Eget utrymme är numera accepterat i lagmotiv frågor om legalitet och dataskydd återstår

Transkript

1 Johan Bålman Eget utrymme är numera accepterat i lagmotiv frågor om legalitet och dataskydd återstår Rättsläget har genom två lagstiftningsärenden förtydligats när det gäller hur eget utrymme förhåller sig till tryckfrihetsförordningens regler om handlingsoffentlighet och offentlighets- och sekretesslagens regler om tystnadsplikt. Utvecklingen kompliceras istället av att det delvis framstår som oklart om myndigheternas hantering av eget utrymme är förenlig med legalitetsprincipen och reglerna om persondataskydd. Innehåll 1 Bakgrund E-delegationen En grundläggande beskrivning i lagmotiv av eget utrymme Rättspraxis En närmare redovisning av uttalanden som rör eget utrymme Utgångspunkter Påståenden om tillämplighet Myndigheten måste begränsa den egna personalens tillgång Myndigheten väljer utformning av tjänsten Det saknas insynsintresse Hjälptjänster utgör inte enbart teknisk bearbetning och lagring Presentationstjänster Omedelbar gallring kan vara ett alternativ när handlingar blir allmänna Analys från praktiska utgångspunkter Endast för annans räkning Kommunikationen får inte utformas så att uppgifter blir tillgängliga för annan myndighet Förvaltningsrättslig grund för att tillhandahålla eget utrymme Legalitetsprincipen måste följas Bestämmelserna om service, tillgänglighet och samverkan kan ge viss ledning Preliminär bedömning Rättslig grund för personuppgiftsbehandling i eget utrymme? Personuppgiftsansvar enligt den allmänna regleringen eller enligt registerförfattning Personuppgiftsbehandling måste ha en rättslig grund Känsliga personuppgifter i eget utrymme och sökbegränsningar Slutord Bilaga Bakgrund När någon fyller i uppgifter i en e-tjänst för att ge in dem till en myndighet finns vanligtvis ett eget utrymme, eftersom blanketten nästan alltid blir ifylld i myndighetens it-miljö. Skattedeklaration med sådant utrymme infördes redan år Därefter har eget utrymme utvecklats till en etablerad myndighetspraxis som fått en omfattande spridning.

2 Med tiden har emellertid vissa juridiska invändningar förts fram, se redovisningen i bilaga. Under 2017 har regeringen dock i två lagstiftningsärenden gjort uttalanden som ger stöd för de tolkningar som E-delegationen och esam gjort av hur berörda rättsregler kan förstås i anknytning till eget utrymme. Dessa klargöranden redovisas närmare i det följande (kap. 3-6). Samtidigt med denna för e-förvaltningen positiva utveckling har esam uppmärksammat andra rättsfrågor som bör genomlysas med avseende på eget utrymme, dels om det finns förvaltningsrättslig grund för att tillhandahålla sådant utrymme (kap. 7), dels om persondataskyddet enligt registerförfattningar och dataskyddsförordningen med tillhörande nationell reglering lägger hinder i vägen (kap. 8). 2 E-delegationen E-delegationen har i huvudsak hävdat följande. Nyttoinformationen i ett eget utrymme blir visserligen tekniskt tillgänglig för den myndighet som tillhandahåller eget utrymme (med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i uppfattbar form). Informationen förvaras emellertid hos myndigheten endast som led i teknisk bearbetning eller teknisk lagring för annans räkning. Så som eget utrymme enligt vägledningen ska vara utformat kan det inte råda tvekan om när ett utkast till en inlaga eller annan nyttoinformation finns i det egna utrymmet respektive när en färdig handling finns i myndighetens verksamhetssystem för t.ex. ärendehandläggning, dvs. har skickats in. Det är först när en handling lämnat det egna utrymmet (i praktiken kommit till myndighetens mottagningsställe) som myndighetens lagring och bearbetning sker för något annat ändamål än att ge service åt användaren. Myndigheten förfogar alltså inte över den information och de handlingar som finns i användarens eget utrymme utan ska vara förbjuden att ta del av den. Särskilda åtgärder ska vidtas för att säkerställa att handlingarna inte finns tillgängliga vid myndigheten för annat (t.ex. statistikändamål) än teknisk bearbetning eller lagring för annans räkning. Vid den juridiska bedömningen måste det särskilda syftet med ett eget utrymme beaktas. 1. Innehavaren ska kunna använda utrymmet exklusivt. Den myndighet som tekniskt administrerar utrymmet får inte ha åtkomst 1 till innehållet dvs. nyttoinformation som innehavaren behandlar där (motsatsen gäller för den drift- och säkerhetsrelaterade information som myndighet behandlar för att kunna tillhandahålla utrymmet). 2. Nyttoinformationen ska av integritetsskäl vara privat (jfr det Europakonventionen värnar). 2 Myndigheten ska inte få ta del av t.ex. olika utkast, förlagor eller andra preliminära handlingar som den enskilde kanske senare väljer att i en slutlig version skicka in. En handling behöver kunna särskiljas från en annan handling, med samma eller annat innehåll, som myndigheten förvarar i en annan teknisk och administrativ kontext, t.ex. ett elektroniskt exemplar av en handling som användaren har färdigställt i sitt utrymme respektive ett exemplar som har överförts till myndighetens elektroniska mottagningsställe och vidare till myndighetens verksamhetssystem; jfr att en sökande kan ge in en ansökan på papper till en myndighet men ha kvar en kopia hos sig. Handlingarna ska från offentlighetssynpunkt bedömas var för sig. 3 De synsätt som E-delegationen och esam presenterat rörande eget utrymme har numera stöd i uttalanden som regeringen gjort i två lagmotiv. Detta redovisas närmare i det följande. 1 Åtkomst kan emellertid undantagsvis vara lovlig om åtgärden krävs för att rätta ett tekniskt fel eller att utföra en åtgärd som krävs från informationssäkerhetssynpunkt. 2 Se bl.a. SOU 2014:39 s E-delegationen erinrade härvid om att behovet av att en handlings status hos en myndighet ska kunna växla över tid nyligen föranlett ett nytt andra stycke i 2 kap. 10 TF så att en handling inte är att anse som allmän när den förvaras endast i syfte att kunna återskapa information som har gått förlorad i en myndighets ordinarie system för automatiserad behandling, se vidare den argumentation som redovisats i SOU 2014:39 s. 49 ff.

3 3 En grundläggande beskrivning i lagmotiv av eget utrymme I propositionen 2016/17:198 Utökat sekretesskydd i verksamhet för teknisk bearbetning och lagring, har regeringen beskrivit eget utrymme på följande sätt (s. 6 f. och s. 17 f.). Digitala tjänster kan utformas på många olika sätt. Det är den enskilda myndigheten som tar ställning till hur de tjänster som myndigheten erbjuder ska utformas och användas. Vid utformningen av dessa tjänster måste bl.a. behovet av integritet, rättssäkerhet och informationssäkerhet beaktas. I syfte att erbjuda service och uppnå målet om en enklare vardag för privatpersoner och företag finns det i många digitala tjänster möjlighet för användaren att skapa utkast för senare inlämning av uppgifter till myndigheten. I det följande används begreppet eget utrymme för dessa lagringsutrymmen. Digitaliseringen innebär en möjlighet till utveckling av den offentliga förvaltningen och nya processer, former och sätt att erbjuda service till enskilda. Det är angeläget att utvecklingen sker så att skyddet för den personliga integriteten och enskildas förtroende för den offentliga förvaltningen upprätthålls. Enligt regeringens uppfattning är det rimligt att enskilda ska kunna förvänta sig att uppgifter som de lämnar på ett eget utrymme på en myndighets server via en digital tjänst skyddas såväl mot insyn från allmänheten som mot obehörigt utnyttjande från dem som har teknisk tillgång till uppgifterna. Detta bör myndigheterna beakta vid utformningen av sina digitala tjänster. Det får alltså antas att det finns en berättigad förväntan hos privatpersoner och företag om att uppgifter som behandlas av en myndighet för enbart teknisk bearbetning eller teknisk lagring är skyddade från insyn eller utlämnande med stöd av offentlighetsprincipen. För att uppgifterna ska få ett tillräckligt effektivt skydd mot obehörigt röjande och utnyttjande anser regeringen att det finns behov av att skydda uppgifterna genom en bestämmelse om tystnadsplikt. Om en befattningshavare skulle ha råkat ta del av en uppgift i digital tjänst som tillhandahålls av en myndighet, t.ex. i samband med att han eller hon rättat ett fel i det tekniska systemet, eller vidtagit en åtgärd som är nödvändig från informationssäkerhetssynpunkt, behöver det därför finnas ett förbud mot att röja uppgiften. Behandlingen av uppgifterna i de nu aktuella fallen sker i verksamhet för enbart teknisk bearbetning eller teknisk lagring för annans räkning, dvs. enligt 2 kap. 10 första stycket TF. Sådana uppgifter är inte allmänna handlingar och det finns därför endast behov av tystnadsplikt för den personal som har tillgång till uppgifterna. 4 Rättspraxis I nämnda propositionen (2016/17:198 s. 16) har regeringen anfört att det finns stöd i praxis för att myndigheter tillhandahåller digitala tjänster som uppfyller kraven i 2 kap. 10 första stycket TF. Regeringen har därvid hänvisat till RÅ 1994 ref. 64 och HFD 2011 ref. 52 samt förklarat att myndigheternas möjlighet att själva besluta om utformningen av sina tjänster innebär att de kommer att kunna utveckla och anpassa sina tjänster efter eventuell ytterligare rättspraxis. 4 Samtidigt har regeringen noterat att det inte finns vägledande avgöranden som ger tydligt besked, i fråga om vilka av de egna utrymmen som myndigheter tillhandahåller, som uppfyller kraven enligt 2 kap. 10 första stycket TF. Regeringen har emellertid hänvisat till en dom den 26 oktober 2015 av Kammarrätten i Stockholm (mål nr ) där handlingar som förvarats i en CV-databas hos Arbetsförmedlingen, ansetts vara förvarade hos myndigheten endast som led i teknisk bearbetning eller teknisk lagring för annans räkning. 5 4 Se vidare den närmare redogörelsen i a.prop. avsnitt CV-databasen bestod av konton för arbetssökande och arbetsgivare. De arbetssökande kunde lagra CV och annan information i ett eget utrymme och arbetsgivare söka bland profilerna, läsa dem och skicka förfrågningar. Arbetsförmedlingen hade visserligen förbehållit sig rätten att ta bort olämplig information, men i domen noterades att Arbetsförmedlingens handläggare inte hade tillgång till eller använde databasen och att de inte heller använde den för att framställa statistik eller liknande. I sammanhanget kan noteras att kammarrätten accepterade att anställda hos Arbetsförmedlingen hade åtkomst till databasen för att administrera den och att detta inte hindrade en tillämpning av bestämmelsen i 2 kap. 10 första stycket TF.

4 5 En närmare redovisning av uttalanden som rör eget utrymme 5.1 Utgångspunkter Regeringen har som framgått i prop. 2016/17:198 funnit att det visserligen finns stöd i rättspraxis för att myndigheter tillhandahåller digitala tjänster som uppfyller kraven i 2 kap. 10 första stycket TF (se s. 16), men att det saknas vägledande avgöranden som ger tydligt besked om vilka av de egna utrymmen som myndigheter tillhandahåller som uppfyller kraven i 2 kap. 10 TF (se s. 10 f.). Dessutom har regeringen i prop. 2016/17:180 uttalat sig om när en handling blir att anse som allmän vid användning av en e-tjänst där webbformulär fylls i av enskilda, dvs. i anknytning till eget utrymme. Frågan är därmed vad som närmare kan utläsas ur dessa lagmotiven. I det följande ges en förenklad redovisning genom en kortfattad sammanställning av olika motivuttalanden Påståenden om tillämplighet 1. Regeringen har vid beskrivningen av skyddsbehov för eget utrymme uttalat (2016/17:198 s. 17). Behandlingen av uppgifterna i de nu aktuella fallen sker i verksamhet för enbart teknisk bearbetning eller teknisk lagring för annans räkning, dvs. enligt 2 kap. 10 första stycket TF. Sådana uppgifter är inte allmänna handlingar och det finns därför endast behov av tystnadsplikt för den personal som har tillgång till uppgifterna. Uttalandet har gjorts efter att behovet av skydd i eget utrymme mot insyn från såväl allmänheten som av myndighetens personal redovisats och att det beskrivits hur en befattningshavare kan ha råkat ta del av en uppgift i digital tjänst som tillhandahålls av en myndighet, t.ex. i samband med att han eller hon rättat ett fel i det tekniska systemet eller vidtagit en för informationssäkerheten nödvändig åtgärd. 7 I författningskommentaren har regeringen anfört att berörd sekretessreglerings tillämpningsområde är detsamma som för det undantag från bestämmelserna om allmänna handlingar som föreskrivs i 2 kap. 10 första stycket TF. Bestämmelsen kommer därför enbart att tillämpas på de digitala tjänster som faktiskt har utformats på ett sådant sätt att de avser förvaring av handlingar endast som led i teknisk bearbetning eller lagring för annans räkning (a.prop. s. 28 och samma uttalande s. 29). Regeringen har således noterat att det finns ett tillämpningsområde för eget utrymme där nyttoinformationen 8 omfattas av undantaget enligt 2 kap. 10 första stycket TF. 2. Syftet med en viss typ av e-tjänster, s.k. presentationstjänster, är att den enskilde ska kunna ta del av samlad information på ett enkelt sätt och inte behöva vända sig till olika aktörer. Visserligen fann regeringen i nämnda lagmotiv att behovet av skydd för enskilda inte motiverade en generell bestämmelse om sekretess för presentationstjänster, men regeringen anförde samtidigt att presentationstjänster ofta bör kunna utformas så att myndighetens hantering av uppgifterna sker i form av teknisk bearbetning eller lagring för användarens räkning. Användaren kan därmed få en sammanställning av information i en digital tjänst, utan att myndigheten kan ta del av den (a.prop. s. 26). Regeringens syn på när eget utrymme omfattas av undantaget enligt 2 kap. 10 första stycket TF är alltså inte begränsad till utrymmen där utkast utformas och handlingar skickas in. 6 För att undvika missförstånd bör noteras att regeringen visserligen uttryckligen valt att använda begreppet eget utrymme (prop. 2016/17:198 s. 7), men att regeringen använder detta begrepp så att ett sådant utrymme skulle kunna föreligga även vid servicefunktioner som myndigheter tillhandahåller i anknytning till e-tjänster som inte omfattas av undantaget i 2 kap. 10 andra stycket TF. E-delegationen har definierat eget utrymme så att det avgränsats till sådana där teknisk bearbetning och teknisk lagring sker endast för annans räkning. 7 Jämför hur regeringen (a.prop. s. 18) även förklarat att ett stort antal tjänster för teknisk bearbetning eller teknisk lagring redan i dagsläget omfattar handlingar som upprättats av juridiska personer och som kan innehålla uppgifter som inte utgör personuppgifter, men som inte bör komma till utomståendes kännedom, i vart fall inte innan handlingen har kommit in till en myndighet. 8 Regeringen har i lagmotiven använt sig av den gräns som E-delegationen och esam drar mellan nyttoinformation respektive drifts- och säkerhetsrelaterad information (a.prop. s. 14).

5 3. Regeringen har dessutom i en proposition om ny förvaltningslag (prop. 2016/17:180), i anknytning till frågan om förvaltningsrättsligt inkommande gjort följande uttalande om när en handling blir att anse som allmän vid beaktande av undantagsregeln i 2 kap. 10 första stycket TF. Uppgifter som den enskilde lämnar i ett webbformulär finns i vissa fall tekniskt tillgängliga för myndigheten på dess server för databehandling redan innan den tidpunkt då den enskilde har färdigställt en ansökan. Så kan fallet vara t.ex. under den tid som ett webbformulär håller på att fyllas i fram till dess att den enskilde vidtagit en särskild åtgärd som markerar att ansökan är färdig och inskickad. Enligt regeringens mening bör ett sådant förhållande som regel inte anses innebära att handlingen i förvaltningsrättslig mening ska anses ha kommit in till myndigheten. Ingivandet kan exempelvis manifesteras genom att den enskilde trycker på en skicka-knapp i webbformuläret. Under förutsättning att uppgifterna på servern inte görs tillgängliga för myndighetens handläggare före nämnda tidpunkt, torde det också vara möjligt att se en eventuell lagring som föregår ingivandet som en form av teknisk lagring för den enskildes räkning, som enligt 2 kap. 10 första stycket TF innebär att handlingen inte är att anse som allmän innan den skickats in (jfr HFD 2011 ref. 52). Detta bör myndigheterna ha i åtanke vid utformningen av de tekniska systemen och vid behörighetstilldelningen i dessa (s. 141 f.). Regeringens har således i mer än ett lagstiftningsärende hävdat att undantaget i 2 kap. 10 första stycket TF kan bli tillämpligt när myndigheter tillhandahåller eget utrymme. 5.3 Myndigheten måste begränsa den egna personalens tillgång Vid redovisning av regeln om dataintrång har regeringen uttalat sig rörande begränsningar av personalens tillgång till uppgifter som en användare sparar i sitt eget utrymme. Myndighetens personal ska alltså endast hantera den drifts- och säkerhetsrelaterade informationen. Myndigheterna tillämpar därför regler som förbjuder myndighetens personal att bereda sig tillgång till en användares egna utrymme i den digitala tjänst som myndigheten tillhandahåller eller annars ta del av information som finns där. Det blir därmed förbjudet för myndigheten och dess personal att bereda sig tillgång till en användares utrymme eller förvar, eller att annars ta del av information som finns där. I 4 kap. 9 och 9 c BrB finns bestämmelser om intrång i förvar och dataintrång, som kan aktualiseras om myndighetens personal ändå bereder sig tillgång till utrymmet. Straffansvar för dataintrång gäller trots att samma uppgift eller handling finns tillgänglig för befattningshavaren någon annanstans, t.ex. i en myndighets system för ärendehandläggning (prop. 2016/17:198 s. 14 f.). Som Integritetskommittén framhållit kan digitalisering av förvaltningen leda till ökade risker för den personliga integriteten och det är viktigt att myndigheter utformar sina digitala tjänster på ett sätt som minimerar dessa risker (SOU 2016:41). Myndigheter som tillhandahåller hjälptjänster bör därför vidta åtgärder som hindrar myndighetens personal och andra att missbruka information, t.ex. genom behörighetsstyrning, säkerhetsloggar och tekniska skyddsåtgärder (a.prop. s. 25). Sammanfattningsvis behöver alltså en myndighet införa förbud och behörighetsstyrningar för att säkerställa att undantaget enligt 2 kap. 10 första stycket TF blir tillämpligt. 5.4 Myndigheten väljer utformning av tjänsten Regeringens har anfört att en ny sekretessreglering inte bör bygga på det antagande som E-delegationen gjort om att vissa digitala tjänster i allmänhet omfattas av tillämpningsområdet för bestämmelsen i 2 kap. 10 första stycket TF, men att det dock finns (a.prop. s. 16, jfr ovan not 6) stöd i praxis för att myndigheterna tillhandahåller digitala tjänster som uppfyller kraven i den nu aktuella bestämmelsen. Myndigheternas möjlighet att själva besluta om utformningen av sina tjänster innebär att de kommer att kunna utveckla och anpassa sina tjänster efter eventuell ytterligare rättspraxis. Myndigheterna väljer som regel att utforma sådana digitala tjänster som tillhandahålls till enskilda så att utkast för senare inlämning av uppgifter till myndigheten enligt 2 kap. 10 första stycket TF inte ska utgöra allmänna handlingar förrän användaren aktivt och medvetet väljer att färdigställa och skicka in handlingen till myndighetens elektroniska mottagningsställe. Digitala tjänster för enskilda och interaktion mellan myndigheter kan dock utformas på många olika sätt. Frågan om huruvida information i egna utrymmen omfattas av regleringen i 2 kap. 10 första stycket TF, och därmed inte utgör allmänna handlingar, kan därför inte besvaras generellt och avgörs ytterst av rättstillämpningen. Regeringen har också gjort följande uttalat angående behovet av skydd (a.prop. s. 17). Digitaliseringen innebär en möjlighet till utveckling av den offentliga förvaltningen och nya processer, former och sätt att erbjuda service till enskilda. Det är angeläget att utvecklingen sker så att skyddet för den personliga integriteten och enskildas förtroende för den offentliga förvaltningen upprätthålls. Enligt regeringens uppfattning är det rimligt att enskilda ska kunna förvänta sig att uppgifter som de lämnar på ett eget utrymme på en myndighets server via en digital tjänst skyddas såväl mot

6 insyn från allmänheten som mot obehörigt utnyttjande från dem som har teknisk tillgång till uppgifterna. Detta bör myndigheterna beakta vid utformningen av sina digitala tjänster. Det får alltså antas att det finns en berättigad förväntan hos privatpersoner och företag om att uppgifter som behandlas av en myndighet för enbart teknisk bearbetning eller teknisk lagring är skyddade från insyn eller utlämnande med stöd av offentlighetsprincipen. Sammanfattningsvis måste en myndighet välja en ändamålsenlig utformning av eget utrymme och noga följa utvecklingen genom rättspraxis för att säkerställa att undantaget enligt 2 kap. 10 första stycket TF är tillämpligt. Det är en viktig uppgift att vägleda så att myndigheter utformar eget utrymme rätt. Eget utrymme är en elektronisk plats där bara användaren få gå in. 5.5 Det saknas insynsintresse Vid tolkningen av 2 kap. 10 första stycket TF är följande motivuttalande av intresse (a. prop. s. 20). När det gäller sådan privat information, som ofta sammanställs som ett led i framtagandet av handling som sedermera ska ges in till myndigheten, som hanteras av myndigheten uteslutande för den enskildes räkning, anser regeringen att det i stort helt saknas insynsintresse i de handlingar som lagras. Detta bör tas med i bedömningen av vilka funktioner en myndighet kan tillhandahållas inom ramen för endast teknisk bearbetning och lagring för annans räkning. 5.6 Hjälptjänster utgör inte enbart teknisk bearbetning och lagring En jämförelse bör däremot ske med regeringens uttalanden om hjälptjänster (a.prop. s. 24). En myndighets tillhandahållande av hjälptjänster till enskilda har en annan karaktär än den digitala tjänst som hjälptjänsten avser. De handlingar som kan uppstå i samband med tillhandahållandet av en hjälptjänst förvaras inte endast som led i teknisk bearbetning eller teknisk lagring för annans räkning. Även om tillhandahållandet av en hjälptjänst kan innefatta moment av teknisk bearbetning eller lagring kan det inte enbart anses utgöra sådan verksamhet. Även detta behöver beaktas vid tolkningen av vilka funktioner en myndighet kan tillhandahållas inom ramen för endast teknisk bearbetning och lagring för annans räkning. 5.7 Presentationstjänster Syftet med en presentationstjänst är som framgått att den enskilde enkelt ska kunna ta del av samlad information på ett enkelt sätt och inte behöva vända sig till olika aktörer (se närmare om presentationstjänster vid not 12 nedan). Regeringen har beträffande sådana tjänster hävdat att Handlingar som uppstår i samband med tillhandahållandet av en sådan tjänst torde för närvarande sällan anses förvarade endast som led i teknisk bearbetning eller teknisk lagring för annans räkning. Uppgifter som samlas in och sammanställs av myndigheter i presentationstjänster kan därför utgöra del av allmänna handlingar (prop. 2016/17:198 s. 26). Jfr dock regeringens uttalande, redovisat under 6.2 ovan, om att presentationstjänster ofta bör kunna utformas så att myndighetens hantering av uppgifterna sker i form teknisk bearbetning eller lagring för användarens räkning. Enligt regeringens bedömning är undantaget i 2 kap. 10 första stycket TF alltså inte begränsat till utrymmen där utkast kan utformas och färdiga handlingar kan sändas in. Presentationstjänster används inte på det sättet utan för att visa uppgifter för användaren, som normalt först har samlats in av tjänstelevererande myndighet så att de blivit allmänna handlingar hos denne. Även nyttoinformation i en presentationstjänst kan således vara undantagen från handlingsoffentlighet, när informationen finns och visas i ett eget utrymme som hanteras på ett sätt som är förenligt med 2 kap. 10 andra stycket TF. 5.8 Omedelbar gallring kan vara ett alternativ när handlingar blir allmänna För funktioner i e-tjänster där 2 kap. 10 andra stycket TF inte blir tillämpligt har regeringen gjort följande uttalande.

7 En hjälptjänst bör därför inte utformas så att den leder till kartläggning av enskildes personliga förhållanden eller andra oönskade intrång i enskildas personliga integritet. En myndighet får vidare enligt 7 Riksarkivets föreskrifter och allmänna råd om gallring av handlingar av tillfällig eller ringa betydelse (RA-FS 1991:6; ändrad genom RA-FS 1997:6) gallra handlingar som är av tillfällig eller ringa betydelse för myndighetens verksamhet, under förutsättning att allmänhetens rätt till insyn inte åsidosätts och att handlingarna bedöms sakna värde för rättskipning, förvaltning och forskning. De uppgifter som tillgängliggörs för myndighetens befattningshavare i samband med en hjälptjänst torde normalt endast vara av betydelse för myndighetens verksamhet under tiden som samtalet eller sessionen pågår. De handlingar som kan uppstå i samband med detta bör därmed oftast kunna gallras (a.prop. s. 24). Även handlingar som uppstår i samband med tillhandahållandet av en presentationstjänst torde dock i enlighet med vad som anförts i avsnitt 6.3 kunna gallras efter att tjänsten tillhandahållits. Enligt delegationen kan det dock inte uteslutas att en presentationstjänst behöver vara utformad så att insamlade handlingar bevaras, för att kunna presenteras på nytt för samma användare av tjänsten och omedelbar gallring kan då inte ske om tjänsten ska fungera. Det kan inte heller uteslutas att situationer kan uppstå då handlingarna av andra skäl inte omedelbart kan eller bör gallras (a.prop. s. 26). Detta uttalande kan bli av betydelse för e-förvaltningen när allmänna handlingar som inte är sekretessreglerade behöver skyddas mot insyn från utomstående och 2 kap. 10 TF inte kan tillämpas. 6 Analys från praktiska utgångspunkter 6.1 Endast för annans räkning De frågor om handlingsoffentlighet som aktualiserats i anknytning till eget utrymme rör i första hand rekvisitet endast för annans räkning. En myndighet som tillhandahåller eget utrymme får inte behandla nyttoinformation i utrymmet för myndighetens egen räkning (HFD 2011 ref. 52). Så sker inte heller när tjänstelevererande myndighet, i enlighet med esams vägledning för eget utrymme, 1. tillhandahåller utrymmet helt automatiserat (ingen befattningshavare går in i utrymmet för att utföra åtgärder med nyttoinformation där), 2. hindrar åtkomst för sin personal, för annat än att åtgärda tekniska fel och vidta nödvändiga åtgärder för informationssäkerheten (behörighetsstyrning så att endast teknisk personal får tillgång till nyttoinformation), och 3. inför förbud i den mån detta inte redan finns (vid straffansvar), för annan än utrymmets innehavare, att bereda sig tillgång till eget utrymme. Under sådana förhållanden hanterar myndigheten nyttoinformation endast som led i teknisk bearbetning eller teknisk lagring för annans räkning, dvs. i enlighet med 2 kap. 10 andra stycket TF. E-delegationen och esam har nu stöd i två lagmotiv för att 2 kap. 10 andra stycket TF kan åberopas vid tillhandahållande av eget utrymme. Vilka krav som i detalj behöver uppfyllas anger regeringen inte. Vissa slutsatser kan emellertid dras av redovisade motivuttalanden rörande denna hantering. Eget utrymme kan betraktas separat Av lagmotiven framgår att regeringen inte har anslutit sig till de invändningar som gjorts om att undantaget i 2 kap. 10 TF skulle ta sikte på hela den tid som myndigheten förvarar en handling, dvs. från det att en handling först upprättas i en användares eget utrymme (i myndighetens it-miljö) till det att handlingen getts in och behandlas i myndighetens verksamhetssystem (i myndighetens it-miljö). Regeringen har tvärt om i två lagstiftningsärenden anfört att undantaget i 2 kap. 10 första stycket TF kan bli tillämpligt när myndigheter tillhandahåller tjänster för att upprätta utkast till handlingar. Dessa uttalanden har avsett eget utrymme som kan användas för att skicka in handlingar till myndigheten. 9 Det får därmed anses klarlagt att stöd saknas i gällande rätt för de i kap. 1 nämnda och i bilagan närmare redovisade invändningarna mot att tillämpa 2 kap. 10 första stycket TF på eget utrymme. 9 Se vidare avsnitt 6.2 ovan och bl.a. prop. 2016/17:180 s. 141 f. och prop. 2016/17:198 s. 16 och s. 28 f.

8 Uppgifter kan förifyllas och visas utan krav på att något ska kunna skickas in Ett annat klargörande genom lagmotiv av rekvisitet endast, avser frågan om 2 kap. 10 första stycket TF kan tillämpas, även när ett eget utrymme har utformats så att tjänstelevererande myndighet lämnar ut uppgifter (från sitt verksamhetssystem) till en användares eget utrymme för att t.ex. förifylla uppgifter i ett webbformulär 10 eller för att presentera uppgifter som automatiserat sammanställs och visas i eget utrymme för användaren. I lagmotiven har presentationstjänsterna beskrivits som digitala tjänster där användaren ges tillgång till uppgifter eller handlingar från flera organ, efter att handlingarna har kommit in till den myndighet som tillhandahåller tjänsten och utan att det som visas blir tillgängligt för någon annan än utrymmets innehavare (a.prop. s. 9). För att kunna tillhandahålla en sådan tjänst krävs alltså att information som är allmän handling hos tjänstelevererande myndighet, både lämnas ut till eget utrymme och där hanteras utan insyn för annan än utrymmesinnehavaren. Av samma uttalande kan den slutsatsen dras att undantaget i 2 kap. 10 första stycket TF kan tillämpas även om utrymmet inte används för att upprätta och ge in handlingar. 11 Presentationstjänsten används bara för att utrymmesinnehavaren automatiserat ska få uppgifter sammanställda och visade. E-delegationen och esam har alltså genom uttalanden i lagmotiv fått stöd för att 2 kap. 10 första stycket TF kan vara tillämpligt på nyttoinformation i en presentationstjänst och att detta undantag från offentlighetsinsyn kan gälla trots att utrymmet inte används för att ge in handling till myndighet. Egen hämtning I E-delegationens juridiska vägledning för verksamhetsutveckling inom e-förvaltningen beskrivs egen hämtning, dvs. att en uppgift eller en handling med stöd av en bastjänst lämnas ut till en användares eget utrymme, som tillhandahålls åt användaren av ett annat organ än det som lämnar ut uppgiften eller handlingen. Utformas dessa funktioner så att åtkomst till nyttoinformationen, för den myndighet som tillhandahåller utrymmet, förhindras eller på ändamålsenligt sätt förbjuds, blir meddelanden som utväxlas mellan en bastjänst (ett API) i ett eget utrymme och en bastjänst som en annan aktör tillhandahåller inte allmänna handlingar hos den myndighet som tillhandahåller det egna utrymmet. På detta sätt kan en e-tjänst t.ex. byggas så att användaren själv till eget utrymme kan begära och få t.ex. ett intyg från en annan myndighet, för att användaren sedan ska kunna bifoga intyget när en anmälan eller en ansökan skickas från utrymmet till myndigheten. En liknande utveckling pågår för att eget utrymme ska kunna tillhandahållas så att egen hämtning sker från en privaträttslig aktör, t.ex. ett programvaruföretag. Ett sådant exempel är när, dels ett företag enligt avtal tillhandahåller en redovisningstjänst åt en enskild, dels en myndighet (t.ex. Skatteverket eller Bolagsverket) tillhandahåller ett eget utrymme till den enskilde i anknytning till en e-tjänst. I redovisningstjänsten kan den enskilde generera en handling och aktivera en överföring av handlingen till det egna utrymmet hos myndigheten. Som redovisats ovan kan en myndighet som tillhandahåller eget utrymme lämna ut uppgifter till det egna utrymmet (t.ex. för att uppgifter ska förifyllas), utan att skyddet enligt 2 kap. 10 andra stycket TF bryts igenom. På samma sätt bör en privaträttslig aktör kunna tillhandahålla funktioner i en privat tjänst för att uppgifter ska kunna överföras till ett eget utrymme hos myndighet utan att det som överförs blir allmän handling hos myndigheten. Det förutsätts härvid att erforderliga åtgärder vidtas i övrigt för att uppfylla kraven i 2 kap. 10 första stycket TF, i enlighet med vad som beskrivits i esams vägledning för eget utrymme och att tjänsterna faller inom ramen för myndighetens uppdrag från regeringen. 10 Beträffande denna detaljfråga synes hittills inte någon invändningar ha framförts i remissvaren. 11 I beskrivningen av presentationstjänsterna ingår nämligen inte att handlingar skickas därifrån till myndighet. Att regeringen funnit brister i dagens presentationstjänster, så att handlingar som uppstår i samband med tillhandahållandet av en presentationstjänst för närvarande sällan torde anses förvarade endast som led i teknisk bearbetning eller teknisk lagring för annans räkning (a.prop. s. 26), leder inte till annan bedömning av tillämpningsområdet för 2 kap. 10 första stycket TF.

9 Undantaget i 2 kap. 10 första stycket TF har inte begränsats så att det bara kan tillämpas på eget utrymme som används så att en begäran från utrymmesinnehavaren om att få uppgifter till utrymmet riktas till en myndighet och där bara myndigheter lämnar uppgifter till utrymmet. Kontroller som en service före inkommandepunkten I esams publikation Eget utrymme hos myndighet en vägledning, anförs att service kan erbjudas helt automatiserat i användares eget utrymme, utan att handlingar i utrymmet anses vara inkomna till myndigheten. 12 Vidare sägs där att eget utrymme kan utformas så att det inte går att komma vidare för att ge in en handling om en brist konstateras vid den automatiserade service som ges i utrymmet och bristen inte har åtgärdats. Denna service måste emellertid enligt vägledningen avse procedurer som äger rum innan användaren har sänt iväg handlingen. Så som tillämpningsområdet beskrivits i nämnda lagmotiv för 2 kap. 10 första stycket TF kan helt automatiserade kontroller äga rum utan att de handlingar som finns eller därvid skapas i utrymmet blir att anse som allmänna handlingar. Eftersom egen hämtning (enligt vad som framgått ovan) också kan ske får samma bedömning göras oberoende av om uppgifter för kontrolländamål lämnas till utrymmet från ett privaträttsligt subjekt (t.ex. en leverantör av redovisningstjänster) eller från en myndighet. Som en konsekvens av att dessa behandlingar sker helt automatiserat utan insyn av tjänstelevererande myndighet och att övriga åtgärder vidtagas i enlighet med esams vägledning för eget utrymme, får undantaget i 2 kap. 10 första stycket TF från handlingsoffentlighet anses vara tillämpligt. Handlingar som överförts till eget utrymme utan att ha skickats in är inte heller att anse som inkomna i förvaltningsrättslig mening, se vidare esams promemoria den 25 september 2017 När har en handling kommit in till myndighet? 6.2 Kommunikationen får inte utformas så att uppgifter blir tillgängliga för annan myndighet Kommunikation med en myndighet, från eller till en användares eget utrymme, får inte utformas så att nyttoinformation i utrymmet blir allmän handling vid myndighet. Sådana risker framträder t.ex. vid användning av en hjälptjänst som tillhandahålls av en myndighet. Det finns också risker med egen hämtning eller utlämnande från eget utrymme till en myndighet, om funktionerna utformas så att en direktåtkomst uppkommer för en myndighet (jfr HFD 2015 ref. 65 och bl.a. prop. 2016/17:198 s 24.). Dessa frågor har esam behandlat närmare i publikationen Elektroniskt informationsutbyte en vägledning för utlämnande i elektronisk form. Här hänvisas till den lösning för utlämnande på medium för automatiserad behandling som redovisats där. 7 Förvaltningsrättslig grund för att tillhandahålla eget utrymme 7.1 Legalitetsprincipen måste följas Enligt regeringens proposition 2016/17:180 En modern och rättssäker förvaltning ny förvaltningslag, ska det i en ny förvaltningslag (5 ) föreskrivas att en myndighet endast får vidta åtgärder som har stöd i rättsordningen, den s.k. legalitetsprincipen. I lagmotiven har regeringen redovisat hur en praxisgenomgång gett en klar indikation på att myndigheterna inte alltid i tillräcklig utsträckning tar reda på om att de har stöd i rättsordningen för sina åtgärder. Därvid har e-tjänster särskilt nämnts. Regeringen har förklarat att legalitetsprincipen gäller även vid s.k. faktiskt handlande och att avsikten är att hindra myndigheterna från att agera helt vid sidan av sina i författning angivna åligganden Där sägs att till eget utrymme hör automatiserade funktioner som delvis styr hur utrymmet används. Som exempel kan nämnas utrymmen där uppgifter förifylls, där rimlighetskontroller och sammanräkningar görs av det användaren skriver och där användaruppgifter stäms av mot offentliga register. 13 Utvecklingen från en mer klassisk förvaltning mot en förvaltning med ökade inslag av informationsuppgifter och mera kundrelaterade aktiviteter, t.ex. i form av olika digitala självbetjäningstjänster, har också inneburit ökade risker i detta avseende. Det är därför angeläget att ge en klar signal om att all offentlig verksamhet, oavsett dess

10 Några remissinstanser har dock invänt att legalitetskravets räckvidd skulle vara oklar och skapa osäkerhet om myndigheternas befogenheter, exempelvis när det gäller möjligheterna att samverka med andra. Det skulle därför finns behov av förtydliganden när det gäller förslagets närmare innebörd och dess påverkan på myndigheternas verksamhet. Regeringen uttalade härvid att kravet enligt förvaltningslagen på legalitet i likhet med 1 kap. 1 RF bör innebära ett krav på att myndighetens agerande ska ha stöd i någon av de källor som tillsammans bildar rättsordningen i vidsträckt mening och att det alltså krävs någon form av normmässig förankring för all typ av verksamhet som en myndighet bedriver, men att det däremot inte ställs krav på att varje enskild åtgärd som en myndighet vidtar kan kopplas till ett specifikt bemyndigande. Kravet på legalitet ska enligt regeringen inte heller uppfattas så att en myndighets åtgärd måste ha uttryckligt stöd i en viss lagbestämmelse eller i andra föreskrifter som har meddelats i enlighet med 8 kap. RF. Detta förtydligas i lagtexten genom att uttrycket rättsordningen införts istället för det i lagrådsremissen använda uttrycket lag eller annan författning. 14 I författningskommentaren noterades också att bestämmelsen om legalitet inte innebär att varje enskild åtgärd som en myndighet vidtar måste ha uttryckligt stöd i en viss lagbestämmelse eller i andra föreskrifter. 7.2 Bestämmelserna om service, tillgänglighet och samverkan kan ge viss ledning Vid bedömningen av legalitetsprincipens inverkan på möjligheterna att tillhandahålla e-tjänster behöver även reglerna om service, tillgänglighet och samverkan beaktas. Enligt de regler om service som föreslås i en ny förvaltningslag ska en myndighet se till att kontakterna med enskilda blir smidiga och enkla och att myndigheten ska lämna den enskilde sådan hjälp att han eller hon kan ta till vara sina intressen. Hjälpen ska, utan onödigt dröjsmål, ges i den utsträckning som är lämplig med hänsyn till frågans art, den enskildes behov av hjälp och myndighetens verksamhet (6 ). Av lagmotiven framgår att paragrafen utformats för att inte hindra eller annars försvåra utvecklingen av nya former för service och samverkan, utan tvärt om för att möjliggöra en vidareutveckling av de olika former av hjälp som för närvarande förekommer eller som är tänkbara i framtiden. Detta innebär enligt lagmotiven inte att myndigheternas serviceskyldighet omfattar t.ex. rådgivning av sådant slag som privata ombud med juridisk specialkompetens inom ett visst område tillhandahåller åt enskilda individer och företag. Serviceskyldigheten ska inte heller uppfattas som ett krav på myndigheterna att i alla lägen se till att enskilda kan undvika tidsödande arbete eller svara på frågor på ett sätt som förutsätter att den först genomför en omfattande rättsutredning (a.prop. s. 66 f.). Trots ingående resonemang i lagmotiven berördes dock inte var gränsen går för vilken service myndigheter kan tillhandahålla via sina e-tjänster med stöd av förvaltningslagens allmänna regler. Regeringen har i den nya förvaltningslagen även infört regler om tillgänglighet (7 ) så att de i högre grad en tidigare ska vara neutrala i förhållande till den omfattande och kontinuerligt ökande digitala förvaltningen. På så sätt avses markeras att kravet på tillgänglighet inte är avsett att begränsas till enbart besök och telefonsamtal och vissa andra i lagen utpekade former. Ett allmänt formulerat krav om tillgänglighet främjar enligt regeringen också en snabbare utveckling av god förvaltningssed på området, då man inte låser sig vid de varianter som nu förekommer utan öppnar för nya lösningar när det gäller karaktär, ytterst måste grundas på skrivna regler i rättsordningen (prop. 1973:90 s. 397). Skiljelinjen mellan privaträttsliga subjekts principiella rätt till ett fritt agerande och myndigheternas skyldighet att fullgöra bestämda uppgifter i det allmännas tjänst bör alltså tydligt markeras (prop. 2016/17:180 s. 58). 14 Vad detta närmare innebär beskrevs på följande sätt i den allmänna motiveringen (a.prop. s. 59). På förvaltningens olika sakområden är frågor om ärendehandläggning och beslutsfattande ofta relativt detaljerat reglerade i tillämplig specialförfattning och i övrigt gäller de allmänna bestämmelserna i förvaltningslagen. På det polisiära området utgör bestämmelserna i 8 polislagen det rättsliga stödet för många av de åtgärder av operativt slag som bl.a. Säkerhetspolisen vidtar. I andra fall är det fråga om att tillämpa allmänna eller särskilda bestämmelser i myndighetens instruktion eller myndighetsförordningen (2007:515) eller i någon annan förordning som regeringen har utfärdat. Så kan t.ex. vara fallet i fråga om befogenheten för en myndighet att ingå civilrättsliga avtal eller annars uppträda som privaträttsligt subjekt. Som Migrationsverket uppmärksammar kan legalitetskravet i något fall även anses vara uppfyllt genom ett förvaltningsbeslut, exempelvis i form av ett regleringsbrev.

11 digitala kommunikationsformer. Kommunikation som sker i en myndighets egen regi via myndighetens webbplats på internet har beskrivits som en naturlig del i den tillgänglighet som bör erbjudas. Regeringens förslag till en ny förvaltningslag innehåller också en bestämmelse om att en myndighet inom sitt verksamhetsområde ska samverka med andra myndigheter och i rimlig utsträckning hjälpa den enskilde genom att själv inhämta upplysningar eller yttranden från andra myndigheter (8 ). Av lagmotiven framgår att bestämmelsen även utgör ett led i regleringen av myndigheternas serviceskyldighet gentemot allmänheten och i det avseendet ger författningsstöd för sådan samverkan mellan myndigheter som underlättar enskildas kontakter med dem. Avsikten är att en handläggande myndighet i den utsträckning som det är möjligt och lämpligt själv ska ta den kontakt med andra myndigheter som behövs för att utredningen i ärendet ska bli tillräcklig (a.prop. s. 70). Av lagmotiven framgår emellertid följande beträffande de för e-förvaltningen centrala behoven av myndighetssamverkan. Utredningen föreslår också att bestämmelsen i likhet med nuvarande reglering inte ska ge stöd för några samverkansprojekt som faller utanför respektive myndighets verksamhetsområde. E-delegationen invänder mot detta och anför att en sådan begränsning inte tar tillräcklig hänsyn till e-förvaltningens behov av samverkan mellan myndigheter. Myndigheternas verksamhet styrs emellertid enligt legalitetsprincipen av de föreskrifter om arbetsuppgifterna som lagstiftaren eller någon annan normgivare har meddelat. Det innebär bl.a. att det inte får förekomma några nyskapelser i form av särskilda samarbetsorgan, som oberoende av tillämpliga föreskrifter fattar beslut som inte kan härledas till någon av de samverkande myndigheterna (jfr JO 1993/94 s. 458). Regeringen anser därför att begränsningen till verksamhetsområdet är både lämplig och väl avvägd, bl.a. eftersom en sådan huvudregel minskar risken för onödiga oklarheter och felgrepp i fråga om myndigheternas kompetens och befogenhet. Detta utesluter samtidigt inte att man i specialförfattningar eller i förordningarna med myndighetsinstruktion även fortsättningsvis vid behov kan ta in särskilda föreskrifter om samverkan som går längre eller annars avviker från förvaltningslagen. Det skulle t.ex. kunna gälla föreskrifter om undantag från begränsningen till myndighetens verksamhetsområde eller om krav på att samverkan i en viss situation ska ske med andra än myndigheter. Regeringen delar inte bl.a. Datainspektionens uppfattning att en sådan utvidgning av samverkansskyldigheten kan vara alltför långtgående för myndigheterna utan anser tvärtom att förändringen är helt i linje med det medborgarperspektiv som genomgående bör prägla den nya förvaltningslagen. Genom att begränsa skyldigheten att hjälpa enskilda genom samverkan med andra myndigheter så att den enbart gäller i den utsträckning som är rimlig ges också myndigheterna ett nödvändigt handlingsutrymme. (a.prop. s. 71). Av intresse i detta sammanhang är att det vid remissbehandlingen invändes att det är oklart i vilken utsträckning föreskriften om samverkan blir tillämplig i fråga om samarbete mellan myndigheter i frågor om t.ex. inköp av it-tjänster och verksamhetsutveckling. Regeringen förklarade härvid att om en myndighet i sitt arbete med att utveckla den egna verksamheten ber en annan myndighet att bistå med kunskap och erfarenheter från en motsvarande process, bör den andra myndigheten vara skyldig att ställa upp och samverka givet att den kan avsätta resurser för ändamålet. Sådant samarbete som Pensionsmyndigheten och E-delegationen lyft fram var emellertid enligt regeringen av en delvis annan karaktär och får därför i stället anses falla inom tillämpningsområdet för 6 andra stycket myndighetsförordningen (2007:515), där det föreskrivs att en förvaltningsmyndighet under regeringen ska verka för att genom samarbete med myndigheter och andra ta till vara de fördelar som kan vinnas för enskilda samt för staten som helhet. De allmänna bestämmelserna om samverkan i den nya förvaltningslagen är inte heller avsedda att påverka tillämpningsområdet för bestämmelserna om samarbete i myndighetsförordningen (a.prop. s. 73). 7.3 Preliminär bedömning Vid bedömningen av legalitetsprincipens inverkan på möjligheterna att tillhandahålla e-tjänster med eget utrymme i enlighet med regeringens förvaltningspolitiska strävanden bör en sortering göras av mer eller mindre långtgående funktioner och tjänster. En enkel e-tjänst med eget utrymme, t.ex. för företagsregistrering, skattedeklaration eller ersättning för vård av barn, inrymmer inte andra funktioner än att logga in hos den myndighet som enligt författning har att handlägga berört ärendeslag, få uppgifter förifyllda av denna myndighet, utan kommunikation med annan myndighet eller enskild via tjänsten, och att (eventuellt skriva under elektroniskt och) ge in

12 den färdiga handlingen till myndighetens mottagningsfunktion. Detta kan jämföras med att myndigheten i pappersmiljö får besök av individen, som legitimerar sig med t.ex. sitt körkort och får en blankett av en befattningshavare som hjälper individen att fylla i handlingen, lånar ut en penna så att individen kan skriva under och mottar den färdiga handlingen när individen vill ge in den. För fysisk miljö ses det som självklart att beskrivna åtgärder faller inom ramen för det stöd en myndighet kan ge en enskild inom ramen för reglerna i förvaltningslagen om service så länge det är fråga om de slag av ärenden som myndigheten har att handlägga. Även i motiven till den nya förvaltningslagen ges stöd för sådan service samtidigt som det förklaras att paragrafen har utformats för att inte hindra eller annars försvåra utvecklingen av nya former för service och samverkan. Den har tvärt om formulerats för att möjliggöra en vidareutveckling av de olika former av hjälp som för närvarande förekommer eller som är tänkbara i framtiden. Att motsvarande service ges automatiserat genom en e-tjänst med eget utrymme föranleder inte annan bedömning. Enligt lagmotiven räcker det att stöd finns i någon av de källor som tillsammans bildar rättsordningen i vidsträckt mening. Det måste visserligen finnas någon form av normmässig förankring men det ställs som framgått inte krav på att varje enskild åtgärd som myndigheten vidtar ska kunna kopplas till ett specifikt bemyndigande och kravet på legalitet ska inte heller uppfattas så att en myndighets åtgärd måste ha uttryckligt stöd i en viss lagbestämmelse eller i andra föreskrifter som har meddelats i enlighet med 8 kap. RF. Detta förtydligades i lagtexten genom att uttrycket rättsordningen infördes istället för det i lagrådsremissen använda uttrycket lag eller annan författning (a.prop. s. 59). Det är en uppgift för e-sam att verka för att invändningar inte kan göras med framgång mot denna bedömning av legalitetsprincipen, kanske genom ett rättsligt uttalande. Samma bedömning bör göras av en e-tjänst av beskrivet slag som kompletterats med egen hämtning från en annan myndighet, dvs. att en uppgift eller en handling med stöd av en bastjänst lämnas ut till en användares eget utrymme som tillhandahålls åt användaren av en annan myndighet än den som lämnar ut uppgiften eller handlingen (jfr avsnitt 6.1 ovan). Som beskrivits föreskrivs i den nya förvaltningslagen att en myndighet i rimlig utsträckning ska hjälpa den enskilde genom att själv inhämta upplysningar eller yttranden från andra myndigheter (8 andra stycket), en bestämmelse som enligt lagmotiven även utgör ett led i regleringen av myndigheternas serviceskyldighet. Det bör inte med framgång kunna hävdas att ett alternativt och för den enskilde effektivt sätt att få samma hjälp genom eget utrymme, där den enskilde, inte myndigheten, begär och får uppgifter skulle sakna stöd i rättsordningen. esam bör ge uttryck för denna bedömning genom ett rättsligt uttalande. Myndigheter tillhandahåller även mera långtgående tjänster som är baserade på eget utrymme, i vissa fall som en del av ett samverkansprojekt och många fall utanför berörda myndigheters verksamhetsområde. För dessa fall finns normalt ett särskilt regeringsbeslut om att genomföra ett sådant projekt eller ett sådant uppdrag i berörd myndighets regleringsbrev. Som exempel kan nämnas hur regeringen i Bolagsverkets regleringsbrev för budgetåret 2017, under rubriken Ansvara för basförvaltning avseende verksamt.se, uppdragit åt verket att ansvara för förvaltning av teknisk drift, underhåll och förvaltning av ingående system i verksamt.se samt kundtjänst och support av dessa lösningar. Regeringen har i lagmotiven anfört att legalitetskravet även kan anses vara uppfyllt genom ett förvaltningsbeslut, exempelvis i form av ett regleringsbrev (prop. 2016/17:180 s. 59). För mera långtgående tjänster måste varje myndighet noga överväga om det stöd som ges i rättsordningen omfattar den aktuella funktionen och om så inte är fallet göra en framställning till regeringen om ett sådant stöd. esam bör ge uttryck för denna bedömning i en vägledning. Dessa frågor bör redovisas övergripande av esam, lämpligen i en vägledning med konkreta exempel.

13 8 Rättslig grund för personuppgiftsbehandling i eget utrymme? De överväganden som redovisats beträffande den förvaltningsrättsliga legalitetsprincipen aktualiseras också i anknytning till personuppgiftslagen, dataskyddsförordningen och den föreslagna dataskyddslagen med tillhörande förordningsförslag samt vid tillämpningen av särskilda registerförfattningar. 8.1 Personuppgiftsansvar enligt den allmänna regleringen eller enligt registerförfattning För behandlingar som äger rum i eget utrymme behöver som ett första steg övervägas om personuppgiftslagen, resp. dataskyddsförordningen och den föreslagna dataskyddslagen med tillhörande förordning, blir tillämpliga eller om det istället är en registerförfattning för berört område som kommer att gälla. Här kan som exempel väljas lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet (skattedatabaslegen). Där föreskrivs att den lagen tillämpas vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet och i verkets handläggning enligt vissa lagar. Någon handläggning kan dock inte ske hos Skatteverket av handlingar i ett eget utrymme eftersom verket inte förfogar över dem (verket får inte ta del av uppgifter i eget utrymme). Däremot utesluter ordalydelsen inte att denna hantering skulle kunna ses som en del av Skatteverkets beskattningsverksamhet. 15 Rättsläget synes vara delvis osäkert. Konsekvenserna av att Skatteverket anses vara personuppgiftsansvarigt blir svåra att överblicka eftersom ett sådant ansvar måste förenas med en skyldighet för verket att inte ta del av uppgifterna. Enligt regeringens uppfattning är det nämligen rimligt att enskilda ska kunna förvänta sig att uppgifter som de lämnar på ett eget utrymme på en myndighets server via en digital tjänst skyddas såväl mot insyn från allmänheten som mot obehörigt utnyttjande från dem som har teknisk tillgång till uppgifterna. Vidare har regeringen förklarat att myndigheterna bör beakta dessa förutsättningar vid utformningen av sina digitala tjänster (prop. 2016/17:198 s. 17). Ett skydd av detta slag för enskildas privatliv kan knappast garanteras av myndigheten om den betraktas som personuppgiftsansvarig för behandlingarna och det integritetsskydd som reglerna om persondataskyddet erbjuder anses ta över skydd för privatlivet enligt bl.a. Europakonventionen. Frågan har varit föremål för diskussioner under flera år. Behovet av klargörande är uppenbart (se bl.a. SOU 2017:23 s. 205). Bedömningen bör ta sin utgångspunkt att dessa frågor inte ens fanns på kartan när berörda registerlagar och tillhörande lagmotiv kom till. Av regleringens närmare utformning framgår också att den inte är anpassad för privat hantering av handlingar som inte har getts in eller som myndigheten annars inte förfogar över. Datainspektionen har vidare i anknytning till eget utrymme för Mina meddelanden gjort uttalanden som ger visst stöd för att aktörer som inte omfattas av privatundantaget kan anses som personuppgiftsansvariga för personuppgiftsbehandlingar i utrymmet. Samma bedömning har gjorts av Utredningen om effektiv styrning av nationella digitala tjänster i betänkandet digitalforvaltning.nu. För säkerhets skull föreslår utredningen att detta ansvar regleras. Vidare föreslår utredningen att frågan blir föremål för ytterligare utredning beträffande aktörer som omfattas av privatundantaget (SOU 2017:23). Det är en viktig uppgift för e-sam att säkerställa skyddet för eget utrymme bl.a. så att placeringen av personuppgiftsansvaret inte leder till att skyddet för enskilda som har eget utrymme bryts igenom. Det är en annan sak att en myndighet kan tillhandahålla eget utrymme åt en annan myndighet, för vilken berördas behandlingar (t.ex. en anmälan) omfattas av en registerförfattning. Som exempel kan nämnas en e-tjänst med eget utrymme för myndigheter som ska göra Lex-Mariaanmälningar elektroniskt och för vilka särskilda bestämmelser i registerförfattning gäller. 15 Jämför hur regeringen i prop. 2016/17:198 s. 24 uttalat att uppgifter som uppstår vid användning av en hjälptjänst i anknytning till eget utrymme omfattas av sekretess enligt 27 kap. 1 OSL, dvs. sekretess i verksamhet som avser bestämmande av skatt eller fastställande av underlag för bestämmande av skatt. Här är det emellertid fråga om uppgifter som har lämnats från utrymmet till hjälptjänsten och inte om uppgifter i eget utrymme. Absolut sekretess enligt 40 kap. 5 OSL gäller normalt för uppgifter i utrymmet (jfr prop. 2016/17:198).

14 8.2 Personuppgiftsbehandling måste ha en rättslig grund Skulle den myndighet som tillhandahåller eget utrymme ändå anses vara personuppgiftsansvarig för behandlingar i eget utrymme behöver följande fråga övervägas. Beträffande rättslig grund får prövas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 6.1 e). Denna grund för behandlingen måste enligt artikel 6.3 första stycket vara fastställd i enlighet med svensk rätt och enligt skäl 41 till förordningen bör denna grund vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. 16 Dataskyddsutredningen har också i sitt betänkande Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39), föreslagit en bestämmelse i lag enligt vilken personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (2 kap. 4 lagen med kompletterande bestämmelser till EU:s dataskyddsförordning). En myndighet som ska tillhandahålla eget utrymme och anses vara personuppgiftsansvarig för de personuppgiftsbehandlingar som detta för med sig måste alltså bedöma om berört allmänt intresse är fastställt i enlighet med svensk rätt. Samtidigt måste emellertid myndigheten, så som redovisats i kap 7 ovan, bedöma om åtgärden har stöd i någon av de källor som tillsammans bildar rättsordningen i vidsträckt mening (5 den nya förvaltningslagen). För kommuner följer dock en vidsträckt möjlighet att göra frivilliga åtaganden, inom ramen för ett allmänt intresse, av 2 kap. 1 kommunallagen (1991:900), se SOU 2017:39 s. 125). I motiven till den föreslagna paragrafen har Dataskyddsutredningen anfört bl.a. att med grunden för behandlingen enligt artikel 6.3 första stycket avses uppgiften av allmänt intresse, inte behandlingen i sig. Beträffande vilket slags reglering som avses med att den rättsliga grunden ska vara fastställd har utredningen anfört att den inte nödvändigtvis måste fastställas i eller i enlighet med en av riksdagen beslutad lag, men att den måste vara fastställd i laga ordning, på ett konstitutionellt korrekt sätt, och att frågan huruvida de uppgifter av allmänt intresse som har fastställts i enlighet med svensk rätt är tillräckligt precisa måste bedömas från fall till fall i rättstillämpningen (SOU 2017:39 s.112). Vidare har utredningen förklarat att begreppet allmänt intresse är ett unionsrättsligt begrepp som inte med enkelhet låter sig avgränsas, att det definieras varken i dataskyddsdirektivet eller i dataskyddsförordningen och att dess innebörd ännu inte har utvecklats av EU-domstolen, men att artikel 29-gruppen inrättat en arbetsgrupp som kan komma att belysa begreppet uppgift av allmänt intresse. Sannolikt innebär den vida tolkning av tillämpningsområdet, som Dataskyddsutredningen har gjort i sitt betänkande, att även behandlingar i eget utrymme normalt anses vara nödvändiga för myndighetens förvaltning och funktion och att behandlingarna därmed är rättsligt grundade i dataskyddsförordningens mening. De begränsningar som redovisats i avsnitt 7.3 rörande den förvaltningsrättsliga legalitetsprincipen får dock antas gälla även för kravet på rättslig grund för personuppgiftsbehandling. Det hade varit bra om denna fråga belysts närmare av utredningen med beaktande av eget utrymmes praktiska betydelse för att offentlig förvaltning ska fungera och utvecklas i enlighet med regeringens strävanden. esam bör verka för att denna fråga klarläggs, och ge stöd för myndigheterna genom ett rättsligt uttalande eller en vägledning där de förvaltningsrättsliga- och dataskyddsrättsliga bedömningarna samordnas. 16 Dessutom följer det av artikel 6.3 andra stycket att syftet med behandlingen ska vara nödvändigt för att utföra uppgiften. Även om exempelvis en uppgift av allmänt intresse skulle kunna utföras utan att personuppgifter behandlas på visst sätt, kan behandlingen dock anses vara nödvändig och därmed tillåten enligt artikel 6, om behandlingen leder till effektivitetsvinster (SOU 2017:39 s. 106). Så är normalt fallet med en e-tjänst med eget utrymme. Samtidigt bör den nyheten uppmärksammas att behandlingar som utförs av offentliga myndigheter när de fullgör sina uppgifter inte längre får äga rum med stöd av en intresseavvägning (se artikel 6.1 andra stycket).

15 8.3 Känsliga personuppgifter i eget utrymme och sökbegränsningar Slutligen har Dataskyddsutredningen i sitt förslag till dataskyddslag beträffande myndigheters behandling föreslagit en bestämmelse i lag om att känsliga personuppgifter får, med stöd av artikel 9.2 g i dataskyddsförordningen, behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag eller i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 ). Bakgrunden är den att behandlingen ska vara nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av (unionsrätten eller) medlemsstatens nationella rätt. Här exkluderar författningsförslaget den service som ges genom eget utrymme om myndigheten blir att anse som personuppgiftsansvarig eftersom tillämpningsområdet är avgränsat till uppgifter som lämnats i ett ärende eller till myndigheten. Uppgifter som finns i eget utrymme anses inte inkomna till myndigheten, varken i förvaltningsrättslig- eller tryckfrihetsrättslig mening, och uppgifterna anses inte heller vara tillförda ett ärende (jfr prop. 2016/17:198). Sådana utrymmen där känsliga uppgifter i dagsläget ska skrivas in synes således bli förbjudna när dataskyddsförordningen träder i kraft. Eftersom myndigheten inte ska få ta del av innehållet i eget utrymme och därmed kan inte veta om känsliga uppgifter skrivs, trots förbud i t.ex. avtal, kan stränga sanktioner riskeras. Samma komplikationer kan inträda enligt en registerförfattning. Som exempel används även här beskattningsverksamheten, där upplysningar kan behöva lämnas i en deklaration t.ex. om att sjukdom eller en lagöverträdelse föranlett vissa för beskattningen betydelsefulla dispositioner eller åtgärder. Av 1 kap. 7 skattedatabaslagen följer nämligen att känsliga personuppgifter och uppgifter om lagöverträdelser m.m. får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Så är inte fallet när personuppgifter behandlas i eget utrymme. Skulle skattedatabaslagen inte bli tillämplig och Skatteverket inte heller anses bli personuppgiftsansvarigt enligt dataskyddsförordningen, för företags behandlingar i eget utrymme, finns emellertid en rättslig grund för behandlingarna de kan ske i enlighet med den enskildes författningsreglerade skyldighet att lämna uppgifter till berörd myndighet, dvs. för att fullgöra en rättslig förpliktelse (SOU 2017:39 s. 54). Företaget kan också begränsa behandlingar i utrymmet av känsliga personuppgifter så att hanteringen blir förenliga med dataskyddsförordningen. Här bör även behovet av att anpassa den generella sökbegränsningen i förslaget till 3 kap. 4 dataskyddslagen uppmärksammas. Ett praktiskt exempel är att den som innehar en brevlåda knuten till Mina meddelanden bör kunna få söka fritt bland sina meddelanden även om de rör t.ex. hälso- och sjukvård. Om behandlingen i juridisk mening anses bli utförd av myndigheten, till följd av den tolkning Datainspektionen synes hävda beträffande personuppgiftsansvarets fördelning, framträder ett behov av en närmare avvägning mellan persondataskyddet och rätten till privatliv enligt Europeiska konventionen. esam bör verka för en anpassning av författningsregleringen för dessa fall och för en tolkning av personuppgiftsansvaret som kan förenas med praktiska realiteter. Att kräva författningsreglering i denna del för varje ny e-tjänst med eget utrymme kan knappast komma i fråga. 9 Slutord Redovisade motivuttalanden ger stöd för den juridiska bedömning av eget utrymme som E-delegationen och esam sedan några år har hävdat. Som en följd av detta klargörande av rättsläget bör esam uppdatera berörda vägledningar. Beskrivna persondataskyddsfrågor behöver beaktas i det fortsatta lagstiftningsarbetet så att e-tjänster kan tillhandahållas även efter dataskyddsförordningens ikraftträdande.

16 E-delegationens närmare beskrivning och invändningar mot den Bilaga För att samordna och förenkla myndigheternas införande av eget utrymme beskrevs och definierades sådant utrymme av E-delegationen i en Juridisk vägledning för verksamhetsutveckling inom e- förvaltningen. Med eget utrymme menas enligt vägledningen (version 2.0 från mars 2015) ett skyddat förvar som tillhandahålls elektroniskt endast som led i teknisk bearbetning eller teknisk lagring för annans räkning. 17 I vägledningen definieras även serviceskede (som ett skyddat förlopp där en användare hanterar uppgifter så att a) service ges enligt 4 FL, b) ingen annan ges insyn i de uppgifter som behandlas, c) det inte sker någon ärendehandläggning, och d) uppgifterna inte är inkomna enligt 10 FL), anvisat mottagningsställe (som en funktion där den som tillhandahåller en servicetjänst eller en bastjänst mottar handlingar, ankomstregistrerar dem och sänder kvittens), verksamhetssystem (som en myndighets eller ett annat organs it-miljö för ärendehantering) och nyttoinformation (som uppgifter som är till för enskilda eller befattningshavare till skillnad från drift- och säkerhetsrelaterad information som krävs för att upprätthålla en fungerande, effektiv och säker drift). 18 I vägledningen förklarades vidare att den utgår från vissa, sedan länge tillämpade, tolkningar av gällande rätt, men att dessa tolkningar inte hade prövats av domstol och att rättsläget därför var delvis oklart. Där beskrevs vidare några rättsfigurer för den framväxande e-förvaltningen, indelade i följande kategorier; sådana där användaren innehar uppgifterna (blå ruta), sådana där myndigheten har uppgifterna (grön ruta), samlingsbegrepp som beskriver vissa förhållanden (vita rutor), se följande figur. Vid myndigheternas fortsatta utveckling av den digitala förvaltningen blev eget utrymme allt vanligare samtidigt som E-delegationens tolkning av 2 kap. 10 första stycket TF började ifrågasättas. 17 I vägledningen från år 2013 definierades även eget utrymme för en session, som eget utrymme som tillhandahålls endast kortvarigt (transient), konto som eget utrymme som har registrerats för en viss fysisk eller juridisk person, så att denne permanent (persistent) kan bevara och i övrigt behandla uppgifter där, samt e-brevlåda som konto där elektronisk post kan levereras. I den uppdaterade vägledningen från år 2015 togs dessa varianter in som beskrivningar i löptexten (avsnitt 4.1.3). 18 Jfr prop. 2016/17:198 s. 14 där det angående eget utrymme förklaras att myndighetens personal endast ska hantera den drifts- och säkerhetsrelaterade informationen.