I vår digitaliserade värld är frågor om skydd för våra personuppgifter, så kallat dataskydd, ständigt aktuella. Varje uppgift som rör dig som person, är en personuppgift. Det gäller både direkta uppgifter som namn eller personnummer och uppgifter som indirekt kan leda fram till dig som person, till exempel registreringsnumret på din bil eller ett målnummer i domstol. I dataskyddssammanhang kallas den person vars uppgifter behandlas för den registrerade. Vi har alla i egenskap av registrerade nåtts av information från olika aktörer som vi har digital kontakt med där aktören, det vill säga den personuppgiftsansvarige, beskriver hur våra personuppgifter kommer att behandlas i aktörens verksamhet. Som exempel på sådana situationer kan nämnas att du prenumererar på en streamingtjänst, är medlem i en förening eller har ett ärende hos en myndighet. Ibland blir det tvister mellan den registrerade och den personuppgiftsansvarige om personuppgifterna har hanterats på ett korrekt sätt. Sådana tvister kan på olika sätt bli prövade i domstol, båda i allmän domstol och i allmän förvaltningsdomstol.
Dataskyddsfrågorna har följt mig länge under mitt yrkesliv, både i samband med att sådan lagstiftning har arbetats fram och i mitt arbete som domare. I den här texten kommer jag att beskriva dataskyddsfrågor som kan förekomma i domstolarnas verksamhet. Först några ord om den historiska bakgrunden!
Dataskyddet 50+
Datalagen
Här i Sverige var vi tidiga med att använda datorer och den första lagen om dataskydd, datalagen, infördes för mer än 50 år sen. På den tiden använde man datorer främst på myndigheter för att föra stora register, till exempel körkortsregistret, och som huvudregel gällde att tillstånd behövdes för att behandla personuppgifter. Tillstånd beslutades av tillsynsmyndigheten, som då hette Datainspektionen. Under datalagens tid var det ovanligt med mål om dataskydd i domstol.
Personuppgiftslagen
I mitten av 1990-talet blev Sverige medlem i EU och då behövde EU:s dataskyddsregler kunna gälla i svensk rätt. Det skedde genom personuppgiftslagen, som trädde i kraft 1998 och ersatte datalagen. Genom den lagen togs kravet på tillstånd bort. I stället infördes andra krav på den som ville behandla personuppgifter som bland annat handlade om
- att man skulle ha ett godtagbart skäl för att få behandla personuppgifter,
- att man inte skulle hantera fler uppgifter än man behövde och
- att uppgifterna inte fick behandlas under för lång tid.
Datainspektionen fortsatte att vara tillsynsmyndighet.
I personuppgiftslagen fanns bestämmelser om åtgärder som Datainspektionen kunde vidta mot en personuppgiftsansvarig som inte behandlade personuppgifter korrekt, bland annat att behandlingen kunde förbjudas. I så fall fick den personuppgiftsansvarige inte använda personuppgifterna mer i sin verksamhet. Det gjorde att mål om dataskydd i domstol blev vanligare, framför allt i allmän förvaltningsdomstol dit Datainspektionens beslut överklagades. Personuppgiftslagen gav också den registrerade möjlighet att väcka talan i allmän domstol om skadestånd för personuppgiftsbehandling som upplevts som kränkande. Ett omtalat sådant mål rörde att polisen i Skåne hade fört det så kallade Kringresanderegistret som innehöll uppgifter om ett mycket stort antal personer. Några av de registrerade förde talan om skadestånd i allmän domstol. Domstolen bedömde att de skulle få ett skadestånd på 30 000 kronor vardera för den allvarliga kränkning som polisens behandling hade inneburit.
Personuppgiftslagen infördes vid en tid då inte bara myndigheterna behandlade personuppgifter, utan också då flertalet privatpersoner hade skaffat sig datorer för att skicka e-post, skriva digitala texter och använda Internet. Det fanns en stark oro för att lagens detaljerade regler för korrekt behandling skulle hindra privatpersoners möjlighet att använda sin yttrandefrihet på Internet. Därför infördes i början av 2000-talet en möjlighet för var och en att skaffa sig ett så kallat frivilligt grundlagsskydd genom utgivningsbevis. Syftet med det var att också andra än massmedieföretag skulle kunna omfattas av det särskilt starka skydd för tryck- och yttrandefrihet som finns i svensk grundlag genom tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Detta skydd innebär bland annat betydligt mer begränsade möjligheter att ingripa mot innehållet i information som gjorts tillgänglig i till exempel en databas än dataskyddsreglerna ger.
EU:s dataskyddsförordning (GDPR)
År 2018 började nya dataskyddsregler att gälla inom EU, den så kallade dataskyddsförordningen eller GDPR som står för General Data Protection Regulation. Den blev direkt tillämplig i alla medlemsstater och alltså även i Sverige. Personuppgiftslagen slutade därför att gälla. De grundläggande kraven om bland annat godtagbart ändamål för att få behandla personuppgifter blev kvar. Därutöver förstärktes rättigheterna för de registrerade och skyldigheterna för personuppgiftsansvariga blev tydligare. Tillsynsmyndigheten, som bytte till sitt nuvarande namn Integritetsskyddsmyndigheten, som förkortas IMY, fick skarpare verktyg för att komma till rätta med behandling av personuppgifter som inte uppfyllde kraven, bland annat administrativa sanktionsavgifter. Administrativa sanktionsavgifter kan beskrivas som böter som en myndighet kan ta ut från en aktör, ofta ett företag eller en organisation, som inte följer reglerna.
Vanligare med mål i domstol under dataskyddsförordningen
Under dataskyddsförordningens tid har mål i domstol om dataskydd blivit mycket vanligare än tidigare. Mål om skadestånd i allmän domstol är fortfarande ganska ovanliga, men i allmän förvaltningsdomstol har mål som rör att registrerade vänt sig till IMY med klagomål och mål där IMY beslutat om tillsynsåtgärder blivit allt fler. I dessa mål har den som är missnöjd med IMY:s beslut överklagat till domstolen och IMY är då motpart i målet. Alla sådana mål hanteras vid Förvaltningsrätten i Stockholm, eftersom IMY har sitt huvudkontor i Stockholm. Om förvaltningsrättens avgörande överklagas, hanteras målet av den domstol där jag arbetar, Kammarrätten i Stockholm.
En annan typ av mål som har blivit betydligt mer vanligt i allmän förvaltningsdomstol under dataskyddsförordningens tid är mål där registrerade är missnöjda med hur personuppgiftsansvariga myndigheter eller domstolar behandlar deras personuppgifter. Sådana mål kan förekomma vid alla förvaltningsrätter och kammarrätter runtom i landet. Denna möjlighet att överklaga baseras på en huvudprincip inom förvaltningsrätten att myndigheters beslut som påverkar den enskilde ska kunna överklagas.
Vad styr – grundlagsskydd eller dataskydd?
En fråga som har fått allt större betydelse under senare tid är förhållandet mellan grundlagsskyddet för tryck- och yttrandefrihet och dataskyddsreglerna när det gäller behandling av personuppgifter. Sedan en tid tillbaka har en ny bransch sett dagens ljus där företag med stöd av så kallat frivilligt grundlagsskydd genom utgivningsbevis tillgängliggör omfattande söktjänster på Internet för att mot betalning förmedla information om enskilda personer, framför allt om lagöverträdelser men också om registrerade som förekommer i mål i allmän förvaltningsdomstol. Informationen har ofta hämtats från myndigheter och domstolar med stöd av rätten att ta del av allmänna handlingar, den så kallade offentlighetsprincipen. Att uppgifter om en mycket stor mängd personer samlas på detta sätt i en databas, och då kan spridas vidare till andra, anses ofta vara en särskilt känslig hantering av personuppgifter. Som exempel kan nämnas att Polismyndighetens så kallades belastningsregister, som innehåller uppgifter om personer som dömts för brott, omfattas av absolut sekretess. Det innebär att uppgifter därifrån inte får lämnas ut med stöd av offentlighetsprincipen. Det är också noggrant reglerat hur länge uppgifterna får sparas i registret och vilka myndigheter som får ta del av uppgifter och i så fall vilka uppgifter.
IMY har nåtts av allt fler klagomål från registrerade som förekommer i söktjänstföretags databaser. De registrerade menar att de enligt dataskyddsförordningen har en ”rätt att bli glömd” och vill att deras personuppgifter raderas ur söktjänsterna. Eftersom grundlagsreglerna utgår från principen att ingripanden mot grundlagsskyddade yttranden ska hanteras enbart inom ramen för den regleringen, och inte exempelvis enligt dataskyddsreglerna, har IMY ansett sig förhindrad att ingripa mot söktjänsterna.
Eftersom den allmänna rättsuppfattningen har varit att grundlagsskyddet så att säga tar över dataskyddsreglerna, har myndigheter och domstolar inte heller ansett sig kunna säga nej till utlämnanden av stora mängder offentliga domar till söktjänstföretag med utgivningsbevis. Eftersom utgivningsbevisen ger grundlagsskydd, har bestämmelsen om så kallad dataskyddssekretess inte tillämpats. Dataskyddssekretess gäller annars typiskt sett när stora mängder personuppgifter begärs ut med stöd av offentlighetsprincipen. En bedömning måste då göras om mottagarens tänkta behandling av personuppgifter kommer att ske i enlighet med dataskyddsförordningens regler, exempelvis om företaget har ett godtagbart skäl för att behandla uppgifterna.
En vändning i rättspraxis
I frågan om förhållandet mellan grundlagsskyddet för tryck- och yttrandefriheten och dataskyddsreglerna har en vändning nyligen skett i svensk rättspraxis. Den nya praxisen, som slogs fast av Högsta domstolen i två beslut i februari i år, kan kortfattat beskrivas så att dataskyddsförordningens reglering av förhållandet mellan yttrandefrihet och dataskydd ska ges företräde. Det innebär att man har lämnat synen på att svenskt grundlagsskydd i princip alltid ”tar över”. I stället måste det finnas utrymme för den som ska tillämpa reglerna att göra en avvägning mellan hur skyddsvärda personuppgifterna är och den personuppgiftsansvariges intresse av att få behandla uppgifterna. Enligt dataskyddsförordningen anses vissa uppgifter vara särskilt skyddsvärda, till exempel uppgifter om hälsa, etniskt ursprung och politiska åsikter samt uppgift om att någon dömts för brott.
För domstolarnas del innebär den nya praxisen att det framöver kommer att finnas mål hos de allmänna förvaltningsdomstolarna i Stockholm, det vill säga förvaltningsrätten och kammarrätten, om tillsyn enligt dataskyddsförordningen där IMY har ingripit mot söktjänstföretag med utgivningsbevis. IMY har nyligen meddelat att myndigheten nu kommer att inleda tillsyn mot ett antal sådana företag.
Vi kan också förvänta oss att domstolarna i betydligt större utsträckning än tidigare kommer att neka söktjänstföretag utlämnanden av stora mängder offentliga domar med personuppgifter med hänvisning till så kallad dataskyddssekretess även om företaget har utgivningsbevis. Sådana beslut kan därefter överklagas till antingen kammarrätt eller hovrätt.
Det finns sedan tidigare ett mål i allmän domstol där ett söktjänstföretag med utgivningsbevis är föremål för en skadeståndstalan som rör kränkning av en registrerad på grund av företagets behandling av personuppgifter. I det målet väntas ny praxis från EU-domstolen, eftersom den tingsrätt som hanterar målet har begärt ett så kallat förhandsavgörande från EU-domstolen där tingsrätten vill ha svar på ett antal frågor som rör förhållandet mellan det svenska grundlagsskyddet för tryck- och yttrandefrihet och dataskyddsförordningens regler.
När domstolen är personuppgiftsansvarig
Förutom att hantera mål som rör dataskydd, kommer en domstol i kontakt med dataskyddsfrågor i sin roll som personuppgiftsansvarig. Inom domstolarnas verksamhet behandlas en stor mängd personuppgifter, både i den dömande verksamheten och inom ramen för administrativa ärenden, till exempel personalärenden.
Varje domstol är personuppgiftsansvarig för sin verksamhet och ska därför hantera frågor från personer vars personuppgifter behandlas hos domstolen. Det kan gälla att ge en registrerad information om vilka personuppgifter som behandlas och för vilka ändamål det sker eller att besvara en begäran om att uppgifter ska rättas eller raderas ur domstolens informationssamlingar. Om en person inte är nöjd med den information som domstolen lämnat eller hur domstolen hanterat personens begäran om till exempel rättelse, kan personen överklaga domstolens beslut.
En person som inte är nöjd med hur domstolen har agerat i egenskap av personuppgiftsansvarig kan också lämna in ett klagomål till IMY. Ett viktigt undantag är dock att IMY inte är behörig att utöva tillsyn över den behandling av personuppgifter som sker i domstolens dömande verksamhet. Oavsett detta är domstolen förstås skyldig att uppfylla sitt personuppgiftsansvar.
Ett rättsområde i stark utveckling
Det kan konstateras att dataskyddet är en ovanligt vital ”femtioplussare”. Eftersom vårt samhälle fortsätter att digitaliseras i hög takt, utvecklas också rättsområdet som rör dataskydd starkt. Registrerade är mer aktiva än tidigare och gör gällande sina rättigheter enligt dataskyddsförordningen. Även IMY är mer aktiv i sin roll som tillsynsmyndighet. Som en följd av detta kommer mer praxis fram genom ett ökat antal mål i svenska domstolar. Även praxis från EU-domstolen kommer i en starkt ökad omfattning. Och rättsområdets utveckling påverkar ju oss alla i vår vardag, där dataskyddsfrågorna ständigt finns med oss så fort vi använder en tjänst eller kommunicerar med andra via dator eller telefon.
Elisabet Reimers
Kammarrättsråd och vice ordförande i Kammarrätten i Stockholm
