[Hemsida] [Brf-direkt] [Skicka vykort] [Tipsa ditt nätverk]
Vad är ett personregister enligt datalagen?
  1. Inledning
  2. Gärningsbeskrivninig
  3. Licens från Datainspektionen
  4. Vad är ett personregister för automatisk databehandling?
    4.1 Vad säger Svensk Standard om register?
    4.2 Post med personuppgifter i fält med tecken
    4.3 Personregister med flera poster
    4.4 Databas med sammanlänkade register
  5. Digitala och analoga personuppgifter
    5.1 Digital personuppgifter
    5.2 Analoga personuppgifter
  6. Är "Skampålen" ett personregister?
  7. EG-direktiv
    7.1 EG:s grundläggande friheter
    7.2 EG:s datadirektiv
    7.3 Personuppgiftslagen (PUL)
    7.4 EG:s-datadirektiv gäller endast för personregister och inte akter
  8. Inga territoriella gränser för yttrandefriheten
  9. Sammanfattning
  1. Inledning

    Den 18 december 1998 åtalades jag för brott mot Datalagen genom personuppgfiter lämnade på hemsida för Stiftelsen Mot Nordbankens (numera Bankrättsföreningen).

    Håkan Nordquist som polisanmält Börje Ramsbro fick i radioprogrammet - Vår grundade mening frågan;

    "Varför polisanmälde Du inte Börje Ramsbro för förtal?"

    Håkan Nordquist svarade;

     

    "Det är inte särskilt meningsfullt att göra det i Sverige. I Sverige får man stå ut med den här typen av personliga påhopp."
    Av detta framgår att polisanmälan skulle utgöra ett substitut för en anmälan för förtal.

  2. Gärningsbeskrivning

    Åklagaren har väckt åtal för påstått brott mot Datalagen enligt följande gärningsbeskrivning, se citat bilaga 1:

     

    "Ramsbro har under tiden februari 1997 - oktober 1997 på en webbplats på Internet för en uppgiven stiftelse under namnet Stiftelsen mot Nordbanken uppsåtligen eller av oaktsamhet inrättat eller fört personregister utan föreskrivet tillstånd av Datainspektionen.

    Ramsbro har även under angiven tid underlåtit att inhämta Datainspektionens medgivande till s.k. utlandsutlämnande i enlighet med 11§ Datalagen."

    Följande lagrum har åbropats: Datalagen 1§, 11§ samt 20§ p1 och p3, (1973:289).

    "1§ - I denna lag avses med
     
    personuppgift:  upplysning som avser enskild person, 
    personregister:  register, förteckning eller andra anteckningar som föres med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med uppgiften, 
    registrerad: enskild person beträffande vilken förekommer personuppgift i personregister, 
    registeransvarig:  den för vars verksamhet personregister föres, om han förfogar över registret.

    11§ - Personuppgift som ingår i personregister får ej lämnas ut, om det finns anledning antaga att uppgiften skall användas för automatisk databehandling i strid med denna lag. Finns det anledning antaga att personuppgift skall användas för automatisk databehandling i utlandet, får uppgiften lämnas ut endast efter medgivande av datainspektionen. Sådant medgivande får lämnas endast om det kan antagas att utlämnandet av uppgiften icke kommer att medföra otillbörligt intrång i personlig integritet. Något medgivande behövs dock inte, om personuppgift skall användas för automatisk databehandling enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter.

    Straff och skadestånd m.m.
    20§ - Till böter eller fängelse i högst ett år döms den som uppsåtligen eller av oaktsamhet,
    1. inrättar eller för personregister utan licens eller tillstånd enligt denna lag, när detta erfordras,
    3. lämnar ut personregister i strid mot 11§" Dessa lagar och paragrafer som åberopas i åtalet mot mig tillkom 1973, då en dator av dagens PC-kapacitet fyllde ett helt rum och sköttes av män i vita rockar. Ordet Internet var inte ens myntat och tekniken var dessutom okänd för de lagstiftande myndigheterna.

  3. Licens från Datainspektionen

    Datalagen har tillkommit för att skydda den enskilde mot ohämmat integritetsintrång genom s.k. personregister för automatisk databehandling. Jag instämmer i Datalagens krav på licens och begärde själva, som ägare till System 3R International AB, licens från Datainspektionen den 5 juli 1987, och erhöll licens nr 82070982 den 7 juli 1982, bilaga 2 .

    Licensen begärdes för att upprätta ett personregister med personuppgifter för automatisk databahandling inom företagets personalfunktion. Detta personregister hade funktioner för direkt sökning, bearbetning och analysering av personuppgifter, över varje enskild medarbetare. Personregistret skulle utgöra ett av flera register, vilka var integrerade i en databas som omfattade hela företaget.

  4. Vad är ett personregister för automatisk databehandling?

    Dagens PC-teknik och standard databasprogram erbjuder lösningar för upprättande av olika typer av register med ett stort antal strukturerade data, t. ex. ett personregister med personuppgifter över företags samtliga anställda. Personregistret kan upprättas och underhållas utan specialkunskap om datatekniken.

    Personuppgifterna kan enkelt registreras och därefter bearbetas, analyseras, sökas, samköras med andra register. Automatiskt databehandlade personuppgifter kan enkelt och snabbt spridas över Intranet, Internet (krypterat), e-mail, nätverk etc.

    Grundläggande för all automatisk databehandling är som regel att det finns en databas, vilken innehåller ett eller flera register för de olika tillämpningsområden. Varje register innehåller poster, vilka är indelade i fält. Fälten innehåller tecken i form av siffror och bokstäver, som omvandlas till maskinspråk (binära tal med ettor och nollor) genom ett programsspråk och datorns opertivsystem etc., se bild 3.

    4.1 Vad säger Svensk Standard om register?

    Register = En mängd av sammanhängande poster som behandlas som en enhet.

    Ett exempel på personregister för automatisk databehandling av personuppgifter finns för demonstration i programmet Microsoft Access - Northwind Traders. Nedan kommenteras kort några skärmbilder från åberopad databas med personregister.

    4.2 Post med personuppgifter i fält med tecken, bilaga 4.
    Samtliga personuppgifter är sammanställda i en post bestående av fält och tecken för automatisk databehandling.

    4.3 Personregister med flera poster, bilaga 5.
    Personuppgifter strukturerade i register med flera poster för automatisk databehandling genom bearbetning, samkörning, sökning, sortering, analys etc.
    Personuppgifter inom samtliga poster kan sorteras efter olika kriterier, t. ex i alfabetisk ordning, efter kategori, bostadsort o.s.v

    4.4 Databas med sammanlänkade register, bilaga 6.
    Personregister länkat i databas för automatisk databehandling genom bearbetning, sökning, samkörning, sortering, simulering, analys etc.

    Beskrivning enligt ovan är ett exempel på ett personregister för automatisk databehandling av personuppgifter. Detta personregister motsvarar Datalagens tillämpningsområde och kräver licens från Datainspektionen.

    Löpande text som lagaras på ett datamedium, t ex vid ordbehandling, är inte ett personregister, även om texten innehåller namn eller identitetsuppgifter av något slag.

    Datalagen är en s.k. tekniklag som förutsätter automatisk databehandling. Personuppgifter som icke finns i registerform för automatisk databehandling ligger utanför Datalagen tillämpningsområde.

    Om det upprättas och förs ett personregister är syftet att bearbeta, samköra, analysera och sortera data för att få ut nya strukturerade data bearbetade efter angivna kriterier.

    Det skall poängteras att en lista med namn och enstaka harmlösa personuppgifter, kan icke tolkas som ett register, om listan icke är upprättad enligt villkoren för ett registers grundläggande funktion och struktur enligt exempel ovan.

  5. Digitala och analoga personuppgifter

    Personuppgifter kan indelas i två kategorier med avseende på den juridiska och tekniska hanteringen.

    5.1 Digital personuppgifter
    Inom denna kategori finns i första hand alla personuppgifter som normalt hanteras i digitala termer t.ex. peronsnummer, telefonnummer, e-mailadress, bostadsadress etc. Dessa personuppgifter är enkla och självklara i ett personregister. Andra peronsonuppgifter som faller inom ramen för digitala personuppgifter är de som behandlas genom kodning. D.v.s personuppgifter som görs sökbara genom att de ges en kod vid inmatningen i registret, t.ex politisk tillhörighet, religion, ras osv. Rent tekniskt sker detta genom att ett visst fält i posten markas för aktuell uppgift, se     bild 4.

    Om dessa personuppgifter är direkt kopplade till ett personnummer blir de en del av personregistret och sökbart.

    Det råder inget tvivel om att personregister med denna typ av personuppgifter faller under såväl Datalagen som Personuppgiftslagen (Pul).

    5.2 Analoga personuppgifter
    Denna kategori av personuppgifter är av s.k. värdeings- bedömningstyp. T. ex. Oskar Persson är en stor lögnare och bedragare eller Per Oskarsson är världens skickligaste uppfinnare och entreprenör. Dessa personuppgifter låter sig inte enkelt hanteras i ett personregister för automatisk databehandling för sökning, analys, samkörning etc. Däremot kan dessa personuppgifter lagras som en anteckning i anslutning till aktuell person, se bilaga 4 Anteckning.

    De analoga personuppgifterna faller under yttrandefrihetsgrundlagen och brottsbalkens allmänna bestämmelser s.ex ärekränkning och förtal.

  6. Är "Skampålen" ett personregister?

    Jag är åtalad för påstått brott mot Datalagen genom den s.k. ” Skampålen”, bilaga 7, på Stiftelsen Mot Nordbankens (numera Bankrättesföreningen) hemsida.


    "Skampålen" är inget annat än en lista med namn och motsvarar i inget avseende den beskrivning av ett personregister enligt ovan. Namnlistan saknar sammanhängande poster och fält enligt de villkor som gäller för register enligt svensk standard.

    I anslutning till varje namn fanns en siffra länkad till aktuell rubrik, där namnet indirekt kunde sökas efter en manuell inmatning av det sökta namnet, genom en standard sökfunktion som finns i Internet-sökprogram (Netscape eller Explorer).

    Det finns således ingen automatisk länk mellan namnlistan och aktuell text i vilket namnet kan sökas.

    M.a.o. det finns ingen direkt länk med listans namn och de eventuella personuppgifter som kan finns i den löpande texten.

    Någon automatiska databehandling för t.ex analysering, sortering, samkörning med andra register, bearbetning av informationen kan icke utföras via ”Skampålen”, varför något personregister för automatisk databehandling icke föreligger.

    För att påvisa att ”Skampålen”, är endast en namnlista och icke är ett personregister för automatisk databehandling har jag på Bankrättsföreningens hemsida lagt ut en förkortad version av Skampålen, så att var och en själv kan konstatera att det icke föreligger någon automatisk databearbetning mellan namnlisten och texten.

    Som framgår är "Skampålen" en "stendöd" namnlista utan någon som helst likhet med ett personregister för automatiskt databehandlas.

    "Skampålen" innehåller endast redan offentlig information t.ex. personnamn, aktuellt företag och i vissa fall befattning. Samma information som återfanns i den löpande texten, som i detta falla varit publicerat i massmedia.

    Åklagaren har som ytterligare ett exempel på påstått brott mot Datalagen åberopat ett pressmeddelande från Näringsdepartementet, daterat 1996-06-19, bilaga 8

    Pressmeddelandet, som är ett offentligt informationsdokument, hämtades direkt från Näringsdepartementets hemsida på Internet och lades in under aktuell rubrik inom dåvarande hemsida för Stiftelsen Mot Nordbanken, numera Bankrättsföreningen. Uppgiften var att informera om vilka styrelsemedlemmar som fanns i Industrifonden, som är en av delägarna i mitt tidigare företag System 3R International AB.

    Detta pressmeddelande har en lista över valda styrelsemedlemmar med information om namn, titel och företag, vilket motsvarar den informationsnivå som finns på "Skampålen".

    Kommer Näringsdepartementet också att polisanmälas?.

    Vid publicering på Internet faller personuppgifterna under yttrandefrihetsgrundlagen, då automatisk databehandling och register icke föreligger, vilket är avgörande kriterier för såväl Datalagen som EG:s-datadirektiv enligt nedan.

  7. EG-direktiv

    Sedan 1 januari 1995 är Sverige medlem i EG och har att följa Europakonventionens direktiv inom olika områden.

    7.1 EG:s grundläggande friheter

    Artikel 10:1 - ”Envar skall äga rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att mottaga och sprida uppgifter och tankar utan ingripande från offentlig myndighet och oberoende av territoriella gränser. Denna artikel förhindrar icke en stat att kräva tillstånd för radio, televisions- eller biografföretag.”
    7.2 EG:s datadirektiv

    EG:s-datadirektiv reglerar medborgarnas integritetsskydd i samband med personregister för automatiska databehandling:

    Artikel 3:1 - "This Directive shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means of personal data which form part of a filing system or are intended to form part of a filing system."
    Enligt Oxford Advanced Learner's dictionary betyder "data processing" - ”Performing of Computor operations on data to analyze it, solve problems etc.”

    7.3 Personuppgiftslagen (PUL)

    Den svenska tolkningen av EG:s-datadirektiv har i Personuppgiftslagen (PUL) fått följande formulering:

    " - Denna lag gäller för sådan behandling av personuppgifter som helt eller delvis är automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

    - Bestämmelserna i denna laga tillämpas inte i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.
    Bestämmelserna i 9-29 och 33-44§§ samt 45§ första stycket och 47-49§§ skall inte tillämpas på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande."

    7.4 EG:s-datadirektiv gäller endast för personregister och inte akter

    Vid automatisk databehandling matas strukturerade personuppgifter in och ut kommer alltid omarbetade och strukturerade persondata, i vart fall om den automatiska databehandlingen varit framgångsrik. Det är just detta som är själva syftet med automatisk databehandling.

    Enligt kommissionen är tillämpningsområdet "strukturerade persondata" för automatisk databehandling genom personregister

    Text Directive 95/46/EC (punkt 15).

    "Whereas the processing of such data is covered by this Directive only if it is automated or if the data processed are contained or are intended to be contained in a filing system structured according to specific criteria relating to individuals, so as to permit easy accsess to the personal data in question;"
    Det har klargjorts ytterligare i de "Förklaringar" ("Statements for the protection of individuals with the regard to the processing of personal data and on the free movement of such data") som Ministerrådet och Kommissionen utarbetat inför antagandet av den Gemensammma Ståndpunkten och som fogades som bilaga 6 till protokollet från rådsmötet den 20 februari 1995. Punkten 7 i förklaringarna lyder som följer:
    "Rådet och kommissionen erkänner att

    - i enlighet med den gällande definitionen i artikel 2 c är direktivet endast tillämpligt på register, och inte på akter,

    - de kriterier som tillåter att fastställa de element som utgör en strukturread samling av personuppgifter, samt de kriterier enligt vilka en sådan samlig tillgänglig, får preciseras av var och en av medlemsstaterna,

    akter och samlingar av akter, inbegripet deras omslagssidor, inte omfattas den definition som avses i första strecksatsen om deras innehåll inte är strukturerat som register."

  8. Inga territoriella gränser för yttrandefriheten

    Enligt artikel 10:1 Europakonventionen gäller:

    "Envar skall äga rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att mottaga och sprida uppgifter och tankar utan ingripande från offentlig myndighet och oberoende av territoriella gränser."
    Enlig Personuppgiftslagen (PUL) 7§ gäller:
    "Bestämmelserna i denna laga tillämpas inte i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen."
    I yttrandefrihetsgrundlagen finns ej heller några territoriella gränser för yttrandefriheten. Således gäller för såväl Europakonventionen som i svensk grundlag yttrandefrihet över de territoriella gränserna och detta borde även gälla för trafiken på Internet.

    Yttrandefriheten är grundlagsskyddad över de territoriella gänserna varför 11§ i Datalagen måste ifrågasättas.

  9. Sammanfattning

    Min sammanställning utgår från EG:s-direktiv och av dessa kan jag inte finna att jag gjort mig skyldig till något brott mot Datalagen.

    Förhoppningsvis skall kommande rättegång ha det goda med sig, att gummiparagraferna i Datalagen och Personuppgiftslagen får sin förklaring och rättsliga prövning.

 
Börje Ramsbro
Tack besöket och välkommen åter!
Hemsida