Juridisk vägledning för verksamhetsutveckling inom e-förvaltningen

Storlek: px
Starta visningen från sidan:

Download "Juridisk vägledning för verksamhetsutveckling inom e-förvaltningen"

Transkript

1 Juridisk vägledning för verksamhetsutveckling inom e-förvaltningen Vägledning från E-delegationen Version 1.0,

2

3 Innehåll Inledning Vägledning Definitioner De rättsliga modellösningar som behövs Juridiska förutsättningar Utgångspunkterna är delvis självklara Persondataskyddande teknik Att särskilt beakta Handlingsoffentlighet Sekretess och tystnadsplikt Sekretessbrytande bestämmelser Överföring av sekretess Bevarande och gallring Förvaltningsrättsliga frågor om service och inkommande med mera Persondataskydd Vissa anknytande rättsfrågor Föreskrifter, avtal eller villkor i beslut för enskilda fall Immaterialrättsliga frågor Upphandlings- och konkurrensrättsliga frågor IT-arkitekturer Ärendetjänster Funktioner Ärendetjänsternas utformning Funktionerna för att förifylla eller hämta uppgifter eller handlingar Ärendetjänster för egen visning It-arkitektur för serviceskede och eget utrymme It-arkitektur för att skicka och för anvisat mottagningsställe Presentationstjänster Myndigheten hämtar in uppgifter för visning Sätt för myndighet att hämta in underlag En presentationstjänst kan tillhandahållas med eller utan konto It-arkitektur för serviceskede och eget utrymme för visning

4 3.3. Bastjänster Tjänsternas utformning It-arkitektur för bastjänster mellan myndigheter och bastjänster i ärende It-arkitektur för serviceskede och eget utrymme kombinationer E-brevlådor Tjänsternas utformning Sammanställning av uppgifter i e-brevlåda för egen visning It-arkitektur för serviceskede och eget utrymme Ärende- och bastjänster för informationsutbyte Utformning vid återanvändning Utformning vid planerad egen förenkling Inte vidareutnyttjande It-arkitekturer Serviceskede och eget utrymme Utkontrakterade tjänster Ärendetjänster Presentationstjänster Rättsliga modellösningar för e-förvaltningen Samordningen av teknik och juridik Modellösningarna Ärendetjänst Presentationstjänst Bastjänst E-brevlådor

5 Inledning Verksamhetsutveckling, i form av e-tjänster och interaktion mellan myndigheter, kan tekniskt utformas på många olika sätt men för att optimera åtgång av tid och resurser måste relevanta rättsliga frågeställningar beaktas redan från början. Om så inte sker finns risk för att lösningar utvecklas som strider mot gällande rättsregler och därför inte kan tas i bruk, utan måste omarbetas och på nytt upphandlas av leverantörer. Vägledningen ska läsas av de som från början vill åstadkomma it-baserade lösningar som följer rättsreglerna. För att detta ska uppnås måste ett samarbete skapas mellan verksamhetsutvecklare, it-arkitekter och jurister. Dessa är därför målgruppen för denna vägledning. Syftet med vägledningen är att beskriva och förklara för området centrala juridiska frågor, presentera vissa typer av tekniska lösningar (s.k. it-arkitekturer) för att slutligen kombinera juridik och teknik på ett rättsenligt och lämpligt sätt. I det enskilda fallet är det emellertid fråga om en tolkning av gällande rätt som varje myndighet har att göra själv. Vägledningen öppnar för ett samförförstånd mellan olika yrkeskategorier, utan vilket regeringens mål med e-förvaltningsen blir svårt att uppnå. Det ligger dock i sakens natur att vissa tekniska delar kan framstå som främmande för jurister samtidigt som ickejurister inte alltid har tillräckliga grundäggande kunskaper för att till fullo tillgodogöra sig de juridiska delarna. En annan ambitionsnivå hade krävt ett avsevärt längre dokument. Vägledningen innehåller några exempel på hur privata aktörer kan agera självständigt, inte som underleverantör. Någon juridisk bedömning eller redovisning av ansvaret inom ramen för sådana lösningar ges inte i denna vägledning. Övergripande gäller dock att den som tar fram en it-baserad lösning måste för varje enskilt fall analysera den informationshantering som ska ske och hur bland annat ansvaret för den fördelar sig mellan aktörerna. Detta är den första versionen av vägledningen. Det kan finnas juridisk resonemang som behöver kompletteras och it-arkiteturer som bättre kan belysa samverkansbehoven. Det kan också finnas behov av att justera vissa begrepp. Sådana överväganden får göras inom ramen för en redan planerad översyn av vägledningen. 5

6 1 Vägledning 1.1. Definitioner I denna vägledning menas med bastjänst e-tjänst informationstjänst ärendetjänst presentationstjänst serviceskede eget utrymme Begrepp för tjänster en it-baserad tjänst via vilken olika organisationers informationssystem begär, lämnar och tar emot uppgifter (maskin till maskin), via ett applikationsgränssnitt (API), en it-baserad tjänst som har ett användargränssnitt 1, en e-tjänst där information görs tillgänglig för var och en, 2 en e-tjänst där en enskild i ett serviceskede och i ett eget utrymme, kan (1) utforma handlingar för att ge in dem, och (2) i vissa sådana tjänster få uppgifter eller handlingar förifyllda eller annars utlämnade av i) den som tillhandahåller utrymmet, eller ii) ett annat organ, med stöd av en bastjänst (egen hämtning), en e-tjänst där en enskild kan få uppgifter eller handlingar från flera organ visade, efter att uppgifterna eller handlingarna har kommit in till den som tillhandahåller tjänsten, utan att det som visas blir tillgängligt för annan, Begrepp för skyddade förlopp och egna utrymmen 3 förlopp där (1) service ges av myndighet enligt 4 förvaltningslagen, (2) ärendehandläggning inte äger rum hos myndigheten, (3) endast den enskilde ges insyn, och (4) handling inte har kommit in till myndigheten enligt 10 förvaltningslagen (FL), 4 skyddat förvar hos myndighet som den, enligt 2 kap. 10 första stycket tryckfrihetsförordningen (TF), tillhandahåller endast som led i teknisk bearbetning eller teknisk lagring för annans räkning, 5 1 Ett användargränssnitt används i interaktionen mellan maskin och människa. 2 Här avses vanliga allmänt tillgängliga webbsidor. 3 Fråga är om skydd genom e-legitimationer och liknande åtgärder för att hindra obehörig åtkomst. 4 Jfr definitionen av eget utrymme. Ett serviceskede kan alltså föreligga även om en handling har kommit in enligt 2 kap. 6 TF och undantaget enligt 2 kap. 10 första stycket TF inte kan tillämpas. 5 Detta uttryck förekommer inte i några svenska rättsregler men har använts Nordisk årsbok i Rättsinformatik för år 2003 i en artikel av Gustaf Johnssén, Rättssäkerheten och teknologin i omvandling (s ). 6

7 eget utrymme för en session konto e-brevlåda anvisat mottagningsställe verksamhetssystem eget utrymme som tillhandahålls endast kortvarigt (transient), eget utrymme som har registrerats för en viss fysisk eller juridisk person, så att denne permanent (persistent) kan bevara och i övrigt behandla uppgifter där, konto där elektronisk post kan levereras, Begrepp för skyddade utrymmen funktion för att motta handlingar och ankomstregistrera dem, it-miljö där en organisation och dess befattningshavare handlägger ärenden eller annars hanterar nyttoinformation för organisationens räkning, Övriga begrepp informationsägare nyttoinformation juridiska koncept rättsliga modellösningar informationsutbyte person eller organisatorisk enhet som har ansvaret för den information som skapas och hanteras inom den egna verksamheten, uppgifter som är till för enskilda eller befattningshavare till skillnad från drift- och säkerhetsrelaterad information som endast är till för tekniker, en juridisk tankekonstruktion, som tar sin utgångspunkt i gällande rätt, för att tillämpas på en viss elektronisk företeelse, t.ex. ett eget utrymme eller ett elektroniskt mottagningsställe, it-arkitekturer som integrerats med juridiska koncept så att myndigheternas it-baserade tjänster blir rättsenliga, när en myndighet utbyter en uppgift med en annan myndighet för förvaltningsgemensam nytta, genom hämtning eller avisering, direkt eller genom medverkan av den enskilde. 7

8 Figur 1, Använda begrepp 1.2. De rättsliga modellösningar som behövs Rättsliga modellösningar behövs för 1. ärendetjänster, dvs. e-tjänster där enskilda, vanligtvis i ett serviceskede och i ett eget utrymme, kan (1) utforma handlingar för att ge in dem, och (2) i vissa sådana tjänster få uppgifter eller handlingar förifyllda eller annars utlämnade av i) den som tillhandahåller utrymmet, eller ii) ett annat organ, med stöd av en bastjänst (egen hämtning), 2. presentationstjänster, dvs. e-tjänster där enskilda kan få uppgifter eller handlingar från flera organ visade, efter att uppgifterna eller handlingarna kommit in till den som tillhandahåller tjänsten, utan att det som visas blir tillgängligt för annan än den enskilde som använder tjänsten, 3. bastjänster, dvs. it-baserade tjänster via vilka olika organisationers informationssystem begär, lämnar och tar emot uppgifter (maskin till maskin), via ett applikationsgränssnitt (API), efter att systemen har identifierat varandra, 4. anvisat mottagningsställe och kvittens, dvs. funktioner för att ta emot handling och lämna bevis om att handlingen kommit in, 5. e-brevlåda, dvs. konto där post kan mottas och bevaras elektroniskt, och 6. utkontrakterad tjänst, dvs. en tjänst som en leverantör ställer till förfogande, endast som led i teknisk bearbetning och teknisk lagring, åt den som tillhandahåller tjänsten åt enskilda. 8

9 De rättsliga modellösningarna bör begränsas till funktioner som är centrala från juridiska utgångspunkter, rör flera myndigheter och kräver särskilda bedömningar för att göras förenliga med gällande rätt. 9

10 2. Juridiska förutsättningar 2.1. Utgångspunkterna är delvis självklara Vissa förutsättningar är självklara från juridisk synpunkt. Det gäller t.ex. att en myndighet inte får lagra fler uppgifter om enskilda än vad som krävs för att myndigheten ska kunna utföra sitt uppdrag. Vidare får en myndighet inte bereda sig tillgång till en enskilds eget utrymme eller dator eller använda sig av personuppgifter för ändamål som är oförenliga med dem för vilka uppgifterna samlades in, t.ex. för kartläggning eller övervakning av enskildas personliga förhållanden. 6, 7 Det skulle föra för långt att i denna vägledning ha ambitionen åstadkomma en heltäckande beskrivning av alla juridiska förutsättningar. I det följande begränsas beskrivningen till att redovisa de särskilda konsekvenser som verksamhetsutveckling genom e-förvaltning kan föra med sig från juridiska utgångspunkter, och hur rätt utformade it-arkitekturer och juridiska koncept kan undanröja eller i vart fall minska riskerna från bl.a. rättssäkerhets- och persondataskyddssynpunkt Persondataskyddande teknik It-baserade tjänster för e-förvaltning bör ges en sådan teknisk utformning att de ger skydd för den enskildes personliga integritet (s.k. inbyggd integritet eller privacy by design). 8 Sådana inbyggda mekanismer för skydd tar sikte på bl.a. att uppgifter om 1. ett stort antal individer, så långt möjligt, inte ska behandlas på ett enda ställe, och 2. behandlingar i it-baserade tjänster inte ska finnas kvar där om det inte krävs, utan bevaras endast hos den som har behov av uppgifterna. Sådana åtgärder för att bygga in ett integritetsskydd i it-arkitekturen kan bestå i att bl.a. a. ha en vid krets av leverantörer av tjänster så att antalet uppgifter om enskilda kan begränsas hos respektive leverantör, b. vidta åtgärder så att loggar och andra registreringar av personuppgifter inte innehåller onödiga uppgifter eller bevaras längre än nödvändigt, c. aktivt utforma de tekniska lösningarna så att elektroniska spår inte uppstår annat än när det är nödvändigt, d. överföra uppgifter som behövs i t.ex. bevissyfte till den som har behov av uppgifterna i stället för att bevara dem där de först uppkom, e. använda funktioner för formulärdata så att endast viss användning tillåts, och 6 Se 2 kap. 6 andra stycket regeringsformen (RF); jfr de begränsningar som får göras enligt 20 och 21 samma kapitel. 7 Just genom krav på att myndighet inte får bereda sig tillgång till en enskilds eget utrymme eller dator m.m. undviks risken för sådana betydande intrång i den personliga intregriteten, som avses i 2 kap. 6 andra stycket RF. 8 Jfr Datainspektionens vägledning, Inbyggd integritet, om hur IT-system bör utformas för att redan från början uppfylla kraven i personuppgiftslagen, 10

11 f. placera aktörernas funktioner och förvar så att behoven av bevis, för centrala frågor som avsändande, inkommande och ansvarsgränser i övrigt, inte i onödan inrymmer loggar, identitetsintyg, stämplar eller underskrifter eller leder till att svagare part får stå en risk när detta inte är sakligt motiverat Att särskilt beakta Utöver beskrivna utgångspunkter och arkitektoniska möjligheter att begränsa oönskade konsekvenser behöver vissa typfall uppmärksammas där it-baserade tjänster kan vara svåra att förena med gällande rätt. Dessa typfall rör bl.a. det stadium i den enskildes hantering av uppgifter där han eller hon inte har gett in någon handling i ett ärende utan ges tekniskt och administrativt stöd för att kunna upprätta och skriva under handlingar och ge in dem i ett serviceskede med stöd av ett eget utrymme. 9 Det är när uppgifter ska behandlas i ett sådant utrymme som konsekvenser från juridiska utgångspunkter framträder särskilt tydligt. Den enskilde har en befogad förväntan på att uppgifterna ska vara skyddade från både offentlighets- och sekretessynpunkt och från persondataskydds- och informationssäkerhetssynpunkt. Författningsregleringen har dock i huvudsak utformats när myndigheter inte tillhandahöll egna utrymmen eller annat stöd åt enskilda för att kunna upprätta, ge in och motta uppgifter och handlingar elektroniskt. De rättsliga konsekvenser som kan uppkomma i denna nya elektroniska miljö vid felaktiga val av it-arkitekturer eller juridiska koncept, beskrivs närmare i det följande. Här bör emellertid erinras om att en myndighets ansvar beträffande handlingsoffentlighet, sekretess samt bevarande och gallring naturligtvis gäller även när myndigheten använder sig av en underleverantör. Informationsägaren har ett ansvar för att säkerställa informationshanteringen inte bara från ett konfidentialitetsperspektiv, utan även med avseende på informationens riktighet, tillgänglighet, spårbarhet och äkthet. Vem som är informationsägare bör därför vara tydligt uttryckt och godtaget av alla parter i de olika faserna av informationshanteringen. Med detta följer också att informationsägaren tydligt ska informera enskilda vad de kan förvänta sig för skyddsnivå från dessa olika aspekter. Notera att den enskilde, i nu aktuellt sammanhang, inte blir informationsägare, med undantag för den information denne själv infogar i formulär och motsvarande Handlingsoffentlighet Regleringen Reglerna i 2 kap. TF om allmänna handlingars offentlighet och de bestämmelser i offentlighets- och sekretesslagen (2009:400; OSL) som skyddar sådana handlingar från insyn har delvis utformats utan anpassning till internet och it-baserade tjänster. För e-förvaltningen följer särskilda utmaningar av att en handling 10 9 Samtidigt pågår en snabb utveckling mot att enskilda elektroniskt ska kunna motta och besvara förelägganden och andra handlingar, under det skede där myndigheten handlägger ärendet, och att enskilda även i övrigt ska kunna använda säker elektroniskt post, bl.a. för att motta myndighetsbeslut. 10 Begreppet är så vidsträckt att det innefattar inte bara färdiga handlingar utan i princip alla sammanställningar av uppgifter som myndigheten kan göra tillgängliga med rutinbetonade åtgärder. 11

12 anses vara både förvarad och inkommen (och därmed allmän så att handlingen kan begäras ut av var och en om den inte innehåller sekretessbelagda uppgifter) redan när annan har gjort den tillgänglig för myndighet med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att handlingen kan läsas eller på annat sätt uppfattas. 11 Utformas it-arkitekturen så att en myndighet hos någon annan (myndighet eller t.ex. företag) kan komma åt uppgifter eller handlingar blir dessa normalt allmänna handlingar hos den myndighet som ges tillgång till materialet. Detta gäller även om den myndighet som kan komma åt handlingar aldrig har för avsikt att använda och inte heller behöver komma åt någon av handlingarna. Det kan till och med vara så att myndigheten inte ska ha tillgång till en handling men att sådan åtkomst råkat uppkomma. Även i ett sådant fall blir handlingen allmän och därtill offentlig hos den myndighet som ges åtkomst, om handlingen inte är sekretessbelagd. Till detta kommer att en rättslig begränsning av ändamålet så att en utlämnande myndighet enligt lag eller förordning inte får ta del av eller annars använda en tekniskt tillgänglig handling i många fall inte gäller när en handling begärs utlämnad med stöd av offentlighetsprincipen eftersom grundlag gäller framför den rättsliga begränsning som inte är förenlig med den. Det uppkommer därför ett överskott av allmänna handlingar. 12 Uppgifter blir normalt tekniskt tillgängliga för en myndighet som 1. tillhandahåller egna utrymmen åt enskilda som använder it-baserade tjänster (för en session eller som konto eller brevlåda), eller 2. ges tillgång till uppgifter hos någon annan, myndighet eller enskild, för att snabbt kunna ta fram uppgifterna när de behövs, t.ex. i en presentationstjänst. Utgångspunkten måste emellertid vara att den enskilde i dessa fall har en befogad förväntan på att uppgifterna inte ska vara tillgängliga för annan. Centrala undantag från offentlighetsinsyn Det finns två undantag från offentlighetsinsyn som är av praktisk betydelse i myndigheternas it-verksamhet. Som allmän handling anses inte - handling som förvaras hos en myndighet endast som led i teknisk bearbetning eller teknisk lagring för annans räkning (10 första stycket), och - brev, telegram eller annan sådan handling som har inlämnats till eller upprättats hos myndighet endast för befordran av meddelande (11 ). Undantaget för befordran av meddelanden har lagts till grund för utformningen av befordringsdelen av Mina meddelanden (se avsnitt nedan) och för den elektroniska förmedlingsfunktion som Tillväxtverket tillhandahåller enligt 7 förordningen (2009:1078) om tjänster på den inre marknaden (se paragrafens andra stycke). Tjänster och funktioner för e-förvaltning bygger i övrigt till betydande del på en tillämpning av undantaget för endast teknisk bearbetning eller teknisk lagring för annans räkning 11 För sammanställningar gäller visserligen en begränsning till vad som är rutinbetonat men detta rekvisit inrymmer betydande åtgärder. 12 Se vidare Informationshanteringsutredningens betänkande Överskottsinformation vid direktåtkomst (SOU 2012:90). 12

13 och att det i praktiken inte är någon annan än innehavaren som får insyn i den nyttoinformation som finns i den enskildes eget utrymme. Lagmotiven till undantagsbestämmelserna är emellertid skrivna med tanke på annat än it-baserade tjänster och det finns inte någon rättspraxis som avser t.ex. ärendetjänster. Den för hela e-förvaltningen avgörande frågan om vad som innefattas i endast teknisk bearbetning eller lagring respektive endast befordran av meddelande är därför delvis svår att bedöma. Om it-arkitekturen och de ändamål för vilka den används utformas felaktigt, och om uppgifterna inte är sekretessbelagda, kan konsekvensen bli att uppgifter och handlingar som enskilda ser som sina egna, utan att andra ska ha rätt att ta del av dem, blir allmänna och offentliga handlingar. Vid tillämpningen av rekvisitet endast som ett led i teknisk bearbetning eller teknisk lagring för annans räkning, enligt 2 kap. 10 TF, bör det särskilt beaktas att det är av avgörande betydelse att en myndighet som tillhandahåller sådan service inte samtidigt använder uppgifterna för sin egen verksamhet. 13 En myndighet som tillhandahåller en funktion som bygger på något av dessa undantag bör vidta särskilda åtgärder för att säkerställa att handlingarna inte finns tillgängliga vid myndigheten för annat ändamål än vad som anges i berörd undantagsbestämmelse; dvs. att de används endast för teknisk bearbetning eller teknisk lagring för annans räkning respektive brukas endast för befordran av meddelande. Utlämnande som inte leder till tillgänglighet enligt 2 kap. Tryckfrihetsförordningen Begreppen direktåtkomst och utlämnande på medium för automatiserad behandling förekommer inte i 2 kap. TF. Vid direktåtkomst uppkommer dock, så som dagens it-arkitekturer är utformade, ofta överskottsinformation i form av allmänna handlingar hos mottagande myndighet redan till följd av att handlingar blir tillgängliga. När informationssystem kommunicerar i realtid och befattningshavare får svar genast, även över organisationsgränser, har det i vissa fall blivit delvis oklart vilken prövning som görs, vem som gör prövningen, vilka beslut som fattas i olika led av hanteringen och vem som ansvarar för respektive led. Situationen har ytterligare komplicerats av att myndigheternas it-baserade tjänster ofta förutsätter tillgång till fler uppgifter om en person eller uppgifter om fler personer än vad myndigheten behöver. När en myndighet eller ett annat organ, istället för att på förhand ge direktåtkomst till handlingar, på begäran i varje enskilt fall beslutar om en handling ska lämnas ut, blir de handlingar som förvaras hos det utlämnande organet inte tekniskt tillgängliga på förhand för den begärande myndigheten. Istället för direktåtkomst blir det därmed fråga om s.k. utlämnande på medium för automatiserad behandling. Utformas it-arkitekturen rätt blir handlingar vid ett sådant utlämnande inte att anse som allmänna på förhand hos en begärande myndighet utan först efter att de aktivt har lämnats ut. 13 Se t.ex. HFD 2011 ref. 52, RÅ 1994 ref. 64 och Ds 2012:29 En gemensam inlämningsfunktion för skogsägare, s. 26 och 51 f. 13

14 En myndighet som överväger att införa en it-baserad tjänst där informationsutbyte ingår bör särskilt utforma funktionerna så att överskottsinformation inte uppkommer; se vidare E-delegationens rapport Direktåtkomst och utlämnande på medium för automatiserad behandling där det närmare beskrivs hur en sådan lösning kan utformas Sekretess och tystnadsplikt I offentlighets- och sekretesslagen (2009:400; OSL) finns bestämmelser om förbud mot att lämna ut handlingar och om tystnadsplikt för befattningshavare. Enligt dessa bestämmelser får sekretessbelagda uppgifter inte röjas, vare sig muntligen, genom utlämnande av allmän handling eller på något annat sätt. En för den enskilde självklar förutsättning vid användningen av ett eget utrymme är att det material som finns där varken lämnas ut eller röjs; jfr om ett utkast till en ännu inte färdigställd årsredovisning för ett börsbolag, som tas fram i Bolagsverkets ärendetjänst för årsredovisning, skulle lämnas ut som allmän och offentlig handling eller om en befattningshavare skulle röja detta materials innehåll innan det färdigställts och getts in. Material i ett eget utrymme lämnas inte ut som allmän handling om det förvaras av en myndighet endast som led i teknisk bearbetning eller teknisk lagring för annans räkning. Det kan emellertid också behövas ett skydd för material som blir tillgängligt för den som arbetar med utveckling och drift av egna utrymmen så att han eller hon inte får röja uppgifter som finns i ett sådant utrymme. I verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning gäller visserligen en bestämmelse om förbud mot att lämna ut handlingar och om tystnadsplikt för befattningshavare (40 kap. 5 OSL). Skyddet är emellertid begränsat till personuppgifter som avses i personuppgiftslagen samt till uppgift om en enskilds personliga eller ekonomiska förhållanden. Även om denna sekretessreglering i allt väsentligt kan antas komma att omfatta uppgifter i egna utrymmen, om fysiska personer, kan en myndighet som tillhandahåller sådana utrymmen t.ex. en e-brevlåda inte utesluta att andra slag av uppgifter som inte är sekretessreglerade förvaras där. Denna sekretessreglering omfattar t.ex. inte uppgifter om juridiska personer; jfr om elektronisk årsredovisning. 14 En myndighet som tillhandahåller eget utrymme åt enskilda bör införa sådana tydliga förbud för befattningshavare mot att ta del av eller annars använda innehållet i en enskilds eget utrymme att den som bryter mot förbudet gör sig skyldig till dataintrång Sekretessbrytande bestämmelser Sekretess gäller som huvudregel inte bara i förhållande till enskilda utan också mellan myndigheter samt inom en myndighet, om där finns olika verksamhetsgrenar som är att betrakta som självständiga i förhållande till varandra (8 kap. 1 och 2 OSL). I vissa fall måste dock myndigheter kunna utbyta sekretessbelagda uppgifter för att utföra sina uppgifter. Sekretessregleringen innehåller därför sekretessbrytande bestämmelser som innebär att en sekretessbelagd uppgift får lämnas ut under vissa förutsättningar. En 14 I offentlighets- och sekretesslagen finns även andra bestämmelser som bygger på förutsättningen att uppgifter inom ramen för vissa uppdrag hanteras under förutsättning att uppgiften inte röjs (se bl.a. 31 kap. 12 och 40 kap. 2 OSL). De ger emellertid normalt inte skydd åt egna utrymmen. 14

15 sekretessbrytande bestämmelse möjliggör alltså ett utbyte av uppgifter mellan myndigheter utan hinder av att uppgifterna är sekretessreglerade. 15 En myndighet som överväger att införa en it-baserad tjänst där informationsutbyte ingår bör, förutom att förvissa sig om att informationsutbytet i sig är tillåtet, granska om den planerade tjänsten innebär ett utlämnande av uppgifter som är sekretessreglerade och därmed kan komma att vara sekretessbelagda i enskilda fall. Myndigheten bör vidare granska om ett sådant utlämnande omfattas av sekretessbrytande regler Överföring av sekretess Om en sekretessreglerad uppgift lämnas från en myndighet till en annan gäller sekretess för uppgiften hos den mottagande myndigheten antingen om sekretess följer av en primär sekretessbestämmelse, som är tillämplig hos den mottagande myndigheten, eller om sekretess följer av en bestämmelse om överföring av sekretess. Om ingen av dessa förutsättningar är uppfyllda blir uppgiften offentlig hos mottagande myndighet (7 kap. 2 OSL). Om direktåtkomst ges till uppgifter eller handlingar, så att de därigenom blir allmänna handlingar hos den myndighet som ges åtkomst, kan sekretessen komma att överföras. Har en myndighet hos en annan myndighet elektronisk tillgång till en upptagning för automatiserad behandling och en uppgift i denna är sekretessreglerad blir sekretessen, med vissa undantag, tillämplig även hos mottagande myndighet (11 kap. 4 och 8 OSL) Bevarande och gallring Reglerna om bevarande och gallring som ska tillämpas beträffande allmänna handlingar, bl.a. när ovan nämnda bestämmelse i 2 kap. 10 TF inte blir aktuell förutsätter att myndigheterna intar ett aktivt förhållningssätt till sin informationshantering. 17 Konsekvenser som inte är önskade kan uppkomma om uppgifter som saknar betydelse för myndighetens verksamhet och som den enskilde inte längre behöver finns kvar och kan begäras ut av var och en. En myndighet som ska tillhandahålla en it-baserad tjänst behöver redan när tjänsten utvecklas se till att frågor om bevarande, gallring och rensning blir lösta så att en god offentlighetsstruktur kan upprätthållas och oönskade konsekvenser inte uppkommer för enskilda. Arkivförfattningarna blir tillämpliga redan när en handling har blivit allmän enligt 2 kap. TF. Dessutom är definitionen av handling (upptagning) så vid att teknisk information och de sammanställningar som en myndighet kan göra med rutinbetonade åtgärder av uppgifter i en it-baserad tjänst kan bli att anse som allmän handling och därmed som arkivhandling hos myndigheten. Både nyttoinformation och drift- och säkerhetsrelaterad 15 Se 3 kap. 1 OSL för definitioner samt Justitiedepartementets informationsskrift Offentlighetsprincipen och sekretess, 16 Jfr även SOU 2012:90 s. 167 ff. 17 Enligt 3 arkivlagen (1990:782) ska allmänna handlingar bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen, och forskningens behov (3 ). Men allmänna handlingar får gallras endast under förutsättning att föreskrivna bevarandemål kan tillgodoses (10 ). 15

16 information kan komma att bevaras i en omfattning som enskilda inte väntar sig. Vissa it-baserade tjänster är dessutom utformade så att en myndighet hos sig samlar in eller har åtkomst till handlingar endast för att erbjuda t.ex. en presentationstjänst. För att tillgodose enskildas befogade förväntningar på att andra inte ska kunna ges tillgång till information som den enskilde ser som sin egen och att enskild inte ska kunna spåras eller övervakas utifrån tjänstens användning kan beslut om omedelbar gallring behövas så att uppgifter 1. tas bort genast efter det att de har presenterats för en enskild respektive brukats för att ge den enskilde hjälp och stöd, eller 2. görs oåtkomliga för myndigheten, så snart den enskilde inte längre behöver dem. Statliga myndigheter får emellertid gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet 14 arkivförordningen (1991:446). För kommunala myndigheter gäller att respektive kommun- eller landstingsfullmäktige föreskriver om hur arkivlagens bestämmelser ska tillämpas för dem. Frågan om gallringsbeslut behöver alltså lösas redan innan tjänsten tas i drift. Behöver material som inte blivit allmän handling tas bort s.k. rensning krävs dock inget särskilt beslut av beskrivet slag. För handlingar som har blivit allmänna men som är av tillfällig eller ringa betydelse har Riksarkivet föreskrivit att de får gallras under förutsättning att allmänhetens rätt till insyn inte åsidosätts och handlingarna bedöms sakna värde för rättsskipning, förvaltning och forskning. Sådan gallring ska ske vid en tidpunkt eller efter en frist som fastställts av myndigheten (RA-FS 1991:6, ändrad 1997:6). Vid denna bedömning måste myndigheten uppmärksamma att en rad olika åtgärder kan bli att anse som gallring, t.ex. om myndigheten överför uppgifter så att detta medför informationsförlust, förlust av möjliga informationssammanställningar, förlust av sökmöjligheter, eller förlust av möjligheter att fastställa informationens autenticitet. 18 Beträffande allmänna handlingar som är av tillfällig eller ringa betydelse får en myndighet själv fatta beslut om gallring. Myndigheten får själv också bestämma om rensning av data som inte utgör allmän handling. Information som skapas i anknytning till it-baserade tjänster och som blivit allmänna handlingar kan vara av sådan tillfällig eller ringa betydelse att gallringsbeslut kan fattas av den myndighet som tillhandahåller den it-baserade tjänsten. Även partiella åtgärder, t.ex. förlust av möjlighet att fastställa autenticitet kan anses vara gallring som kräver beslut om åtgärden Förvaltningsrättsliga frågor om service och inkommande med mera Den förvaltningsrättsliga regleringen om service åt enskilda och om myndigheters handläggning av ärenden är inte helt anpassad till it-baserade tjänster. Den som använder t.ex. en ärendetjänst ges hjälp och stöd på ett sätt som liknar den hjälp som en handläggare ger vid ett personligt besök hos myndigheten. Allt sker emellertid automatiserat i det skede serviceskedet när utkast till elektroniska handlingar skapas och annars hanteras 18 För det statliga området har Riksarkivet meddelat föreskrifter och allmänna råd om bl.a. gallring och utlån av räkenskapshandlingar (RA-FS 2004:3), se även Riksarkivets rapport 2005:1, Bevarande av räkenskaper kommentarer till RA-FS 2004:3. 16

17 i den enskildes eget utrymme. Det är en förutsättning för att en ärendetjänst ska fungera att material i den enskildes eget utrymme, t.ex. där en enskild tar fram ett utkast till en deklaration i en e-tjänst hos Skatteverket, inte anses inkommet enligt 10 förvaltningslagen (1986:223; FL) till den myndighet som tillhandahåller det egna utrymmet. 19 På samma sätt kan en handling inte anses ha kommit in till myndighet för att den mellanlagras på ett konto för en enskild eller för att en enskild i ett eget utrymme granskar en färdig text inför underskrift. En myndighet kan av sakligt motiverade administrativa skäl eller säkerhetsskäl i ett serviceskede i ett eget utrymme införa automatiserade kontroller för att ge enskilda stöd när handlingar skapas och därigenom undvika att handlingar ges in om det finns brister som upptäcks genom sådana kontroller. Kontroller av detta slag får inte heller om ärendetjänsten ska fungera leda till att material anses inkommet. Materialet har i det skedet inte nått myndighetens mottagningsställe. Om det stöd som myndigheten ger som en service medför att en viss handling inte kan sändas in via tjänsten ska det emellertid finnas möjlighet för den enskilde att enkelt kunna kommunicera med myndigheten på annat sätt; jfr 5 FL. Regeln om inkommande handlingar i 10 FL bedöms innebära att en handling anses ha kommit in när den nått den funktion för automatiserad behandling som myndigheten har anvisat för försändelser av aktuellt slag (anvisat mottagningsställe). Myndigheternas mottagningsställen bör utformas så att kvittens sänds när en försändelse har nått myndighetens mottagningsställe och att felmeddelande lämnas om försändelsen helt eller delvis inte har kunnat läsas av myndigheten. Myndigheten bör löpande registrera händelser som kan tyda på fel i någon funktion i myndighetens mottagningsställe. Den redovisade bedömningen får inte misstolkas så att en handling som stoppas efter att en enskild har klickat på skicka (jfr att lägga ett brev på en brevlåda) till följd av en kontroll som utgör ett typiskt led i en ärendehandläggning inte skulle anses inkommen bara för att den stoppas innan den har nått myndighetens mottagningsställe. Exempel på en sådan kontroll är granskning av om en inlaga som skickats är äkta eller undertecknad av en behörig person; se vidare E-nämndens vägledning för hantering av inkommande elektroniska handlingar (e-nämnden 05:02) Persondataskydd Utgångspunkter En avvägning mellan integritet och effektivitet måste alltid göras när en ny it-baserad tjänst planeras och det måste finnas en rättslig grund för behandlingar av personuppgifter. 20 För många frågor om persondataskydd finns emellertid närmast självklara lösningar när it-baserade tjänster ska införas (jfr avsnitt 2.1). I andra delar kan särskilda komplikationer uppkomma; bl.a. rörande frågor om 1. stöd behövs i lag för att införa en viss tjänst till följd av behandlingarnas karaktär 19 En myndighet har normalt flera kanaler för att ge in handlingar och flera mottagningsställe, t.ex. för olika ärendetjänster och för e-post. Samma rättssäkerhetsgarantier bör gälla för dessa kanaler. 20 Se vidare t.ex. Datainspektionens vägledningar om hur personuppgiftslagen ska tillämpas i anknytning till bl.a. it-baserade tjänster; 17

18 eller om författningsändringar krävs för att göra tjänsten förenlig med en registerförfattning, 2. hur personuppgiftsansvarets ska anses vara fördelat mellan aktörerna enligt personuppgiftslagen eller registerförfattning, 3. information till registrerade om behandlingar och om lämnande av samtycke, samt 4. vilka risker som uppkommer från säkerhetssynpunkt. Krävs ändringar i lag eller förordning? En myndighet som vill införa en it-baserad tjänst behöver överväga om tjänsten kan leda till betydande intrång i den personliga integriteten, som innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Kan sådant intrång uppkomma krävs samtycke av den registrerade till behandlingarna eller att tjänsten ges stöd i lag. 21 Det kan också vara så att särskilda registerförfattningar gäller för vissa av de behandlingar av personuppgifter som berörs av it-baserade tjänster. En myndighet som vill införa en sådan tjänst behöver därför kartlägga om någon registerförfattning kan bli tillämplig och när så är fallet hur denna reglering kan förenas med den planerade tjänsten. Bestämmelser som särskilt bör uppmärksammas inom ett område där en registerförfattning gäller är om ändamålsbegränsningar eller särskilda regler om elektroniskt utlämnande av uppgifter behöver ändras om tjänsten ska införas. 22 En myndighet som ska införa en ny it-baserad tjänst behöver överväga om det krävs författningsreglering för att göra tjänsten förenlig med reglerna om persondataskydd. Personuppgiftsansvar Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter (3 PuL). De olika tjänster och kommunikationskanaler som införs för e-förvaltningen berör olika aktörer. Den som tillhandahåller ett eget utrymme åt en enskild blir normalt personuppgiftsansvarig för den drift- och säkerhetsrelaterade information som avser den enskildes eget utrymme och i övrigt för att de personuppgifter som behandlas i utrymmet är omgärdade av adekvata säkerhetsåtgärder. Tillhandahållaren blir emellertid inte ansvarig för den nyttoinformation som den enskilde själv för in i sitt utrymme. Detta gäller såväl för utrymmen för en session som för konton och e-brevlådor. Det bör särskilt uppmärksammas att myndighetens personuppgiftsansvar för drift och säkerhet omfattar även nyttoinformationen om ett intrång sker i den enskildes eget utrymme och medför att nyttoinformationen sprids. När ett meddelande har nått fram till en myndighets anvisade mottagningsställe blir den mottagande myndigheten dock normalt personuppgiftsansvarig för både nyttoinformationen och den drift- och säkerhetsrelaterade information som finns där. Särskilda frågor om personuppgiftsansvar uppkommer vid elektronisk legitimering och 21 Sådant lagstöd kan dock införas endast om det tillgodoser ändamål som är godtagbara i ett demokratiskt samhälle och regleringen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen eller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning (2 kap. 6 och 20 RF). 22 Om det finns från personuppgiftslagen avvikande bestämmelser i lag eller förordning gäller den bestämmelsen (2 PuL). 18

19 elektronisk underskrift samt vid meddelandeförmedling. Personuppgiftsansvaret inom Infrastrukturen för Svensk e-legitimation flyttas stegvis, i takt med att en transaktion flödar genom den. På liknande sätt flyttas personuppgiftsansvaret stegvis inom Infrastrukturen för säkra elektroniska försändelser (Mina meddelanden). 23 De aktörer som berörs av it-baserade tjänster och tillhörande kanaler för att nå egna utrymmen eller transportkanaler för att ge in handlingar behöver klargöra mellan sig vem eller vilka som har personuppgiftsansvaret för respektive del och vad ansvaret innebär i olika avseenden, bl.a. säkerhetsmässigt och när en underleverenantör används. Biträdesavtal Underleverantörer kan anlitas av personuppgiftsansvariga. Ett sådant personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter endast i enlighet med instruktioner från den personuppgiftsansvarige och ett skriftligt avtal måste finnas om personuppgiftsbiträdets behandling av personuppgifter för den ansvariges räkning (30 PuL). Glöm inte att sluta de biträdesavtal som krävs när en it-baserad tjänst ska införas. Information och samtycke Inom ramen för en it-baserad tjänst och den infrastruktur den är ansluten till måste myndigheten a. lämna all information som krävs för att den enskilde ska kunna ta tillvara sina rättigheter i fråga om behandlingar som äger rum hos de olika aktörerna, och b. inhämta samtycke till behandlingar som får äga rum endast efter att samtycke lämnats av den registrerade. Informationen måste vara tydlig så att en enskilda kan se och förstå vem som ansvarar för vad. Vem som är informationsägare ska således i varje del av kedjan vara tydligt för enskilda och vad de kan förvänta sig beträffande konfidentialitet, riktighet, tillgänglighet, spårbarhet och äkthet. Det kan ofta vara lämpligt att en aktör i sin tjänst tillhandahåller information om en hel kedja av behandlingar där olika personuppgiftsansvariga är inblandade, eller hänvisar till en sådan plats, så att den enskilde kan få en överblick över berörda personuppgiftsbehandlingar. 24 Informationen bör även omfatta i vilken utsträck- 23 Skatteverket är personuppgiftsansvarigt för de behandlingar som verket utför i samband med ansökning, anslutning och användning av förmedlingsadressregistret och avsändande myndighet är personuppgiftsansvarig för behandlingar i samband med upprättande och expediering av försändelser. Brevlådeoperatören är personuppgiftsansvarig för de behandlingar som sker för elektronisk postbefordran (mottagning, sortering och utdelning i e-brevlådor av försändelser) och för de behandlingar för kontroll som sker vid tillträde till en brevlåda. Brevlådeinnehavaren är ansvarig för nyttoinformationen i sitt eget utrymme (e-brevlådan). Operatören svarar för den drift- och säkerhetsrelaterade information som avser den enskildes eget utrymme och i övrigt för att de personuppgifter som behandlas i utrymmet är omgärdade av adekvata säkerhetsåtgärder. För innehållet i ett befordrat meddelande är dock den avsändande myndigheten personuppgiftsansvarig även under det skede när det är under befordran av en brevlådeoperatör; jfr punkten 47 i ingressen till Dataskyddsdirektivet. 24 Jfr E-nämndens vägledning (05:04) för information som enligt lag ska lämnas på webbplatser. 19

20 ning handlingar blir allmänna enligt 2 kap. TF och vilka rutiner som tagits fram beträffande bevarande, gallring och rensning. Detta är särskilt angeläget när en behandling avviker från vad den enskilde kan antas förvänta sig. Ett samtycke måste för att gälla vara frivilligt (den registrerade måste i praktiken ha ett fritt val), särskilt (det ska vara för ett preciserat ändamål) och otvetydigt (det får inte råda någon tvekan om att den registrerade godtar behandlingen). Av vissa bestämmelser följer också ett krav på att samtycket ska vara uttryckligt. Visserligen måste inte ett samtycke vara skriftligt men i praktiken behöver det dokumenteras. 25 Den information som måste lämnas enligt lag är omfattande och bör samlas så att den blir enkel att ta del av. När samtycke kan och ska lämnas beträffande behandlingar i en it-baserad tjänst måste funktionerna för att lämna samtycke utformas så att giltiga samtycken uppkommer. Skyddsåtgärder Av avgörande betydelse för att kunna införa en it-baserad tjänst är att de hot och risker som kan möta från säkerhetssynpunkt beaktas (31 PuL). Den som är personuppgiftsansvarig måste därför vidta lämpliga tekniska och organisatoriska åtgärder för att skydda behandlade personuppgifter. Det innefattar även bedömningar och analyser av vad ansvaret innebär i olika avseenden, bl.a. när en underleverenatör används. I detta sammanhang förtjänas åter att påpekas vikten av att informera enskilda, t.ex. om vilka rättigheter/skyldigheter myndigheten respektive den enskilde har när det gäller den information som behandlas och om vilket ansvar som myndigheten påtar sig, t.ex. för att informationen lagras på ett beständigt sätt och hur länge det sker. Personuppgiftsansvariga organ behöver initialt och regelbundet därefter utföra risk- och sårbarhetsanalyser. En sådan analys behöver innefatta hela den serie av behandlingar för vilka en personuppgiftsansvarig har att svara (HFD 2012 ref. 21). Sådana analyser bör lämpligen utföras och åtgärder vidtas i samverkan mellan berörda aktörer så att ett enhetligt skydd kan upprätthållas inom ramen för de samordnade infrastrukturer för it-baserade tjänster som verksamhetsutvecklingen inom e-förvaltningen för med sig. Aktörer som ansluts genom avtal bör civilrättsligt åläggas sådana skyldigheter att ett omedelbart och kraftfullt agerande blir möjligt när ett nytt hot eller en ny risk tillkommer. Aktörerna bör också genom avtal förpliktas att rapportera it-incidenter så att skyddsåtgärderna kan samordnas. Varje aktör är ansvarig för att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda informationen som denne behandlar och att vidta de åtgärder som krävs för att åstadkommer en lämplig säkerhetsnivå. 26 Regler i registerförfattningar För åtskilliga myndigheter och verksamheter finns särskilda s.k. registerförfattningar som 25 Se vidare Datainspektionen informerar, Samtycke enligt personuppgiftslagen; 26 En samordning av myndigheternas arbete för informationssäkerhet sker emellertid genom bl.a. Myndigheten för samhällsskydd och beredskap (MSB). 20

21 gäller framför personuppgiftslagen. Vissa sådana författningar anger för vilka ändamål uppgifter får behandlas. Blir en sådan ändamålsbegränsning tillämplig på behandlingar i en it-baserad tjänst måste den personuppgiftsansvarige kontrollera att de planerade behandlingarna kan förenas med föreskrivna ändamål. Faller de planerade behandlingarna inte inom denna ram krävs författningsändringar, om ändamålen är uttömmande angivna i den särskilda regleringen. Är de inte uttömmande angivna där får dock behandlingar som inte är oförenliga med angivna ändamål äga rum (9 d PuL). En annan central fråga vid elektroniskt informationsutbyte är om uppgifter får lämnas ut på elektronisk väg 27. I den mån en registerlag inte reglerar frågan om elektroniskt utlämnande finns normalt inte hinder mot att lämna ut uppgifterna elektroniskt, om det kan ske på ett säkert sätt. Det krävs alltså inte något uttryckligt mandat i en registerlag för att expediering på elektronisk väg ska vara tillåten. Flera registerlagar anger emellertid att utlämnande på elektronisk väg får ske endast om det har föreskrivits av regeringen. Så har skett i flera fall genom kompletterande förordningar. En myndighet som planerar att lämna ut uppgifter elektroniskt måste, när särskilda föreskrifter ges om sättet för utlämnande, bedöma om det informationsutbyte som planeras faller inom ramen för den särskilda regleringen i en registerförfattning. I flera registerlagar dras en skarp gräns mellan direktåtkomst respektive utlämnande på medium för automatiserad behandling där högre krav brukar ställas vid direktåtkomst; jfr avsnitt Dessa begrepp och en lösning för att undgå direktåtkomst genom utlämnande på medium för automatiserad behandling redovisas närmare i E-delegationens rapport Direktåtkomst och utlämnande på medium för automatiserad behandling. En myndighet som planerar en it-baserad tjänst behöver undersöka om en eller flera registerförfattningar kan bli berörda och analysera om de kan förenas med den planerade tjänsten Vissa anknytande rättsfrågor Föreskrifter, avtal eller villkor i beslut för enskilda fall Faktiskt handlande, ärendehandläggning och myndighetsutövning När det rättsliga ramverket kring en myndighets it-baserade tjänster utformas behöver det övervägas om myndigheten genom en viss tjänst 1. tillhandahåller en ärendetjänst, en presentationstjänst, en bastjänst, en e-brevlåda eller en återanvändningsfunktion, och 2. utför a. faktiskt handlande, b. ärendehandläggning som inte innefattar myndighetsutövning, eller c. myndighetsutövning. Det bör samtidigt bedömas om flera av dessa tjänster och funktioner har integrerats. Bemyndigande behövs för att bedriva verksamheten En förvaltningsmyndighet under regeringen får agera endast inom ramen för sitt uppdrag från riksdag eller regering. Detta gäller oavsett om det är fråga om myndighetsutövning, 27 En förutsättning är förstås att sekretess inte hindrar ett utlämnande som sådant. 21

22 ärendehandläggning eller faktiskt handlande. En myndighet som vill införa en it-baserad tjänst behöver därför säkerställa att verksamheten faller inom ramen för myndighetens instruktion. Beträffande överlämnande av förvaltningsuppgift åt enskild krävs stöd i lag om uppgiften innefattar myndighetsutövning. 28 Reglering på civilrättslig väg när så är möjligt När en myndighet tillhandahåller en tjänst som lika gärna hade kunnat erbjudas av ett privaträttsligt subjekt, t.ex. när E-legitimationsnämnden tillhandahåller ett metadataregister och en anvisningstjänst, bör regleringen ske genom civilrättsliga avtal, som myndigheten ingår med dem som vill använda tjänsten, inte genom författningsreglering. När myndigheter ingår sådana avtal behöver regeringsformens krav på saklighet och opartiskhet iakttas. Reglering genom föreskrifter eller beslut för enskilda fall När en myndighet tillhandahåller en it-baserad tjänst i samband med myndighetsutövning eller annan förvaltningsverksamhet som inte på samma sätt kan erbjudas av ett privaträttsligt subjekt är verksamheten normalt redan reglerad i författning. Närmare regler kring en tjänst bör i ett sådant fall ges genom villkor i förvaltningsbeslut för enskilda fall. Samverkan mellan myndigheter under regeringen Myndigheter under regeringen kan inte ingå civilrättsligt bindande avtal med varandra eftersom myndigheterna är en del av samma juridiska person. I praktiken formaliserar myndigheter dock sin samverkan genom överenskommelser även i sådana fall. Till en myndighet kan också normgivningskompetens ha delegerats, så att mellanhavandet mellan myndigheter under regeringen kan regleras genom myndighetsföreskrifter. Uppdrag kan vidare ha lämnats i myndighetens instruktion eller annars, så att myndigheten kan fatta förvaltningsbeslut om mellanhavandet, där närmare regler ges genom villkor i beslut Immaterialrättsliga frågor Innan en myndighet inför en it-baserad tjänst måste myndigheten säkerställa att de immaterialrättsliga frågorna har beaktas och att tillräckliga rättigheter finnas till själva e-tjänsten (källkod m.m.) och till e-tjänstens innehåll (text, bild m.m.). Om den it-baserade tjänsten upphandlats bör därför i avtal föreskrivas antingen att rättigheterna till e-tjänsten överlåts till myndigheten eller att myndigheten ges en för ändamålet tillräcklig (i tid, användning m.m.) licens att nyttja tjänsten. Leverantören bör vidare ha en skyldighet att hålla myndigheten skadeslös för det fall tjänsten skulle visa sig göra intrång i tredje mans immaterialrätt. I förhållande till it-baserade tjänster kräver immaterialrätten även att tillräckliga rättigheter måste finnas till innehållet i e-tjänsten. Om innehållet inte är skapat av myndigheten måste tillstånd från upphovsmännen finnas (med vissa undantag, t.ex. citat i enlig- 28 Se 12 kap. 4 RF och exempel tullens särreglering, se 2 kap. 4 tullagen (2000:

23 het med god sed) Upphandlings- och konkurrensrättsliga frågor Upphandlingsrättsliga frågor Avtal om varor eller tjänster som ingås av offentliga organ omfattas normalt av upphandlingslagstiftningen och ska föregås av en upphandling. Det finns olika upphandlingsförfaranden beroende på omfattning, typ av vara eller tjänst och belopp. Inom många områden finns också ramavtal som medför att myndigheten istället för att upphandla på egen hand kan avropa från befintliga avtal. Det är av vikt att de juridiska förutsättningar som beskrivs i denna vägledning beaktas tidigt i processen för att upphandla funktioner för en e-tjänst. De juridiska kraven på den it-baserade tjänsten bör specificeras och tydligt framgå av upphandlingsunderlaget, så att leverantören måste uppfylla kraven. Om flera (statliga) myndigheter samarbetar kring ett gemensamt allmännyttigt uppdrag, utan att blanda in något privat aktör, behöver det dock inte genomföras någon upphandling. Myndigheternas samarbete behöver emellertid formaliseras på lämpligt sätt. Konkurrensrättsliga frågor Konkurrenslagens (2008:579) bestämmelser kan bli tillämpliga även på offentliga organs agerande. Avtal, beslut eller samordnade förfaranden mellan företag som har till syfte eller resultat att hindra, begränsa eller snedvrida konkurrensen på marknaden är förbjudna. 30 Ett offentligt organ kan i en säljverksamhet förbjudas att tillämpa ett visst förfarande om detta snedvrider, eller är ägnat att snedvrida, förutsättningarna för en effektiv konkurrens på marknaden, eller hämmar, eller är ägnat att hämma, förekomsten eller utvecklingen av en sådan konkurrens. Dessutom kan EUF-fördragets regler om statsstöd bli tillämpliga om ett offentligt organ utger stöd till ett företag. Ett stöd omfattas av statsstödsreglerna om detta gynnar ett visst företag, finansieras genom offentliga medel, snedvrider eller hotar att snedvrida konkurrensen samt påverkar handeln mellan EU:s medlemsstater Det har förekommit att offentlighetsprincipen använts för att mot upphovsmannens vilja framställa exemplar av och sprida upphovsrättsligt skyddade verk till allmänheten se t.ex. om det s.k. scientologimaterialet. Visst skydd ges dock numera genom sekretessregleringen i 31 kap. 23 OSL. 30 Överenskommelser om priser eller uppdelning av marknader utgör särskilt allvarliga konkurrensbegränsningar. 31 Stöd av mindre betydelse anses inte påverka handeln inom EU och omfattas därför inte av statsstödsreglerna. 23

24 3. IT-arkitekturer 3.1. Ärendetjänster Funktioner Olika funktioner kan integreras i en ärendetjänst, bl.a. funktioner för att 1. utforma handlingar, och 2. få uppgifter eller handlingar förifyllda eller annars utlämnade av den myndighet som tillhandahåller eget utrymme åt enskilda. Till en ärendetjänst kan också knytas 3. en bastjänst i serviceskede (avsnitt st. 1, p. 3) eller en bastjänst för äkthetshantering (avsnitt st. 1, p. 4) så att den enskilde i anknytning till ärendetjänsten kan a. hämta uppgifter eller handlingar från annat organ (avsnitt 3.1.3), b. skriva under med hjälp av en central underskrifttjänst, eller c. legitimera sig för uppgiftslämnande, 4. en presentationstjänst (avsnitt 3.2), 5. ett anvisat mottagningsställe så att enskilda med hjälp av ärendetjänsten kan skicka färdiga handlingar och få kvittens när de ankomstregistrerats, och 6. en e-brevlåda (avsnitt 3.4) så att den enskilde i anknytning till ärendetjänsten kan motta t.ex. en begäran om komplettering eller ett beslut Ärendetjänsternas utformning Ärendetjänster kan beroende på omständigheterna och utifrån olika typfall brukas för att skapa handlingar 1. utan att a. den myndighet som tillhandahåller tjänsten fyller i eller annars lämnar ut några uppgifter som behöver skyddas, eller b. den enskilde behöver legitimera sig för att få tillträde till tjänsten; eller 2. med a. förifyllda eller annars utlämnade uppgifter, b. egen hämtning av uppgift eller handling, eller c. krav på legitimering för att ge tillträde till tjänsten; samt 3. så att enskilda, när handlingar skickas till myndigheten, a. antingen behöver 1. legitimera sig för uppgiftslämnande, eller 2. skriva under elektroniskt, b. eller inte behöver legitimera sig på nytt eller skriva under eftersom legitimeringen för tillträde till tjänsten anses tillräcklig också för att lämna uppgifter. Det behövs rättsliga modellösningar för ärendetjänster av detta slag, anpassade till de typfall som vuxit fram inom e-förvaltningen. 24

25 Funktionerna för att förifylla eller hämta uppgifter eller handlingar En ärendetjänst där uppgifter förifylls eller egen hämtning sker, kan vara utformad så att underlaget 1. kommer från en enda myndighet, genom att materialet förifylls av den myndighet som tillhandahåller ärendetjänsten, eller 2. hämtats till ärendetjänsten av den enskilde, från ett eller flera andra organ, med stöd av en bastjänst i serviceskede (jfr avsnitt 3.3.1, st. 1, p. 3), för att a. uppgifter enkelt ska kunna föras in i en inlaga till myndigheten, b. handlingar ska kunna i. biläggas vid ingivning till myndigheten, ii. förses med underskrift genom en central underskrifttjänst, eller iii. lämnas tillsammans med legitimering för uppgiftslämnande Ärendetjänster för egen visning En ärendetjänst kan också vara utformad så att en enskild genom tjänsten kan hämta in uppgifter eller handlingar, från flera andra myndigheter eller andra organ med stöd av bastjänster (jfr 3.3.1, st. 1 p. 3), så att materialet automatiserat kan sammanställas och läsas av den enskilde i ett serviceskede i dennes eget utrymme (egen visning). Den enskildes enda ärende vid användning av en sådan tjänst kan vara att få ta del av uppgifter eller handlingar sammanställda i ett serviceskede i det egna utrymmet It-arkitektur för serviceskede och eget utrymme It-arkitekturen för en ärendetjänst bör utformas så att den enskildes uppgifter behandlas i ett 1. serviceskede, dvs. ett förlopp där service ges av en myndighet, utan att ärendehandläggning äger rum hos myndigheten, utan insyn för annan än den enskilde och utan att handling kommit in till myndighet enligt förvaltningslagen eller tryckfrihetsförordningen, och 2. eget utrymme för en session, dvs. ett skyddat förvar som myndigheten tillhandahåller kortvarigt (transient) och endast som led i teknisk bearbetning eller teknisk lagring för annans räkning. När it-arkitekturen för en ärendetjänst utformas så att enskilda permanent (persistent) dvs. inte bara för en session 32 ska kunna mellanlagra uppgifter eller handlingar i ett eget utrymme, för att senare i ett serviceskede kunna hämta upp och färdigställa materialet, bör den enskilde ges möjlighet att registrera ett konto där uppgifter och handlingar kan bevaras och annars behandlas endast som led i teknisk bearbetning eller teknisk lagring för den enskildes egen räkning. It-arkitekturen bör utesluta åtkomst för myndighetens befattningshavare till den enskildes eget utrymme, med undantag för åtkomst som är nödvändig för att åtgärda fel eller skydda mot angrepp. 32 I begreppet permanent anses underförstått att kontot kan komma att avslutas t.ex. när kontoinnehavaren så önskar. 25

26 Figur 2, Skapa konto Figur 3, Spara utkast i konto 26

27 It-arkitektur för att skicka och för anvisat mottagningsställe It-arkitekturen i en ärendetjänst bör utformats så att 1. enskilda kan sända handlingar till myndigheten i ett serviceskede, och 2. myndigheten kan a. tillhandahålla funktioner för i. överföring till ett anvisat mottagningsställe, ii. mottagande av handlingar i ett anvisat mottagningsställe, där dag och klockslag för mottagandet registreras, b. underrätta avsändaren (kvittens) om i. mottagandet och tidpunkten för detta, och ii. fel eller brist, för den händelse meddelandet eller bifogat material helt eller delvis inte har kunnat uppfattas av myndigheten. Figur 4, Ärendetjänst 27

28 Figur 5, Ärendetjänst, sekvensdiagram Presentationstjänster Myndigheten hämtar in uppgifter för visning Uppgifter och handlingar kan, som framgått av avsnitt 3.1.4, föras till en enskilds eget utrymme i en ärendetjänst genom egen hämtning, med stöd av en bastjänst, och presenteras där för den enskilde. Visning kan emellertid också ske genom att en myndighet hämtar materialet och presenterar det för den enskilde i en presentationstjänst. Gemensamt för dessa alternativ är att den enskilde ska ges möjlighet att få en överblick över information som rör den enskilde själv, samtidigt som detta inte bör leda till nya samlingar av allmänna handlingar hos en myndighet eller kartläggning av enskildas personliga förhållanden eller andra oönskade intrång i enskildas personliga integritet. 33 Sekvensdiagrammen är ritade enligt UML 2.0, se 28

29 Sätt för myndighet att hämta in underlag Det finns olika sätt att göra material som finns hos andra organ än den myndighet som tillhandahåller presentationstjänsten tillgängligt för presentation. Myndigheten kan ämta materialet genom 1. momentan insamling, vid en visningsbegäran, från de organ som har underlaget, 2. insamling på förhand till a. den myndighet som tillhandahåller presentationstjänsten, eller b. en annan myndighet som endast har i uppgift att tekniskt lagra materialet, så att det momentant och i aktuell del kan lämnas ut till den myndighet som tillhandahåller presentationstjänsten när visning begärts av visst material En presentationstjänst kan tillhandahållas med eller utan konto Presentationstjänster där myndighet hämtar, sammanställer och presenterar uppgifter kan 1. fungera utan registrering på förhand, genom att den enskilde vid varje visningstillfälle, efter legitimering, får lämna samtycke till användarvillkor och behandling av personuppgifter, 35 eller 2. förutsätta att den enskilde har ett eget konto. Så snart visningen (sessionen) för en enskild som inte har ett konto är över behöver materialet i det egna utrymmet för en session (transient) rensas bort i enlighet med regler som införts för tjänsten. Bygger visningen på konto bör frågan om bevarande klargöras i kontovillkoren It-arkitektur för serviceskede och eget utrymme för visning It-arkitekturen för en presentationstjänst bör utformas så att den enskildes uppgifter lämnas ut till ett eget utrymme för en session där uppgifterna behandlas i ett serviceskede så att åtkomst är utesluten för myndighetens befattningshavare till den enskildes eget utrymme, med undantag för sådan åtkomst som är nödvändig för att åtgärda fel eller skydda mot angrepp (jfr avsnitt 3.1.5). 34 Notera att en myndighet som endast tillhandahåller teknisk lagring och teknisk bearbetning inte har att pröva en begäran om utlämnande av allmän handling. 35 Här används alltså ett eget utrymme för en session. 29

30 Figur 6, Presentationstjänst Figur 7, Presentationstjänst, sekvensdiagram 30

31 3.3. Bastjänster Tjänsternas utformning Bastjänster dvs. it-baserade tjänster via vilka olika organisationers informationssystem 36 begär, lämnar och tar emot uppgifter (maskin till maskin), via ett applikationsgränssnitt (API), vanligtvis efter att systemen har identifierat varandra kan användas 1. mellan myndigheter för att utbyta uppgifter (bastjänster mellan myndigheter), 2. av myndigheter, efter att ett ärende anhängiggjorts, så att myndigheten som en service åt den enskilde hämtar in uppgifter eller handlingar som behövs i ärendet istället för att begära att den enskilde ska ge in dem (bastjänster i ärende), 3. av enskilda som brukar en ärendetjänster, så att den enskilde i ett serviceskede kan hämta uppgifter eller handlingar till sitt eget utrymme i ärendetjänsten, och ge in detta material med stöd av funktioner i ärendetjänsten (bastjänster i serviceskede), eller 4. för att stödja processer, t.ex. elektroniskt undertecknande, i syfte att säkerställa vem som är utställare av en handling (bastjänster för äkthetshantering). Bastjänster i serviceskede, där enskilda hämtar uppgifter eller handlingar hos en myndighet eller något annat organ för egen visning eller för att skicka in uppgift eller handling till en myndighet, kan utformas med ett 1. eget utrymme för en session, så att den enskilde vid varje användningstillfälle får acceptera tjänsten och behandlingarna samt slutför hämtning och insändande av materialet, eller 2. konto för den enskilde It-arkitektur för bastjänster mellan myndigheter och bastjänster i ärende It-arkitekturen när bastjänster mellan myndigheter eller bastjänster i ärende införs kan utformas så att en myndighet 1. ges direkt åtkomst till uppgifter hos en annan myndighet, eller 2. lämnar ut uppgifter på medium för automatiserad behandling till en annan myndighets elektroniska mottagningsställe It-arkitektur för serviceskede och eget utrymme kombinationer It-arkitekturen när bastjänster i serviceskede eller för äkthetshantering införs bör 1. utformas så att den enskildes uppgifter behandlas i ett serviceskede, i den enskildes eget utrymme, och 2. utesluta åtkomst för myndighetens befattningshavare till den enskildes utrymme, med undantag för åtkomst som är nödvändig för att åtgärda fel eller skydda mot angrepp (jfr avsnitt 3.1.5). Bastjänster i serviceskede eller för äkthetshantering brukas tillsammans med ärendetjänster till vilka bl.a. elektroniska mottagningsställen och e-brevlådor kan knytas. 36 Se figur 2, Skapa konto. 31

32 3.4. E-brevlådor Tjänsternas utformning E-brevlådor är en del av en nationell infrastruktur där elektronisk post kan levereras på ett säkert sätt (Mina meddelanden). Till denna infrastruktur ansluts avsändande myndigheter, brevlådeoperatörer som tillhandahåller postbefordringstjänster och e-brevlådor samt brevlådeinnehavare som har begärt att få ta del av försändelser från myndigheter på elektronisk väg. It-arkitekturen och de juridiska koncepten bygger på att det finns 1. en registreringsdel för anslutning av brevlådeinnehavare, 2. en förmedlingsdel för kontroll i ett förmedlingsadressregister och avsändande från en myndighet till en operatörs mottagningsfunktion, där underleverantörer här kallade förmedlare i många fall kommer att anlitas för att slå i registret, skapa meddelande i rätt format m.m. och förmedla det på avsändande myndighets uppdrag till den aktuella operatörens mottagningsfunktion, 3. en befordringsdel där operatören tar emot, sorterar och delar ut i e-brevlåda, och 4. en brevlådedel där operatören tillhandahåller e-brevlådor år innehavare. Varje e-brevlåda är ett konto; dvs. ett eget utrymme som har registrerats för brevlådeinnehavaren så att denne permanent (persistent) kan ta emot, bevara och annars behandla uppgifter där Sammanställning av uppgifter i e-brevlåda för egen visning En e-brevlåda kan också användas för sammanställning av uppgifter eller handlingar, som kommer från en eller flera myndigheter, genom att uppgifterna eller handlingarna sänds till och lagras i brevlådeinnehavarens e-brevlåda, inom infrastrukturen för Mina meddelanden. De sammanställningar som brevlådeinnehavaren vill ha, skapas i innehavarens e-brevlåda, med en funktion som brevlådeinnehavaren själv aktiverar där för egen visning (jfr avsnitt st. 2) It-arkitektur för serviceskede och eget utrymme It-arkitekturen för en e-brevlåda bör 1. utformas så att brevlådeinnehavarens uppgifter behandlas i ett serviceskede, i innehavarens eget utrymme, och 2. utesluta åtkomst för någon annan till brevlådeinnehavarens utrymme, med undantag för åtkomst som är nödvändig för att åtgärda fel eller skydda mot angrepp (jfr avsnitt 3.1.5). I e-brevlådan kan innehavaren göra vissa inställningar av t.ex. aviseringsadress. Dessa uppgifter har brevlådeoperatören inte någon insyn i. En e-brevlåda kan brukas tillsammans med en ärendetjänst till vilken bl.a. elektroniska mottagningsställen kan knytas. 32

33 3.5. Ärende- och bastjänster för informationsutbyte Utformning vid återanvändning En ärende- eller en bastjänst, genom vilken en myndighet använder en uppgift från en annan myndighet för förvaltningsgemensam nytta, kan brukas så att 1. berörda myndigheter, med stöd av bastjänster, utbyter uppgifter eller handlingar genom hämtning eller avisering (återanvändningsfunktion för myndighet), eller 2. en tidigare till en myndighet ingiven eller en upprättad uppgift eller handling lämnas ut av myndigheten till en enskilds eget utrymme så att den enskilde förenklat kan lämna materialet vidare till en annan myndighet (återanvändningsfunktion för eget utrymme). En återanvändningsfunktion för myndighet införs vanligtvis genom bastjänster mellan myndigheter (jfr avsnitt st. 1 p. 1). Det bör i sammanhanget noteras att vissa myndigheter tar ut avgifter för den information som lämnas. En återanvändningsfunktion för eget utrymme införs normalt som en del av en ärendetjänst där den enskilde kan hämta uppgifter från ett eller flera andra organ med stöd av en bastjänst i serviceskede (jfr avsnitt 3.3.1, st. 1, p. 3 och avsnitt 3.1.3) Utformning vid planerad egen förenkling Ett eget utrymme kan också utformas för planerad återanvändning genom att en enskild ges stöd över tid av en myndighet eller ett annat organ för att genom en it-baserad tjänst 37 bevara och vid relevant tidpunkt ge in uppgifter till en myndighet på ett förenklat sätt (planerad egen förenkling). Även här blir det fråga om att använda ett eget utrymme i anknytning till en ärendetjänst men ärendetjänsten tas i bruk först efter att planerad insamling hos den enskilde gjorts av de uppgifter som behövs. Materialet kan bevaras även hos en ett privaträttsligt organ, t.ex. i en e-brevlåda som tillhandahålls av en privaträttslig brevlådeoperatör. Som nämnts i inledningen tas ansvarsfrågor inte upp i denna vägledning när privata aktörer agerar självständigt som leverantör till en användare av e-tjänster Inte vidareutnyttjande I denna vägledning behandlas inte vidareutnyttjande av uppgifter enligt lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen It-arkitekturer Beträffande it-arkitekturerna för återanvändningsfunktioner för 1. myndigheter, tillämpas avsnitt 3.3.2, och 2. eget utrymme tillämpas avsnitt Vid planerad egen förenkling tillämpas avsnitt Det kan vara en programvaruproducent som tillhandahåller en programvara som skapar sammanställningar eller en e-brevlåda med funktionalitet för att samla och sammanställa uppgifter. 33

34 Serviceskede och eget utrymme En återanvändningsfunktion för eget utrymme bör utformas så att 1. den enskildes uppgifter behandlas i ett serviceskede, i det egna utrymmet, och 2. åtkomst är utesluten för myndighetens befattningshavare till den enskildes utrymme, med undantag för åtkomst som är nödvändig för att åtgärda fel eller skydda mot angrepp (jfr avsnitt 3.1.5). Återanvändningsfunktioner för myndigheter innefattar inget serviceskede eller eget utrymme eftersom myndigheter kommunicerar direkt med varandra. Vid planerad egen förenkling hanteras uppgifterna normalt i ett förvar hos en privaträttslig aktör, inte hos en myndighet. I sådana fall faller hanteringen utanför denna vägledning. Det blir en fråga helt mellan användaren och den privaträttsliga aktören Utkontrakterade tjänster Ärendetjänster När en myndighet, genom utkontraktering (outsourcing), tillhandahåller funktioner åt en annan myndighet för ärendetjänster (se avsnitt 3.1) eller bastjänster i serviceskede (se avsnitt p. 3), bör it-arkitekturen utformas så att 1. den enskilde behandlar sina uppgifter i ett eget utrymme, 2. åtkomst till utrymmet inte är möjlig för annan än den enskilde, med undantag för sådan åtkomst som är nödvändig för att åtgärda fel eller skydda mot angrepp, och 3. den enskilde skickar sina uppgifter till en mottagningsfunktion och får kvittens, och 4. tjänsten ger det skydd som behövs från informationssäkerhets-, rättssäkerhets- och persondataskyddssynpunkt Presentationstjänster När en myndighet, genom utkontraktering (outsourcing) tillhandahåller tjänster för visning åt en annan myndighet, bör it-arkitekturen utformas så att 1. den enskildes uppgifter lämnas ut till ett eget utrymme för den enskilde där uppgifterna behandlas i ett serviceskede så att åtkomst inte är möjlig för annan än den enskilde, med undantag för sådan åtkomst som är nödvändig för att åtgärda fel eller skydda mot angrepp, och 2. presentationstjänsten ger det skydd som behövs från informationssäkerhets-, rättssäkerhets- och persondataskyddssynpunkt. 34

35 4 Rättsliga modellösningar för e-förvaltningen I detta kapitel förs beskrivna koncept (kap. 2) och arkitekturer (kap. 3) samman. 4.1 Samordningen av teknik och juridik Genom att integrera 1. juridiska koncept som utformats för att undanröja oönskade konsekvenser med 2. lämpligt utformade it-arkitekturer, 3. kan rättsliga modellösningar införas för ärendetjänster, presentationstjänster, bastjänster och e-brevlådor; se följande figur. De rättsliga modellösningarna är baserade på juridiska koncept för 1. eget utrymme 38 (för en session, ett konto eller en e-brevlåda), 2. serviceskede 39, 3. egen hämtning 40, 4. egen visning 41, 5. tillfällig tillgänglighet 42, 6. anvisat mottagningsställe 43, 7. utlämnande på medium för automatiserad behandling till skillnad från direktåtkomst 44, 8. momentan insamling 45, 9. omedelbar gallring eller rensning 46, 10. nyttoinformation 47 till skillnad från drift- och säkerhetsrelaterad information, och 11. verksamhetssystem Se avsnitt 1.1 och Se avsnitt 1.1 och Se avsnitt Se avsnitt 3.1.4, och Se avsnitt Se avsnitt 1.1 och Se avsnitt och Se avsnitt och Se avsnitt och Se definitionen av verksamhetssystem i avsnitt 1.1 och och

Juridiska förutsättningar och rättsliga modellösningar. Johan Bålman och Per Furberg johan.balman@regeringskansliet.se per.furberg@ setterwalls.

Juridiska förutsättningar och rättsliga modellösningar. Johan Bålman och Per Furberg johan.balman@regeringskansliet.se per.furberg@ setterwalls. Juridiska förutsättningar och rättsliga modellösningar Johan Bålman och Per Furberg johan.balman@regeringskansliet.se per.furberg@ setterwalls.se Innehåll Vissa begrepp Juridiska förutsättningar inför

Läs mer

Juridiska förutsättningar och rättsliga modellösningar. Johan Bålman och Per Furberg johan.balman@regeringskansliet.se per.furberg@ setterwalls.

Juridiska förutsättningar och rättsliga modellösningar. Johan Bålman och Per Furberg johan.balman@regeringskansliet.se per.furberg@ setterwalls. Juridiska förutsättningar och rättsliga modellösningar Johan Bålman och Per Furberg johan.balman@regeringskansliet.se per.furberg@ setterwalls.se Centrala begrepp i vägledningen Mål: Rättsliga modellösningar

Läs mer

Juridiska förutsättningar och rättsliga modellösningar

Juridiska förutsättningar och rättsliga modellösningar Juridiska förutsättningar och rättsliga modellösningar Johan Bålman och Per Furberg johan.balman@regeringskansliet.se pf@perfurberg.se Digikult 26 mars 2014 Enklare Öppnare Effektivare Förälder Företagare

Läs mer

Juridiska förutsättningar och rättsliga modellösningar. Johan Bålman och Per Furberg johan.balman@regeringskansliet.se per.furberg@ setterwalls.

Juridiska förutsättningar och rättsliga modellösningar. Johan Bålman och Per Furberg johan.balman@regeringskansliet.se per.furberg@ setterwalls. Juridiska förutsättningar och rättsliga modellösningar Johan Bålman och Per Furberg johan.balman@regeringskansliet.se per.furberg@ setterwalls.se Enklare Öppnare Effektivare Förälder Företagare Sjuk Nyanländ

Läs mer

Sociala medier ur ett rättsligt perspektiv. Johan Bålman, E-delegationen

Sociala medier ur ett rättsligt perspektiv. Johan Bålman, E-delegationen Sociala medier ur ett rättsligt perspektiv Johan Bålman, E-delegationen I stora drag. 1. Klargöra ändamålet 2. Myndigheten Anställda 3. Identifiera rättsliga krav Åstadkomma en god offentlighetsstruktur

Läs mer

Vad står högst på agendan för praktikern - inom offentlig sektor. Per.Furberg@Setterwalls.se

Vad står högst på agendan för praktikern - inom offentlig sektor. Per.Furberg@Setterwalls.se Vad står högst på agendan för praktikern - inom offentlig sektor Per.Furberg@Setterwalls.se Infrastruktur Hur ska en helt elektronisk värld sorteras in under reglerna om persondataskydd? Hur skilja mellan

Läs mer

Bättre juridiska förutsättningar för samverkan och service (SOU 2014:39) Yttrande till Näringsdepartementet

Bättre juridiska förutsättningar för samverkan och service (SOU 2014:39) Yttrande till Näringsdepartementet 1 (5) Kommunledningskontoret 2014-09-18 Dnr KS 2014-686 Fredrik Eriksson Kommunstyrelsen Bättre juridiska förutsättningar för samverkan och service (SOU 2014:39) Yttrande till Näringsdepartementet KOMMUNLEDNINGSKONTORETS

Läs mer

1. Inledning... 7 1.1. Syftet med denna vägledning...7 1.2. Målgrupp...7 1.3. Läsanvisning...7

1. Inledning... 7 1.1. Syftet med denna vägledning...7 1.2. Målgrupp...7 1.3. Läsanvisning...7 1 Förord Juridisk vägledning för verksamhetsutveckling inom e-förvaltning gavs ut av E- delegationen sommaren 2013 i version 1.0. Detta är en ny version, 2.0, som ersätter den tidigare versionen av vägledningen.

Läs mer

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Betänkandet låt fler forma framtiden! (SOU 2016:5) Yttrande Diarienr 1 (7) 2016-06-21 536-2016 Ert diarienr Ku2016/00088/D Kulturdepartementet 103 33 Stockholm även via e-post Betänkandet låt fler forma framtiden! (SOU 2016:5) Datainspektionen har granskat

Läs mer

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33) Yttrande Diarienr 1 (5) 2015-10-28 1216-2015 Ert diarienr N2015/3074/FF Näringsdepartementet 103 33 Stockholm Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33) Datainspektionen har granskat

Läs mer

Juridisk vägledning för verksamhetsutveckling. IT-arkitektur och juridik blir återanvändbara byggblock

Juridisk vägledning för verksamhetsutveckling. IT-arkitektur och juridik blir återanvändbara byggblock Juridisk vägledning för verksamhetsutveckling IT-arkitektur och juridik blir återanvändbara byggblock Enklare Öppnare Effektivare Förälder Företagare Sjuk Nyanländ Arbetslös Student Bostadslös Efterlevande

Läs mer

Sociala medier + juridik = sant. Johan Bålman, E-delegationen

Sociala medier + juridik = sant. Johan Bålman, E-delegationen Sociala medier + juridik = sant Johan Bålman, E-delegationen I stora drag. 1. Klargöra ändamålet 2. Myndigheten Anställda 3. Identifiera rättsliga krav Åstadkomma en god offentlighetsstruktur Gränsen mellan

Läs mer

E-delegationen VLDS 4.1 Juridiska aspekter på digital samverkan v1.0

E-delegationen VLDS 4.1 Juridiska aspekter på digital samverkan v1.0 Innehåll 1 RÄTTSLIGA BEGRÄNSNINGAR VID INFORMATIONSUTBYTE... 2 2 SEKRETESSBRYTANDE BESTÄMMELSER... 2 3 INFORMATIONSUTBYTE OCH PERSONUPPGIFTSLAGEN... 2 4 UTLÄMNANDEFORMER... 3 5 GALLRING... 4 2 (7) Juridiska

Läs mer

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) 1. Allmänt Dessa Allmänna villkor reglerar Socialnämndens anslutning till Sammansatt Bastjänst

Läs mer

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern 1 (5) Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern Antagen av kommunfullmäktige den 23 september 2010, 193. Inledning Personuppgiftslagen (PuL) trädde i kraft 1998 och

Läs mer

Spam ur ett myndighetsperspektiv vilka åtgärder är tillåtna? Johan Bålman Verksjurist

Spam ur ett myndighetsperspektiv vilka åtgärder är tillåtna? Johan Bålman Verksjurist Spam ur ett myndighetsperspektiv vilka åtgärder är tillåtna? Johan Bålman Verksjurist 1 Skyldigheter för myndigheter 5 Förvaltningslagen Myndigheter skall se till att det är möjligt för enskilda att kontakta

Läs mer

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna. DETTA PERSONUPPGIFTSBITRÄDESAVTAL ( Personuppgiftsbiträdesavtalet ) är dag som nedan träffat mellan: (1) Lomma kommun, organisationsnummer 212000-1066 ( Kommunen ); och (2) [ ], organisationsnummer [ ]

Läs mer

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen Yttrande Diarienr 1 (6) 2015-02-26 2529-2014 Ert diarienr S2014/6786/SF Socialdepartementet Regeringskansliet 103 33 STOCKHOLM SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen Sammanfattning

Läs mer

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM 1 (6) meddelad i Stockholm den 5 juni 2012 KLAGANDE Försäkringskassan 103 51 Stockholm MOTPART Datainspektionen Box 8114 104 20 Stockholm ÖVERKLAGAT AVGÖRANDE Kammarrätten

Läs mer

ARKIVREGLEMENTE FÖR LUNDS KOMMUN

ARKIVREGLEMENTE FÖR LUNDS KOMMUN 1(7) ARKIVREGLEMENTE FÖR LUNDS KOMMUN Antaget av kommunfullmäktige den 23 april 2015, 78 och ersätter tidigare arkivreglemente, fastställt den 29 februari 1996, 22 Förutom de i arkivlagen (SFS 1990:782)

Läs mer

PERSONUPPGIFTSLAGEN (PUL)

PERSONUPPGIFTSLAGEN (PUL) 1 (6) PERSONUPPGIFTSLAGEN (PUL) Lagens ikraftträdande PUL trädde ikraft den 24 oktober 1998 och genom PUL:s införande upphävdes 1973-års datalag. För behandling av personuppgifter, som påbörjats före den

Läs mer

mellan myndigheter samt mellan myndigheter och företag principer för användning av e-legitimationer och utformning av åtkomstkontroll.

mellan myndigheter samt mellan myndigheter och företag principer för användning av e-legitimationer och utformning av åtkomstkontroll. YTTRANDE Dnr 2005-11-29 1678-2005 Ert dnr 131 576292 05/111 Skatteverket Att: Johan Bålman 171 94 Solna Förslag beträffande en Vägledning för Elektroniskt informationsutbyte mellan myndigheter samt mellan

Läs mer

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL 1 Microsoft AB ( Microsoft ), Box 27, 164 93 KISTA och ( Personuppgiftsbiträdet ) har denna dag träffat följande PERSONUPPGIFTSBITRÄDESAVTAL Bakgrund Personuppgiftslagen ställer krav på skriftligt avtal

Läs mer

Överenskommelse om myndighetssamverkan

Överenskommelse om myndighetssamverkan Överenskommelse om myndighetssamverkan för effektiv informationsförsörjning inom området för ekonomiskt bistånd 2 1. PARTER Denna överenskommelse om myndighetssamverkan har ingåtts mellan de uppgiftslämnande

Läs mer

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 1 (5) Förutsättningar för gallring efter skanning För att myndighet ska få gallra pappershandlingar efter skanning fordras det myndighetsspecifika

Läs mer

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL) Kommunledningsförvaltningen STYRDOKUMENT Godkänd/ansvarig 1(5) Beteckning Riktlinjer behandling personuppgifter Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL) 1.

Läs mer

Policy för hantering av personuppgifter

Policy för hantering av personuppgifter Policy för hantering av personuppgifter Dokumenttyp: Policy Beslutad av: Kommunstyrelsen Gäller för: Varbergs kommun Dokumentnamn: Policy för hantering av personuppgifter Beslutsdatum: 2013-10-15 Dokumentansvarig

Läs mer

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige Datum Diarienr 2013-11-05 1194-2013 Myndigheten för samhällskydd och beredskap 651 81 KARLSTAD Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet

Läs mer

Allmänna handlingar i elektronisk form

Allmänna handlingar i elektronisk form Allmänna handlingar i elektronisk form - offentlighet och integritet Slutbetänkande av E-offentlighetskommittén Stockholm 2010 STATENS OFFENTLIGA UTREDNINGAR SOU 2010:4 Innehåll Sammanfattning 13 Författningsförslag

Läs mer

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning Datum Diarienr 2014-03-18 195-2014 Centrala studiestödsnämnden - CSN 851 82 Sundsvall Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning Bakgrund

Läs mer

Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39) Stab Drazenko Jozic Myndighetsjurist 010-470 05 28 drazenko.jozic@uhr YTTRANDE Datum 2015-11-13 Diarienummer 1.2.3-825-2015 Justitiedepartementet Grundlagsenheten 103 33 Stockholm Postadress Box 45093

Läs mer

Personuppgiftsbehandling i forskning

Personuppgiftsbehandling i forskning Personuppgiftsbehandling i forskning 4 mars 2014 Victoria Söderqvist, jurist Datainspektionen Personuppgiftslagen Bygger på dataskyddsdirektivet Generell lag bestämmelser i annan lag eller förordning gäller

Läs mer

BILAGA Personuppgiftsbiträdesavtal

BILAGA Personuppgiftsbiträdesavtal BILAGA Personuppgiftsbiträdesavtal Till mellan Beställaren och Leverantören (nedan kallad Personuppgiftsbiträdet) ingånget Avtal om IT-produkter och IT-tjänster bifogas härmed följande Bilaga Personuppgiftsbiträdesavtal.

Läs mer

S Arkivreglemente för Hässleholms kommun

S Arkivreglemente för Hässleholms kommun www.hassleholm.se S Arkivreglemente för Hässleholms kommun Innehåll Tillämpningsområde (1 och 2a AL)... 2 Definitioner... 2 Arkivbildningens syfte (3 AL)... 2 Myndighetens arkivansvar (4 AL)... 2 Arkivmyndigheten

Läs mer

BILAGA 4A. JURIDISK ANALYS AV MINA FULLMAKTER (PROMEMORIA)

BILAGA 4A. JURIDISK ANALYS AV MINA FULLMAKTER (PROMEMORIA) BILAGA 4A. JURIDISK ANALYS AV MINA FULLMAKTER (PROMEMORIA) Till Från Pensionsmyndigheten/Förstudien Mina fullmakter Sören Öman, Per Furberg och Erik Sandström Datum 27 mars 2012 Saken Rättsfrågor i anslutning

Läs mer

Direktåtkomst och utlämnande på medium för automatiserad behandling. En rapport från E-delegationen

Direktåtkomst och utlämnande på medium för automatiserad behandling. En rapport från E-delegationen Direktåtkomst och utlämnande på medium för automatiserad behandling En rapport från E-delegationen 2 Förord Denna rapport har tagits fram av E-delegationens expertgruppen för juridiska frågor på uppdrag

Läs mer

24 kap. 8 offentlighets- och sekretesslagen (2009:400)

24 kap. 8 offentlighets- och sekretesslagen (2009:400) Fastställd av GD 21 juni 2016 Upphör att gälla 21 juni 2019 Ansvarig: GD-stab Dnr: 2016/1002 SEKRETESSPOLICY Policyns omfattning Det finns regler som styr hur uppgifter får lämnas ut från SCB. SCB:s sekretesspolicy

Läs mer

E-tjänster - juridiska lösningar för kommuner och landsting

E-tjänster - juridiska lösningar för kommuner och landsting E-tjänster - juridiska lösningar för kommuner och landsting Det behövs en helhetssyn - hur göra tekniska standarder och säkerhetslösningar, förvaltningspolitiska analyser och strävanden, rättsteoretiska

Läs mer

Riksarkivets författningssamling

Riksarkivets författningssamling Riksarkivets författningssamling ISSN 0283-2941 Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar (upptagningar för automatiserad behandling); RA-FS 2009:1 Utkom från trycket den 1

Läs mer

STADSLEDNINGSKONTORET JURIDISKA AVDELNINGEN SIDAN 1. och sekretess. September 2012

STADSLEDNINGSKONTORET JURIDISKA AVDELNINGEN SIDAN 1. och sekretess. September 2012 SIDAN 1 Samverkan, informationsutbyte tb t och sekretess Äldrecentrum September 2012 Regeringsformen Tryckfrihets- förordningen Yttrandefrihetsgrundlagen Offentlighet och sekretesslagen EG-RÄTT Hälso-och

Läs mer

Integritetsskydd - igår, idag, imorgon. Professor Cecilia Magnusson Sjöberg

Integritetsskydd - igår, idag, imorgon. Professor Cecilia Magnusson Sjöberg Integritetsskydd - igår, idag, imorgon Professor Cecilia Magnusson Sjöberg Innehåll 1. Framväxten av integritetsskyddslagstiftningen 2. EU:s dataskyddsförordning 3. Grunderna i personuppgiftslagen Att

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Beslut Dnr 2008-09-09 685-2008 Produktionsnämnden för vård och bildning Uppsala kommun 753 75 UPPSALA Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen

Läs mer

Rätt information på rätt plats i rätt tid, SOU 2014:23

Rätt information på rätt plats i rätt tid, SOU 2014:23 TJÄNSTESKRIVELSE Handläggare Datum Ärendebeteckning Thomas Johansson 2014-10-01 ON 2014/0083 53515 Omsorgsnämnden Rätt information på rätt plats i rätt tid, SOU 2014:23 Förslag till beslut Omsorgsnämnden

Läs mer

Från: Kent Sangmyr och Charlene Holmström Datum: 9 maj 2012 Angående: Utredning angående regelverket kring vårdens intyg till Försäkringskassan

Från: Kent Sangmyr och Charlene Holmström Datum: 9 maj 2012 Angående: Utredning angående regelverket kring vårdens intyg till Försäkringskassan 112591, 1 Bilaga 3, version 1.0 PM Till: Inera AB Från: Kent Sangmyr och Charlene Holmström Datum: 9 maj 2012 Angående: Utredning angående regelverket kring vårdens intyg till Försäkringskassan Syfte Syftet

Läs mer

Kanslichef - Tillsvidare

Kanslichef - Tillsvidare Riktlinjer för personuppgifter Dokumentnamn Dokumenttyp Fastställd/upprättad Beslutsinstans Riktlinjer för personuppgifter Riktlinje 2008-05-26 Kommunfullmäktige Dokumentansvarig Diarienummer Senast reviderad

Läs mer

DOM 2015-10-26 Meddelad i Stockholm

DOM 2015-10-26 Meddelad i Stockholm Avdelning 04 DOM 2015-10-26 Meddelad i Stockholm Sida 1 (5) Mål nr 7369-15 KLAGANDE AA Sveriges Radio, Ekot 105 10 Stockholm ÖVERKLAGAT AVGÖRANDE Arbetsförmedlingens beslut den 28 augusti 2015 i ärende

Läs mer

Riktlinjer för hantering av arkiv i Knivsta kommun KS-2016/223

Riktlinjer för hantering av arkiv i Knivsta kommun KS-2016/223 Riktlinjer för hantering av arkiv i Knivsta kommun KS-2016/223 Fastställt av kommunfullmäktige 2016-05-25 93 Dokumentet ersätter dokumentet Arkivorganisation beslutat av kommunchefen 2008-12-17. 1 INNEHÅLL

Läs mer

Användarvillkor Mina meddelanden

Användarvillkor Mina meddelanden Användarvillkor Mina meddelanden 1. Allmänt 1.1 Skatteverket tillhandahåller i enlighet med 5 Förordning (2003:770) om statliga myndigheters elektroniska informationsutbyte tjänsten Mina meddelanden för

Läs mer

Remiss SOU 2014:23: Rätt information på rätt plats och i rätt tid

Remiss SOU 2014:23: Rätt information på rätt plats och i rätt tid TJÄNSTESKRIVELSE Handläggare Datum Ärendebeteckning Ingela Möller 2014-09-15 SN 2014/0380 0480-450885 Socialnämnden Remiss SOU 2014:23: Rätt information på rätt plats och i rätt tid Förslag till beslut

Läs mer

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL Bilaga 8 Personuppgiftsbiträdesavtal Polismyndigheten Datum: 2016-12-22 Dnr: A293.290/2016 PERSONUPPGIFTSBITRÄDESAVTAL 1 PARTER Personuppgiftsansvarig: Polismyndigheten, org. nr. 202100-0076, Box 12256,

Läs mer

Riktlinjer för statliga myndigheters användning av sociala medier ur ett rättsligt perspektiv

Riktlinjer för statliga myndigheters användning av sociala medier ur ett rättsligt perspektiv Riktlinjer för statliga myndigheters användning av sociala medier ur ett rättsligt perspektiv En presentation från Johan Bålman 1 Myndigheterna medverkar på olika nivåer Delegationen beslutar generaldirektörerna

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Utlänningsdatalag; utfärdad den 4 februari 2016. SFS 2016:27 Utkom från trycket den 5 februari 2016 Enligt riksdagens beslut 1 föreskrivs följande. Lagens syfte 1 Syftet med

Läs mer

M E L L A N P E R S O N U P P G I F T S A N S V A R I G O C H P E R S O N U P P G I F T S B I T R Ä D E

M E L L A N P E R S O N U P P G I F T S A N S V A R I G O C H P E R S O N U P P G I F T S B I T R Ä D E 2013-08-28 0 (5) AVTAL M E L L A N P E R S O N U P P G I F T S A N S V A R I G O C H P E R S O N U P P G I F T S B I T R Ä D E För personuppgifter som är relaterade till Höganäs kommun FÖRVALTNING 1 (5)

Läs mer

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning. Innehållsförteckning Syftet 2 Personuppgiftslagen (1998:204) 3 Behandling av personuppgifter för administrativa ändamål 6 Känsliga uppgifter 6 Personnummer på klasslistor 8 Uppgifter om familjemedlemmar

Läs mer

Malmö stads riktlinjer för sociala medier

Malmö stads riktlinjer för sociala medier Malmö stads riktlinjer för sociala medier Bakgrund Sociala medier är i första hand en plats för dialog och inte en traditionell reklamkanal. Det handlar först och främst om kommunikation, konversation

Läs mer

Utdrag ur protokoll vid sammanträde

Utdrag ur protokoll vid sammanträde 1 LAGRÅDET Utdrag ur protokoll vid sammanträde 2012-05-16 Närvarande: F.d. justitieråden Marianne Eliason och Peter Kindlund samt justitierådet Kerstin Calissendorff. Sekretess vid samarbete mellan europeiska

Läs mer

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM 1 (7) meddelad i Stockholm den 29 oktober 2015 KLAGANDE Försäkringskassan 103 51 Stockholm MOTPART Datainspektionen Box 8114 104 20 Stockholm ÖVERKLAGAT AVGÖRANDE Kammarrätten

Läs mer

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration Yttrande Diarienr 1(7) 2016-04-222016-04-22 Dnr 386-2016 Ert diarienr Dnr Fi 2016/00407/S3 Finansdepartementet 103 33 Stockholm Promemorian Uppgifter på individnivå i en arbetsgivardeklaration Datainspektionen

Läs mer

H ö g s t a f ö r v a l t n i n g s d o m s t o l e n

H ö g s t a f ö r v a l t n i n g s d o m s t o l e n H ö g s t a f ö r v a l t n i n g s d o m s t o l e n HFD 2012 ref. 21 Målnummer: 4453-10 Avdelning: 1 Avgörandedatum: 2012-06-05 Rubrik: Lagrum: Försäkringskassan har vid tillhandahållande av elektroniska

Läs mer

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal DNR 13-125/2325 SID 1 (9) Bilaga 9 Personuppgiftsbiträdesavtal Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm DNR 13-125/2325 SID 2 (9) INNEHÅLLSFÖRTECKNING

Läs mer

EU:s dataskyddsförordning

EU:s dataskyddsförordning EU:s dataskyddsförordning Länsstyrelsen den 8 november 2016 Elisabeth Jilderyd och Eva Maria Broberg Datainspektionen Datainspektionen Datainspektionen arbetar för att säkra den enskilda individens rätt

Läs mer

05:02 Vägledning för hantering av inkommande elektroniska handlingar

05:02 Vägledning för hantering av inkommande elektroniska handlingar 05:02 Vägledning för hantering av inkommande elektroniska handlingar DATUM DIARIENR 2005-05-11 2004/20-3 Vägledning för hantering av inkommande elektroniska handlingar Denna Vägledning för hantering av

Läs mer

Lag (2001:185) om behandling av uppgifter i Tullverkets verksamhet

Lag (2001:185) om behandling av uppgifter i Tullverkets verksamhet Tullkodex m.m./vissa andra tullförfattningar 1 Lag (2001:185) om behandling av uppgifter i Tullverkets verksamhet 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 [4301] Denna lag tillämpas vid

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Lag om behandling av personuppgifter inom socialförsäkringens administration; SFS 2003:763 Utkom från trycket den 25 november 2003 utfärdad den 13 november 2003. Enligt riksdagens

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Åklagardatalag; utfärdad den 25 juni 2015. SFS 2015:433 Utkom från trycket den 7 juli 2015 Enligt riksdagens beslut 1 föreskrivs följande. 1 kap. Lagens syfte och tillämpningsområde

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datum Diarienr 2011-12-12 750-2011 Landstingsstyrelsen Landstinget Blekinge 371 81 Karlskrona Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut

Läs mer

OFFENTLIGHET OCH SEKRETESS

OFFENTLIGHET OCH SEKRETESS OFFENTLIGHET OCH Juristprogrammet Termin 6 Vårterminen 2015 Lars Bejstam YTTRANDEFRIHET Information kan finnas lagrad på olika sätt, t.ex. skriftliga dokument upptagningar, t.ex. datalagrad information

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 755-2011 Socialnämnden Södertälje Kommun 151 89 Södertälje Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

POLICY FÖR E-ARKIV STOCKHOLM

POLICY FÖR E-ARKIV STOCKHOLM Stadsarkivet Dnr 9.0 7389/08 Sida 1 (8) 2016-03-17 POLICY FÖR E-ARKIV STOCKHOLM Sida 2 (8) Innehåll POLICY... 1 FÖR E-ARKIV STOCKHOLM... 1 1. e-arkiv Stockholm en central resurs i stadens informationshantering...

Läs mer

Betänkandet SOU 2014:39 Så enkelt som möjligt för så många som möjligt Bättre juridiska förutsättningar för samverkan och service

Betänkandet SOU 2014:39 Så enkelt som möjligt för så många som möjligt Bättre juridiska förutsättningar för samverkan och service KS 9 8 OKTOBER 2014 KOMMUNLEDNINGSKONTORET Handläggare Duvner Sara Winbladh Torkel Datum 2014-07-11 Diarienummer KSN-2014-0952 Kommunstyrelsen Betänkandet SOU 2014:39 Så enkelt som möjligt för så många

Läs mer

Myndighetsdatalag (SOU 2015:39)

Myndighetsdatalag (SOU 2015:39) ISF1007, v1.1, 2015-09-22 REMISSVAR 1 (5) Datum Diarienummer 2015-11-16 2015-87 Justitiedepartementet Grundlagsenheten Att: Nils Sjöblom 103 33 Stockholm Myndighetsdatalag (SOU 2015:39) Inspektionen för

Läs mer

Yttrande över slutbetänkandet Myndighetsdatalagen (SOU 2015:39)

Yttrande över slutbetänkandet Myndighetsdatalagen (SOU 2015:39) PM 1 (9) Justitiedepartementet Grundlagsenheten 103 33 Stockholm Yttrande över slutbetänkandet Myndighetsdatalagen (SOU 2015:39) Ert dnr JU2015/3364/L6 Det är en gedigen utredning som innehåller en omfattande

Läs mer

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204) Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt 30-31 Personuppgiftslagen (1998:204) Modellavtal 1 riktar sig till de vårdgivare som avser att direkt

Läs mer

Remissyttrande över promemorian Sekretess i det internationella samarbetet (Ds 2012:34) Dnr Ju2012/5900/L6

Remissyttrande över promemorian Sekretess i det internationella samarbetet (Ds 2012:34) Dnr Ju2012/5900/L6 2012-10-31 Dnr 2012/1656 Justitiedepartementet 103 33 Stockholm Remissyttrande över promemorian Sekretess i det internationella samarbetet (Ds 2012:34) Dnr Ju2012/5900/L6 Nedan följer Riksgäldskontorets

Läs mer

Skyldigheten att lämna registerutdrag blir mindre betungande

Skyldigheten att lämna registerutdrag blir mindre betungande Sammanfattning Hanteringen av personuppgifter som inte ingår i personregister underlättas Personuppgiftslagsutredningen har haft i uppdrag att göra en över-syn av personuppgiftslagen. Syftet har varit

Läs mer

och juridik = sant Johan Bålman E-delegationen

och juridik = sant Johan Bålman E-delegationen Sociala medier och juridik = sant Johan Bålman -delegationen Myndigheterna medverkar på olika nivåer Delegationen beslutar generaldirektörerna Arbetsgruppen bereder IT-chefer Projektgrupper Kanalstrategi,

Läs mer

esam juridik Offentliga rummen 26 maj 2016 Johan Bålman och Per Furberg

esam juridik Offentliga rummen 26 maj 2016 Johan Bålman och Per Furberg esam juridik Offentliga rummen 26 maj 2016 Johan Bålman och Per Furberg johan.balman@pensionsmyndigheten.se pf@perfurberg.se Medlemsorganisationerna utgör grunden för programmet esam Organisation Värdmyndighet

Läs mer

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal[ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande [**], reg. no. [**],med addressen [**] (i det följande Leverantören samt

Läs mer

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m. Yttrande Diarienr 2009-03-13 1811-2008 Ert diarienr M2007/4638/R Miljödepartementet 103 33 STOCKHOLM Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning

Läs mer

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte Författningssamling Fastställd av kommunfullmäktige: 2003-03-27 68 Reviderad: Personuppgiftslagen Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte 1 Lagens syfte är att skydda människor så

Läs mer

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63) Yttrande Diarienr 2010-12-20 1556-2010 Ert diarienr Ju2010/7476/EMA Justitiedepartementet 103 33 Stockholm Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63) Datainspektionen, som har

Läs mer

Arkivreglemente för Kristianstads kommun

Arkivreglemente för Kristianstads kommun -1-2014 Arkivreglemente för Kristianstads kommun Antaget av kommunfullmäktige 2014-10-14 158 att gälla från 2014-11-01. Ersätter nr 452 Inledning Information behövs både i dag och i framtiden. Den ska

Läs mer

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28) Yttrande Diarienr 2012-04-13 1825-2011 Ert diarienr Ju2011/1164 Ju2011/7648 Justitiedepartementet Straffrättsenheten 103 33 STOCKHOLM Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade

Läs mer

Allmänna handlingar. hos kommunala och landstingskommunala företag

Allmänna handlingar. hos kommunala och landstingskommunala företag Allmänna handlingar hos kommunala och landstingskommunala företag Allmänna handlingar hos kommunala och landstingskommunala företag Offentlighetsprincipen har mycket gamla anor i Sverige. Den infördes

Läs mer

Personuppgiftslagen konsekvenser för mitt företag

Personuppgiftslagen konsekvenser för mitt företag Personuppgiftslagen konsekvenser för mitt företag I denna promemoria finns information om personuppgiftslagen ( PuL ) som från och med den 1 oktober i år börjar gälla för de flesta behandlingar av personuppgifter

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2010-05-21 1319-2009 Styrelsen för Sahlgrenska Universitetssjukhuset Torggatan 1 431 35 Mölndal Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen

Läs mer

LAGEN.NU. Lag (2003:763) om behandling av personuppgifter inom socialförsäkrin... administration. Nyheter Lagar Domar Begrepp

LAGEN.NU. Lag (2003:763) om behandling av personuppgifter inom socialförsäkrin... administration. Nyheter Lagar Domar Begrepp 1 of 11 27/09/2010 13:03 LAGEN.NU Nyheter Lagar Domar Begrepp Lag (2003:763) om behandling av personuppgifter inom socialförsäkringens administration Departement Socialdepartementet Utfärdad 2003-11-13

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Arbetslöshetskassornas samorganisation (SO)

Tillsyn enligt personuppgiftslagen (1998:204) Arbetslöshetskassornas samorganisation (SO) Datum Diarienr 2013-04-17 1822-2012 Arbetslöshetskassornas samorganisation, SO Box 1110 111 81 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Arbetslöshetskassornas samorganisation (SO) Datainspektionens

Läs mer

Säkerhetspolisens behandling av personuppgifter inom ramen för NCT-samarbetet

Säkerhetspolisens behandling av personuppgifter inom ramen för NCT-samarbetet Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2015-05-06 Dnr 324-2014 Säkerhetspolisens behandling av personuppgifter inom ramen för NCT-samarbetet 1. SAMMANFATTNING Säkerhets- och integritetsskyddsnämnden

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datum Dnr 2008-06-23 473-2008 Stadsdelsnämnden Södra Innerstaden, Malmö stad Box 7070 200 42 Malmö samt via e-post och fax sodrainnerstaden@malmo.se 040-346460 Beslut efter tillsyn enligt personuppgiftslagen

Läs mer

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET PUL i praktiken Vad är PuL? PuL betyder Personuppgiftslagen och trädde i kraft 1998. Personuppgiftsansvarig Den som ensam eller tillsammans med andra bestämmer

Läs mer

OFFENTLIGHET OCH SEKRETESS

OFFENTLIGHET OCH SEKRETESS OFFENTLIGHET OCH SEKRETESS Björn Jennbacken Offentlighetsprincipen HISTORIK Sverige föregångsland, År 1766 fick vi vår första TF SYFTE Främja rättssäkerheten Främja effektiviteten i folkstyret Främja effektiviteten

Läs mer

Arkivreglemente för Staffanstorps kommun

Arkivreglemente för Staffanstorps kommun FÖRFATTNING 1.4 [1] Antaget av kommunfullmäktige 126/14 2014-KS-124 Arkivreglemente för Staffanstorps kommun Förutom de i arkivlagen (SFS 1991:782) och arkivförordningen (SFS 1991:446) intagna bestämmelserna

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 757-2011 Socialnämnden Lunds Kommun 221 00 Lund Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Beslut Dnr 2009-01-12 786-2008 Kuoni Scandinavia AB Box 454 39 113 47 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Datainspektionens

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Beslut Dnr 2008-09- 09 810-2008 Utbildningsnämnden i Skövde kommun 541 83 SKÖVDE Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar att

Läs mer

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud Välkomna till Datainspektionen Grundkurs i personuppgiftslagen Grundkurs för personuppgiftsombud Ulrika Bergström, Jonas Agnvall, Agneta Runmarker och Ranja Bunni 15-16 mars 2016 Grundkurs i personuppgiftslagen

Läs mer

Styrelseutbildning för koncernen Stockholms Stadshus AB 2015. Catharina Gyllencreutz, stadsjurist Stockholms stads juridiska avdelning

Styrelseutbildning för koncernen Stockholms Stadshus AB 2015. Catharina Gyllencreutz, stadsjurist Stockholms stads juridiska avdelning Styrelseutbildning för koncernen Stockholms Stadshus AB 2015 Catharina Gyllencreutz, stadsjurist Stockholms stads juridiska avdelning The Capital of Scandinavia Väsentliga regelverk EU-rätten Regeringsformen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte Beslut Diarienr 2011-04-01 1579-2010 Socialnämnden i Botkyrka Kommun 147 785 Tumba Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte Datainspektionens beslut Datainspektionen

Läs mer

Användandet av E-faktura inom den Summariska processen

Användandet av E-faktura inom den Summariska processen 1(7) Användandet av E-faktura inom den Summariska processen Kronofogdemyndigheten fastställer att den bedömning som det redogörs för i bifogade rättsliga promemoria under rubriken Kronofogdemyndighetens

Läs mer