Av Jacob Palme, e-post: jpalme@dsv.su.se, vid forskningsgruppen för CMC (datorförmedlad kommunikation) vid Institutionen för data och systemvetenskap vid Stockholms Universitet och KTH.
Datainspektionen (DI) har den 1 mars 1999, på uppdrag av regeringen, lämnat förslag om föreskrifter för lättnader av Personuppgiftslagen (PUL) när det gäller Internet.
Här några kommentarer till Datainspektionens förslag. Dessa kommentarer finns även i Adobe Acrobat-format.
När människor publicerar information, som är kränkande för annans integritet, så förhindras detta av lagen om förtal (ärekränkning). Enligt svensk lag kan även sanna uppgifter vara förtal, t.ex. uppgift om att en person är en knarkmissbrukare. Förtalslagen ger också rätt till undantag när det varit berättigat att ge uppgiften.
Varför behövs det en annan och separat lag för publicering på Internet. Varför duger inte förtalslagstiftningen. Varför kan inte samma yttrandefrihet gälla på Internet som vid publicering i andra former, t.ex. föredrag, flygblad, affisch, etc?
Datainspektionen säger att undantag skall göras för "harmlösa" uppgifter. Men det är viktigt med yttrandefrihet, just ifråga om yttranden som inte är "harmlösa".
Ifråga om uppgifter om en persons brottslighet, säger Datainspektionen att sådana skall vara tillåtna om personen själv har offentliggjort uppgiften. Konsekvensen av detta blir att det blir olagligt att säga att Pinochet är en mördare, eller att en viss omtalad kommunalpolitiker gått på porrklubb på kommunens bekostnad, såvida han inte erkänt det själv. Är det en sådan yttrandefrihet vi vill ha?
Regeringen säger i sina direktiv till Datainspektionens utredning:
Regeringen uppdrar åt Datainspektionen att utreda det närmare behovet av att göra undantag från förbudet i 33 § personuppgiftslagen (1998:204) när det gäller ... överföringar av personuppgifter till tredje land som typiskt sett inte innebär några risker för de registrerade eller det annars mot bakgrund av allmänhetens intresse att sprida och inhämta information framstår som angeläget att undantag görs, särskilt i samband med behandling av personuppgifter på internationella kommunikationsnätverk, t.ex. Internet.
Datainspektionens förslag fyller inte dessa krav i direktiven, eftersom regeringen uppenbarligen avser att även icke-harmlösa uppgifter skall få publiceras. Bättre hade varit att tillämpa gällande regler om förtal, de är konstruerade och tillämpas just för att göra en avvägning mellan risk för kränkning och behovet av fri debatt.
Datainspektionen tolkar PUL så att PUL innebär en väsentlig skärpning jämfört med den gamla datalagen. Tidigare, med den gamla datalagen, var t.ex. enligt DI e-post inte täckt av datalagen, inte heller chat och mycket annan kommunikation via datorer. Men nu har enligt DI även t.ex. e-post blivit olagligt. Denna tolkning av lagen innebär alltså ingen lättnad, utan en väsentlig skärpning, som DI föreslår. Det finns inget stöd i lagtexten för denna skärpning. Varken den gamla datalagen eller den nya PUL talar explicit om att e-post eller s.k. löpande text, inte skulle omfattas. Datainspektionen har genom åren vacklat ifråga om huruvida löpande text omfattas av datalagen eller inte, och just nu har alltså inspektionen tagit den nya lagen som skäl för att göra en skärpning av sin tolkning av lagen.
Datainspektionen säger i sin utredning:
Bestämmelsen kan dock utformas så att det uppenbart skall saknas en risk för kränkning av den registrerades personliga integritet. En sådan regel bör leda till att en personuppgiftsansvarig som är tveksam till om en viss överföring av information verkligen är sådan att det uppenbart saknas risk för kränkning inte tar med informationen eller inhämtar den registrerades samtycke till överföringen.
Avsikten med formuleringen ovan är, enligt DI, att göra det lätt för en enskild person att avgöra om en viss publicering är olaglig eller inte. Men det uppenbara, när det gäller PUL, är ju att enskilda personer tolkar lagen strängare än vad vissa jurister gör. Enskilda personen tror att om det står att man inte får sprida personuppgifter till tredje land utan tillstånd, så gäller det. Hela idén att ha en sträng lag, och sedan tillämpa lagen liberalt, är ett hot mott rättssäkerheten, och gör det svårt för icke-experter att förstå vad som är lagligt eller inte lagligt.
Exempel: "Pinochet är en mördare". Hur skall en som skriver detta kunna förstå, att detta "uppenbart inte innebär någon kränkning av Pinochets integritet"? Man måste nog vara kvalificerad jurist för att inse att detta inte innebär någon integritetskräkning! Om det nu är det som DI menar.
Datainspektionen skriver vidare:
Härutöver kan man åstadkomma än mer skydd genom att närmare ange de ändamål för vilket överföringen av personuppgifter i löpande text skall få ske till tredje land utan hinder av förbudet i 33 § PuL.
Men om man publicerar information på Internet, så kan man ju inte styra vilket ändamål som de som läser informationen har för att läsa den. Även om jag har ett berättigat ändamål för att publicera en uppgift på Internet, så kan den som läser det använda uppgiften på ett icke-berättigat sätt. Exempel: Alta Vista gör sammanställningar av tabeller av all information om en viss person i stora delar av Internet. De upprättar alltså ett regelrätt register över personuppgifter. Om datainspektionen vill få en effekt med sin formulering, får de även styra ändamålet för de som läser informationen. Men det kan de inte göra, därför att svensk lag inte kan tillämpas mot Alta Vista i USA.
Vid konflikt mellan personuppgiftslagen och yttrandefriheten, bör stor varsamhet vidtas med tillämpning av personuppgiftslagen på ett sådant sätt som innebär risk för kränkning av yttrandefriheten. Detta gäller inte enbart publicering på Internet, utan även sådana register, t.ex. i s.k. portalar, som används för att hjälpa allmänheten att hitta information på Internet. Det bör utförligt framgå av regeringens instruktioner till datainspektionen, att den skall ta sådana hänsyn vid tillämpningen av PUL.
Personuppgiftslagen befinner sig i ett känsligt gränsland mellan yttrandefrihet och skydd för personlig integritet. I sådana viktiga och känsliga områden, är det bättre med en lag enligt principen "allt är tillåtet, som inte explcit är förbjudet", än med en lag som likt PUL i huvudsak följer principen "allt är förbjudet, som inte explicit är tillåtet". Således bör PUL ersättas med en lag som explicit specificerar vilka typer av register som lagen gäller. Listan över register kan vid behov utökas av regeringen. Lagen skall bara tillämpas på de register som anges i lagen eller i regeringens föreskrifter. Exempel på register som lagen skall gälla för är: Kundregister, patientregister, medlemsregister, prenumerantregister, straffregister, domsregister. Se mitt förslag till alternativ lagtext.
Vid sidan av yttrandefriheten är även forskningens frihet mycket viktig. Om lagen överhuvudtaget skall gälla för forskningsregister, måste den tillämpas med stor försiktighet, och inte på ett sätt som inte hindrar angelägen s.k. longitudinell forskning.
Datainspektionen skriver vidare att det inte är generellt tillåtet att publicera myndigheters beslut och protokoll på Internet. Detta är ett allvarligt hinder för informationsfriheten, och borde klargöras tydligare.