Sören Öman hjälpte som konsult till med att skriva avsnitt 8 om behandling av personuppgifter.
8 Behandling av personuppgifter
Enligt utredningsdirektiven ska jag analysera hur ett krav på redovisning av medlemsantal i en organisation, dels till det allmänna, dels till en revisor, förhåller sig till de regler om att behandla känsliga personuppgifter, som finns i personuppgiftslagen (1998:204). Det handlar bl.a. om uppgifter om politisk åskådning och religiös eller filosofisk övertygelse. Av utredningsdirektiven framgår det vidare att det kan förutsättas att flera av organisationerna som söker bidrag hos Ungdomsstyrelsen har ADB-baserade medlemsförteckningar.
Till stöd för analys och bedömningar har jag anlitat konsulten Sören Öman.
Som en bakgrund till analysen lämnar jag i avsnitt 8.1 en kortfattad redogörelse för de bestämmelser i personuppgiftslagen som kan ha betydelse i sammanhanget. I avsnitt 8.2 redogör jag för bestämmelser i förordning respektive myndighetsföreskrifter som är relevanta för den behandling av personuppgifter om medlemmar som kan vara aktuell, och i avsnitt 8.3 redovisar jag analys och överväganden.
8.1 Personuppgiftslagen
Personuppgiftslagen (1998:204), som trädde i kraft den 24 oktober 1998, genomför det s.k. dataskyddsdirektivet i Sverige.
Lagen tillämpas på helt eller delvis automatiserad behandling av personuppgifter och dessutom på manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §).
Personuppgiftslagen är dock subsidiär i den meningen att avvikande bestämmelser i någon annan lag eller i en förordning tar över bestämmelserna i personuppgiftslagen (2 §). Avvikande bestämmelser som bara finns i föreskrifter utfärdade av myndighet tar dock inte över bestämmelserna i personuppgiftslagen.
Begränsningar i tillämpningsområdet
Tillämpningsområdet för personuppgiftslagen har begränsats genom en rad bestämmelser. Lagen omfattar t.ex. inte sådan behandling som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §). Från och med den 1 januari 2007 gäller undantag för behandling av personuppgifter i ostrukturerat material (5 a §). Undantag görs därmed från de allra flesta bestämmelserna i lagen för behandling av personuppgifter som inte ingår i, eller är avsedda att ingå i, en samling av personpersonuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. För sådan behandling gäller i stället att den inte får utföras, om den innebär en kränkning av den registrerades personliga integritet.
Begreppsdefinitioner
Personuppgiftslagen innehåller i 3 § en rad definitioner av olika begrepp som används i lagen. Med behandling (av personuppgifter) avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Den registrerade är den som en personuppgift avser. Med samtycke avses varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör henne eller honom.
Grundläggande krav på behandlingen av personuppgifter
I personuppgiftslagen åläggs den personuppgiftsansvarige att upprätthålla vissa grundläggande krav på behandlingen av personuppgifter (9 §). Personuppgifter ska behandlas bara om det är lagligt. Behandlingen ska alltid ske på ett korrekt sätt och i enlighet med god sed. Personuppgifter får endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in (den s.k. finalitetsprincipen). Personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålet med behandlingen. Fler personuppgifter än som är nödvändigt med hänsyn till behandlingen får inte behandlas.
De personuppgifter som behandlas ska vara riktiga och, om det är nödvändigt, aktuella. Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Personuppgifter får inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ursprungliga ändamålen med behandlingen, om det inte behövs för historiska, statistiska eller vetenskapliga ändamål.
Förutsättningar för att behandlingen av personuppgifter ska vara tillåten
I personuppgiftslagen anges det vidare vissa förutsättningar för när en behandling av personuppgifter över huvud taget är tillåten (10 §). Minst en av dessa förutsättningar måste alltså finnas för att en behandling ska vara tillåten enligt lagen. Den inledande av de alternativa förutsättningarna är att den registrerade har lämnat samtycke till behandlingen. Finns det inte något samtycke, kan en behandling vara tillåten om den är nödvändig för ett antal uppräknade syften. Är en behandling nödvändig för att ett avtal med den registrerade ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas, så kan den vara tillåten. En behandling kan också vara tillåten om den är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet, för att vitala intressen för den registrerade ska kunna skyddas eller för att en arbetsuppgift av allmänt intresse ska kunna utföras. Vidare kan en behandling vara tillåten om den är nödvändig för att den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning. Slutligen kan en behandling vara tillåten om den är nödvändig för att ett visst ändamål ska kunna tillgodoses. Detta ändamål ska röra ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut, och ska väga tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
Känsliga personuppgifter m.m.
Huvudregeln i lagen innebär att det är förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv (13 §).
Dessa olika slag av uppgifter kallas med en samlingsbeteckning känsliga personuppgifter.
Det finns emellertid en rad undantag från förbudet mot behandling av känsliga personuppgifter (huvudregeln) angivna direkt i personuppgiftslagen. Sålunda får sådana uppgifter enligt lagen behandlas med den registrerades uttryckliga samtyckeeller när denne offentliggjort uppgifterna på ett tydligt sätt (15 §). Känsliga uppgifter får vidare i vissa fall behandlas om det är nödvändigt för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, om det är nödvändigt för att den registrerades eller någon annans vitala intressen ska kunna skyddas och den registrerade inte kan lämna sitt samtycke eller om det är nödvändigt för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras (16 §).
Förbudet mot att behandla känsliga personuppgifter gäller inte heller när ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte inom ramen för sin verksamhet behandlar personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Endast om den registrerade uttryckligen har samtyckt till det får dock känsliga personuppgifter lämnas ut till tredje man från en sådan ideell organisation (17 §).
Uppgifter om personnummer och samordningsnummer får enligt 22 § personuppgiftslagen behandlas bara om den registrerade samtycker till det eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
Regeringen eller myndighet får besluta om undantag från förbudet att behandla känsliga personuppgifter
Regeringen, eller den myndighet som regeringens bestämmer, får om det behövs med hänsyn till ett viktigt allmänt intresse medge ytterligare undantag från förbudet att behandlad känsliga uppgifter (20 §).
8.2 Hanteringen av medlemsuppgifter
I tidigare kapitel analyserar jag nuvarande förordning i olika delar och lämnar förslag på kompletteringar och definitioner. Detta gäller även systemet för revisorernas kontroll av medlemsuppgifter. Jag väljer trots detta att i detta kapitel göra en kort samlad beskrivning av just de bestämmelser i nuvarande förordning som har betydelse för organisationernas redovisning av medlemsuppgifter i samband med ansökan om bidrag. De förändringar jag tidigare föreslagit påverkar inte analysen i detta kapitel.
Nuvarande förordnings bestämmelser
Enligt nuvarande förordning om statsbidrag till ungdomsorganisationer är uppgifterna om antal medlemmar och andelen unga medlemmar viktiga för bedömningen av både rätt till ett visst bidrag och bidragets storlek. Med en medlem i en ungdomsorganisation avses i förordningen den som är ansluten till en lokalavdelning inom organisationen, har stadgeenliga möjligheter att påverka beslut om organisationens verksamhet och inriktning, och för året närmast före bidragsåret aktivt tagit ställning för ett medlemskap genom att ha betalat medlemsavgift eller ansökt om medlemskap (4 §).
Begreppet lokalavdelning har också en central betydelse i bidragssystemet. Dels definieras medlem som den som är medlem i en lokalavdelning, dels bestämmer antalet aktiva lokalavdelningar bidragets storlek. Med en lokalavdelning inom en ungdomsorganisation avses i förordningen en sådan avdelning som har antagit stadgar och är införd i ungdomsorganisationens register över lokalavdelningar, i vilken medlemmar och organ utsedda av medlemmarna beslutar om avdelningens verksamhet och ekonomi, och som bedriver verksamhet (5 §).
Definitionen av medlem och lokalavdelning spelar också en central roll i analysen av detta kapitels frågeställningar.
Definitionen av lokalavdelning torde innebära att en sådan avdelning är att betrakta som en egen juridisk person, liksom den bidragsmottagande organisationen är det. Definitionen av medlem innebär att det är den fysiska personens medlemskap i lokalavdelningen som är avgörande. Det förekommer att en fysisk person som är medlem i en lokalavdelning inte är medlem (också) i den bidragsmottagande organisationen.
Ungdomsstyrelsen (12 §), får meddela föreskrifter för verkställigheten av bidragsförordningen (16 §). Ungdomsstyrelsen får besluta att ett bidrag som beviljats eller lämnats på grund av felaktiga uppgifter inte ska betalas ut eller ska betalas tillbaka (14 §). En organisation som har tagit emot bidrag enligt bidragsförordningen är skyldig att lämna de redovisningshandlingar, verksamhetsberättelser och andra uppgifter som Ungdomsstyrelsen bestämmer (13 §).
Ungdomsstyrelsens föreskrifter
Ungdomsstyrelsen har meddelat föreskrifter om statsbidrag till ungdomsorganisationer. Av föreskrifterna framgår det att det hos den organisation som ansöker om statsbidrag ska finnas en förteckning eller andra handlingar med uppgifter om varje medlems namn, adress, födelseår, kön, datum för inbetalning av medlemsavgift eller, om sådan uppgift saknas, datum för skriftlig eller elektroniskt dokumenterad ansökan om medlemskap samt om till vilken lokalavdelning medlemmen är ansluten (3 §). Med bidragsgrundande medlem avses vidare bara den som fyllt sju men inte 26 år och som enligt vad som framgår av organisationens medlemsförteckning eller motsvarande dokument har betalat fastställd medlemsavgift för året eller – utan att ha betalat sådan avgift – efter dokumenterad ansökan har beviljats medlemskap i organisationen under underlagsåret (2 §).
Medlem i lokalavdelningen och i den nationella organisationen – eller bara i lokalavdelningen.
I de allra flesta av de ungdomsorganisationer som beviljas statsbidraget är en medlem i lokalavdelningen också medlem i den nationella organisationen. Men det förekommer att det är lokalavdelningarna såsom föreningar som är medlemmar på den nationella nivån. I dessa fall är den enskilde medlemmen endast medlem i sin lokalförening och inte (också) i den nationella organisationen.
Kraven i föreskrifterna innebär att det hos den bidragsmottagande organisationen ska finnas en förteckning (eller andra handlingar) med uppgifter om alla de fysiska personer som är medlemmar i organisationens lokalavdelningar oberoende av om personerna är medlemmar i den bidragssökande organisationen. Det krävs inte att förteckningen förs med hjälp av dator, men såsom framgår av utredningsdirektiven kan det förutsättas att flera av organisationerna som ansöker om bidrag har medlemsförteckningen på dator.
Ungdomsorganisationer vars medlemsförteckningar innehåller känsliga personuppgifter
Det förekommer att den bidragsmottagande organisationen eller lokalavdelningarna ställer upp krav på att fysiska personer ska ha någon sådan egenskap som avses med definitionen av känsliga personuppgifter i personuppgiftslagen (t.ex. viss funktionsnedsättning eller vissa politiska åsikter) för att få bli medlem. I sådana fall innefattar en medlemsförteckning känsliga personuppgifter om de förtecknade medlemmarna. Av de 91 ungdomsorganisationer som beviljades bidrag 2008 samlade 48 organisationer ungdomar med en viss politisk eller religiös åskådning, en viss sexuell läggning, viss etnisk bakgrund eller en funktionsnedsättning. Dvs. att en stor andel av ungdomsorganisationerna hanterar känsliga personuppgifter.
Ungdomsstyrelsens rekommendation att spara medlemsuppgifter
Av föreskrifterna följer bara att den bidragssökande organisationen ska ha en förteckning över de fysiska personer som faktiskt är medlemmar, dvs. en aktuell medlemsförteckning. Av Ungdomsstyrelsens vägledning om statsbidraget framgår det dock att myndigheten anser att dokumentationen av varje medlemskap ”måste sparas så att det är möjligt att gå tillbaka och kontrollera organisationens medlemsantal”. Ungdomsstyrelsen rekommenderar att dokumentationen sparas i fem år. Rekommendationen får anses innebära att en bidragsmottagande organisation bör spara uppgifter om personer som inte längre är medlemmar i organisationen eller dess lokalavdelningar. Av Ungdomsstyrelsens vägledning om statsbidraget framgår det vidare att det är medlemsantalet året före det år som ansökan görs, som har betydelse för statsbidraget nästkommande år.
Revisorsrapport
Av föreskrifterna framgår det att det till en organisations ansökan om bidrag ska fogas en rapport från en av organisationen utsedd auktoriserad eller godkänd revisor med bl.a. bestyrkande av uppgifterna i ansökan vad avser antalet bidragsgrundande medlemmar och aktiva lokalavdelningar (7 §). Vidare föreskrivs det att revisorn för sin granskning ska ha tillgång till förteckningen eller handlingarna med uppgifterna om medlemmarna. I Ungdomsstyrelsens allmänna råd om statsbidrag till ungdomsorganisationer finns det bl.a. råd om hur revisorn bör göra vid stickprov och vad revisorsrapporten bör innehålla i fråga om granskningen av medlemsuppgifterna.
Ungdomsstyrelsens granskning av personuppgifter
Det förekommer i dag inte att Ungdomsstyrelsen efterfrågar personuppgifter om medlemmarna. Enligt utredningsdirektiven ska jag se över Ungdomsstyrelsens kontroll och uppföljning av statsbidraget samt granskning av bidragsansökningar. Jag ska också bedöma om de kontroller som är möjliga att utföra, med hänsyn till regeringsformens bestämmelser, är tillfredsställande för att kontrollera riktigheten i de uppgifter som en organisation har lämnat.
Jag har behandlat dessa frågeställningar i kapitel 6 respektive 7.
En av mina slutsatser är att Ungdomsstyrelsens kontroll av medlemsförteckningar för en organisation som söker statsbidrag inte strider mot regeringsformens bestämmelser om åsikts- och föreningsfrihet, men att den är inte lämplig. Däremot bör myndigheten ha möjlighet att undantagsvis genomföra vissa kontroller av medlemsuppgifter på plats hos de sökande organisationerna. En sådan kontroll är enligt min bedömning tillfredsställande och rimlig.
8.3 Analys och överväganden
Enligt utredningsdirektiven är det bestämmelserna om behandling av känsliga personuppgifter i personuppgiftslagen som ska analyseras i förhållande till hanteringen av medlemsuppgifterna. Analysen i detta avsnitt utgår därför, när inget annat sägs, från att det är känsliga personuppgifter enligt definitionen i personuppgiftslagen som behandlas.
Analysen ska enligt utredningsdirektiven avse redovisningen av medlemsantal i en organisation. Det bör därför inledningsvis nämnas att en uppgift om medlemsantal – att en viss organisation har ett visst antal medlemmar i viss ålder – inte i sig utgör en personuppgift. Uppgifterna om medlemsantal kan alltså behandlas utan att bestämmelserna i personuppgiftslagen måste följas. För att kunna ange eller kontrollera uppgiften om medlemsantal behövs det däremot personuppgifter enligt definitionen i personuppgiftslagen.
Personuppgiftslagen behöver bara tillämpas när personuppgifter ska behandlas automatiserat (i dator) eller när de ska ingå i ett regelrätt manuellt personregister (företrädesvis på papper). Analysen i detta avsnitt utgår därför, när inget annat sägs, från att det är känsliga personuppgifter enligt definitionen i personuppgiftslagen som behandlas på ett sådant sätt att lagen är tillämplig. Det bör redan här nämnas att ett utlämnande oavsett formen (elektroniskt, på papper eller muntligen) av personuppgifter som behandlas på ett sådant sätt att personuppgiftslagen är tillämplig är en sådan typ av behandling som också omfattas av lagen. Utlämnandet av personuppgifterna måste alltså vara tillåtet enligt personuppgiftslagen för att det ska få ske.
I det följande berörs först medlemsregistreringen hos den bidragssökande organisationen och dess lokalavdelningar (avsnitt 8.3.1). Därefter berörs den av den bidragssökande organisationen utsedde revisorns medlemskontroll (avsnitt 8.3.2). Sedan berörs Ungdomsstyrelsens granskning och kontroll av uppgifter om medlemsantal (avsnitt 8.3.3).
8.3.1 Förordningsstöd för viss medlemsregistreringen hos den bidragssökande organisationen och dess lokalavdelningar
Förslag
En medlemsförening7 inom en ungdomsorganisation som ansöker om bidrag enligt förordningen om statsbidrag till ungdomsorganisationer får lämna uppgifter om medlemsföreningens medlemmar till den bidragssökande ungdomsorganisationen. De uppgifter som ska få lämnas är namn, adress, födelseår, kön, medlemsförening, datum för inbetalning av medlemsavgift eller, om sådan uppgift saknas, datum för ansökan om medlemskap.
En ungdomsorganisation som ansöker om bidrag enligt denna förordning får vidare behandla sådana personuppgifter för att ansöka om bidraget.
En ungdomsorganisation som har tagit emot sådant bidrag får i fem år från det år ansökan om bidraget gjordes spara nyss nämnda uppgifter i fråga om de medlemmar som legat till grund för bidraget för att göra det möjligt att i efterhand kontrollera medlemsantalet.
I kapitel 3.3 föreslår jag att medlemsförening ersätter begreppet lokalavdelning. Medlemsförening används genomgående i förslaget till ny förordning.
Att föra ett datoriserat medlemsregister – en förteckning över fysiska personer som är medlemmar – utgör en s.k. strukturerad behandling av personuppgifter. Undantaget i 5 a § personuppgiftslagen för behandling av personuppgifter i ostrukturerat material (som redogjordes för i avsnitt 8.1Begränsningar i tillämpningsområdet) är därför inte tillämpligt. Inte heller kan något annat generellt undantag från bestämmelserna i personuppgiftslagen anses gälla för den behandlingen. I princip samtliga bestämmelser i personuppgiftslagen måste därför följas vid förandet av medlemsregistret.
Analysen har utgått från att varje lokalavdelning har varsitt register över sina medlemmar och att den bidragssökande organisationen – i enlighet med vad som krävs enligt Ungdomsstyrelsens föreskrifter – har en förteckning över alla fysiska personer som är medlemmar i samtliga lokalavdelningar. Analysen har vidare utgått från att varje lokalavdelning är en egen juridisk person – en ideell förening – och att den bidragssökande organisationen också är en egen juridisk person, en ideell förening.
Personuppgiftsansvaret
Den första fråga som uppkommer är vem som är personuppgiftsansvarig för behandlingen av personuppgifter i de olika medlemsregistren inom en organisationsstruktur. Enligt personuppgiftslagen är den personuppgiftsansvarig som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter (3 §). Vem det är som bestämt beträffande en viss behandling är en fråga om fakta som alltid kan bli föremål för bedömning, i sista hand av domstol. Det är de faktiska omständigheterna i det enskilda fallet som är avgörande, dvs. vem eller vilka som faktiskt har bestämt över behandlingen. En personuppgiftsansvarig kan anlita någon annan som ett personuppgiftsbiträde, dvs. som någon som behandlar personuppgifterna för den personuppgiftsansvariges räkning (3 §).
Personuppgiftsansvaret i en organisationsstruktur kan ordnas på flera olika sätt, t.ex. på grund av bestämmelser i avtal eller stadgar. Samtliga organisationer inom strukturen kan vara gemensamt personuppgiftsansvariga för all behandling av personuppgifter i medlemsregistren (eller för bara det register som organisationen för över lokalavdelningarnas medlemmar). Den nationella organisationen kan vara ensam personuppgiftsansvarig för all behandling av personuppgifter i medlemsregistren. Lokalavdelningarna torde då vara personuppgiftsbiträden till den centrala organisationen. De olika lokalavdelningar kan var och en vara personuppgiftsansvarig för behandlingen av personuppgifter i sitt medlemsregister, och den nationella organisationen kan vara personuppgiftsansvarig för behandlingen av personuppgifter i det centrala registret över alla fysiska personer som är medlemmar i samtliga lokalavdelningar. Också andra kombinationer kan tänkas.
Det har inte framstått som ändamålsenligt att inom ramen för utredningen gå igenom samtliga alternativ för personuppgiftsansvaret som kan finnas. Det bör räcka att peka på en realistisk möjlighet att anordna personuppgiftsansvaret. Därmed bör de organisationer som vill förlita sig på utredningens analys kunna anpassa sig. Det är troligt att det sist nämnda sättet att anordna personuppgiftsansvaret – att respektive juridisk person inom organisationsstrukturen är personuppgiftsansvarig för den behandling som denna utför – är vanligt och jag väljer därför att i analysen utgå från att personuppgiftsansvaret är ordnat på det sättet.
Ändamålet med behandlingen
All behandling av personuppgifter måste uppfylla de grundläggande kraven på behandling av personuppgifter som anges i 9 § personuppgiftslagen. Bland annat måste ett särskilt ändamål anges för behandlingen av personuppgifterna i medlemsregistren. Min analys har utgått från att ändamålet med behandlingen av personuppgifterna i medlemsregistren har angetts till något i stil med att behandlingen sker för att administrera medlemskapet och redovisning för bidragsadministration. Även om ändamålet angetts utan uttrycklig referens till redovisning för bidragsadministration, torde behandling för det ändamålet vara ett sådant senare uppkommet ändamål med behandlingen av personuppgifterna som inte är oförenligt med det ursprungligen bestämda ändamålet avseende administration av medlemskapet (9 § första stycket d). Att en lokalavdelning för bidragsredovisning lämnar ut personuppgifter till den centrala organisationen eller en av denna anlitad revisor är naturligtvis något som i och för sig ingår i det ursprungligen bestämda ändamålet avseende redovisning för bidragsadministration.
Man får bara behandla sådana personuppgifter som är adekvata och relevanta i förhållande till ändamålen med behandlingen, och flera personuppgifter än vad som är nödvändigt med hänsyn till ändamålen med behandlingen får inte behandlas (9 § första stycket e och f). I medlemsregistren kan det finnas många olika personuppgifter. De uppgifter som Ungdomsstyrelsen föreskrivit att den bidragssökande organisationen ska ha förtecknade – uppgifter om varje medlems namn, adress, födelseår, kön, datum för inbetalning av medlemsavgift eller, om sådan uppgift saknas, datum för skriftlig eller elektroniskt dokumenterad ansökan om medlemskap samt om till vilken lokalavdelning medlemmen är ansluten – torde vara sådana uppgifter som typiskt sett är nödvändiga, adekvata och relevanta att ha i ett medlemsregister. Dessutom finns det ju ett myndighetskrav på att just dessa uppgifter ska finnas registrerade, om den centrala organisationen vill kunna få statsbidrag.
Bevarande av personuppgifter
Personuppgifterna får vidare inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen (9 § första stycket i). Därefter ska uppgifter raderas eller i vart fall avidentifieras så att de inte längre går att hänföra till enskilda individer. Datainspektionen har i sin informationsskrift från 2003 om hur länge personuppgifter får bevaras angett:
Personuppgifter om medlemmar i en förening bör avidentifieras eller förstöras då den registrerade upphör att vara medlem i föreningen eller senast då den personuppgiftsansvarige och den registrerade har reglerat samtliga sina mellanhavanden såsom exempelvis efter betalning av utestående medlemsavgift eller då lånad utrustning återlämnats.
Datainspektionen har i ett s.k. samrådsyttrande från augusti 2007 ansett att en förening får behandla uppgifter om sina egna före detta medlemmar för återvärvningskampanjer i tre månader från det att medlemmen uteslutits ur föreningen. Därefter bör uppgifterna gallras enligt Datainspektionen.
Mot den bakgrunden framstår Ungdomsstyrelsens rekommendation om att personuppgifter ska sparas (åtminstone av den centrala organisationen) i fem år efter det att en person inte längre är medlem (i en nationell organisationen eller lokalavdelning inom denna) som mindre väl förenlig med bestämmelserna i personuppgiftslagen såsom dessa tolkats av Datainspektionen.
Ungdomsstyrelsens rekommendation avser i och för sig inte bevarande av personuppgifterna i elektronisk form. Man kan därför fråga sig om det är tillåtet att skriva ut personuppgifterna om avgångna medlemmar, som räknats med vid ansökan om bidrag, på papper innan den elektroniska informationen om dem raderas. Datainspektionen har i den nämnda informationsskriften uttalat sig om detta enligt följande:
En särskild fråga är hur man ska bedöma saken om personuppgifterna har förts över på papper genom utskrift. Då uppkommer frågan om uppgifterna på papper också måste förstöras. Personuppgifter i pappersform omfattas normalt inte av [personuppgiftslagens] tillämpning om de inte utgör ett sådant manuellt register som avses i 5 § 2 stycket [personuppgiftslagen]. Svaret på frågan är därför nej. Eftersom själva utskriften av personuppgifterna i sig är en personuppgiftsbehandling måste man dock fundera över om utskriften är tillåten enligt [personuppgiftslagens] bestämmelser. Om man skriver ut uppgifterna på papper i samband med att de inte längre behövs för det ändamål som de samlades in för (dvs. när de ska gallras) och utskriften görs enbart för att uppgifterna ändå ska bevaras är utskriften inte tillåten enligt [personuppgiftslagen]. Om utskriften görs därför att uppgifterna kan behövas i pappersform för andra ändamål såsom t.ex. för bokföringsändamål, är utskriften emellertid tillåten.
Det uttalandet synes kunna ge visst utrymme för att utskrift för bevarande på papper av uppgifter om före detta medlemmar inte är otillåtet, om det sker för att följa Ungdomsstyrelsens rekommendation och göra det möjligt att gå tillbaka och kontrollera organisationens medlemsantal.
Sammanfattningsvis kan det konstateras att det i vart fall inte står klart att Ungdomsstyrelsens rekommendation om sparande av uppgifter kan följas av organisationer som har datoriserade medlemsregister. Eftersom det är viktigt att uppgifterna sparas för att göra det möjligt med kontroller i efterhand, bör det för tydlighets skull tas in bestämmelser om sparandet i fem år, i bidragsförordningen. Jag återkommer till utformningen av sådana bestämmelser nedan i avsnittet Särskild rättslig grund för behandling av känsliga personuppgifter.
Det bör avslutningsvis i denna del nämnas att personuppgiftslagen innehåller krav på att den personuppgiftsansvarige självmant ska lämna de registrerade information om bl.a. ändamålen med behandlingen (23–25 §§). Jag utgår från att organisationerna lämnar den föreskrivna informationen. Det finns inget som hindrar att information om organisationens behandling av personuppgifter lämnas till medlemmarna av lokalavdelningarna.
I vissa fall måste den behandling av personuppgifter som förekommer anmälas till Datainspektionen.
Allmän rättslig grund för behandlingen
Varje behandling av personuppgifter måste kunna hänföras under någon av de tillåtna rättsliga grunderna som anges i 10 § personuppgiftslagen, t.ex. att den registrerade har lämnat sitt samtycke. För behandling av känsliga personuppgifter krävs det att ytterligare förutsättningar är uppfyllda, vilka berörs i nästa underavsnitt.
I detta fall (då det inte rör sig om känsliga personuppgifter) torde en allmän rättslig grund för behandlingen i vart fall stå att finna i den regel som avser en intresseavvägning (10 § f). Den personuppgiftsansvariga organisationens berättigade intressen av att kunna administrera medlemskapen och få finansiering för organisationsstrukturens verksamhet torde nämligen utan tvekan väga tyngre än medlemmarnas eventuella motstående integritetsskyddsintressen. Behandlingen av personuppgifter i medlemsregistren får alltså ske utan medlemmarnas samtycke.
Särskild rättslig grund för behandling av känsliga personuppgifter
Som nämnts utgår analysen från att det är känsliga personuppgifter enligt definitionen i personuppgiftslagen som behandlas. Personuppgiftslagen innehåller ett principiellt förbud mot att behandla sådana uppgifter (13 §) och ett antal undantag från det förbudet (14–19 §§). Har den registrerade lämnat sitt uttryckliga samtycke till att känsliga personuppgifter behandlas, får behandlingen ske (15 §).
Det finns en särskild bestämmelse om ideella organisationers behandling utan samtycke av känsliga personuppgifter om organisationens medlemmar (17 §). Bestämmelsen kan tillämpas av ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte. Enligt Datalagskommittén, vars utredningsbetänkande låg till grund för regeringens förslag till personuppgiftslagen, bör man när det gäller organisationens syfte kunna göra en ganska vidsträckt tolkning. Om en organisation på något sätt vill påverka samhället, bör organisationen kunna anses ha ett sådant politiskt syfte som avses. Med en sådan tolkning bör i flertalet fall ideella sammanslutningar av t.ex. utlänningar, invandrare eller personer med viss sexuell läggning eller viss sjukdom kunna behandla känsliga personuppgifter om sina medlemmars egenskaper.
Det är min bedömning att i de fall där organisationen ställer upp krav på att fysiska personer ska ha någon sådan egenskap som avses med definitionen av känsliga personuppgifter i personuppgiftslagen (t.ex. viss funktionsnedsättning eller vissa politiska åsikter) för att få bli medlem får organisationen också antas ha ett sådant syfte att bestämmelsen är tillämplig.
Enligt bestämmelsen får organisationen ”inom ramen för sin verksamhet” behandla känsliga personuppgifter om ”organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den”. Kravet på att behandlingen ska ske inom ramen för organisationens verksamhet torde inte innebära några svårigheter i fråga om behandling som syftar till att organisationsstrukturen ska kunna få finansiering för sin verksamhet. Kravet på att behandlingen bara får avse känsliga personuppgifter som rör organisationens medlemmar och liknande är däremot problematiskt. Problemet uppstår när en nationell organisationen för ett centralt medlemsregister och i de fall de fysiska personerna som är medlemmar i lokalavdelningarna inte (också) är medlemmar i den nationella organisationen. Medlemmarna i lokalavdelningarna är då inte medlemmar i den centrala organisationen, som utför behandlingen, och de kan knappast heller anses som sådana andra personer som på grund av den centrala organisationens syfte har regelbunden kontakt med den.
Slutsatsen blir att bestämmelsen i 17 § personuppgiftslagen ger en nödvändig särskild rättslig grund för behandlingen av känsliga personuppgifter i lokalavdelningarnas medlemsregister (om sina egna medlemmar) och i den centrala organisationens medlemsregister i de fall lokalorganisationernas medlemmar också är medlemmar i den centrala organisationen. Bestämmelsen kan däremot inte tillämpas i fråga om den centrala organisationens behandling av känsliga personuppgifter i andra fall.
Bestämmelsen i 17 § personuppgiftslagen innehåller vidare den restriktionen att känsliga personuppgifter får lämnas ut till tredje man bara om den registrerade uttryckligen har samtyckt till det. Med tredje man avses någon annan än den registrerade, den personuppgiftsansvarige, personuppgiftsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har befogenhet att behandla personuppgifter (3 §). I förhållande till en personuppgiftsansvarig lokalavdelning är alltså den personuppgiftsansvariga centrala organisationen att betrakta som en tredje man till vilken känsliga personuppgifter inte får lämnas ut utan uttryckligt samtycke.
Av vad Datalagskommittén uttalat framgår dock att restriktionen i bestämmelsen mot utlämnande av känsliga personuppgifter inte är tillämplig, om utlämnandet kan stödjas på någon annan särskild rättslig grund för att behandla känsliga personuppgifter.
Det återstår alltså att undersöka om det finns någon annan särskild rättslig grund för att behandla känsliga personuppgifter än bestämmelsen i 17 § personuppgiftslagen (eller ett uttryckligt samtycke) som kan användas för dels lokalavdelningarnas utlämnande av känsliga personuppgifter om sina medlemmar till den bidragssökande centrala organisationen, dels den bidragssökande centrala organisationens behandling av de känsliga personuppgifterna vid förandet av ett register över medlemmarna i lokalavdelningarna.
I 16 § första stycket c personuppgiftslagen finns det en bestämmelse om att känsliga personuppgifter får behandlas, t.ex. genom att lämnas ut till tredje man, om behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras. Den bestämmelsen har tolkats extensivt i förarbetena och av Datainspektionen.
Datalagskommittén uttalade följande:
I många fall kan förmodligen undantaget beträffande rättsliga anspråk användas […]. Ett exempel kan vara den behandling som skedde inom skatterätten när det fanns möjlighet att göra avdrag vid inkomstbeskattningen för fackföreningsavgift. Ett annat exempel kan vara när, inom socialrätten, ersättning i form av socialbidrag ges för sådan avgift för att en skälig levnadsnivå skall uppnås. Ytterligare exempel är den registrering av medlemskap som t.ex. privata företag kan ägna sig åt till följd av att fackliga organisationer avtalar om individuella eller kollektiva förmåner eller tjänster för sina medlemmar, t.ex. gruppförsäkring. […]
Träffar organisationen avtal med annan om kollektiva förmåner för sina medlemmar – t.ex. en gruppförsäkring eller en kollektiv anslutning till annan organisation – kan således medlemsregistret lämnas ut om det är nödvändigt för att de rättsliga anspråk som avtalet ger medlemmarna skall kunna fastslås eller göras gällande […]. Krävs det en uppgift om någon är eller inte är medlem i en fackförening för att fastställa vid vilken instans talan skall väckas eller föras [fotnot utesluten], bör organisationen kunna lämna ut uppgiften, eftersom den på avsett sätt är nödvändig för att kunna fastslå om någon har rätt att föra talan vid en viss instans.
[…]
Att en person har en sådan egenskap som avses med definitionen av känsliga personuppgifter kan vara en förutsättning för att denne skall ha rätt till en förmån eller ha en rättslig skyldighet gentemot någon annan. I sådana fall får uppgifter om den rättsligt relevanta egenskapen behandlas.
Att någon är sjuk kan t.ex. ha betydelse för rätten att få försäkringsersättning. Och det förhållandet att någon är medlem i svenska kyrkan har betydelse för vilken skatt den registrerade är skyldig att betala in till skattemyndigheten. I vissa försäkringssammanhang är det vidare en förutsättning för att få teckna viss försäkring att uppgifter om hälsa lämnas eller inhämtas. Också i detta fall får registreringen som regel anses nödvändig för rättsliga anspråk på det sätt som direktivet kräver.
Datainspektionen har i en rapport om behandling av elevers personuppgifter i grundskolan uttalat följande:
Vad beträffar uppgift om en elevs modersmål, kan detta i vissa fall vara en uppgift som indirekt avslöjar etniskt ursprung. En uppgift om modersmål kan därför vara att betrakta som känslig enligt [personuppgiftslagen].
Enligt grundskoleförordningen (1994:1194) har eleven i vissa fall rätt att få undervisning i sitt modersmål. Det kan således vara nödvändigt att behandla en uppgift om modersmål för att elevens rättsliga anspråk skall kunna fastställas eller göras gällande. En uppgift om modersmål bör därför kunna behandlas utan att samtycke inhämtas.
När det nu finns en förordning med bestämmelser om att en nationell organisation har möjlighet (”rätt”) att få statsbidrag, skulle det kunna hävdas att den nationella organisationens anspråk på att få statsbidrag är ett sådant rättsligt anspråk som avses i bestämmelsen. Den bidragssökande centrala organisationens registrering av medlemmarna i lokalavdelningarna skulle därmed – särskilt i belysning av de mer konkreta kraven på registreringen i Ungdomsstyrelsens föreskrifter – vara nödvändig för att detta rättsliga anspråk skulle kunna göras gällande och fastställas. På motsvarande sätt skulle lokalavdelningarnas utlämnande av medlemsuppgifterna till den bidragssökande centrala organisationen vara nödvändigt för att det rättsliga anspråket skulle kunna göras gällande och fastställas.
Enligt min mening är det dock inte säkert att denna tolkning av bestämmelsen i 16 § första stycket c personuppgiftslagen är korrekt. Detta framför allt mot bakgrund av att det i doktrinen har hävdats att ett rättsligt anspråk i bestämmelsens mening är ett sådant varom man kan föra talan i domstol. Det finns ingen rätt att föra talan i domstol om att få den typen av bidrag som nu är i fråga. Det är dessutom så att den som, uppsåtligen eller av grov oaktsamhet i icke ringa fall, behandlar känsliga personuppgifter när det inte är tillåtet enligt personuppgiftslagen kan straffas för det (49 § personuppgiftslagen). Jag anser därför att det bör införas uttryckliga bestämmelser i bidragsförordningen som tillåter den behandling av känsliga personuppgifter om lokalavdelningarnas medlemmar som är nödvändig för bidragsansökan enligt Ungdomsstyrelsens föreskrifter. Dessa föreskrifter förefaller både nödvändiga och ändamålsenliga i detta hänseende.
Dessutom bör det för tydlighets skull i bidragsförordningen tas in bestämmelser om att den organisation som tagit emot bidrag är skyldig att spara uppgifter om de medlemmar som legat till grund för bidraget i fem år från det år då ansökan om bidraget gjordes (se ovan under rubriken Ändamålet med behandlingen). Sådana bestämmelser kan enligt 20 § personuppgiftslagen meddelas i förordning, om det behövs med hänsyn till ett viktigt allmänt intresse. Detta anser jag att det är fråga om här på grund av intresset av att kunna kontrollera att uppställda bestämmelser om förutsättningar för att erhålla statsbidraget följts.
Jag föreslår alltså att det i bidragsförordningen införs bestämmelser om att en medlemsförening inom en ungdomsorganisation som ansöker om bidrag enligt förordningen om statsbidrag till ungdomsorganisationer får, trots 13 § personuppgiftslagen, lämna uppgifter om medlemsföreningens medlemmar till den bidragssökande ungdomsorganisationen. De uppgifter som får lämnas om medlemsföreningens medlemmar bör vara namn, adress, födelseår, kön, medlemsförening, datum för inbetalning av medlemsavgift eller, om sådan uppgift saknas, datum för ansökan om medlemskap. Underlag om inbetalning av medlemsavgift eller datum för ansökan om medlemskap (verifikationer) bör anses ingå i de uppgifter om medlemmar som får överlämnas. Dessutom bör bestämmelser införas om att en ungdomsorganisation som ansöker om bidrag enligt förordningen om statsbidrag till ungdomsorganisationer får, trots 13 § personuppgiftslagen, behandla sådana personuppgifter för att ansöka om bidraget. En särskild bestämmelse bör också införas i bidragsförordningen om att en central organisation som har tagit emot sådant bidrag ska, trots 13 § personuppgiftslagen, i fem år från det år ansökan om bidraget gjordes spara uppgifterna om medlemmarna för att göra det möjligt att i efterhand kontrollera medlemsantalet. Den sistnämnda skyldigheten att spara uppgifter bör dock – för att inte införa en skyldighet så att säga retroaktivt – gälla bara i fråga om medlemmar som legat till grund för bidrag som söks efter det att ändringen i förordningen trätt i kraft.
8.3.2 Förordningsstöd för revisorns medlemskontroll
Förslag
En ungdomsorganisation som ansöker om bidrag enligt förordningen får tillhandahålla uppgifter om medlemmarna till av organisationen utsedd auktoriserad eller godkänd revisor för sådant intygande och sådan rapportering som Ungdomsstyrelsen bestämmer.
Bedömning
Den behandling av dessa personuppgifter som revisorn behöver utföra för sin granskning och kontroll bör kunna ske inom ramen för bestämmelserna i personuppgiftslagen.
Det torde vara uppenbart att den granskning och kontroll som revisorn ska utföra för att kunna avge den av Ungdomsstyrelsen föreskrivna rapporten inte förutsätter en sådan strukturerad behandling av personuppgifter som gör att undantaget i 5 a § personuppgiftslagen för behandling av personuppgifter i ostrukturerat material inte är tillämpligt. Det är alltså möjligt för revisorn att utföra sitt uppdrag på ett sådant sätt att bl.a. förbudet mot behandling av känsliga personuppgifter i 13 § personuppgiftslagen inte är tillämpligt. Det är givetvis också möjligt för revisorn att utföra sitt uppdrag så att den behandling av personuppgifter i ostrukturerat material som kan förekomma inte – i strid med 5 a § personuppgiftslagen – innebär en kränkning av de registrerades personliga integritet. Det som revisorn behöver göra kan alltså ske inom ramen för bestämmelserna i personuppgiftslagen.
Den bidragssökande centrala organisationen behöver dock i enlighet med Ungdomsstyrelsens föreskrifter ge revisorn tillgång till medlemsförteckningen, som kan innehålla känsliga personuppgifter. Om medlemmarna i lokalavdelningarna även är medlemmar i den bidragssökande organisationen kan den nationella organisationen föra medlemsförteckningen med stöd av 17 § personuppgiftslagen. Då uppkommer frågan om restriktionen, i bestämmelsen om att känsliga personuppgifter får lämnas ut till tredje man bara om den registrerade uttryckligen har samtyckt till det, är tilllämplig när organisationen ska ge revisorn tillgång till medlemsförteckningen.18Motsvarande fråga kan uppkomma om en lokalavdelning skulle behöva ge revisorn tillgång till lokalavdelningens medlemsregister.
När det gäller den bidragssökande organisationens agerande i förhållande till den revisor organisationen anlitat och utsett, är svaret på frågan beroende på om revisorn ska betraktas som tredje man i förhållande till den personuppgiftsansvariga organisationen. Med tredje man avses som nämnts någon annan än den registrerade, den personuppgiftsansvarige, personuppgiftsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har befogenhet att behandla personuppgifter (3 §). Den frågan är inte alldeles enkel att besvara.
18 För den bidragssökande organisationen medlemsregistret med stöd av 16 § första stycket c personuppgiftslagen – för att det är nödvändigt för att ett rättsligt anspråk ska kunna göras gällande och fastställas – gäller inte den angivna restriktionen mot utlämnande av känsliga personuppgifter till tredje man.
Datainspektionen har i ett s.k. samrådsyttrande ansett att landstingsrevisionen inte är att anse som tredje man i förhållande till landstingsstyrelsen utan att landstingsstyrelsen bör anses som personuppgiftsansvarig även för revisorernas behandling av personuppgifter. Sedan landstingsrevisorerna ifrågasatt den slutsatsen med stöd av ett par utlåtanden och frågat om samrådsyttrandet fortfarande gällde, anförde Datainspektionen bl.a. följande:
Det som är viktigt ur ett integritetsperspektiv – och det som därmed även ligger i Datainspektionens intresse att bevaka – är att det finns någon som är personuppgiftsansvarig och att det klart framgår utåt vem som bär ansvaret. Om [aktuellt] landsting kan enas om att landstingsrevisorerna ska bära detta ansvar ifråga om den personuppgiftsbehandling revisorerna utför, har Datainspektionen ingen erinran.
Datainspektionens inställning synes således närmast vara att det som revisorn och den granskade kan enas om godtas enligt personuppgiftslagen så länge det står klart för utomstående vem som är personuppgiftsansvarig. Med det synsättet skulle det således kunna gå att ordna revisorns granskning och kontroll avseende medlemsförteckningen så att revisorn inte blir att anse som tredje man (och personuppgiftsansvarig för sin behandling av personuppgifterna). Därmed skulle restriktionen i 17 § personuppgiftslagen om utlämnande av känsliga personuppgifter till tredje man inte vara tillämplig.
I avsnitt 8.3.1 prövades om det kan anses rimligt att anse att organisationens anspråk för att få statsbidrag kan anses som ett sådant rättsligt anspråk som avses i 16 § personuppgiftslagen. Hade den tolkningen kunnat tillämpas på utlämnandet av känsliga personuppgifter från medlemsförteckningen till den anlitade revisorn skulle inte den angivna frågan om revisorns egenskap av tredje man behöva besvaras.
En sådan tolkning kan emellertid inte anses som helt säker. Av motsvarande skäl som angetts i det nyss nämnda avsnittet bör därför uttryckliga bestämmelser införas i bidragsförordningen. Dessa bestämmelser bör, trots 13 § personuppgiftslagen (1998:204), tillåta en ungdomsorganisation som ansöker om bidrag enligt förordningen om statsbidrag till ungdomsorganisationer som grundas på medlemsantalet, att tillhandahålla uppgifterna om medlemmarna till av organisationen utsedd auktoriserad eller godkänd revisor, för sådant bestyrkande och sådan rapportering som Ungdomsstyrelsen bestämmer. Med hänsyn till att det föreslås en bestämmelse om att en lokalavdelning får lämna uppgifter om medlemmar till den bidragssökande organisationen (se avsnitt 8.3.1), torde det inte behövas någon bestämmelse om lokalavdelningens utlämnande av uppgifter om medlemmar direkt till den av den bidragssökande organisationen utsedde revisorn.
8.3.3 Förordningsstöd för Ungdomsstyrelsens granskning och kontroll
Förslag
En ungdomsorganisation som ansöker om bidrag ska lämna Ungdomsstyrelsen de uppgifter och handlingar som Ungdomsstyrelsen begär för prövning av ansökan.
Bedömning
Den behandling av personuppgifter som skulle behöva ske för att Ungdomsstyrelsen själv ska kunna utföra granskning och kontroll avseende uppgifter om medlemmarna bör kunna ske inom ramen för bestämmelserna i personuppgiftslagen.
I kapitel 7 föreslår jag att Ungdomsstyrelsen ska ha möjlighet att undantagsvis genomföra vissa kontroller av medlemsuppgifter på plats hos den bidragssökande organisationen. Föreskrifter kan därför behövas som innebär att Ungdomsstyrelsen i viss utsträckning ska ta del av och kontrollera personuppgifter om medlemmarna.
Vad först gäller frågan om den bidragsmottagande organisationens utlämnande av känsliga personuppgifter till Ungdomsstyrelsen skulle vara förenligt med personuppgiftslagen, kan det konstateras att den nuvarande bidragsförordningen innehåller en bestämmelse om s.k. uppgiftsskyldighet för de organisationer som tagit emot statsbidrag. En sådan organisation är nämligen skyldig att lämna de redovisningshandlingar, verksamhetsberättelser och andra uppgifter som Ungdomsstyrelsen bestämmer (13 § bidragsförordningen). Bestämmelserna i personuppgiftslagen är subsidiära i förhållande till bestämmelser i andra lagar och förordningar (2 § personuppgiftslagen). Det innebär att om det i en annan lag eller i en förordning finns bestämmelser som avviker från personuppgiftslagen, ska de bestämmelserna gälla. I den nya förordningen bör införas bestämmelser om att även en sökande organisation har denna uppgiftsskyldighet till Ungdomsstyrelsen. Organisationerna får – och ska – med stöd av en sådan komplettering alltså lämna ut de uppgifter Ungdomsstyrelsen bestämmer vid såväl ansökan som redovisning av bidraget. Detta gäller då oberoende av vad som föreskrivs i personuppgiftslagen.
Vad sedan gäller Ungdomsstyrelsens behandling av de personuppgifter som myndigheten fått tillgång till, är mitt förslag att myndighetens granskning och kontroll bara ska ske i undantagsfall och avse en kontroll på plats hos den bidragssökande organisationen. Det bör alltså inte bli fråga om att Ungdomsstyrelsen ska inhämta stora mängder personuppgifter. Denna granskning och kontroll bör kunna utföras så att Ungdomsstyrelsen inte behandlar personuppgifter automatiserat i dator på ett sådant sätt att personuppgiftslagen blir tillämplig. Det skulle t.ex. kunna handla om att Ungdomsstyrelsen granskar en lista på papper med uppgifter om uppgivna medlemmar och räknar dessa samt försöker kontakta några av dem. Ungdomsstyrelsen bör kunna utföra en tillräcklig granskning och kontroll utan att behöva använda sådan strukturerad behandling av personuppgifter i dator som gör att undantaget i 5 a § personuppgiftslagen för behandling av personuppgifter i ostrukturerat material inte är tillämpligt. Det kan t.ex. handla om att Ungdomsstyrelsen korresponderar med e-post med uppgivna medlemmar eller i minnesanteckningar noterar vad dessa uppger. Ett annat exempel skulle kunna vara att Ungdomsstyrelsen i en rapport noterar att vissa namngivna personer inte är medlemmar i en viss organisation på det sätt som krävs enligt bidragsreglerna.
Det är alltså möjligt för Ungdomsstyrelsen att utföra sin kontroll och granskning på ett sådant sätt att bl.a. förbudet mot behandling av känsliga personuppgifter i 13 § personuppgiftslagen inte är tillämpligt.
Det är givetvis också möjligt för Ungdomsstyrelsen att utföra kontrollen och granskningen så att den automatiserade behandling av personuppgifter i ostrukturerat material som kan förekomma inte – i strid med 5 a § personuppgiftslagen – innebär en kränkning av de registrerades personliga integritet. I förarbetena till den angivna bestämmelsen anges bl.a.:
Som utgångspunkt för bedömningen av om en behandling av personuppgifter innebär en kränkning av den registrerades personliga integritet kan tas bestämmelserna om grundläggande krav i 9 § och om när behandling av personuppgifter är tillåten i 10 § personuppgiftslagen. Har dessa bestämmelser följts, trots att de i och för sig inte är tillämpliga på behandlingen, kan behandlingen inte betraktas som en kränkning. Det kan i vissa fall gälla även om behandlingen har omfattat känsliga personuppgifter. Över huvud taget bör graden av känslighet hos de personuppgifter som behandlas vara bara en faktor bland flera som bör beaktas vid en samlad bedömning.
Ungdomsstyrelsens kontroll och granskning kan alltså, efter en komplettering av förordningen i enlighet med vad jag föreslagit, ske inom ramen för bestämmelserna i personuppgiftslagen.