Detta är ett mycket tråkigt men viktigt inlägg som består av mitt remissvar till Riksarkivet angående möjligheten att bevara personuppgifter för arkivändamål i företag och föreningar. Tråkigt men viktigt.


En första reflektion gäller att sändlistan för remissen endast utgått till arkivinstitutioner och motsvarande men inte till enskilda arkivbildare (möjligen bortsett från SKR). Detta skiljer sig något från förra remissen då åtminstone IF Metall gavs möjlighet att lämna synpunkter på förslaget.
Detta urval illustrerar på ett tydligt sätt Riksarkivets inriktning där tyngdpunkten ligger på arkivinstitutionerna och inte på arkivbildarna/personuppgiftsansvariga.

Jag menar att den betydelseförskjutning som Riksarkivet gör från dataskyddslagens ”personuppgiftsansvariga” till att detta endast avser personuppgiftsansvariga arkivinstitutioner är fatal då det gäller möjligheten att bevara information från enskilda verksamheter för framtiden. Från förslaget till föreskrift:

4 § Personuppgiftsansvariga som bedriver en arkivverksamhet av allmänt intresse får behandla personuppgifter inom ramen för denna arkivverksamhet i enlighet med artikel 6.1 e i EU:s dataskyddsförordning.

Här står det tydligt att det endast är personuppgiftsansvariga som bedriver en arkivverksamhet som får behandla personuppgifter där man faktiskt tappar en del av vad som står i det allmänna rådet i 1§. Jag kan inte se att ett företag eller en förening skulle anse sig ”bedriva en arkivverksamhet”. Detta menar jag inte rimmar med dataskyddslagen där det står:

3 §   Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla personuppgifter för arkivändamål av allmänt intresse.

Den myndighet som regeringen bestämmer får i enskilda fall besluta att sådana personuppgiftsansvariga får behandla personuppgifter för arkivändamål av allmänt intresse. Ett beslut får förenas med villkor.

Såvitt jag kan förstå kan detta inte tolkas som ett absolut krav på att en arkivinstitution ska vara involverad för att en personuppgiftsansvarig som inte omfattas föreskrifter för arkiv ska kunna bevara information av allmänt intresse. (Andra stycket i 3 § är i och för sig något förvirrande).

Om föreskriften skulle beslutas i nuvarande skick skulle den endast ge skydd för information som redan befinner sig i en arkivinstitution samt möjligen för information där det pågår en diskussion med en arkivinstitution. Min främsta invändning mot detta är naturligtvis att möjligheten till källbaserad forskning rörande samhället utanför myndigheterna drastiskt skulle försämras.

En annan invändning är att detta förfarande avviker starkt från hur personuppgiftsansvariga övrigt ska bestämma ändamålet för personuppgiftsbehandlingar. Generellt kan personuppgiftsansvariga definiera ändamålet utifrån dataskyddsförordningen i sitt register över behandlingar. När detta är gjort kan vederbörliga säkerhetsåtgärder vidtas. Jag menar att Riksarkivets föreskrift bör lägga sig i linje med detta och tillåta enskilda personuppgiftsansvariga att fatta beslut om vilken information som kan ha allmänt intresse men att beslutet ska förenas med villkor för att säkerställa att bevarandet sker på ett bra sätt. Då skulle bevarandebeslutet kunna ske vid källan och som en del i det etablerade dataskyddsarbetet. Självklart finns det inget som hindrar att arkivinstitutioner konsulteras eller att generella råd tas fram som stöd för personuppgiftsansvariga i dessa frågor.

Ytterligare ett skäl att förtydliga att det är det är de personuppgiftsansvariga som har rätt att fatta beslutet samt ta ansvar för det är att arkivinstitutionerna knappast har möjlighet att ta emot allt det arkivmaterial som bör bevaras. Detta gäller framför all den digitala information som finns i företag och föreningar där det bör noteras att dataskyddet främst berör digital information. Det skulle innebära att företag och föreningar som verkligen vill ta ett samhällsansvar och bevara information för framtiden skulle hamna i en rättslig limbo där de varken kan bevara informationen i sin egen verksamhet eller föra över den till en institution. Inför hotet om sanktionsavgifter väljer då sannolikt de flesta organisationer att radera informationen. Därför bör det i föreskriften framgå att en personuppgiftsansvarig har rätt att ha mellanarkiv i egen regi i väntan på slutarkivering. Även här kan naturligtvis villkor sättas för hur mellanarkivet ska utformas.

Sammanfattningsvis bör alltså föreskriften ändras på följande punkter:

1.      Det ska framgå att det är personuppgiftsansvariga/arkivbildare som fattar beslut om ändamål för personuppgiftsbehandlingar, inklusive bevarande av allmänt intresse

2.      Personuppgiftsansvariga har rätt att skapa mellanarkiv i sin egen verksamhet för material som ska till slutarkiv då det blir möjligt.