En artikel med rubriken "Vad säger personuppgiftslagen?" återfinns i nr 90 av Diskulogen. Behöver jag säga att det var ordet "Personuppgiftslagen" på omslaget som fick mig att öppna plastpåsen direkt när jag fann tidningen på hallmattan nu i kväll? Artiklar i det ämnet brukar få mig att närmast tugga fradga, och den här var inget undantag... :mad:

Rubriken är en smula missvisande, för artikeln återger inte personuppgiftslagens text, utan endast Datainspektionens tolkning av denna text, utan kritiska invändningar från något annat håll. Är det för att det helt saknas kritiska röster, eller för att Datainspektionens ord uppfattas som liktydigt med lag?

Datainspektionen är ingen domstol, utan en statlig myndighet som i relation till den här lagen närmast har en åklagares uppgift. Datainspektionen är med andra ord allt annat än opartisk, och strävar efter att ge lagen så vidsträckt betydelse som möjligt, till gagn för de egna anslagen i statsbudgeten. Detta trots att lagen strängt taget inte ens är ett påfund av den svenska riksdagen, utan ytterst härrör från ett EG-direktiv från 1995, huvudsakligen utarbetat innan Sverige ens blivit medlem i EU.

Ett exempel: I lagen finns ett undantag för "privat bruk", men detta avfärdas i artikeln med formuleringen "Privat bruk kan ej åberopas då uppgifterna ligger ute på internet." Vem har gjort den här lagtolkningen, och vad grundas den på? Så här lyder lagtexten:

6 § Denna lag gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur.
Lagen säger ingenting om "internet". Skall alltså "privat natur" ovan tolkas som att personuppgifterna måste hållas hemliga för allmänheten? Med andra ord, om jag berättar för mina vänner, mina grannar och vem som helst som gitter lyssna vilket parti och vilken politiker jag röstade på i riksdagsvalet, är då denna "behandling" underkastad personuppgiftslagens alla bestämmelser med krav på information till den "registrerade" och rättelse av "felaktiga" uppgifter? Gäller samma sak om jag visar utvalda bilder ur mitt fotoalbum föreställande släktingar och vänner?

Eftersom lagen bygger på ett EG-direktiv, och enligt den proposition som riksdagen fattade beslut om våren 1998 skall tolkas som samstämmig med direktivet, så kan vi själva läsa ursprunget till undantaget för privat bruk i direktivets artikel 3(2), som i sammandrag av dess svenska översättning lyder:

Detta direktiv gäller inte för sådan behandling av personuppgifter
- ...
- av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans hushåll.
(Det överhoppade stycket handlar om direktivets förhållande till övrig EG-rätt, och saknar rimligen betydelse för uttolkningen av den sista raden.)

Om vi bortser från att sammandraget brister något i grammatiskt hänseende, så innehåller det i princip hela 6 § PUL. Det är dock inte allt, utan här finns ytterligare ett kriterium "eller som har samband med hans hushåll". Vad är detta? Den svenska lagen säger inget om någons hushåll. Observera dessutom att det står "eller"; undantaget gäller med andra ord behandling som utgör ett led i verksamhet av rent privat natur eller har samband med behandlarens hushåll. Enligt EG-rätten (eller EU-rätten, som den kallas numera) så räcker det alltså att uppgifterna rör det egna hushållet; de behöver inte vara hemliga för det!

Frågan uppstår då: Är uttrycket "av rent privat natur" i direktivet ens synonymt med "hemligt"? Kom ihåg att direktivet utarbetades innan svenska blev ett EU-språk, och låt mig gå till den engelska versionen av samma text:

This Directive shall not apply to the processing of personal data:
- ...
- by a natural person in the course of a purely personal or household activity.
Det står alltså inte "private", utan det står "personal", syftandes på något som rör den uppgiftsbehandlande personen själv - eller hans hushåll. Nog är det väl rimligare att "personal or household activity" tolkas som "aktivitet rörande personen själv eller hans hushåll", snarare än som "hemliga uppgifter eller aktivitet rörande personens hushåll"? Ordet "privat" i den svenska texten är inte nödvändigtvis en felöversättning, men det är ett ord med flera betydelser, och här tycks Datainspektionen ha fastnat för en annan betydelse än den som avses i direktivet.

Man kan dessutom notera att det som skall vara "privat" enligt lagtexten inte är personuppgifterna i sig, utan den verksamhet som behandlingen av personuppgifterna utgör ett led i. En verksamhet kan exempelvis vara den egna hushållsbokföringen eller korrespondensen med släkt och vänner; dessa verksamheter räknas alltid som personliga eller hörande till hushållet, till skillnad från exempelvis det företag som någon kanske driver från bostaden (denna skillnad förstärks också med uttrycket "fysisk person"; en juridisk person har inget hushåll att sörja för).

Min slutsats är alltså att Datainspektionen har läst EG-direktivet slarvigt, och därför är ute och cyklar. Borde då inte någon domstol ha påpekat detta vid det här laget? Nej, för som framgår av artikeln, "Ingen har ännu blivit dömd för felaktigt behandlad släktforskningsinformation." Vad jag vet finns det totalt sett väldigt få domar rörande PUL, trots att lagen varit i kraft i tolv år. Det saknas med andra ord rättspraxis på området, och Datainspektionens uttalanden är nästan det enda man någonsin får höra om lagens innebörd.

Nåväl, jag är inte jurist och skall inte förhäva mig vad gäller min förmåga att själv uttyda lagen, men nog tycker jag att det ligger en hund begraven här. En annan verksamhet av rent personlig natur är utövandet av rösträtten, inbegripet den behandling av uppgifter om de olika kandidaternas meriter som är en förutsättning för ett genomtänkt val. Datainspektionen kan väl inte mena att jag genom att röja min egen valhemlighet och tala om vem jag har röstat på också blir skyldig att upplysa kandidaterna i fråga om varför jag kryssade respektive inte kryssade just dem? Se där en fråga som EU-domstolen kan få dryfta!

Därmed har jag möjligtvis strukit ett streck över en del av artikeln i Diskulogen, en i min mening högst väsentlig del, för hur många släktforskar egentligen yrkesmässigt för andra personers räkning, snarare än för sitt eget personliga eller hushållsrelaterade nöjes skull?

Intressant! Det finns väl knappast någon möjlighet att få en ordentlig prövning av vad som gäller utan att polisanmäla sig själv och sedan driva det i domstol, och det låter dyrt. Finns det något billigare eller enklare sätt?

Datainspektionens uppfattning borde man kunna få genom att sätta upp en sajt med lämpliga, lagom provokativa data och sedan be dem om ett utlåtande. Att gå på vad någon från DI säger på en konferens låter osäkert, det är många felkällor.

Är det förresten intressant i efterhand vad det står i EU-direktivet? Lagen är ju skriven som den är.

Just polisanmälan tror jag inte man behöver ta till; en fördel med PUL är att den till stor del faller inom det förvaltningsrättsliga området, alltså att den skall tillämpas av myndigheterna själva i deras eget beslutsfattande. Det är först när man som personuppgiftsansvarig vägrar svara på Datainspektionens förfrågningar, behandlar känsliga personuppgifter eller lämnar ut personuppgifter till tredje land som man riskerar straffansvar för brott mot lagen. Genom att avvakta beslut av DI och sedan överklaga dem i förvaltningsrätt, kammarrätt och Regeringsrätten så kan man få till en hel rad med läsvärda domstolsutlåtanden utan att behöva betala mycket mer än brevportot för alla skrivelser man skickar. Har man tur så fattar domstolen misstankar och skickar själv ärendet till EU-domstolen för ett förhandsutlåtande.

Frågan om vad som får spridas via Internet betraktar jag som uttjatad; PUL handlar om så mycket mer än Internet. För övrigt försökte Datainspektionen under några år hävda att spridning via webbsidor på Internet var detsamma som överföring till tredje land; det blev bakläxa för DI när EG-domstolen (den hette så då) med hänvisning till de bisarra konsekvenser det skulle få fann att det var en felaktig tolkning av direktivets intentioner ("målet om den skadade foten", "konfirmandmålet" eller vad det går under för populär benämning). Det finns dessbättre mer än ett sätt att plocka en gås.

Jo, direktivet är i högsta grad intressant, eftersom Sverige är bundet av dess bestämmelser genom olika fördrag, senast Lissabonfördraget. Visserligen är det formellt riksdagen som beslutar om svenska lagar, men våra möjligheter att avvika från direktiven är begränsade, och just i fråga om PUL har Sverige verkligen ansträngt sig att bara implementera vad direktivet kräver och inte en paragraf mer. Det framgick också i utredningen om den skadade foten; Göta Hovrätt vände sig till EG-domstolen med en begäran om tolkning av direktivet för att direkt omsätta den i motsvarande tolkning av den svenska lagen. Den punkt där PUL främst skiljer sig från direktivet rör hänsynen till den grundlagsskyddade tryck- och yttrandefriheten, som saknar motsvarighet i flertalet andra europeiska länder.

Kanskje man bør kontakte mellom-europeiske slektsforskerorganisasjoner og skapere av Heritage og andre nettprogram om hvordan EUs personvernregler praktiseres av slektsforskere som legger ut informasjon på nett.

Kontakt om dette bør også ta med DIS-Norge om hvordan dette praktiseres i Norge (har nettopp vært tema)

Via Google hittade jag en artikel i ämnet från Slekt og data 2005 (http://www.datatilsynet.no/templates/Page____1356.aspx), återgiven av Datatilsynet. I den artikeln torgförs ungefär samma uppfattning som den jag kritiserar ovan:

Personopplysningsloven omfatter ikke ”behandling av personopplysninger som den enkelte foretar for rent personlige eller andre private formål.” Lovgiver ønsket ikke å regulere denne typen behandling, all den tid personverntrusselen ble ansett for liten, i tillegg til at regulering ble oppfattet som et uønsket inngrep i den enkeltes privatliv. Unntaket omfatter for eksempel innsamling og bearbeiding av slektsdata som forskeren foretar på sin egen private PC eller kartotek, uten at opplysningene offentliggjøres eller på annen måte tilgjengeliggjøres.
Om vi går tillbaka i tiden framträder dock en annan bild:

Før 2003, la Datatilsynet til grunn at de fleste private internettsider var unntatt fra personopplysningslovens anvendelse, all den tid slike sider i de fleste tilfeller var lagt ut for rent personlige eller andre private formål. Tilsynet vurderte i praksis om internettsidene hadde kommersielle elementer, i den forstand at den var opprettet med ønske om økonomisk inntjening, jf. over. En slik vurdering av det subjektive formålet, hadde støtte i forarbeidene til loven.
Det här är precis den uppfattning jag själv fortfarande hyser! Det tycks mig som om Datatilsynet från början förstått innebörden i direktivet, och tolkat den norska lagen därefter. Har de senare fått anledning att ändra sig?

I 2003 avsa imidlertid EU domstolen avgjørelse i den såkalte Lindqvistsaken. Bodil Lindqvist var tiltalt i Sverige for overtredelse av den svenske personuppgiftslagen, som ivaretar Sveriges forpliktelser etter EU’s personverndirektiv. Overtredelsene omfattet blant annet publisering av personopplysninger om arbeidskolleger på en privat hjemmeside, uten at disse hadde samtykket til publiseringen. Det var på det rene at siden ikke var opprettet med økonomisk vinnings hensikt. Et sentralt spørsmål i saken var hvordan personverndirektivets unntak for behandling av personopplysninger som utføres av fysiske personer som ledd i rent personlige eller familiemessige aktiviteter skulle forstås i forhold til privatpersoners internettsider. EU- domstolen slo fast at det avgjørende vurderingstema etter direktivets unntak, er om personopplysningene er gjort tilgjengelig for et ubestemt antall personer. Lindqvist hadde lagt personopplysningene ut på Internett, og ble på denne bakgrunn domfelt i Sverige for publiseringen.
Detta är samma mål som jag ovan benämnde "konfirmandmålet". Jag delar inte riktigt de slutsatser som dras ovan. Frågan om huruvida Lindqvists webbsidor kunde omfattas av undantaget för verksamhet av privat natur togs upp i målet och avgjordes av EG-domstolen till hennes nackdel (dvs undantaget befanns ej tillämpligt), men jag tyckte EG-domstolen slarvade med motiveringen och det fastställdes inte entydigt varför det inte var tillämpligt. Flera argument anfördes, och ett av dem var att personuppgifterna hade gjorts tillgängliga för allmänheten via Internet, men det åberopades vad jag minns tillsammans med några andra omständigheter. Det jag själv anser borde ha avgjort saken var att hon behandlade personuppgifter som hon fått del av till följd av sitt arbete i kyrkoförsamlingen; det var hennes kollegor det handlade om. Dessutom nämndes att hon gjorde webbsidorna för att på ett lekfullt sätt berätta för församlingens konfirmander om vem som gjorde vad i församlingen - visserligen helt på sitt eget initiativ, utan instruktioner eller lön från arbetsgivaren, men likafullt inom ramen för församlingsarbetet.

Det stämmer att Lindqvist blev fälld i första instans (tingsrätten). Vad som inte framgår av artikeln är vad som hände efter det att Göta Hovrätt inför behandlingen av överklagandet hade inhämtat EG-domstolens förhandsutlåtande. Som jag berörde tidigare, så avfärdade EG-domstolen den svenska Datainspektionens tolkning av lagen att spridning via Internet utgjorde överföring till tredje land (ett land utanför EU/EES-området), och eftersom detta var huvudpunkten i åtalet blev Lindqvist friad på densamma. Det enda som sedan återstod var en punkt om att Lindqvist inte hade anmält sin behandling till Datainspektionen i förväg; där konstaterades att en sådan anmälan visserligen borde ha gjorts, men att förseelsen föll under benämningen "ringa brott" och att hon därför inte skulle fällas till ansvar. Jag betraktade det som ett utstuderat fall av paragrafrytteri från Datainspektionens sida.

Artikeln anges författad av Christian With. Vem är det, och hur tungt väger hans ord i denna komplicerade juridiska fråga? Jag är förvånad över att Datatilsynet återpublicerar artikeln utan egen kommentar; menar de att den korrekt beskriver rättsläget i Norge eller vill de bara väcka debatt bland ideella föreningar i ämnet?

”Att publicera personuppgifter i en löpande text, till exempel i ett blogginlägg, är i princip alltid tillåtet så länge man inte (i lagens mening) kränker den som uppgifter avser.”

Denna text återfinns här: http://ostfronten.bloggproffs.se/ (http://ostfronten.bloggproffs.se/) och här http://www.datainspektionen.se/fragor-och-svar/personuppgiftslagen/jag-funderar-pa-att-skriva-en-kritisk-artikel-pa-min-blogg-om-missforhallande-pa-ett-aldreboende-far-jag-skriva-namnet-pa-de-personer-som-ar-ansvariga-for-aldreboendet-i-mitt-inlagg/ (http://www.datainspektionen.se/fragor-och-svar/personuppgiftslagen/jag-funderar-pa-att-skriva-en-kritisk-artikel-pa-min-blogg-om-missforhallande-pa-ett-aldreboende-far-jag-skriva-namnet-pa-de-personer-som-ar-ansvariga-for-aldreboendet-i-mitt-inlagg/)


Mvh/Sten Magnusson

"Att publicera personuppgifter i en löpande text, till exempel i ett blogginlägg, är i princip alltid tillåtet så länge man inte (i lagens mening) kränker den som uppgifter avser."
Tack för att du väckte tråden till liv igen! Jo, du pekar på ytterligare ett av alla utlåtanden från DI som jag menar har svagt stöd i lagtexten. Om du granskar DI:s text så märker du att den helt saknar paragrafhänvisningar, eller ens nämner vilken lag det handlar om (men eftersom det står "Personuppgiftslagen" i sidhuvudet kan man anta att det finns beröringspunkter med den). Texten verkar i stället utmynna i allmänna rekommendationer om vad som är lämpligt att publicera, och så avslutar man med att hänvisa till de pressetiska reglerna.

Det pressetiska regelverket har inte ett dugg med personuppgiftslagen att skaffa. Enskilda personer är inte ens bundna av det, utan det är ett branschinternt regelverk för svenska massmedier. Bland de regler som DI inte citerar finns också genmälesrätten, alltså rätten att få försvara sig mot publicerad kritik i samma medium (tidning eller radioprogram). Naturligtvis kan en bloggare välja att följa de tre citerade reglerna ändå (det är inget fel på dem i sig), men det är inte någon myndighets sak att lämna dylika råd i sken av att de skulle följa av personuppgiftslagens bestämmelser, för det gör de inte.

Nyckelordet i ditt citat är ordet "publicera", alltså att öppet sprida uppgifter till allmänheten. Detta är traditionellt något som främst författare och journalister har sysslat med, och deras verksamhet är undantagen från PUL genom bestämmelsen i dess 7 §, särskilt andra stycket:


Bestämmelserna i 5 a, 9-29 och 33-44 §§ samt 45 § första stycket och 47-49 §§ skall inte tillämpas på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande.
Det här är ett ganska omfattande undantag, och att det inte gäller hela lagen beror på att inte heller journalister får slarva med säkerheten beträffande sådana personuppgifter som inte skall publiceras (till exempel anonyma källors adressuppgifter). Denna säkerhet föreskrivs i 30-32 §§.

Undantaget i 7 § PUL är inte heller begränsat med avseende på eventuellt "kränkande" uppgifter. Det betyder inte att det är fritt fram för journalister att kränka andra, men om det har skett genom publicering så är det inte i personuppgiftslagen som de relevanta bestämmelserna står, utan i brottsbalken (exempelvis förtal) och, vid publicering i grundlagsskyddat medium, i TF eller YGL.

Begreppet "kränkning" förefaller i stället vara hämtat från 5 a §, en av de bestämmelser som 7 § utgör undantag från. 5 a § skall alltså inte tillämpas på journalistisk eller litterär verksamhet. 5 a § innehåller inte heller ordet "publicera", utan paragrafen gäller all behandling av personuppgifter i löpande text, även sådan som sker i det fördolda. Om du exempelvis bedriver yrkesmässig släktforskning för annans räkning, så får du anteckna vilka uppgifter som helst om personens släktingar i löpande text, så länge de inte är kränkande. Att forskningsmaterialet bara skall överlämnas till beställaren medför inte något undantag från lagen.

Som bokstaven "a" i paragrafnumreringen antyder fanns 5 a § inte med vid lagens tillkomst (1998), utan den trädde i kraft 1 januari 2007, samtidigt med några andra ändringar som jag menar hade vida större betydelse. Detta bör man ha i åtanke när man uttolkar lagen i dess helhet; undantaget i 7 § är alltså ursprungligen inte skrivet med hänsyn till vad som nu står i 5 a §. Det som 5 a § tillåter (att behandla personuppgifter i löpande text) var med andra ord fullt ut reglerat (inte nödvändigtvis förbjudet) av lagen 1998-2007. Vill DI antyda att det före 2007 var förbjudet att blogga om fysiska personers förehavanden, vare sig uppgifterna var "kränkande" eller ej?

PUL är problematisk, inte tu tal om saken. Jag ansluter mig dock till uppfattningen att bloggande i allmänhet får betraktas som litterär eller journalistisk verksamhet, även om författare och journalister av facket måhända fnyser åt den kategoriseringen. Man får gå tillbaka till EG-direktivet och försöka utröna vad man där menade när man skrev in denna regel till skydd för yttrandefriheten; menade man verkligen att utelämna all den publicistiska verksamhet som inte var uttryckligen journalistisk, litterär eller konstnärlig, särskilt sådana publicistiska former som knappt var påtänkta än? Jag tror inte det; jag tror att direktivets författare bara hade otur när de tänkte.