Den tragikomiska farsen kring den svenska implementeringen av EU:s dataskyddsdirektiv tycks inte ta slut. Det är emellertid glädjande att bl.a. Svenska Dagbladet äntligen försöker få till stånd en debatt   om personuppgiftslagen. Det har anförts i debatten att personuppgiftslagens definition av vad som utgör personuppgifter är orimligt vid. Så är dock inte fallet.
- Vad gäller lydelsen stämmer personuppgiftslagen numera ganska väl överens med EU:s dataskyddsdirektiv. Hur lagen tolkas och tillämpas är dock en annan sak.
- Problemet är den felaktiga tolkning som bl.a. Datainspektionen gör av begreppet "behandling". Datainspektionen menar i princip att allt man gör med hjälp av en dator är behandling. Därmed, tycks man mena, är det behandling av personuppgift att på Internet publicera uppgifter om en människa.

Gäller bara register

Som jag påpekade redan i samband med att den svenska personuppgiftslagen trädde ikraft i oktober 1998 är dataskyddsdirektivet enbart tillämpligt på register (se t.ex. Svenska Dagbladet den 23 oktober 1998). I direktivet anges detta i artikel 3 på så sätt att uppgifter som struktureras genom automatisk databehandling omfattas av direktivet.
- Tyvärr är den svenska versionen av artikel 3 i direktivet något oklar, vilket troligtvis har medverkat till den svenska begreppsförvirringen. Den danska versionen är desto klarare. Där anges att direktivet är tillämpligt på personuppgifter som genomgår "edb", vilket är danska för ADB.
- Jag tror att de flesta håller med mig om att det inte är fråga om ADB av personuppgifter om man nämner en människa på en hemsida.
- Datainspektionen lägger emellertid i begreppet "behandling" vad vi jurister vanligen lägger i det när vi talar om "behandling" av t.ex. offentliga uppgifter. Med behandling av uppgift menar vi helt enkelt allt handhavande av en uppgift. Om en uppgift lämnas ut till någon så har den per definition behandlats på ett annat sätt än om den sekretessbelagts. Datainspektionen synes inte förstå att dataskyddsdirektivet inte menar denna sorts "behandling".
- Dataskyddsdirektivet gäller för uppgifter som struktureras genom automatisk databehandling, ADB. En naturlig fråga är naturligtvis hur det kommer sig att hela den svenska lagstiftningsapparaten kunnat missförstå en så enkel sak.
- En förklaring är vad som skedde i samband med direktivets tillkomst. I sitt ursprungliga förslag till dataskyddsdirektiv angav kommissionen uttryckligen att direktivet endast skulle tillämpas på personregister ("personal data files", se t.ex. COM (92) 422 final - SYN 287 s. 67, se även s. 63 för definition av "personal data file"). Parlamentet ville emellertid att tillämpningsområdet skulle omfatta alla persondata som genomgår automatisk databehandling, alltså även data som inte ingår i ett register. Kommissionen gick Parlamentet delvis till mötes.

Detta hände under resans gång

Direktivets tillämpningsområde innebär enligt Kommissionen att strukturerade persondata omfattas av direktivet vare sig de är ordnade i ett manuellt register eller genom automatisk databehandling ( se a.a. s.12).  Enligt Kommissionen är tillämpningsområdet alltså "strukturerade persondata", vilket ju i princip är liktydigt med direktivets definition av begreppet personregister.
- När ministerrådet skulle anta en gemensam ståndpunkt i samband med tillkomsten av direktivet, klargjordes vidare att direktivet enbart är tilllämpligt på register. I de "Förklaringar" ("Statements on the protection of individuals with regard to the processing of personal data and on the free movement of such data")  som Ministerrådet och Kommissionen utarbetade inför antagandet av den Gemensammma Ståndpunkten och som fogades som bilaga 6 till protokollet från rådsmötet den 20 februari 1995 anförs följande:
- "Rådet och kommissionen erkänner att - i enlighet med den gällande definitionen i artikel 2 c är direktivet endast tillämpligt på register, och inte på akter - de kriterier som tillåter att fastställa de element som utgör en strukturerad samling av personuppgifter, samt de kriterier enligt vilka
en sådan samling är tillgänglig, får preciseras av var in en av medlemsstaterna".
- I en av de svenska versioner som finns av detta protokoll finns emellertid en felöversättning: istället för ordet register har ordet kortregister angivits. Detta kan ha föranlett lagstiftaren att inte beakta vad som anfördes i protokollet. Vederbörande handläggare har helt enkelt inte ansett denna del av protokollet ha relevans för hela direktivets tillämpningsområde.

Sveriges linje kolliderar med EG-rätten

Detta innebär att det inte i sig strider mot direktivet att Sverige anser att alla hemsidor som nämner personer är strukturerade samlingar med personuppgifter och därför omfattas av den lagstiftning som medlemsstaterna skall införa. Den svenska tolkningen kolliderar emellertid med de principer om yttrandefrihet som gäller i EU och därmed EG-rätten.
- Datainspektionens tolkning är orimlig och strider mot romfördraget och Europakonventionen om de mänskliga rättigheterna. Den strider därmed även mot svensk lag.

Anders Björngreen