Direktivet om behandling av personuppgifter (95/46/EG) skall vara genomfört senast den 24 oktober i år. I Sverige träder en ny personuppgiftslag i kraft denna dag (SFS 1998:204, prop 1997/98:44). I Danmark och Finland har parlamenten ännu inte antagit de förslag som lagts fram (lovforslag L 82 Folketinget 1997-98 respektive regeringsproposition 96/1998), och det danska Folketinget kommer sannolikt inte att hinna göra det innan fristen går ut. I Norge, som förväntas behöva genomföra direktivet på grund av EES-avtalet, utarbetas nu en proposition på grundval av ett utredningsförslag (NOU 1997:19).

Direktivet omfattar all automatiserad behandling av personuppgifter, alltså inte bara register utan också personuppgifter i löpande text i ordbehandlingsdokument, plus manuell behandling av pappersbaserade personregister. Det reglerar såväl harmlös som klart kränkande hantering av personuppgifter, och anger i vilka fall och på vilka grundläggande villkor personuppgifter får behandlas. Inom denna ram skall medlemsstaterna sedan precisera villkoren.

Redan när uppgifterna samlas in skall ändamålet med med behandlingen anges uttryckligt. Då skall de registrerade också få information om behandlingen. Uppgifterna skall vara riktiga, aktuella, adekvata, relevanta och inte alltför omfattande med hänsyn till ändamålet. Senare behandling får inte vara oförenlig med det ursprungliga ändamålet och uppgifterna skall förstöras eller avidentifieras när de inte längre behövs för detta. Personuppgifter får enligt direktivet behandlas bara med de berördas samtycke, när det är nödvändigt för att fullgöra avtal eller en rättslig förpliktelse, i samband med arbetsuppgifter av allmänt intresse eller myndighetsutövning eller för att skydda vitala intressen för den registrerade. Dessutom kan personuppgifter få behandlas efter en intresseavvägning.

De svenska, danska och finska lagarna kommer att följa direktivets text ganska nära i dessa avseenden. I det norska förslaget används en förenklad metod. Där anges att behandling får ske för lovliga ändamål som skall vara sakligt grundade i den registeransvariges verksamhet. Det finska förslaget innehåller dessutom en uttrycklig regel som tillåter behandling av uppgifter om personer som t ex på grund av tjänstgöringsförhållande har en saklig anknytning till den registeransvariges verksamhet. Uppgifter om arbetstagare i en koncern får behandlas inom denna.

För behandling av s k känsliga personuppgifter gäller särskilda restriktioner enligt direktivet. Ett speciellt problem för de nordiska länderna med deras höga organisationsgrad är att medlemskap i fackförening definieras som en känslig uppgift. Medlemsländerna får emellertid ha lagstiftning som medger behandling av sådana uppgifter när det är nödvändigt för att den registeransvarige skall kunna fullgöra sina skyldigheter och utöva sina rättigheter enligt arbetsrätten. Sådana uppgifter får, enligt direktivet, också behandlas inom ideella organisationer, t ex fackföreningar, men får inte utan samtycke lämnas ut till utomstående. I de nordiska ländernas lagar kommer det att finnas regler som tillåter behandling i dessa fall. I framtiden kommer det dock att krävas särskilda överväganden t ex när fackföreningar skall lämna ut medlemsinformation för att arbetsgivare skall göra löneavdrag för fackföreningsavgifter, eller i samband med avtal om förmåner som kollektiva försäkringar för medlemmarna. Också när det gäller överföring av uppgifter om medlemmar mellan olika föreningar inom en facklig rörelse eller mellan olika arbetsgivarbolag inom samma koncern kommer det att krävas särskilda överväganden. Eftersom hälsouppgifter är känsliga personuppgifter, krävs det vidare som regel samtycke för att uppgifter om t ex sjukfrånvaro skall kunna lämnas ut mellan olika arbetsgivare.

Sören Öman