Den artikel som tingsnotarien vid Stockholms tingsrätt, David Aversten, skrev om ändringarna i personuppgiftslagen 14/12 bygger i vissa delar på missförstånd.
Han talar om att "så enkla uppgifter som namn" nu inte får publiceras på Internet. I ett annat avsnitt beskriver Aversten namn som ett exempel på "enklare uppgifter".
Jag vill hävda att det knappast torde förekomma att någon publicerar enbart namn på till exempel en hemsida på Internet. En sådan hemsida har i vart fall inga utsikter att bli särskilt välbesökt. Naturligtvis används namnet i ett sammanhang, och det är just sammanhanget som är det avgörande.
Det är ju trots allt en betydande skillnad på uppgiften att NN gjorde mål i gårdagens fotbollsmatch och uppgiften att NN behandlas för en smittsam könssjukdom.
Jag förstår inte alls vad Aversten menar med att det inte går att sprida uppgifter bara inom EU/EES-området. Det går alldeles utmärkt. Det enda man behöver göra är att kontrollera vilka mottagarna av ett meddelande är. Att information som läggs ut på sådana hemsidor på Internet som är tillgängliga för envar överförs till samtliga länder i världen är en annan sak.
Det verkar också som om Aversten tror att regeringens resonemang utgår från att en spridning inom EU/EES-området faktiskt ägt rum. Detta är en total missuppfattning. Regeringen har i förarbetena bara uttalat sig om vad följden blir om en sådan spridning vore tillåten.
David Aversten oroar sig för att olika regler kommer att gälla för elektronisk post och publicering på Internet. Så är det inte alls. Reglerna om överföring gäller alla former av överföring, oavsett om det är fråga om Internet eller e-post.
En annan sak är att förutsättningarna är annorlunda om man sprider uppgifter till en enstaka person eller till offentligheten. Det torde i vart fall i normalfallet krävas mer för att få publicera en uppgift än för att sprida den i en avgränsad krets.
Den effekt som David Aversten oroar sig för kan jag knappast se inträffa i praktiken.
Förvånande är också uttalandet om att regeringens förslag mött kritik från remissinstanserna.
Jag har under min yrkeskarriär inte varit med om ett förslag till lagändring som fått ett mer positivt bemötande av remissinstanserna, även om några remissinstanser efterlyser ytterligare åtgärder.
Huvudtesen i David Averstens angrepp på personuppgiftslagen är ändå att det inte framgår av lagtexten att vissa slag av överföringar inte är förbjudna. Detta är inte sant. Lagtexten undantar uttryckligen de situationer från förbudet där det finns en adekvat nivå för skyddet av personuppgifterna och anger att frågan om vad som är adekvat ska avgöras med avseende på samtliga omständigheter.
En annan sak är att regleringen bygger på ett begrepp som måste ges en innebörd i det konkreta fallet i stället för att i detalj specificera de olika situationer där skyddsnivån är adekvat. Det finns två skäl för detta.
Det första är att det är omöjligt att i förväg beskriva alla situationer där personuppgifter behandlas. Den som tror sig klara av det "på ett sätt som går att överblicka" är välkommen att komma med förslag till ny lagtext.
Vad gäller det krav på tydlighet som David Aversten formulerar, så bör det hållas i minnet att utgångspunkten för all behandling av personuppgifter är skyddsintresset för den enskilde registrerade. Om en behandling inte kan utföras på ett ansvarstagande sätt, bör den inte förekomma.
Det andra skälet är att regleringen har sitt ursprung i ett EG-direktiv. Överföringsreglerna visar mycket tydligt att det system för lagtolkning vi varit vana vid, med stark betoning på vad som sägs i förarbetena, får vika för ett system där rättspraxis får större betydelse.
Man måste också komma ihåg att så småningom kommer en praxis att växa fram och ge den ytterligare klarhet kring avgränsningarna som bland andra David Aversten efterlyser.

Henrik Jermsten
Departementsråd
Justitiedepartementet

Copyright