Registrator Göran Rydeberg

Transkript

1 Registrator 2017 Göran Rydeberg

2 Göran Rydeberg Disputerad historiker och arkivarie Avdelningschef vid Stockholms universitet Lång erfarenhet från offentlig arkivverksamhet Forskare och konsult

3 (OSL) Huvudregeln att sekretess är undantag (TF 2:2) därför begreppet offentlighets- och sekretesslagen. Lagen är teknikneutral! Offentlighets- och sekretesslagen olika former av sekretess

4 Offentlighets- och sekretesslag Omfattning En sekretessbestämmelses tillämplighet begränsas i regel av 3 rekvisit föremål räckvidd styrka. Offentlighets- och sekretesslagen olika former av sekretess

5 Allmänna handlingar Handling är allmän, om den förvaras hos myndighet och är inkommen till eller upprättad hos myndighet. Innehållet får inte förvanskas och möjligheter till spårbarhet ska finnas Regler och rutiner för registrering och utlämnande

6 Vad inte allmän handling? (TF 2 kap) Allmän handling är inte information som förvaras endast för att kunna återskapa information som kan förloras i en myndighets elektroniska system (säkerhetskopia, backup) Depositioner är inte allmänna handlingar E-postmappen men däremot inte enskilda e-postmeddelanden- är allmänna handlingar Loggar. Får konsekvenser för återskapande av information Regler och rutiner för registrering och utlämnande

7 Registrering av allmänna handlingar 1 Registreras så snart som möjligt Öppna handlingar behöver inte diarieföras Av ringa betydelse behöver varken registreras eller hållas ordnad Upprättande myndighet har huvudansvar Regler och rutiner för registrering och utlämnande

8 Registrering av allmänna handlingar 2 Sekretessmarkering görs på handlingen eller i det datasystem där den handlingen hanteras och ange 1. tillämplig sekretessbestämmelse, 2. datum då anteckningen gjordes, 3. myndighet som gjort anteckningen. Glöm inte tjänsteanteckningar på handlingar, i diarier eller på annat lämpligt ställe regler och rutiner för registrering och utlämnande

9 Hemligstämpling Sekretessmarkering (hemligstämpling) kan göras på handling eller i diariet måste ange lagrum (i OSL) för sekretess anger att handling vid angiven tid bedömdes vara hemlig och gällde vid just det tillfället Hemligstämpling

10 Utlämnande av allmänna handlingar 1 Snarast Gratis Kopia mot avgift Ska kunna göras utan svårigheter (Ännu) bestämmer myndighet hur Regler och rutiner för registrering och utlämnande

11 Utlämnande av allmänna handlingar 2 - Grundläggande bestämmelser i TF 2 - Prövas normalt av myndighet som förvarar handlingen och av handläggande tjänsteman - Uppgift lämnas ut om det inte finns sekretess eller detta stör arbetet (12 ) - Myndighet ska underlätta för den sökande att ta del av information Regler och rutiner för registrering och utlämnande

12 Bevarande och gallring av allmänna handlingar Bestämmelser främst i TF 2 och Arkivlagen (1990:782) Beredskap för både analogt och digitalt bevarande Horizon 2020 om tillgängliggörande av myndighetsinformation Myndighet ska tillse och avväga mellan integritetsoch öppenhetskrav (jfr dataskyddsförordningen) Skillnad mellan myndighetskrav på bevarande och krav på tillgängliggörande. Regler och rutiner för registrering och utlämnande

13 Skaderekvisit Skaderekvisit är en formulering i sekretessreglerna. Rekvisitet anger hur sekretess ska bedömas. Absolut-, kvalificerad sträng-, sträng- samt ordinär sekretess. Rakt skaderekvisit innebär att uppgifterna normalt är offentliga. Omvänt skaderekvisit betyder att uppgifterna normalt är sekretessbelagda. Om det inte anges något skaderekvisit är uppgifterna hemliga. Skaderekvisit

14 Sekretessbrytande bestämmelser Samtycke Berörd/a lider inte men Nödvändigt för att fullgöra viss verksamhet (jfr dataskyddsförordningen) Uppgiftsskyldighet - anmälningsplikt Misstanke om brott och förhindran av (allvarligt) brott Nödsituation Generalklausul: användning av sekretessbelagd information bedöms som nödvändig enligt 10 kap. 2 Sekretess

15 Sekretess i förhållande till enskild 1 Sekretess till skydd för en enskild gäller normalt inte i förhållande till den enskilde själv Undantag och överföring av sekretess

16 Upphovsrätt och sekretess Sekretess vid begäran om att ta del av upphovsrättsskyddat material (OSL 31 kap) Begäran om utlämnande av allmänna handlingar prövas enligt TF och OSL. Upphovsrätten generellt inget hinder för utlämnande. OBS! rätten till kopior av handlingen omfattar inte elektroniska handlingar. Därför kan upphovsrättsliga hinder uppstå när en handling begärs ut i elektronisk form. Myndigheten har t ex inte absolut rätt att framställa en elektronisk kopia av ett upphovsrättsligt skyddat verk, när det begärs utlämnat däremot är det normalt tillåtet att framställa en kopia på papper, i enlighet med TF 2:13 Undantag och överföring av sekretess

17 Överklagande 1. Att inte lämna ut en handling 2. Att lämna ut en handling med förbehåll. Beslut av riksdagen, regeringen, HD och Högsta förvaltningsdomstolen får inte överklagas. Överklagande

18 Personuppgiftslagen (PuL) Bygger på OSL 21:7 (1998:204) 1 Informationssäkerhet (MSBFS 2015:3, SIS handbok 550 utgåva 3): Konfidentialitet syftar på att endast behöriga personer får tillgång till information. Riktighet avser att informationen inte obehörigt förstörs eller manipuleras. Med tillgänglighet avses att det ska finnas tillgång till informationen när den behövs. PuL m fl lagar och författningar

19 PuL 2 Säkerhetsskydd och information Personuppgifter ska samlas in bara för särskilda berättigade ändamål, vara nödvändigt med hänsyn till ändamålen med behandlingen, behandlas bara om nödvändiga och den registrerade har lämnat sitt samtycke PuL m fl lagar och författningar

20 PuL 3 (forts) Säkerhetsskydd och information Personuppgifter ska Endast inne hålla sådant som döljer information om a) ras eller etniskt ursprung, b) politiska åsikter, c) religiös eller filosofisk övertygelse d) medlemskap i fackförening Känsliga personuppgifter för forskningsändamål ska godkännas enligt lagen (2003:460) om etikprövning av forskning om människor Varje myndighet ska ha ett personuppgiftsombud som bl a är skyldig att till var och en som ansöker om information om egna personuppgifter en gång per år gratis lämna besked om sökande behandlas vid myndigheten. PuL m fl lagar och författningar

21 PuL 4 Strukturerade och ostrukturerade uppgifter - Databas regelverket gäller fullt ut - Löpande text förenklat förfarande (jfr dataskyddsförordningen ) Gallring: Avidentifiering eller förstöring? Avgör i förväg när och i vilket sammanhang det ska ske Rätt till registerutdrag (23-27 ) PuL m fl lagar och författningar

22 PuL 5 PuL dataskyddsförordningen och e-arkivet - Lagras information i moln måste personuppgiftsbiträdesavtal tecknas med leverantören (motsv)*. - Gallringskraven detsamma i e-arkivet som i t ex verksamhetsstöden - Kolla ordentligt med leverantören om informationssäkerhet och förvaring innan en lösning kommer på plats Sådant avtal generellt användbart endast när myndigheten upphandlar en molntjänstleverantör vars verksamhetsupplägg motsvarar eller påminner om traditionell outsourcing, dvs, när en myndighet som regel anlitar en leverantör som är etablerad i Sverige. Det är dessutom olämpligt att lämna ut sekretess-reglerade uppgifter till molntjänstleverantör som anlitar fler än någon enstaka underleverantör eller som regelbundet anlitar nya underleverantörer. (Källa: Pensionsmyndigheten, Molntjänster i staten. Bilaga 1, s ). Det går knappast att anta utan vidare att ett sådant betydande men skulle uppkomma om man lägger ut denna typ av uppgifter hos en molntjänstleverantör. Hur går det då om man lägger ut sekretessbelagda uppgifter hos en molntjänstleverantör? Av förarbetena till OSL framgår att den skada som kan uppstå ofta kan undanröjas genom att mottagare av uppgifterna omfattas av sekretessbestämmelser i avtal. Och om dessutom det mottagande företagets (molntjänstleverantörens) anställda själva omfattas av sekretesskyldigheter så stärks ju den enskildes skydd än mer. Safe harbor. Den 6 oktober 2015 ogiltigförklarade EU-domstolen kommissionens beslut att Safe Harbor-principerna säkerställer ett adekvat skydd för överförda personuppgifter. Det innebar att överföringar av personuppgifter till USA som skedde med stöd av EU-kommissionens beslut om Safe Harbor var olagliga. Privacy Shield är en ny överenskommelse om skydd för personuppgifter mellan EU och USA och innefattar dels ett antal särskilda principer om hur personuppgifter ska hanteras, dels olika slags översynsmekanismer för att se till att principerna följs. Företag i USA som vill ansluta sig till Privacy Shield ska anmäla till det amerikanska handelsministeriet att de följer principerna och handelsministeriet ska upprätta och tillhandahålla en lista över dessa företag. Privacy Shield har börjat gälla och företag i USA kan sedan den 1 augusti anmäla till det amerikanska handelsministeriet att de följer reglerna i Privacy Shield-överenskommelsen. När ett företag har tagits upp på handelsministeriets Privacy Shield-lista ska företaget anses ha en adekvat skyddsnivå och det är tillåtet att föra över personuppgifter dit från avsändare i EU-länderna. PuL m fl lagar och författningar

23 Dataskyddsförordningen 1 Vad innebär Dataskyddsförordningen för svensk del? Dataskyddsdirektivet ersätts 2018 av en allmän dataskyddsförordning med tvingande bestämmelser. Förordningen kommer att ersätta PuL. Krav förändras vid hantering av register berör såväl myndigheter som leverantörer Dataskyddsdirektivet har i svensk rätt genomförts dels genom PuL, (avskaffas nu) dels genom ett stort antal författningar som innehåller särregleringar om behandling av personuppgifter för olika myndigheter och sektorer, s.k. registerförfattningar. PuL m fl lagar och författningar

24 Dataskyddsförordningen 2 Behandling av personuppgifter får ske om syftet bara kan uppnås genom behandling av uppgifter som medger identifiering av den registrerade. Uppgifter som gör det möjligt att hänföra information till en identifierad eller identifierbar person (kodnycklar) hålls åtskilda från övrig information. Lämpliga skyddsåtgärder vidtas för att skydda den registrerades fri- och rättigheter (t.ex. pseudonymisering). Uppgifterna får inte behandlas för andra ändamål, särskilt inte som grund för beslut rörande den registrerade. Krav på ordentlig dokumentation av medgivanden. PuL m fl lagar och författningar

25 Dataskyddsförordningen 3 Rätten för den enskilde att få veta Få reda på vem som tar reda på saker om dig och påverkar dig Incidentrapportering få reda på när något går fel Dina uppgifter ska användas på det sätt du vet om och har godkänt Rätten för den enskilde att få samtycka Godkänna andras relationer till dig Makt över vilka nya relationer du formar Bestämma när du bidrar och hur Dataminimering Rätt information på rätt plats vid rätt tid Datainsamling ska minimeras för bättre datasäkerhet Individcentrerat individens intressen ska om möjligt alltid stå i centrum Effektiva sanktioner mycket stora viten ska kunna dömas ut (20 milj euro, eller 4% av årlig verksamhetsomsättning PuL m fl lagar och författningar

26 Dataskyddsförordningen 4 Några betydelsefulla konsekvenser för hantering av information vid myndigheter Varje personuppgift i organisationens IT-system ska kunna motiveras och redovisas. Företaget ska veta och dokumentera vilka personuppgifter som finns och var de finns i IT-systemen. Man ska kunna redovisa varifrån varje personuppgift kommer, vad den ska användas till och att den är korrekt och aktuell. Den som personuppgiften gäller har rätt till insyn, och till att begära rättelser och ändringar. I de flesta fall också rätt att få personuppgifterna raderade. Det görs inte skillnad mellan strukturerade och ostrukturerade personuppgifter. Personuppgifter i, till exempel, e-post, pdf:er och video, faller också under den nya förordningen. Kraven på datasäkerhet är hårda. PuL m fl lagar och författningar

27 Dataskyddsförordningen 4 Några betydelsefulla konsekvenser för hantering av information vid myndigheter Varje personuppgift i organisationens IT-system ska kunna motiveras och redovisas. Företaget ska veta och dokumentera vilka personuppgifter som finns och var de finns i IT-systemen. Man ska kunna redovisa varifrån varje personuppgift kommer, vad den ska användas till och att den är korrekt och aktuell. Den som personuppgiften gäller har rätt till insyn, och till att begära rättelser och ändringar. I de flesta fall också rätt att få personuppgifterna raderade. Det görs inte skillnad mellan strukturerade och ostrukturerade personuppgifter. Personuppgifter i, till exempel, e-post, pdf:er och video, faller också under den nya förordningen. Kraven på datasäkerhet är hårda. PuL m fl lagar och författningar

28 Dataskyddsförordningen 5 Myndigheter måste Ha rutiner för insyn, ändringar och radering som kan tillämpas snabbt från dag ett. Ha anpassat eller byggt om IT-systemet så att det klarar de nya kraven att förete information. Vara beredda på, och ha rutiner för, att uppvisa dokumentation för att företaget uppfyller bestämmelserna. Vara beredda på, och ha rutiner för, att anmäla förlust, läckage och/eller stöld av personuppgifter inom 72 timmar. Vara beredda på, och ha rutiner för, att hantera kontroller och insyn från olika myndigheter. PuL m fl lagar och författningar

29 Dataskyddsförordningen 6 Svenska utredningar Kommittédirektiv 2016:15. Översyn beslutad av regeringen i feb 2016 som gäller att fram till senast Undersöka vilka kompletterande nationella föreskrifter, exempelvis processuella bestämmelser, som förordningen kräver, Analysera vilka bestämmelser om administrativa sanktionsavgifter och andra sanktioner som Sverige behöver eller bör införa, Överväga vilka kompletterande bestämmelser om t.ex. behandling av känsliga personuppgifter och personnummer som bör införas i den svenska generella regleringen, Undersöka om det finns behov av generella bestämmelser för personuppgiftsbehandling utanför EU-rättens tillämpningsområde, Lämna sådana författningsförslag som är behövliga och lämpliga. PuL m fl lagar och författningar

30 Dataskyddsförordningen 7 Svenska utredningar Regeringen har gett utredare i uppdrag att föreslå en kompletterande reglering av personuppgiftsbehandling inom forskningsområdet. (Cecilia Magnusson Sjöberg, slutredovisning dec 2017) Utredaren ska bland annat analysera personuppgiftsbehandling för forskningsändamål utöver den övergripande reglering som Dataskyddsutredningen kommer att föreslå. Analysera vilka bestämmelser om administrativa sanktionsavgifter och andra sanktioner som Sverige behöver eller bör införa. Utredaren ska analysera Registerforskningsutredningens förslag om en ny lag om forskningsdatabaser och föreslå regleringar av forskningsdatabaser som ska kunna användas i framtida forskningsprojekt. PuL m fl lagar och författningar