ges. Begreppet särskilt innebär att samtycket ska avse den behandling av personuppgifter som har givits information om. Den registrerade ska informeras om den tilltänkta behandlingen, och det är denna behandling som det särskilda samtycket syftar på34. Samtycket behöver inte vara skriftligt35.

Det finns olika slag av samtycken. Förutom det muntliga eller skriftliga uttryckliga samtycket, finns det även andra slag av samtycken: hypotetiskt samtycke, tyst samtycke samt samtycke genom konkludent handlande. Ett hypotetiskt samtycke, där den personuppgiftsansvarige gör en välgrundad gissning till den enskildes inställning, kan inte godtas36. Ett tyst samtycke,

innebärande t.ex. att den enskilde har informerats om en tilltänkt behandling och att den enskilde måste ge besked om inom en tidsfrist om han eller hon motsätter sig en sådan behandling, kan heller inte godtas. Ett sådant samtycke uppfyller inte kravet på att samtycket ska vara en

otvetydlig viljeyttring. Samtycke genom konkludent handlande kan däremot godtas. Konkludent handlande avser de situationer där den enskilde har lämnat de uppgifter som den

personuppgiftsansvarig har efterfrågat under förutsättning att han eller hon har informerats om att ett sådant agerande är frivilligt och att det betraktas som ett samtycke.37

Om den registrerade har lämnat sitt samtycke till behandling av personuppgifter, har han eller hon rätt att när som helst återkalla ett lämnat samtycke enligt PuL 12 § 1 st. Därefter får ytterligare uppgifter om den registrerade inte registreras eller behandlas. Behandlingen av de redan insamlade uppgifterna får dock fortsätta förutsatt att det sker i enlighet med det

ursprungliga samtycket38.

4.3.2 Utan samtycke

Om det inte finns ett frivilligt samtycke till behandling av personuppgifter, skall behandlingen av personuppgifter vara nödvändig för att uppfylla de angivna förutsättningarna i PuL 10 § a-f. Det

31 SOU 1997:39 Integritet ’Offentlighet’ Informationsteknik, s 343.

32 Samtycke enligt personuppgiftslagen, Datainspektionens informationsskrift, s 6. 33 SOU 1997:39, s 342. 34 Ibid., s 342. 35 1997/98:KU18, s 46. 36 SOU 1997:39, s 342. 37 Datainspektionen informerar, nr 11, s 8-9. 38 Prop. 1997/98:44, s 123.

(16)

12 råder dock oklarhet om vad nödvändighetskravet innebär. Om ett ändamål kan uppnås utan att personuppgifter måste registreras, är behandling av personuppgifter inte nödvändig.39

Bestämmelsen i PuL 10 § a är tillämplig om ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas. Denna bestämmelse kräver att den registrerade är avtalspart40. Denna förutsättning kommer närmare att behandlas i avsnitt 5.3.1 i fråga om ett beslut från Datainspektionen angående spärrlistor av störande campinggäster.

Enligt PuL 10 § b är behandling av personuppgifter tillåten om den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet. En sådan rättslig skyldighet kan utgöras av både

offentligrättsliga och civilrättsliga författningsbestämmelser. Enligt lagstiftaren kan lagar, förordningar och författning av lägre valör utgöra en sådan skyldighet som avses i denna bestämmelse. I fråga om förpliktelser genom myndighetsbeslut, kan även sådana i enskilda fall innebära en rättslig skyldighet.41 I fråga om svartlistning av flygpassagerare, kan det tänkas att författningar inom luftfarten, såsom luftfartslagen (1957:297), luftfartsförordningen (1986:171), eller Luftfartsstyrelsens föreskrifter, skulle kunna utgöra sådana skyldigheter. Huruvida en förpliktelse i ett avtal kan ses som en skyldighet i den mening som 10 § b avser är oklart42. Behandling av personuppgifter för att skydda vitala intressen för den enskilde är tillåten enligt PuL 10 §. Denna bestämmelse motsvaras av art. 31 d i persondatadirektivet, av vilken framgår att det gäller intressen som är av grundläggande betydelse för den enskilde. Det får dock anses oklart med vad som aves med vitala intressen.43

Behandling av uppgifter utan samtycke är även tillåten om en arbetsuppgift av allmänt intresse ska kunna utföras, enligt PuL 10 § d. En sådan arbetsuppgift kan vara arkivering, forskning och framställning av statistik. En arbetsuppgift av allmänt intresse kan även vara

idrottsorganisationers intresse av att registrera personer som vunnit mästerskap eller erhållit rekord i erkända sportgrenar.44

Enligt PuL 10 § e är behandling tillåten om den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med

myndighetsutövning. Myndighetsutövningen behöver inte enbart utövas av myndigheter, utan kan även vara anförtrott något enskilt subjekt.45

Den sista undantagsbestämmelsen, PuL 10 § f, avser tillåten behandling om ändamålet rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken uppgifterna lämnas ut skall kunna tillgodoses, om intresset väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. Öman och Lindbom kallar denna 39 SOU 1997:39, s 359. 40 Ibid., s 359. 41 Ibid., s 360-361. 42 Ibid., s 361. 43 SOU 1997:39, s 361. 44 Ibid., s 361. 45 Ibid., s 362.

(17)

13 bestämmelse en slags generalklausul som fungerar som en säkerhetsventil.46 Vidare menar

författarna att bestämmelsen ”i praktiken innebär att befogad behandling i fall som inte nämnts i tidigare punkter i paragrafen kan genomföras”.47 Anledningen till att inkludera tredje man i bestämmelsen kan vara den att ”personuppgiftsansvarige som inte har ett eget tungt intresse av behandlingen får lämna ut personuppgifterna till någon tredje man som har ett sådant intresse”.48 Om den personuppgiftsansvarige meddelas av den registrerade att han eller hon motsätter sig att behandlingen fortgår, gäller i princip att den registrerades intresse väger tyngre än den

personuppgiftsansvariges intresse. Endast i synnerliga undantagsfall, kan det motsatta förhållandet gälla.49

Förarbetena preciserar något hur en intresseavvägning ter sig mellan den

personuppgiftsansvariges kommersiella intresse i fråga om direkt marknadsföring och den enskildes intresse av att få ha sina personuppgifter i fred. Detta skall ske efter en

helhetsbedömning.50 Nedan kommer två rättsfall visa på vilka bedömningar som har gjorts i en intresseavvägning enligt PuL 10 § f.

I RÅ 2001 ref 68, hade Danisco Sugar AB från Jordbruksverket begärt att få ta del av

mjölkproducenters adressuppgifter för att bolaget skulle kunna marknadsföra sina produkter. Enligt sekretesslagen (1980:100, SekrL) 7:16 gäller sekretess för personuppgift, om det kan antas att ett utlämnade av personuppgift medför att uppgifter behandlas i strid med PuL.

Jordbruksverket anförde att bolagets intresse av att marknadsföra sina produkter inte vägde tyngre än mjölkproducenternas intresse av skydd mot sin personliga integritet enligt PuL 10 § f, särskilt med beaktande av att mjölkproducenterna inte hade kunnat räkna med att deras

personuppgifter skulle behandlas på ett sådant sätt när uppgifterna samlades in. Därför avslogs bolagets begäran.

Beslutet överklagades hos Kammarrätten, där bolaget hänvisade till Datalagkommitténs uttalande om att den enskildes intresse väger tämligen lätt med hänsyn till att den enskilde har en

ovillkorlig rätt att motsätta sig behandling som rör direkt marknadsföring. Kammarrätten avslog överklagan av samma skäl som Jordbruksverket anförde i sitt beslut.

Kammarrättens beslut överklagades hos Regeringsrätten, som gav sitt bifall till bolagets

överklagan efter en helhetsbedömning av det enskilda fallet. De faktorer som talade för bolagets intresse var att behandlingen av uppgifterna avsåg marknadsföring riktad mot näringsidkare, att uppgifterna inte kunde anses vara känsliga enligt PuL, samt att mjölkproducenterna hade rätt att motsätta sig behandling av uppgifter som rör marknadsföring. Därav vägde bolagets

kommersiella intresse tyngre än mjölkproducenternas intresse av skydd mot kränkning av sin personliga integritet.

46 Öman & Lindblom, s 115. 47 Ibid., s 115.

48 Ibid., s 115-116. 49 SOU 1997:39, s 362. 50 Ibid., s 364.

(18)

14 Vad som är intressant, och kanske anmärkningsvärt, i ovan nämnda fall är att ingen av

instanserna beaktar finalitetsprincipen, dvs om ändamålet med Jordbruksverkets behandling av mjölkproducenternas personuppgifter stämde överens med Danisco Sugar AB: s ändamål med behandling av dessa uppgifter. Det måste anses vara tveksamt om dessa två ändamål är förenliga. Ett ytterligare rättsfall som är av intresse i fråga om tillåten behandling av personuppgifter intresseavvägning enligt PuL 10 § f är RÅ 2002 ref 54. Mecenat AB hade hos Centrala

studienämnden (CSN) begärt att få ta del av uppgifter om universitets- och högskolestuderande i syfte att skicka ut rabattkort till studenterna. CSN avslog begäran med hänvisning till SekrL 7:16 och angav att bolagets intresse av att skicka ut samt marknadsföra tjänster och produkter från diverse företag till studenter inte väger tyngre än studenternas intresse av skydd för sin personliga integritet.

CSN: s beslut överklagades hos kammarrätten som också anförde att Mecenat AB: s

kommersiella intresse fick vika undan för den enskildes intresse av skydd mot sin personliga integritet enligt SekrL 7:16 och PuL 10 f §. Visserligen medgavs att de registrerade studenterna skulle dra fördel av rabattkortets erbjudanden, men bolagets överklagan avslogs av kammarrätten. Kammarrättens beslut överklagades av Mecenat AB till regeringsrätten som menade att bolagets behandling av personuppgifter var nödvändig för att uppnå ändamålet med att marknadsföra sitt rabattkort till studerande, vilket var ett berättigat intresse.

Regeringsrätten anförde att detta fall skilde sig från det tidigare redogjorda rättsfallet eftersom den ifrågavarande marknadsföringen var riktad mot privatpersoner. Följaktligen menade rätten att en intresseavvägning enligt PuL 10 § f måste på ett tydligt sätt visa på att bolagets intresse av att marknadsföra sina produkter väger tyngre än den enskildes intresse av skydd mot sin personiga integritet. I en intresseavvägning till fördel för Mecenat anförde rätten att bolagets

marknadsföring var relativt begränsad då den gällde enbart ett utskick per termin, samt att innehållet i marknadsföringen inte innehöll några integritetskränkande inslag. Vidare anses inte de ifrågavarande personuppgifterna som känsliga enligt PuL. Slutligen anförde rätten att den enskilde har en ovillkorlig rätt att motsätta sig behandling av personuppgifter i samband med marknadsföring. Dessa faktorer talar för att Mecenats kommersiella intresse väger tyngre än de studerandes intresse av skydd mot sin personlige integritet. Någon sekretess gäller därför inte, och därför skall CSN lämna ut handlingarna till Mecenat.

I likhet med rättsfallet RÅ 2001 ref 68, beaktas inte heller finalitetsprincipen i detta rättsfall. Följaktligen råder det stor osäkerhet kring vilken ställning denna princip har i tillämpningen av PuL, då förarbetena anger, som tidigare nämnt, att den är den viktigaste principen i PuL.

Av vikt för ämnet i denna uppsats, är den intresseavvägning mellan den personuppgiftsansvariges intresse av att behandla uppgifterna och den enskildes intresse av skydd mot kränkning av sin personliga integritet som regeringsrätten gör i de båda rättsfallen. Det som är av vikt är huruvida innehållet i personuppgifterna är integritetskänsliga enligt PuL, till vem behandlingen av

(19)

15

4.4 Specifika typer av personuppgifter

I PuL specificeras tre typer av personuppgifter som endast får behandlas under vissa

förutsättningar. De är känsliga uppgifter, uppgifter om lagöverträdelser m.m., och uppgifter om personnummer eller samordningsnummer.

4.4.1 Känsliga personuppgifter

Känsliga uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller

filosofisk övertygelse, medlemskap i fackförening, eller uppgifter som rör hälsa eller sexualliv är förbjudna att behandla, enligt PuL 13 §. Enligt 14 § finns det dock vissa undantag från detta förbud, som regleras av 15-19 §§. Det är trots förbudet tillåtet att behandla känsliga uppgifter bl.a. om samtycke har givits från den som uppgifterna angår (15 §), om behandlingen är

nödvändig under vissa förutsättningar (16 §), om uppgifterna behandlas av vissa typer av ideella organisationer (17), om behandlingen rör hälso- och sjukvårdsändamål (18 §), eller om

behandlingen rör ändamål om forskning och statistik (19 §).

Enligt PuL 20 §, kan regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter från förbudet att behandla känsliga uppgifter, under förutsättning att det behövs med hänsyn till ett viktig allmänt intresse.

4.4.2 Lagöverträdelser

Enligt PuL 21 § 1 st är det förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Regeringen eller Datainspektionen får dock meddela

föreskrifter om undantag från ett sådant förbud, enligt 2 st. Enligt 3 st får regeringen även besluta om undantag från förbudet i enskilda fall, eller överlåta åt datainspektionen att fatta ett sådant beslut.51

Uppgifter om lagöverträdelser är mycket känsliga, och därav följer att vem som helst inte bör hantera uppgifterna hur som helst. Myndigheter får behandla dem för att de ska kunna fullgöra de samhällsuppdrag som lagts på dem.52

Enligt förarbetena behöver det inte finnas en dom i fråga om brottet för att uppgiften ska anses vara en lagöverträdelse. Det är tillräckligt att gärningen har kvalificerat sig till att avse ett brott för att den ska omfattas av bestämmelsen om lagöverträdelser. Å andra sidan anger förarbetena samtidigt att en faktisk betraktelse av en lagöverträdelse inte behöver innebära en sådan uppgift om lagöverträdelse som PuL 21 § avser. Det kan röra sig om uppgift om att någon använt narkotika eller uppgift om att någon har kört bil i för hög hastighet. Praxis och närmare

föreskrifter får avgöra när en gärning är kvalificerad att avse något visst brott och när gärningen

51 Enligt 9 § personuppgiftsförordningen (1998:1191), får Datainspektionen meddela föreskrifter om undantag från förbudet i 21 § PuL. Datainspektionen får även i enskilda fall besluta om undantag.

(20)

16 har registrerats baserad på en faktisk iakttagelse.53 Rättsläget är oklart avseende denna punkt. Torde inte de flesta uppgifter om lagöverträdelser bygga på faktiska iakttagelser?

När det gäller förbudet mot behandla uppgifter om lagöverträdelser, kan det inte upphävas genom ett samtycke från den registrerade.54

Enligt PuL 21 § 2 st är det möjligt för Datainspektionen att föreskriva undantagsbestämmelser från förbudet mot att behandla uppgifter om lagöverträdelser. Datainspektionen har genom DIFS 1998:3 föreskrivit att följande sådana uppgifter får behandlas om:

1. behandlingen är nödvändig för att fullgöra en föreskrift inom socialtjänstområdet

2. behandlingen avser uppgift i anteckningar som förs i fristående skolors elevvårdande verksamhet eller i motsvarande verksamhet hos enskilda anordnare av högskoleutbildning

3. behandlingen är nödvändig för kontroll av att jävsituation inte föreligger i advokatverksamhet eller annan juridisk verksamhet

4. behandlingen avser endast enstaka uppgift som är nödvändig för rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras i enskilt fall

5. behandlingen avser endast enstaka uppgift som är nödvändig för att anmälningsskyldighet enligt lag skall kunna fullgöras.

4.5

Behandling av personuppgifter i ostrukturerat material

Enligt PuL 5 a § 1 st behöver inte hanteringsreglerna55 tillämpas på behandling av

personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Detta innebär att de ovan nämnda bestämmelserna, kallade hanteringsreglerna, är undantagna i fråga om behandling av personuppgifter i ostrukturerat material. Med andra ord är det strukturen av behandlingen som är betydelse för om paragrafen är tillämplig56. Ostrukturerad behandling innebär t.ex. allmän hantering som löpande text i ordbehandlingsprogram eller på Internet57. I fråga om att tillämpa hanteringsreglerna, krävs det att behandlingen har en klar

personuppgiftsanknuten struktur. Enligt förarbetena är det ”fråga om en personuppgiftsanknuten struktur om materialet, t.ex. det som ingår i ett dokument- och ärendehanteringssystem, har strukturerats för att underlätta sökning efter och sammanställning av just personuppgifter”.58 Ett register eller en databas, i vilken fält finns för att fylla i personuppgifter som namn och

personnummer, är exempel på ett material som har en personuppgiftsanknuten struktur. Innebörden är att personuppgifter måste ha markerats för att material skall anses vara av ovan nämnd struktur.59 53 SOU 1997:39, s 380. 54 SOU 2004:6, s 176. 55 PuL 9, 10, 13-19, 21-26, 28, 33, 34 och 42 §§. 56 Prop. 2005/06:173, s 58. 57 Ibid., s 24. 58 Ibid., s 21. 59 Ibid., s 21.

(21)

17 Det strukturerade materialet skall dessutom påtagligt underlätta sökning efter eller

sammanställning av personuppgifter för att hanteringsreglerna ska vara tillämpliga, vilket visar på att behandlingen av personuppgifter måste uppnå en viss kvalité. Bakgrunden till denna benämning är att lagstiftaren vill att ”sådant som inte framstår som något regelrätt personregister eller någon annan form av system, som upprättats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter, skall vara undantaget från hanteringsreglerna”.60 Enligt förarbetena kan dock visst material som har en personuppgiftsanknuten struktur undantas från hanteringsreglerna. Det gäller material av enkel personuppgiftsanknuten struktur samt sedvanlig användning av allmänt använda funktioner. Med enkel personuppgiftsanknuten struktur avses de fall där användaren inte utnyttjar datorteknikens fördelar gällande strukturering jämfört med en manuell hantering. Det kan handla om en lista i ett ordbehandlingsdokument som uppvisar styrelsemedlemmars namn eller en kommuns hemsida som uppvisar vilka som är förtroendevalda. I fråga om sedvanlig användning av allmänt använda funktioner avses en sedvanlig användande av vardagsfunktioner som har en koppling till informations- och

yttrandefrihetsintressen. Det kan gälla e-post program eller filer och mappar som är upprättade med hjälp av personuppgifter.61

Enligt PuL 5 a § 2 st, den s.k. missbruksregeln, får sådan ostrukturerad behandling av

personuppgifter som avses i 1 st inte utföras, om den innebär en kränkning av den registrerades personliga integritet. En kränkning av den personliga integritet är ett intrång i en persons privatliv genom att integritetskänsliga uppgifter, som handlingar, uppfattningar och egenskaper om

personen sprids62.

I bedömningen om huruvida en integritetskränkning har skett måste ett antal olika faktorer beaktas. Om bestämmelserna i PuL 9-10 §§ inte har följts, innebär detta i sig en kränkning av den personliga integriteten63. Hänsyn måste tas till omständigheterna i varje enskilt fall och om det finns motstående intressen som kan vägas mot intrånget av den personliga integriteten64.

Exempel på frågor som måste beaktas i en sådan är bedömning är vilka uppgifter som behandlas, vilket sammanhang uppgifterna förekommer i, för vilket syfte uppgifterna behandlas, vilken spridning de har fått eller riskerat att få och vad behandlingen kan leda till65. Det är av vikt att betona att rätten till skydd för den personliga integriteten kan få vika undan vid en vägning mot intressen som brottsbekämpning, yttrandefrihet, offentlighet och informationsfrihet66.

Förarbetena anger att ”om skälet till att personuppgifterna behandlas i ostrukturerad form är att kringgå hanteringsreglerna för att på så sätt få behandla t.ex. uppgifter om lagöverträdelser, som man annars inte fått behandla, bör det med hänsyn till omständigheterna, t.ex. mängden uppgifter och syftet med behandlingen, kunna vara att betrakta som ett missbruk i missbruksregelns

mening”.67 60 Prop. 2005/06:173, s 21. 61 Ibid., s 21-22. 62 Ibid., s 16. 63 Ibid., s 27. 64 Ibid., s 29. 65 Ibid., s 27. 66 Ibid., s 16. 67Prop. 2005/06:173, s 27-28.

(22)

18

4.6 Säkerhetsåtgärder

Vid behandling av personuppgifter skall den personuppgiftsvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna, enligt PuL 31 § 1 st. Vidare ska dessa åtgärder åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna, och hur pass känsliga de behandlade uppgifterna är. Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas enligt 31 § 1 st.

4.7

Informationsskyldighet

PuL är mycket tydlig gällande information som skall lämnas från den personuppgiftsansvarige till den registrerade. I fråga om personuppgifter som samlas in från personen själv, skall den

personuppgiftsansvarige självmant lämna information till den registrerade om behandlingen av uppgifterna, enligt 23 §. Om uppgifter har insamlats från någon annan källa än den registrerade, skall den personuppgiftsansvarige självmant lämna information om behandlingen av uppgifterna när de registreras, enligt 24 § 1 st.

Det åligger dessutom den personuppgiftsansvarige att gratis årligen lämna besked, när den enskilde ansöker om det, om han eller hon behandlar uppgifter som rör honom eller henne, enligt PuL 26 § 1 st.

(23)

19

5

Svarta listor

5.1

Artikel 29-gruppens arbetsdokument om svarta listor

Arbetsgruppen för uppgiftsskydd är ett EU-organ som skall vara oberoende och rådgivande gällande behandling av personuppgifter inom ramen för persondatadirektivet, enligt artikel 29.1 i persondatadirektivet. Den har bl.a. utarbetat ett arbetsdokument om svarta listor. Syftet med dokumenten är att ”belysa fenomenet med svarta listor inom Europeiska unionen genom att beskriva den befintliga situationen mot bakgrund av den information som lämnats av tillsynsmyndigheterna i europeiska unionen medlemsstater”.68

Huvudprincipen för att svarta listor ska anses vara lagliga är att de är upprättade i enlighet med de principer i persondatadirektivet som tillåter denna typ av behandling av personuppgifter samt i enlighet med de rättigheter som den registrerade har. Medlemsstaterna har dock möjlighet att föreskriva undantag i fråga om vissa bestämmelser.69

Arbetsdokumentet behandlar några typer av svarta listor med olika syften, såsom gäldenärsregister och soliditets- och kreditupplysningstjänster, lagöverträdelser,

bedrägeribekämpning, samt listor som innehåller negativa uppgifter i fråga om hälsoproblem och socialt uppträdande mm70. Arbetsgruppen är tydlig med att svarta listor som behandlar

lagöverträdelser och som är upprättade av företag är otillåtna, om inte medlemsstaterna har föreskrivet undantag enligt artikel 8.5 och 8.6 i persondatadirektivet. Endast myndigheter får behandla uppgifter om lagöverträdelser, då myndigheter är förpliktigade att upprätthålla säkerhet och allmän ordning. Som exempel nämns ospecificerade fall där snabbköp och varuhus har samlat in personuppgifter om störande kunder, vilket ha resulterat att personuppgiftsansvariga har instruerats av tillsynsmyndigheter att upphöra med denna behandling.71

När det gäller svarta listor som behandlar negativa personuppgifter om hälsoproblem, socialt eller politiskt uppträdande, anställda eller arbetssökande, och yrkesmässiga försummelser betonar arbetsgruppen att sådana listor kan få ”oerhörda konsekvenser… för de registrerade personernas liv”.72

Arbetsgruppen slår fast att svarta listor får skadliga konsekvenser för den enskildes privata liv, samt att medlemsstaternas reglering av svarta listor skiljer sig från varandra.73

68 Artikel 29-gruppens arbetsdokument om svarta listor, s 11. 69 Ibid., s 3.

70 Ibid., s 3-10. 71 Ibid., s 6. 72 Ibid., s 8. 73 Ibid., s 11.

(24)

20

5.2

I 3ederländerna

Eftersom EU-direktivet ger utrymme för medlemsländer att göra undantag från förbuden att behandla vissa personuppgifter, samt att artikel 29 - arbetsgruppen för uppgiftsskydd uppger att det förekommer skillnader mellan medlemsstaters reglering och användande av svarta listor, är det av intresse för denna uppsats att närmare undersöka hur dessa skillnader kan komma till uttryck i jämförelse med PuL. Då Nederländerna är ett medlemsland som har utarbetat ett faktadokument för personuppgiftsansvariga gällande svarta listor, är det rimligt att närmare

undersöka dess reglering gällande behandling av personuppgifter och användande av svarta listor. Den nederländska tillsynsmyndigheten, the Dutch Data Protection Authority har utarbetat ett

faktadokument för personuppgiftsansvariga gällande svarta listor. Av detta dokument framgår att flygbolag kan svartlista besvärliga passagerare och hindra sådana att resa med flygbolaget. De värsta lagöverträdarna kan förbjudas att resa med flygbolaget under minst fem år. Dokumentet anger vilka krav som ställs för att svarta listor ska vara tillåtna enligt the Dutch Data Protection Act, som är ett resultat av genomförandet av persondatadirektivet och som är Nederländernas motsvarighet till PuL.74 På grund av det ovan nämnda, är det av intresse att närmare undersöka the Dutch Data Protection Act.

Enligt artikel 16 i Dutch Data Protection Act är det bl.a. förbjudet att behandla uppgifter om en persons kriminella beteende, eller olagligt eller anstötligt uppförande vilket det finns ett ålagt förbud emot. I artikel 22 behandlas undantag från denna bestämmelse. Enligt undantaget i artikel 22.2 a gäller inte förbudet i vid en bedömning av en ansökan från den registrerade för att den personuppgiftsansvarige ska fatta ett beslut om honom eller henne eller tillhandahålla en tjänst. Vidare, enligt ett av undantagen i artikel 22.2 a, kan den personuppgiftsansvarige behandla sådana uppgifter för att skydda sitt eget intresse. Kravet för sådan behandling är att behandlingen avser brott som har begåtts eller som kan förväntas att komma begås mot den personuppgifts-ansvarige eller mot personer i dess tjänstgöring. En ytterligare undantagsbestämmelse från förbudet att behandla uppgifter om kriminella beteenden som gäller utlämnade av uppgifter till tredje man är artikel 22.4 c.75

De ovan nämnda undantagen från grundregeln om att behandling av uppgifter om

lagöverträdelser är förbjudna skiljer sig från PuL. Den holländska lagstiftningen skapar större utrymme för andra än myndigheter att behandla uppgifter om lagöverträdelser jämfört med PuL. Särskild uppmärksamhet bör ges till artikel 22.2 a om tillåten behandling av brott som kan förväntas att komma begås mot den personuppgiftsansvarige, eftersom den är relevant för syftet med svarta listor och då den inte har någon motsvarighet i PuL. Skillnaderna mellan den

holländska och den svenska lagstiftningen kan förklaras med artikel 8 punkt 5 i

persondatadirektivet som anger att medlemsstaterna med stöd av nationell lagstiftning kan göra ändringar från bestämmelsen om att endast myndigheter får behandla uppgifter om

lagöverträdelser.

Det måste dock beaktas att artikel 8 i Dutch Data Protection Act innehåller liknande

bestämmelser med PuL 10 § om när behandling av personuppgifter är tillåten. Detta innebär att

74 Dutch Data Protection Authority, Fact sheet on black lists.

(25)

21 en av förutsättningarna för tillåten behandling måste vara uppfylld, oavsett i vilken utsträckning undantag från förbudet att behandla uppgifter om lagöverträdelser är föreskrivna.

Det nederländska flygbolaget KLM registrerar besvärande passagerare, vilket framgår av

informationen som går ut till passagerarna på flygbolagets hemsida. Det kan innebära förbud från att flyga med bolaget under en viss bestämd tid eller på obestämd tid.76

5.3

Praxis från Datainspektionen

I avsaknad av praxis från domstolar gällande svarta listor, får nedanstående beslut från

Datainspektionen utgöra vägledning när det gäller svartlistning av störande flygpassagerare. De har olika beröringspunkter i förhållande till svartlistning av störande flygpassagerare.

5.3.1 Datainspektionens beslut: AB Svensk Pantbelåning Dnr 1917-2004

AB Svensk Pantbelåning, hädanefter kallat Pantbanken, frågade Datainspektionen huruvida en viss behandling av personuppgifter stred mot PuL. Bakgrunden till frågan var att Pantbanken hade störande kunder och personer i sina lokaler, och bolaget ville begränsa kontakten med dessa kunder. Vissa av dem uppträdde hotfullt och störande. Pantbanken hade även erfarenhet av att personer lämnade stöldgods hos bolaget, och sådan hantering av stöldgods ville bolaget inte medverka till. Sammantaget vållade det ovan nämnda obehag både för personal och för kunder. De personuppgifter som Pantbanken ville behandla avsåg bl.a. personer som hade lämnat in gods hos Pantbanken och som senare omhändertagits av polis, personer som Pantbanken hade skäl att anta uppträda som bulvaner, och personer som hade uppträtt hotfullt mot personal och kunder, oberoende av att polis hade tillkallats och åtal väckts.

Uppgifterna avsåg namn, personnummer och på vilken grund personen inte accepterades som kund samt datum för införande av uppgifterna. De var avsedda att bevaras i fem år, och endast bolagets VD och dennes närmaste underordnade skulle har tillgång till uppgifterna. Uppgiften om att personen är spärrad skulle komma att registreras i ett datasystem som används av Pantbankens butiker när inlämning av gods sker.

Datainspektionen anförde i huvudsak att det är förbjudet för andra än myndigheter att behandla uppgifter om lagöverträdelser, enligt PuL 21 §, om inte någon av de av Datainspektionens föreskrivna undantagsbestämmelser (DIFS 1998:3) är uppfyllda. Enligt PuL 21 § 3 st kan Datainspektionen i enskilda fall bevilja undantag från bestämmelsen i 21 § 1 st. I fråga om lagöverträdelser, hänvisade Datainspektionen till SOU 1997:39 av vilken bl.a. framgår det är tillräckligt med att någon kan ha begått en stöld för att det ska utgöra en uppgift om

lagöverträdelse.

(26)

22 Datainspektionen hänvisade även till ett beslut från Regeringen (Fi 2002/2555) gällande en begäran från Casino Cosmopol AB om en ändring i kasinolagen (1999:355) för att de som bedriver kasinoverksamhet skall ges rätt att registrera uppgifter om besökare vid misstanke om brott mot kasinot, åsidosättande av ordningsregler och andra ordningsstörningar. Regeringen anförde att misstanke om brott mot kasinot utgör särskilt känsliga uppgifter vilket i normalt sett bara får registreras av myndighet, t.ex. Rikspolisstyrelsen. Visserligen kunde det finnas ett intresse från kasinots sida att registrera uppgifter om brott, men regeringen fann att kasinots intresse av att registrera sådana uppgifter inte vägde tyngre än den enskildes intresse av att uppgifter inte registreras. När det gällde uppgifter som rörde åsidosättande av ordningsregler och andra ordningsstörningar, var de av sådan art att de skulle ge stort utrymme för att registrera information och värdeomdömen på ett sätt att det skulle vara integritetskänsligt. Även i detta fall vägde kasinots intressen inte tyngre än den enskildes intresse av att sådana uppgifter inte

registreras.

Datainspektionen anförde i sitt beslut att vissa av de uppgifter som Pantbanken begärde att få behandla utgör sådana uppgifter som omfattas av PuL 21 § om lagöverträdelser. Något av undantagen i DIFS 1998:3 kan inte tillämpas. Datainspektionen undersökte vidare om undantag från att behandla uppgifter om lagöverträdelser i detta enskilda fall kunde beviljas.

I fråga om de uppgifter om brott gällande inlämnande av eventuellt stulet gods som grundar sig på Pantbankens antaganden, innebär de en osäkerhet gällande uppgifternas kvalitet. Det kan innebära att icke-kriminella personer kan komma att sammankopplas med brottslighet, vilket kan leda till att dessa personer stängs av från att inlämna gods. I fråga om möjligheterna att registrera personer som betett sig störande och hotfullt och som lett till påkallande av polis åtal väckts, gäller förbudet i PuL 21 §. Detta gäller även i viss utsträckning de fall som inte lett till att polis påkallats och att åtal väckts.

När Datainspektionen sedan bedömer huruvida ett enskilt undantag ska beviljas i Pantbankens fall, använder myndigheten sig av en intresseavvägning enligt PuL 10 §. Pantbankens intresse består av att kunna erbjuda sina kunder och sin personal en trygg miljö genom att begränsa närvaron av kunder som uppträder på ett störande och hotfullt sätt. Det som talar för den enskildes intresse är att en sådan behandling kan drabba personer som inte var avsedda med behandlingen. En ytterligare faktor som Datainspektionen tar hänsyn till i sin intresseavvägning och som talar för den enskildes intresse är att Pantbankens avsedda behandling ger stora

möjligheter att registrera uppgifter om sina kunder som kan skada deras integritet. Följaktligen övervägde inte Pantbankens intresse den enskildes intresse, innebärande att Datainspektionen inte beviljade undantag från PuL 21 § i detta enskilda fall.

Datainspektionens beslut ovan gällande Pantbanken är intressant i jämförelse med flygbolags möjligheter att svartlista störande passagerare. I båda fallen gäller behandling av uppgifter med ändamålet att hindra störande och hotfulla kunder i sin verksamhet oberoende om det leder till inblandning av polis och att åtal väcks. Mot bakgrund av vad Datainspektionen anför till grund för sin intresseavvägning, är det av betydelse för denna uppsats att analysera hur en

intresseavvägning skulle kunna tala för flygbolags intresse. Datainspektionens beslut Innebär e contrario att en registrering av uppgifter om lagöverträdelser som inte ger stora möjligheter att registrera uppgifter som kan skada den enskildes integritet kan tala för flygbolagets intresse av att svartlista störande passagerare.

(27)

23 5.3.2 Datainspektionens beslut: Connex Sverige AB

Dnr 840-2005

Connex Sverige AB behandlade uppgifter om tidigare anställda på företaget. En av flera

uppgifter som lagrades var dokument om s.k. betygskoncept. I betygskonceptet fanns yttranden om arbetsprestation, samarbetsförmåga, tidspassning, initiativförmåga, arbetsprestation enligt betygsskalor. I dokumentet fanns även en ruta ”icke lämplig för återanställning” som kunde kryssas i. Ändamålet med behandlingen var att kunna följa upp tidigare anställda vid eventuell återanställning. De tidigare anställda som inte rekommenderas för återanställning kan där med undvikas. Connex angav att denna behandling har stöd i PuL 10 § f, och menade att myndigheters och allmänhetens höga krav på säkerhet och service berättigar intresset av att kontrollera personer före en eventuell återanställning. Företagets och allmänhetens intresse väger tyngre än den

registrerades intresse av skydd mot sin personliga integritet. Företaget menade dessutom att behandlingen kan ske med stöd av att kunna fullfölja en rättslig skyldighet eller att utföra en arbetsuppgift av allmänintresse.

Datainspektionen anförde att de grundläggande kraven i PuL 9 § måste vara uppfyllda vid behandling av personuppgifter. Krav som att personuppgifter ska behandlas i enlighet med god sed, bara få samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in ska måste vara uppfyllda.

Enligt Datainspektionen utgör Connexs betygskoncept en spärrlista, d.v.s. att sammanställa uppgifter med syftet att använda dem bl.a. vid en eventuell återanställning. Datainspektionen anger att man i tidigare sammanhang uttalat att spärrlistor är i princip otillåtna. Spärrlistor kan ge ogynnsamma och menliga konsekvenser för de personer som listorna behandlar och kan

diskriminera grupper av personer eller skada deras anseende. Företaget får inte behandla uppgifter om omdömen om tidigare anställda såsom Connex har gjort i sitt betygskoncept. Connexs behandling av personuppgifter strider mot de grundläggande kraven i PuL 9 §, och finner därför ingen anledning att gå in på PuL 10 §.

Datainspektionens beslut är anmärkningsvärt på det sätt att det är vanskligt att förstå vilka grundläggande krav i PuL 9 § som Connexs spärrlistor strider mot. De allmänt hållna domskälen orsakar svårigheter för bolaget vid utformandet av ett eventuellt överklagande. Det egentliga enda beslutsskäl som anges är att Datainspektionen tidigare uttalat att det i princip är otillåtet att upprätta spärrlistor. Det är dock av vikt att erinra sig om de menliga och ogynnsamma konsekvenser som sådana spärrlistor kan åsamka.

5.3.3 Datainspektionens beslut: Sveriges Camping- & Stugföretagares Riksförbund Dnr 1260-2005

Detta fall gäller Sveriges Camping- & Stugföretagares Riksförbund (SCR) som hade uppfört två skilda spärrlistor. De bestod av personuppgifter om personer som hade uppfört sig olämpligt och personer som inte hade betalat under vistelse på de campingplatser som är medlemsföretag till SCR. SCR: s yttrande om dessa två listor framgår nedan.

(28)

24 Den ena listan behandlade uppgifter om gäster som hade lämnat campingplatserna utan att ha betalat. Dessa uppgifter inlämnades av campingplatserna till SCR, eftersom SCR trädde in som borgenär i fordringsförhållandet till gästen. Uppgifterna lagrades i en databas och de användes för hantering av betalningsanspråket. Dessa uppgifter användes även till att sammanställa en årlig spärrlista innehållande uppgifter om de campinggäster som smitit från betalning. Spärrlistan, som innehöll uppgifter om den smitande campinggästens namn, adress, födelsedatum och camping-kortsnummer, lagrades i ett separat dataprogram. Denna lista skickades ut till medlemsföretagen som även fick information om att listan fick kopieras eller spridas.

Den andra listan gällde campinggäster som hade misskött sig under vistelse på campingplatserna, och den kallades ”campingvärdarnas egen spärrlista”. Uppgifter om campinggästens typ av misskötsamhet samt namn, personnummer, adress och telefonnummer inlämnades av

campingplasterna till SCR, varpå SCR sammanställde en spärrlista i ett separat dataprogram. Uppgifterna om misskötsamhet kunde vara bristande betalning eller överträdelser av

ordningsregler. SCR angav att vissa uppgifter om misskötsamhet skulle kunna ha utgjort

lagöverträdelser, men inte i den mening som avses i PuL 21 §. De är heller inte av sådan art att de är kvalificerade att avse något specifikt brott, eller sådana känsliga uppgifter som avses i

PuL 13 §.

Enligt SCR var syftet med spärrlistorna att hjälpa campingplatserna med att undvika kundrelationer som kan vara negativa för den näringsverksamhet som företagen bedriver. Behandlingen var nödvändig för att ett ändamål som rör ett berättigat intresse hos

campingplatserna skulle kunna tillgodoses. Vidare angav SCR att spärrlistorna inte utgjorde kreditupplysningsverksamhet enligt kreditupplysningslagen (1973:1173).

I fråga om de uppgifter som rörde hanteringen av betalningsanspråken, omfattades de av PuL: s bestämmelser. De uppgifter som registrerades bedömdes vara brottsuppgifter enligt 21 §. Däremot var ett av undantagen från förbudet att behandla sådana uppgifter i Datainspektionens föreskrifter DIFS 1998:3 tillämpligt. Enligt det fjärde undantaget,

d v s om uppgiften är nödvändig för att rättsliga anspråk ska fastställas, får brottsuppgifter

behandlas. Vidare är behandlingen tillåten enligt 10 § a tillämplig om att fullgöra avtalet med den registrerade.

I detta fall kommer PuL: s subsidiära status till uttryck när inkassolagen och

kreditupplysningslagen beaktas av Datainspektionen. Här tydliggörs också tillämpningen av undantagen från PuL 21 § och av när behandling av personuppgifter är tillåten enligt 10 § a.

5.3.4 Datainspektionens beslut: AB Svenska Bostäder Dnr 81-2005

AB Svenska Bostäder hade registrerat uppgifter om en hyresgäst som hade uttryckt hotelser mot en av bolagets anställda. Dessa uppgifter sparades i en databas i syfte att kunna vidta

säkerhetsåtgärder vid framtida kontakter med hyresgästen. Bolaget yttrade även att det var nödvändigt att registrera sådan information som grund för en eventuell uppsägning, d v s göra ett

(29)

25 rättsligt anspråk gällande. Uppgifterna registrerades med stöd av PuL 10 § f, enligt AB Svenska Bostäder.

Datainspektionen angav att det ifrågavarande hotet hade polisanmälts, och därmed utgjorde misstanke om brott. Misstanke om brott är en lagöverträdelse i enlighet med vad som avses i PuL. Myndigheten gör en jämförelse med det ovan nämnda rättsfallet Dnr 1917-2004 om

Pantbanken som ville förhindra kommande kontakter med hotfulla kunder. I det nuvarande fallet råder det, till skillnad från Pantbankens fall, ett kontraktsförhållande som kan sägas upp om hyresgästen missköter sig. Detta kontrakt kas sägas upp om någon av parterna inte sköter sina åtaganden i avtalet.

Datainspektionen förstod det som att bolagets behandling av personuppgifter rörde sig om ändamålen att vidta säkerhetsåtgärder, att säga upp kontraktet samt att göra en polisanmälan. I fråga om ändamålet att vidta säkerhetsåtgärder och mot bakgrund av

PuL 10 § f, överväger inte bolagets intresse av att registrera uppgifter om hotfulla beteenden hos den enskildes intresse av att sådana uppgifter inte registreras. Gällande ändamålet att registrera uppgifter för en kommande uppsägning samt att författa en polisanmälan, dvs att tillvarata rättsliga anspråk, kan sådan behandling vara tillåten enligt 10 § f samt undantaget 1 § punkten d) DIFS 1998:3. Datainspektionen utvecklar detta vidare med att registrering av hotfulla beteenden hos hyresgäster är tillåten om den avser en händelse som inte behöver följas av en åtgärd vid händelsens tidpunkt. Händelsen måste anses vara nödvändig för att i framtiden ligga till grund för uppsägning, d v s framställa ett rättsligt anspråk. Dessa uppgifter ska hållas separata från övriga uppgifter om hyresgästen, och endast de anställda bör ha tillgång till uppgifterna när

arbetsuppgifterna kräver det. Den personuppgiftsansvarige måste genast radera uppgifterna, när uppgifterna inte längre behövs.

Det ovan nämnda fallet är intressant i förhållande till svartlistning av störande flygpassagerare eftersom det rör sig om ett kontraktsförhållande även mellan flygbolag och kunden, vilket kommer att diskuteras senare i analysen.

Avslutningsvis kan följande anföras gällande Datainspektionens fyra beslut i relation till svartlistning av passagerare. Om flygbolag ämnar svartlista störande passagerare ska följande beaktas:

1. Icke-störande passagerare får inte riskera att svartlistas

2. Möjligheterna att svartlista uppgifter om passagerare måste vara begränsade 3. Svarta listor kan innebära diskriminering av vissa grupper

4. Ett kontraktsförhållande med passageraren kan innebära att svartlistning är tillåten enligt PuL 10 § a för att fullgöra kontraktet

5. I fråga om möjligheten att svartlista uppgifter om lagöverträdelser, innebärande undantag från förbudet i PuL 21 § 1 st, bör möjligheten att göra rättsliga anspråk enligt undantaget 1 d DIFS 1998:3 undersökas närmare

References

Related documents

Du har rätt att begära att dina personuppgifter raderas om dessa inte längre är nödvändiga för syftet som uppgifterna samlades in eller på annat sätt behandlas

Personuppgifterna får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket

Personuppgifter som behandlas enligt 7 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med

Personuppgifter som behandlas enligt första stycket får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt

Denna behandling av dina personuppgifter krävs för att vi ska kunna uppfylla våra skyldigheter enligt det arbetsrättsliga regelverket samt för att kunna handlägga ärenden i fall

Eftersom e contrario-slut av SkL 2:4 emellertid inte var avsedda, som nŠmnts ovan, skulle man kunna fšrsška argumentera fšr skadestŒnd pŒ grund av ekonomiskt fšrtal, men torde

KONFERENSEN ARRANGERADES av AWID, en paraplyorganisation för organisationer som arbetar för jämställdhet, hållbar utveckling och respekt för kvinnors mänskli- ga

De kan handla om kortsiktig ekonomisk vinst: liksom för skolorna och dagisen finns möjligheter att dra ner på personal, ersätta utbildad personal med mindre utbildad sådan, se