Diarienr: 5358-17-8.1 / Beslutsdatum: 31 okt 2017

Remissyttrande - Så stärker vi den personliga integriteten (SOU 2017:52)

Övergripande synpunkter

Grundlagsskyddet för den personliga integriteten förstärktes år 2011. I detta slutbetänkande har Integritetskommittén följt upp förstärkningens effekter i lagstiftningsarbetet. Kommittén har därutöver lämnat förslag till 36 olika åtgärder som enligt kommittén bör vidtas för att stärka skyddet för den per­sonliga integriteten. Det enda konkreta författningsförslaget gäller en änd­ring i kommittéförordningen (1998:1474). I övrigt föreslår kommittén att regeringen ska låta utreda vissa frågor och att ett antal myndigheter ska få olika uppdrag på integritetsskyddets område.

Justitiekanslern har ingenting att invända mot merparten av de förslag till åtgärder som läggs fram. Flera av förslagen framstår som rimliga och väl­motiverade. Det måste dock påpekas att regeringens direktiv till kommittén inte inne­håller något uppdrag att redovisa förslag. Detta konstaterade Justi­tiekanslern redan i sitt yttrande över kommitténs delbetänkande. Att kom­mit­tén nu lägger fram förslag utan något tydligt uppdrag från regeringen leder till vissa frågor. Det är t.ex. svårt att bedöma hur kommitténs förslag förhåller sig till annat lagstiftningsarbete på integritetsskyddets område. Till följd av Europeiska unionens dataskyddsreform pågår just nu ett omfattande arbete med frågor om personuppgiftsbehandling, både inom statsförvalt­nin­g­en och i samhället i övrigt. Att i den situationen lägga fram förslag, utan att ha fått något tyd­ligt uppdrag från regeringen, kan trots det goda syftet leda till svårigheter med samordning och överblick. Det kan också ifrågasättas om det är lämpligt och effektivt att regeringen tillsätter ett stort antal nya utredningar, vid sidan av de många utredningar som redan pågår.

Med detta sagt har Justitiekanslern följande synpunkter på förslagen.

E-förvaltning och informationssäkerhet (avsnitt 8 och 12)

Digitaliseringen av den offentliga förvaltningen innebär många fördelar men medför samtidigt risker när det gäller enskildas personliga integritet. För att tillvarata utvecklingens fördelar, och samtidigt minimera riskerna, behöver myndig­heterna både stöd och tillsyn. Justitiekanslern ser därför positivt på kommitténs rekommendationer i denna del. Det gäller de förslag som rör tillsyn över statliga myndigheters informationssäkerhetsarbete (avsnitt 12.2.3 och 12.2.4) men också de förslag som syftar till förbättrad styrning och ökat stöd (avsnitt 8.2.1, 8.2.2, 8.2.5, 12.2.5 och 12.2.6).

Åtgärder för att stärka skadeståndsrätten som rättsmedel (avsnitt 13.2)

Kommittén anser att det är svårt för enskilda som utsätts för integritets­intrång att ta tillvarata sina rättigheter. Man bedömer att den möjlighet till ekonomisk ersättning som finns vid otillåtna intrång i den personliga inte­griteten inte används i någon större utsträckning. Kommittén anser vidare att de belopp som betalas ut ofta är låga. Mot den bakgrunden föreslår kom­mittén att regeringen ska låta utreda om Datainspektionen ska ges i uppdrag att som part föra talan i domstol, för en enskild som medger det, i utvalda ersättningsärenden. Kommittén lyfter också frågan om dataskydds­förord­ningen skulle kunna kompletteras med nationella bestämmelser om att det preventiva syftet ska beaktas när ersättningen för integritetskränkningen bestäms. Kommittén menar dock att en sådan utredning kan anstå något.

Justitiekanslern delar inte kommitténs bedömningar i dessa delar. Som Justitiekanslern angav i sitt yttrande över kommitténs delbetänkande, kan skadestånd för felaktig personuppgiftsbehandling inom staten lämnas antingen efter beslut av Justitiekanslern eller efter rättegång i allmän dom­stol. Det är mycket vanligare att anspråk fram­ställs hos Justitiekanslern än i domstol. Skadestånd som ett effektivt rättsmedel, för enskilda som drabbats av otillåtna integritetsintrång, används således i betydligt större utsträck­ning än vad som framgår av kommitténs sammantagna bedömning i del­betän­kan­det. En prövning hos Justitie­kanslern är på många sätt fördel­aktig för den enskilde, som t.ex. inte behöver anlita ombud eller betala ansökningsavgift. Detta bör hållas i minnet när man bedömer skadeståndet som rättsmedel.

På det statliga området finns alltså en väl beprövad ordning när det gäller enskildas möjlighet att få ersättning för felaktig personuppgiftsbehandling. Justitiekanslern har svårt att se ett behov av att Datainspektionen ska kunna företräda enskilda i sådana tvister med staten. Om det finns ett sådant behov när det gäller andra samhällssektorer, har Justitiekanslern i och för sig ingen principiell invändning mot en utredning om en ordning som möjliggör att Datainspektionen företräder enskilda i vissa tvister om ersättning. En sådan ordning torde dock bli resurskrävande, även om Datainspektionen ges möj­lighet att välja vilka ärenden som ska drivas. Det är enligt Justitiekanslerns mening tveksamt om detta är bästa sättet att stärka skyddet för enskilda.

Ersättningsnivåerna vid felaktig personuppgiftsbehandling har behandlats av Högsta domstolen i fallet NJA 2013 s. 1046. Högsta domstolen angav att ersättningsnivån för kränkning vid felaktig behandling av person­uppgifter bör ligga under 5 000 kr i fall som inte kan anses allvarliga. Ersättningen för en kränkning som är att bedöma som mindre allvarlig, om än inte helt obetydlig, bör normalt bestämmas till ett schablonbelopp på 3 000 kr.

Justitiekanslern har följt dessa anvisningar i sin skadereglering. Det medför att ersättning har lämnats med 3 000 kr även i fall när kränkningen har framstått som mycket liten, om än inte helt obetydlig. I allvarligare fall har högre ersättning lämnats. För närvarande lämnas t.ex. 35 000 kr till var och en som har förekommit i det s.k. kringresanderegistret (jfr Svea hovrätts dom den 28 april 2017 i mål nr T 6161-16). Även om ersättningsnivåerna inte är avskräckande för den personuppgiftsansvarige, så kan de inte betraktas som anmärkningsvärt låga för enskilda som har drabbats.

Kommittén har inte analyserat om det över huvud taget är möjligt att på nationell nivå, vid sidan av regleringen i dataskyddsförordningen, lagstifta om särskilda ersättningsnivåer. Det nya regelverket har ännu inte börjat tillämpas och tolkningen av dataskyddsförordningen kommer ytterst att ankomma på Europeiska unionens domstol. Enligt Justitiekanslern är det över huvud taget mycket tveksamt om höjda ersättningsnivåer är ett effektivt sätt att stärka den personliga integriteten.

Tillsynsmyndigheten (avsnitt 14)

Datainspektionens vägledning och tillsyn har stor betydelse när det gäller efterlevnaden av regelverket om personuppgifter. Detta regelverk genomgår för tillfället stora förändringar, vilket ställer höga krav på Datainspektionen. Justitiekanslern anser därför, i likhet med kommittén, att det kan finnas skäl att låta analysera Datainspektionens behov av resurser och anslag.

Uppföljning av grundlagsskyddets effekt i lagstiftningsarbetet
(avsnitt 16.4.1)

I 2 kap. 6 § andra stycket regeringsformen anges att var och en är skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Bestämmelsen infördes år 2011. Skyddet får i vissa fall begränsas enligt 2 kap. 20–25 §§ regeringsformen.

Kommittén har följt upp grundlagsändringens effekt i lagstiftningsarbetet och menar att bestämmelsen i 2 kap. 6 § andra stycket regeringsformen tolkas och tillämpas på olika sätt av utredningar, myndigheter och inom Regeringskansliet. Justitiekanslern har svårt att avgöra om kommitténs bedömning är riktig. Underlaget är knapphändigt och ger inte någon klar bild av hur omfattande de angivna tolkningssvårigheterna är.

Kommittén föreslår en ändring i kommittéförordningen, som innebär att konsekvenserna för den personliga integriteten ska anges, om förslagen i ett betänkande har betydelse i det avseendet. Justitiekanslern konstaterar att en statlig utredning givetvis ska beakta grundlagarnas bestämmelser, oavsett om detta anges uttryckligen i kommittéförordningen eller inte. Ett särskilt krav på konsekvensanalys när det gäller integritetsskydd skulle eventuellt kunna bidra till att integritetsfrågor uppmärksammas oftare och tidigare i lagstiftningsarbetet. Om ett sådant krav ska införas, kan det dock övervägas om det bör lyftas fram tydligare i förordningen, i stället för att som enligt förslaget nämnas i slutet av en lång uppräkning, som omfattar frågor av skiftande karaktär.