Datainspektionen 1973–2008

Historien om Datainspektionen handlar till stor del om datalagen, som var den helt dominerade uppgiften i 28 år, fram till oktober 2001 när den slutligen ersattes av personuppgiftslagen (PuL). Datalagen reglerade "personregister", medan PuL har den betydligt bredare definitionen "behandling av personuppgifter". Detta, i kombination med Internets enorma tillväxt, har kraftigt utökat Datainspektionens ansvarsområde.

1973

Datainspektionen inrättas som en central tillstånds- och tillsynsmyndighet med huvuduppgift att övervaka världens första nationella datalag som börjar gälla den 1 juli. Bakgrunden till lagen är att man har börjat oroa sig för hur de nya stordatorerna kan användas för att sammanställa information om enskilda personer. Den ursprungliga datalagen föreskriver att inga dataregister med personuppgifter får inrättas och föras utan tillstånd av Datainspektionen. Man hade beräknat att det fanns 5 000 personregister i Sverige, men redan första året får Datainspektionen 15 000 ansökningar om tillstånd.

1974

Datainspektionen blir tillstånds- och tillsynsmyndighet enligt de nya kreditupplysnings- och inkassolagarna, som reglerar branscher där dataregister har börjat användas i stor omfattning.

1976–84

Datalagstiftningskommittén (DALK) arbetar med en översyn av datalagen. Målet är att ersätta den med en generell personregisterlag. Men man kan inte enas och kommittén upplöses efter åtta år. Ett antal ändringar i datalagen genomförs dock.

1982

Okänsliga register som kund-, löne- och medlemsregister undantas från datalagens tillståndskrav. En licens för personregister införs. Licensavgifterna ska finansiera Datainspektionens verksamhet.

1984–89

Data- och offentlighetskommittén (DOK) utreder integritetsskyddet i informationssamhället. Resultatet blir bland annat att en ny regel i Regeringsformen om den enskildes rätt till personlig integritet vid dataregistrering. DOK lämnar också förslag till reglering av personnummer i dataregister.

1989–93

Ytterligare en utredning, Datalagsutredningen, gör en bred översyn av datalagen. Utredningens förslag genomförs inte, då regeringen vill invänta arbetet med ett EG-direktiv om dataskydd.

1990-talet

Användningen av datorer i hemmen ökar. Vad som uppfattas som hot mot den personliga integriteten förskjuts från myndigheternas centrala register till enskildas behandling av personuppgifter, särskilt på Internet. Debatten handlar om motsättningen mellan skydd för enskildas personliga integritet och andra enskildas rätt att fritt få yttra sig på Internet.

1991

Särskilda regler för personnummer förs in i datalagen. En senare utredning föreslår att reglera personnummeranvändningen i en särskild lag, men så blir det inte. Reglerna i datalagen har överförts till PuL.

1995

EU:s dataskyddsdirektiv (95/46 EG) antas. Medlemsländerna får tre år på sig att införa det i den nationella lagstiftningen. Ännu en utredning, Datalagskommittén, arbetar fram ett förslag till personuppgiftslagen, PuL, som ska ersätta datalagen.

1998

PuL träder i kraft. Licenserna – det har blivit 55 000 stycken – slopas och finansieringen med licensavgifter ersätts med statsanslag. Men den gamla datalagen gäller i ytterligare tre år för register och tillstånd som redan finns. I praktiken innebär det att datalagen fortfarande är helt dominerande.

2001

En dom i Högsta Domstolen utökar begreppet "journalistiska ändamål" i PuL så att det omfattar de flesta debattinlägg som förekommer på Internet. (PuL gäller inte när personuppgifter behandlas för journalistiska ändamål).

2001

I oktober börjar PuL börjar gälla fullt ut och ersätter efter 28 år den gamla datalagen. Alla gamla tillstånd upphör att gälla. Den som behandlar personuppgifter får ett större ansvar för att behandlingen är laglig. Samtycke och information till de registrerade får en central roll. Datainspektionens arbete koncentreras på tillsyn, information och utbildning. Genom att övriga EU- och EES-länder också har lagstiftning som är baserad på direktivet, ökar Datainspektionens internationella arbete i olika samarbetsgrupper markant.

2002

Utredning om Datainspektionens verksamhet och finansiering. Resultatet blir inga stora förändringar.

2003

  • EG-domstolen granskar en svensk webbsajt som är utlagd av en privatperson och slår fast att den omfattas av dataskyddsdirektivet. Men man anser inte att de personuppgifter som har publicerats på sajten därmed har lämnats ut till länder som saknar godkänt dataskydd.
  • Yttrandefrihetsgrundlagen ändras så att man kan anmäla en ansvarig utgivare för en webbplats som då skyddas av grundlagen. PuL gäller inte för personuppgifter som läggs ut på en sådan webbplats.
  • Ett företag "kidnappar" nätsurfares modem och skickar tusentals inkassokrav för porrtjänster på Internet. Medierna går på högvarv, Datainspektionen får 3 000 klagomål och frågor, inspekterar och drar in tillstånd, men då startar kidnapparna nya företag. Problemet flammar upp då och då de närmaste åren, men falnar när de flesta börjar använda bredband.
  • Med PuL introducerades begreppet personuppgiftsombud; en person som ska se till att personuppgifter behandlas korrekt och lagligt inom en verksamhet. Under året passerar antalet ombud 3 000.

2005

Ett uppmärksammat fall är jakten på "pirater" som kopierar och sprider upphovsrättsskyddat material på Internet. Piratjägare spårar piraternas ip-nummer, polisanmäler och kräver att Internetleverantörerna ska vidarebefordra mejl till piraterna. Datainspektionen får 5 000 klagomål, gör tillsyn och slår fast att ip-numret är personuppgift, det vill säga PuL gäller. Piratjägarna får dock ett tidsbegränsat undantag från PuL:s förbud att behandla brottsuppgifter.

2006

  • Ett EG-direktiv antas, som säger att EU:s teleoperatörer måste lagra uppgifter om telefonsamtal, e-post och Internettrafik. Direktivet, som ursprungligen föreslogs av bland andra Sverige, möts av protester från bland andra 29-gruppen som ska se till att EU:s dataskyddsdirektiv tillämpas korrekt.
  • En webbtjänst lanseras, där vem som helst via Internet kostnadsfritt och anonymt kan få upplysningar om privatpersoners inkomst och betalningsanmärkningar. Enligt kreditupplysningslagen, KuL, får sådana uppgifter bara lämnas ut till den som har ett legitimt behov och den omfrågade ska få veta vilka uppgifter som har lämnats ut och till vem. Men webbtjänsten har ansvarig utgivare och då gäller inte de reglerna i KuL (se 2003). På sex månader lämnar den största sajten ut 14 miljoner personrapporter. Därefter vägrar Skatteverket att leverera uppgifter till den som inte följer KuL.

2007

  • PuL moderniseras. Hanteringsreglerna (de flesta paragraferna i PuL) ska inte längre tillämpas på ostrukturerat material, främst vanlig löpande text i ordbehandlingsdokument, i e-post eller på Internet. Undantaget gäller inte om texten medför att någon kränks. Hanteringsreglerna ska som tidigare tillämpas på regelrätta register.
  • Integritetsskyddskommittén konstaterar i ett delbetänkande att integriteten inte beaktas tillräckligt när nya lagar utarbetas. Integritetsskyddet har försämrats under 2000-talet. Samtliga ledamöter i kommittén, som kommer från alla de sju riksdagspartierna, är eniga i sin kritik. Nya lagar har kommit till för snabbt och utan att integritetsrisker redovisas.

2008

  • I sitt slutbetänkande föreslår Integritetsskyddskommittén en ny bestämmelse i Regeringsformen som ska hindra att nya lagar medför integritetskränkningar. Det skyddar mot övervakning och kartläggning från det allmännas sida, men Datainspektionen anser att det också behövs en lag som ger skydd mot kränkningar mellan enskilda, till exempel på Internet, men något sådant föreslås inte. Kommittén vill att Datainspektionens uppdrag utvidgas så att vi följer den tekniska utvecklingen och dess effekter på den personliga integriteten.
  • Efter tjugo års diskussion antar riksdagen en lag som ger polisen rätt att avlyssna misstänkta med dolda mikrofoner, så kallad buggning.
  • Med knapp marginal antar riksdagen den så kallade FRA-lagen, som ger Försvarets radioanstalt rätt att avlyssna tele- och datatrafik som passerar Sveriges gränser. Datainspektionen ska ha viss tillsyn över verksamheten. Lagen väcker våldsamma protester, då alla medborgares mejltrafik och telefonsamtal kan avlyssnas. Protesterna startar en debatt om den kraftigt ökande övervakningen i samhället.
  • En ny patientdatalag ersätter lagen om vårdregister och patientjournallagen. Den nya lagen ska göra det enklare för vårdgivarna att ta del av varandras journaler.

2009

  • Ipred (Intellectual Property Rights Enforcement Directive) är ett EG-direktiv som ska skydda immateriella rättigheter. Direktivet infördes i svensk lag i februari 2009 när riksdagen röstade igenom ändringar i sju lagar: varumärkeslagen, upphovsrättslagen, patentlagen, mönsterskyddslagen, firmalagen, kretsmönsterlagen och växtförädlarrättslagen. De nya reglerna började gälla den 1 april 2009 och vad som hittills har hänt är att ett antal innehavare av rättigheter till musik och film har vänt sig till domstol och begärt att några internetleverantörer ska lämna ut information om vilka abonnenter som har vissa angivna IP-nummer. Domstolen ska avgöra om rättighetshavarna har kunnat visa att adresserna har använts vid olaglig upp- eller nedladdning, det vill säga vid immaterialrättsliga intrång. Datainspektionens roll är mycket begränsad när det gäller Ipred. I personuppgiftslagen finns det ett förbud för andra än myndigheter att behandla uppgifter om brott och brottsmisstanke. Datainspektionen kan göra undantag från regeln och det har myndigheten tidigare gjort i några fall. Men nu har man i de sju nämnda lagarna fört in bestämmelser om att det inte krävs särskilt undantag från personuppgiftslagen för att få behandla uppgifter om immaterialrättsligt intrång.
  • Den första december 2009 meddelar FRA att myndigheten nu successivt börjar inhämta kabelburen trafik för signalspaning. Från och med det datumet är teleoperatörerna i Sverige skyldiga att överföra signaler i tråd som passerar Sveriges gräns till en så kallad samverkanspunkt. När FRA fått tillstånd till spaning släpps signalerna från samverkanspunkten fram till myndigheten för vidare behandling. Den 12 februari 2009 fattade regeringen beslut om att ge Datainspektionen ett särskilt uppdrag under 2009 och 2010. Inspektionen ska ur ett integritetsskyddsperspektiv följa hur FRA behandlar personuppgifter vid sin signalspaning enligt lagen om signalspaning i förvarsunderrättelseverksamhet som trädde ikraft den 1 januari 2009.

Läs mer om integritetsåret 2009 här

2010

Den 24 november röstade riksdagen ja till ett antal ändringar i svensk grundlag. En av ändringarna innebär att om någon statlig myndighet eller kommun vill införa en ny omfattande databas med personuppgifter som medför att medborgare kartläggs eller övervakas, så måste man först undersöka om det är tillåtet enligt grundlagen och därefter bedöma om det behövs ny lagstiftning. Grundlagsändringen ska säkerställa att "lagar, som inskränker integritetsskyddet endast får genomföras om det intresse, som ska tillgodoses, är så starkt och integritetsskyddsintresset så förhållandevis svagt att inskränkningen framstår som proportionerlig". Tanken med en sådan bedömning är även att lagstiftaren ska undersöka om det finns några mindre ingripande alternativ för att uppnå syftet med den föreslagna åtgärden. En anledning till att bestämmelsen införs är de betydande brister i lagstiftningsarbetet, som Integritetsskyddskommittén kunde konstatera efter en omfattande kartläggning.

Läs mer om integritetsåret 2010 här

Om oss

Under 1980- och 90-talen ökade användningen av datorer i hemmen.

Datainspektionens generaldirektörer/chefer

Claes-Göran Källner 1973–1977
Jan Freese 1977–1986
Mats Börjesson 1986–1989
Stina Wahlström 1989–1992
Anitha Bondestam 1992–1998
Ulf Widebäck 1998–2004
Göran Gräslund 2004–