Kansliets svar begränsas i huvudsak till frågor som ligger inom E-delegationens verksamhetsområde.

Transkript

1 Synpunkter Fi2009:01/2012/7 E-delegationen N Fi 2009:01 Justitiedepartementet Stockholm Johan Bålman Telefon E-post johan.balman@enterprise.ministry.se Kommissionens förslag till dataskyddsförordning (KOM (2012) 11 slutlig) E-delegationen har fått rubricerat förslag på remiss. På grund av den korta remisstiden kan inte något samordnat svar från delegationen lämnas. Detta svar lämnas av E-delegationens kansli. Samtidigt kan erinras om att samtliga delegationens medlemmar har fått remissen till sina respektive myndighet/organisation. Sammanfattning Kansliets svar begränsas i huvudsak till frågor som ligger inom E-delegationens verksamhetsområde. Kansliet anser det mycket tillfredsställande att en översyn av det s.k. dataskyddsdirektivet genomförs och ställer oss bakom mycket i förslaget. Vi har emellertid synpunkter på centrala delar av förslaget, främst valet att reglera genom en direkt tillämplig EU-förordning, men även i andra frågor. Vi avstyrker att ändringarna genomförs i form av en direkt tillämplig EU-förordning. Vi ser i huvudsak tre viktiga skäl till att förordningsformen ska undvikas, särskilt på myndighetsområdet; tillämpningsområdet blir alldeles för stort, integritetsskyddsreglering kan på ett betydligt effektivare sätt regleras på nationell nivå och oklarheter när det gäller områden som inte omfattas av unionslagstiftningen. Förändringarna bör i stället genomföras i form av ändringar av dataskyddsdirektivet. Bemyndigandena i förordningen till kommissionen att meddela delegerade akter är alltför omfattande och oklart. Förhållandet stärker bedömningen av att förändringarna inte ska genomföras i form av en förordning. Postadress Besöksadress Telefonväxel Stockholm Karlavägen

2 2 Det behövs förenklings- eller missbruksregler, bl.a. för att myndigheter ska kunna använda social medier. Användningen av begreppet myndighetsutövning i art. 6 i den svenska översättningen måste ses över. Vi bedömer att förutsättningarna av att även framdeles meddela registerförfattningar synes vara goda men att gränserna för vad som kan föreskrivas kan framstår som oklara. Det återstår arbete med riktlinjer när gemensamt personuppgiftsansvar uppkommer. Det kan ske på nationell nivå. I utvecklingen mot en e-förvaltning kommer samverkan mellan olika personuppgiftsansvariga, och därmed gemensamt personuppgiftsansvar, att öka. Den registrerade ges i flera fall rätt att erhålla information i elektronisk form. Denna rätt måste förenas med undantag för de fall en erforderlig säkerhetslösning inte finns på plats. Personuppgiftsombud bör inte vara obligatoriskt för myndigheter. Detta skulle annars riskera att försämra integritetsskyddet och hindra myndigheten att organisera sig på det sätt som är lämpligt och effektivt. Dessutom bortser förslaget från att myndigheter kan vara små, t.ex. en kommitté. Kansliets avgränsning m.m. Utgångspunkten för kansliets synpunkter har varit hur förslaget påverkar myndigheter och hur det främjat en effektiv e-förvaltning som ger skydd åt de registrerades personliga integritet. Vi går därför inte närmare in på de brister som vi anser finns när det t.ex. gäller förslagets förhållande till det svenska grundlagsskyddet av tryckoch yttrandefrihet. I sammanhanget vill vi emellertid framföra att det finns oklarheter i förslaget när det gäller gallring av allmänna handlingar. Bevarandet av allmänna handlingar är en förutsättning för den i tryckfrihetsförordningen garanterade handlingsoffentlighet. Om gallring av allmänna handlingar ska ske utifrån art. 5.c) riskerar handlingsoffentligheten att urholkas. Möjligheten till begränsningar, se art. 21. c) framstår inte som tillräckligt skydd för den svenska handlingsoffentligheten. Det torde nämligen slutligen vara EU-domstolen som tolkar vad som anses vara en medlemsstats allmänna intressen. Här behövs ett klargörande. Förordning eller direktiv Den allvarligaste invändningen mot förslaget gäller valet att genomföra översynen genom att ersätta dataskyddsdirektivet med en EU-förord-

3 ning, vilken är direkt tillämplig i svensk rätt. Kansliet avstyrker det och föreslår i stället att dataskyddsdirektivet ändras. I andra hand föreslår vi att förordningen ges ett mycket begränsat innehåll, särskilt när det gäller myndigheters behandling av personuppgifter, och att det kompletteras med regler i direktivform där det är nödvändigt. En utgångspunkt för kansliets negativa bedömning av en direkt tillämpbar EU-förordning är förslagets mycket höga detaljeringsgrad. Till detta kommer de omfattande bemyndiganden som ges till Kommissionen att besluta om delegerade akter. Frågan är om denna detaljeringsgrad har varit avsedd. I förslagets motivering, avsnitt 3.1, Legal bases, andra stycket, anges A regulation is considered to be the most appropriate legal instrument to define the framework for the protection of personal data in the Union. Senare i samma stycke talas om a harmonised set of core rules. Förslaget utgör emellertid, som vi ser det, inte ett ramverk utan består av ett mycket detaljerat regelverk, långt ifrån en uppsättning kärnbestämmelser. Hade förslaget bestått av ett ramverk med ett begränsat antal kärnbestämmelser och med huvudsaklig reglering genom införande i nationell lagstiftning skulle vår bedömning sannolikt blivit en annan. Förutom förordningens mycket höga detaljeringsgrad ser vi ser i huvudsak tre viktiga skäl till att förordningsformen ska undvikas. För det första kan verksamhet som kräver hantering av personuppgifter svårligen utföras om automatisering är förbjuden. Det är knappast längre något alternativ att behandla personuppgifter manuellt. Verksamheten hos myndigheter är med olika detaljeringsgrad reglerad av verksamhetsknuta författningar samt en stor mängd olika skyddsregler som följer svensk författningstradition. Mot den bakgrunden får en direkt tillämplig EUförordning en oöverskådlig inverkan på dessa författningar. Det gäller många olika slags författningar såsom myndighetsinstruktioner, förfaranderegler. Regleringen spiller således över på den verksamhet som bedrivs och kan dessutom kräva omfattande anpassningar av omgivande reglering., materiella regler m.fl. För det andra påverkar en EU-förordning negativt det utmejslade integritetsskydd som är målet med svenska registerförfattningar inom olika myndighetsområden. Det är inte sannolikt att det kan ersättas med sektorsvisa delegerade akter från Kommissionen (jfr art 6 5.). Dessutom kanske svenska myndighetsgränser inte överensstämmer med de sektorer om kommissionen avser att reglera. För det tredje skapar en direkt tillämplig EU-förordning svårigheter vad gäller regleringen av områden som helt eller delvis inte omfattas av förordningen. Som framgår av art. 2.2.a) ska förordningen inte tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionslagstiftningen. En fråga som kan ställas är hur en nationell integritetsskyddsreglering ska utformas för sådan verksamhet. I 3

4 många fall ingår dessa i verksamhet som omfattas av unionsionslagstiftning. Som exempel kan nämnas lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Den författningen reglerar såväl området mervärdesskatt som andra skatteområden. Den första omfattas av unionslagstiftningen, de andra inte. Behandling av uppgifter inom nämnda områden är emellertid integrerade i varandra och kan svårligen särskiljas. Som framgår av kansliets synpunkter även i övrigt anser vi att det finns stora nackdelar med en direkt tillämplig förordning och att fördelarna med en implementering i svensk lagstiftning överväger. Den bedömningen leder till ett val mellan att tillämpa förordningen på all behandling av uppgifter, vilket enligt vår uppfattning innebär en försvagning av integritetsskyddet, eller att tillämpa en registerförfattning inom delar av beskattningsområdet, vilket enligt vår uppfattning stärker integritetsskyddet inom de områden som kommer att omfattas av registerförfattningen. Genom att ändra dataskyddsdirektivet i stället för att införa en EU-förordning undviks dessa regleringssvårigheter. Som ytterligare skäl för att inte genomföra förslagen i form att en direkt tillämplig EU-förordning är den är en produkt av EU:s regeltradition. Den avviker från svensk regeltradition och är förhållandevis svår att tillgodogöra sig för svenska användare. Detta förhållande förstärks genom att förändringarna genomförs för att ge särskilt de registrerade ytterligare rättigheter och personuppgiftsansvariga ytterligare skyldigheter. Det kan antas att många av dem som omfattas av de nya rättigheterna och skyldigheterna inte kan tillgodogöra sig innehållet i förordningen. Särskilt svårt torde de undantag och de begränsningar som gäller myndigheter vara. Detsamma gäller innebörden av delegerade akter, se nedan. I sammanhanget kan också noteras att den föreslagna förordningen till stor del handlar om de nationella tillsynsmyndigheternas förhållande till den Europeiska dataskyddsmyndigheten och till Kommissionen. Enligt kansliets uppfattning tynger detta förordningen och bör regleras särskilt. Det kan också noteras att den vikt som lagts vid att den nationella dataskyddsmyndigheten ska vara fullständiga oberoende (art. 47). Det kan, enligt kansliet, ifrågasättas om detta oberoende endast gäller i förhållande till den egna medlemsstaten och inte EU:s myndigheter. 4 Delegerade akter Förslaget ger Kommissionen bemyndigande att meddela ett mycket stort antal delegerade akter (jfr art. 86). Det gör förslaget mycket svårt att ta ställning till. Förordningsformen i sig innebär en stor påverkan på medlemsländerna, se ovan under avsnitt Förordning eller direktiv. Bemyndigandena förstärker de argument som där framförs om att i stället genomföra ändringar i direktivform.

5 5 Förenklings/missbruksregler behövs Myndigheters användning av sociala medier kan svårligen förenas med den föreslagna förordningen. Det gäller framför allt förbudet mot att behandla känsliga uppgifter och uppgifter om lagöverträdelser, men även samtyckesregleringen och möjligheterna att lämna information. Fysiska personers användning av sociala medier torde inte påverkas. De kan åberopa undantaget från förordningen i art d) men myndigheters har inte den möjligheten. Detta kan inte vara en önskvärd effekt. Även i övrigt saknar förslaget, enligt kansliets mening, undantag för sådan vardaglig behandling som avses i 5 a personuppgiftslagen (1998:204). Resultatet riskerar att medföra att viss angelägen behandling inte utförs eller endast kan utföras med medel som förorsakar oproportionella kostnader. Begreppet myndighetsutövning Målen för översynen tycks i första hand vara att skydda enskildas integritet från missbruk av privata företag samt att samordna integritetsregleringen för företag. Vilka förändringar det har på myndigheters förutsättningar att behandla personuppgifter är mer oklart. Det gäller särskilt förhållandet mellan en EU-förordning och nationella registerförfattningar. I art. 6 föreskrivs när personuppgifter får behandlas. För myndigheternas blir särskilt punkterna c), e) och f) i art. 6.1 fullgörande av en rättslig förpliktelse, fullgörande av ett allmänt intresse eller ett led i myndighetsutövning samt förbud att tillämpa intresseövervägande i myndighetsutövning av betydelse. De nämnda punkterna ska emellertid läsas tillsammans med art. 6.3 där behandling av uppgifter enligt de båda förstnämnda punkterna ska föreskrivas i unionslagstiftning eller i nationella föreskrifter (se även punkt 38 i preambeln). Användningen av begreppet myndighetsutövning är olämplig och gör art. 6.1e) och f) svår att förstå. Den förstnämnda punkten tillåter behandling om den är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige. Den andra punkten undantar intresseöverväganden som grund för behandling av personuppgifter som utförs av myndigheter i deras myndighetsutövning. I sammanhanget kan nämnas att i den engelska versionen av förslaget använder andra uttryck, nämligen the exercise of official authority vested in the controller samt in the performance of their tasks.

6 Begreppet myndighetsutövning i svensk rätt innefattar endast en begränsad del av all den verksamhet som myndigheter har att utföra. Vi menar att den grund för behandling av personuppgifter som ges i art. 6.1.e) måste ta sikte på myndigheters utförande av de myndighetsuppgifter som i instruktioner m.m. har ålagts dem enligt författning Det är här värt att nämna att Förvaltningslagsutredningen i sitt betänkande En ny förvaltningslag SOU 2010:29, s 99 ff., för en diskussion om svårigheterna med att använda begreppet och föreslår att de hänvisningar till begreppet myndighetsutövning som görs i förvaltningslagen helt skall tas bort, främst för att man inte kunnat hitta en rimlig och hållbar avgränsning av begreppet myndighetsutövning som sådant. Konsekvensen av att använda det svenska begreppet myndighetsutövning som grund för en myndighets behandling av personuppgifter vad gäller art e) att utrymmet för behandlingen synes bli mindre än i den framstår vara i den engelska översättningen. Beträffande art 6.1.f) synes förhållandet vara det omvända behandling är tillåtet endast beträffande det som är inte utgör myndighetsutövning. Här synes utrymmet för behandling vara vidare än i den engelska översättningen. Mot denna bakgrund föreslår vi att begreppet inte används i den svenska översättningen utan att den i stället ansluter sig till den engelska versionen. 6 Registerförfattningar Vi noterar att förutsättningarna för medlemsländerna att meddela registerförfattningar synes vara goda, jfr art. 6, och art 21, särskilt punkt c) samt punkt 38 i preambeln. Förutsättningarna är dock inte särskilt tydliga och arbete återstår sannolikt att nationellt utröna var gränserna för vad som kan föreskrivas utan att konflikt uppkommer med den föreslagna EU-förordningen. Gemensamt personuppgiftsansvar I art. 24 tas frågan om gemensamt personuppgiftsansvar upp. Enligt artikeln ska de inblandade fastställa sitt respektive ansvar för att skyldigheter och rättigheter från integritetsskyddssynpunkt ska tas tillvara. Det är en viktig fråga för att åstadkomma en effektiv e-förvaltning som samtidigt tillgodoser ett bra integritetsskydd. Enligt kansliets bedömning är det inte nödvändigt att närmare riktlinjer utvecklas inom EU. Här bör ett nationellt arbete utföras som stödjer utvecklingen av rutiner för uppdelning av gemensamt ansvar. Bakgrunden är att utvecklingen av en e-förvaltning förutsätter ökad samverkan mellan myndigheter, särskilt vid e-tjänster riktade mot enskilda. I arbetet kommer hänsyn i allt större utsträckning tas till

7 situationer och livshändelser som enskilda upplever. Ofta begränsar sig situationerna och livshändelserna inte till en viss myndighet utan kräver aktiviteter från flera. Målet är att myndigheter ska kunna samverka back-office, dvs. så att en enskild tar kontakt med en myndighet som sedan samverkar med andra berörda myndigheter. Denna samverkan förutsätter behandling av personuppgifter, många gånger så att ett gemensamt personuppgiftsansvar uppkommer. 7 Rätt till information i elektronisk form I art och 15.2 har den registrerade rätt att erhålla information i elektronisk form om så begärs (jfr även art. 55.5). Bestämmelserna måste, enligt vår bedömning, förses med undantag för de fall där en överföring av uppgifter i elektronisk form kan leda till att obehöriga kommer åt dem. Överföring av personuppgifter i elektronisk form till registrerade måste kunna ske på ett säkert sätt för att inte själva överföringen i sig ska äventyra den registrerades personliga integritet. Överföringen bör krypteras. Dessutom bör kontroll av mottagarens identitet göras när det överförda meddelandet ska tas emot. Det är orimligt att kräva att alla personuppgiftsansvariga ska bygga upp sådana rutiner idag. I Sverige planeras rutiner för säker meddelandehantering men det är inte klart och förutsätter dessutom aktiviteter från den registrerades sida. Personuppgiftsombud En nyhet i förslaget jämfört med det befintliga dataskyddsdirektivet är skyldighet för den personuppgiftsansvarige att utse ett personuppgiftsombud, bl.a. om denne är myndighet eller företag med över 250 anställda, se art 35. Med skyldigheten följer straffansvar för den som inte utser ett sådant ombud. Vi föreslår att den skyldigheten tas bort. Det bör, såsom nu, vara frivilligt. Personuppgiftsombud, med den roll som förslaget ger denne, följer inte svensk rättstradition. Enligt kansliet bör personuppgiftsansvariga själva få avgöra om ett personuppgiftsombud ska utses. Det gäller särskilt myndigheter, där integritetsskyddsbestämmelser bara är ett av flera regelområden som måste följas. Hos vissa personuppgiftsansvariga kan ett personuppgiftsombud spela en viktig och nyttig roll, men inte hos alla. Det finns flera negativa inslag förenade med företeelsen som gör att andra lösningar är bättre. En nackdel är att den utsedda personen ställning blir för svag i organisationen, betydligt svagare än en internrevisors, och det hotar personuppgiftsombudets oberoende ställning. Det finns, trots den motsatta avsikten med

8 8 förslaget, risk för intressekonflikt, särskilt om ombudet har anställning hos den personuppgiftsansvarige. Vidare kan fokuseringen inom en myndighet på ett personuppgiftsombud skymma ansvaret för myndigheten och minska kunskapen om integritetsskyddsreglerna hos de anställda som behöver dem bäst. Hos en myndighet måste de flesta anställda ha grundläggande kunskaper på många områden, bl.a. om integritetsskydd, förfarande, bevarande och gallring, offentlighetsprincipen m.m. Vissa personer, t.ex. ansvariga för projekt, måste ha mycket djupare kunskap inom samma områden. Dessutom finns normalt experter inom respektive område. Här kan utseendet av ett personuppgiftsombud motverka målet att öka integritetsskyddet. Det saknas dessutom undantag från kravet beträffande små myndigheter, t.ex. kommittéer. Det förefaller inte rimligt att dessa ska ha personuppgiftsombud. Det är en viktig hörnsten i såväl nuvarande som föreslagen reglering av behandling av personuppgifter att ansvaret åvilar den personuppgiftsansvarige, dvs. myndigheten. Det gäller oavsett om denne utser ett personuppgiftsombud eller väljer att bygga upp kompetens på annat sätt, t.ex. genom att införa rutiner och utbilda personalen. En myndighet bör ha den möjligheten. Övrigt Avslutningsvis kan noteras en del felaktigheter i den svenska översättningen jämfört med den engelska och de begrepp som används i personuppgiftslagen. Det gäller bl.a. centrala begrepp som registeransvarig, som bör vara ersättas med personuppgiftsansvarig och uppgiftsskyddsombud som bör ersättas med personuppgiftsombud. För E-delegationens kansli Claes Thagemark Johan Bålman