Yttrande i Förvaltningsrätten i Stockholms mål

Transkript

1 Yttrande Diarienr 1 (8) Ert diarienr Mål Avdelning 32 Förvaltningsrätten i Stockholm Stockholm forvaltningsrattenistockholm@dom.se Yttrande i Förvaltningsrätten i Stockholms mål Datainspektionen har getts möjlighet att yttra sig över E-hälsomyndighetens yttrande av den 1 september Datainspektionens inställning Vad E-hälsomyndigheten nu anför och åberopar leder inte till att Datainspektionen gör någon annan bedömning än den som inspektionen gjort i det överklagade beslutet. Inspektionen vidhåller sitt beslut och yrkar att överklagandet ska avslås. För förvaltningsrättens bedömning hänvisar Datainspektionen i första hand till de skäl som inspektionen anger i det överklagade beslutet och till vad inspektionen tidigare framfört i målet. Med hänsyn till den ytterligare argumentering som E-hälsomyndigheten nu åberopar till stöd för sin talan vill Datainspektionen tillägga följande i syfte att underlätta förvaltningsrättens prövning av målet. Inledning Datainspektionen har beskrivit, i tillsynsbeslutet den 21 april 2017 och svarsskrivelsen från den 7 juli 2017, dataskyddsreglerna i förhållande till E- hälsomyndighetens tjänst Hälsa för mig. Datainspektionen har också angett inspektionens uppfattning avseende beslutets utformning och Datainspektionens behörighet. Datainspektionen upprepar inte här vad som sagts tidigare, förutom att inspektionen ger en kompletterande kommentar Postadress: Box 8114, Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: Telefon:

2 Datainspektionen Diarienr (8) gällande personuppgiftsansvaret. Att Datainspektionen inte bemöter eller kommenterar E-hälsomyndighetens påståenden innebär inte att Datainspektionen vitsordar vad som anförs. Det avser även när E- hälsomyndigheten ger sin tolkning av Datainspektionens uppfattning. Datainspektionen kan konstatera att vad E-hälsomyndigheten anfört om tjänstens utformning stämmer väl överens med den beskrivning Datainspektionen fått tidigare. E-hälsomyndigheten har gjort en del ändringar efter det att myndigheten besvarade tillsynsskrivelsen. Beträffande tjänstens utformning har exempelvis möjligheten till offline access 1 och möjligheten att ge en annan Användare fullt ägandeskap 2 tagits bort. Datainspektionen är positiv till dessa ändringar, men bedömer att de inte förändrar de grundläggande rättsliga förutsättningarna som tillsynen omfattat. En annan förändring avser personuppgiftsansvaret. E-hälsomyndigheten uppgav inledningsvis att myndigheten var personuppgiftsansvarig för tjänsten. 3 I överklagandet angav E-hälsomyndigheten istället att Användaren är personuppgiftsansvarig 4 och att E-Hälsomyndighetens ansvar endast avser administration och övergripande frågor om organisatoriska och tekniska säkerhetsåtgärder. 5 E-hälsomyndigheten har även i yttrandet från den 1 september 2017 ståndpunkten att personuppgiftsansvaret för behandlingen av uppgifterna på kontot åligger den enskilde Användaren och anger att det var kontakten med Datainspektionen som fick E-hälsomyndigheten att uppge något annat inledningsvis. 6 Personuppgiftsansvar Frågan om personuppgiftsansvarets placering och omfattning är central för reglerna gällande dataskydd. Att personuppgiftsansvaret uppfattas korrekt av en verksamhetsutövare är avgörande för att skyddet för den enskildes integritet i form av dataskyddsreglerna ska fungera. Datainspektionen vill 1 E-hälsomyndighetens svar i tillsynsärendet s. 16 jämfört med E-hälsomyndighetens yttrande punkt E-hälsomyndighetens svar i tillsynsärendet s. 5 jämfört med E-hälsomyndighetens överklagande punkt 97 3 E-hälsomyndighetens svar i tillsynsärendet s. 10 f 4 E-hälsomyndighetens överklagande punkt 33 5 E-hälsomyndighetens överklagande punkt 34 6 E-hälsomyndighetens yttrande bl.a. avsnitt 2 och 3.2

3 Datainspektionen Diarienr (8) därför återigen belysa inspektionens syn på personuppgiftsansvaret för tjänsten Hälsa för mig. E-hälsomyndigheten anger att myndigheten inte har insyn i, tillgång till eller kännedom om vilken information Användaren lagrar på sitt konto 7 och att det endast är några få medarbetare hos underleverantören som faktiskt tar del av uppgifterna. Att ha insyn i, tillgång till eller kännedom om är inte förutsättningar som krävs för att det ska vara frågan om behandling av personuppgifter. Behandling är varje åtgärd som vidtas beträffande personuppgifter, artikel 2 b dataskyddsdirektivet, 3 personuppgiftslagen, artikel 4.1 dataskyddsförordningen. Det är E-hälsomyndigheten som lagrar, bearbetar, inhämtar, sprider, tillhandahåller m.m. som behandlar dessa personuppgifter dvs. de hälsouppgifter som kommer att finnas i hälsokontona. E-hälsomyndigheten måste således ha ett stöd för dessa behandlingar. E-hälsomyndighetens behandling av uppgifterna kan ske antingen i egenskap av personuppgiftsansvarig eller, om det sker på uppdrag av någon annan, som personuppgiftsbiträde. E-hälsomyndigheten har i sin instruktion fått uppdraget att skapa en tjänst för enskildas hälsokonton. E-hälsomyndigheten har utformat tjänsten i syfte att uppfylla det uppdraget. E-hälsomyndigheten tillhandahåller plattformen via ett personuppgiftsbiträde. Det är E-hälsomyndigheter som ingår avtal med Användarna av tjänsten. Det är E-hälsomyndigheten som avtalar med Applikationsleverantörerna om möjligheten att erbjuda applikationer och få tillgång till uppgifter i tjänsten. E-hälsomyndigheten bekostar tjänsten och erhåller betalning från applikationsleverantörerna. Det är E- hälsomyndigheten som tillhandahåller de tekniska förutsättningarna för att få tillgång till uppgifterna som finns på hälsokontona. Det är enbart E- hälsomyndigheten och myndighetens biträde som behandlar uppgiftssamlingen som helhet. Av detta följer att det är E-hälsomyndigheten som bestämmer ändamål och medel för Hälsa för mig och som därför har personuppgiftsansvaret för de behandlingar som utförs i tjänsten. E-hälsomyndigheten har anfört att myndighetens ansvar påverkas av att den enskilde Användaren har så stort inflytande över behandlingen. Att de 7 E-hälsomyndighetens yttrande 153.4

4 Datainspektionen Diarienr (8) registrerade ges ett väsentligt inflytande är positivt ur ett integritetsperspektiv, men innebär inte att den personuppgiftsansvariges ansvar upphör eller begränsas. E-hälsomyndigheten har hänvisat till bankkunders stora möjlighet att hantera sin ekonomi via internetbanker. Datainspektionen tycker att det är en bra jämförelse, där den enskildes möjligheter inte förändrar bankernas ansvar. E-hälsomyndigheten anger att myndigheten vidtagit de åtgärder som krävs för ett eventuellt mer omfattande personuppgiftsansvar m.m. 8 Datainspektionen delar inte den bedömningen. Datainspektionen kan konstatera att personuppgiftsansvaret ska vara tydligt för de registrerade. Eftersom E-hälsomyndigheten inte anser sig vara personuppgiftsansvarig är det inte möjligt att skapa den tydligheten. Den personuppgiftsansvarige måste, förutom att ha en rättslig grund såsom exempelvis samtycke, också följa de grundläggande principerna. De grundläggande principerna framgår av 9 personuppgiftslagen, artikel 6 i dataskyddsdirektivet och artikel i 5 dataskyddsförordningen. Dessa principer anger bland annat att personuppgifterna bara får samlas in för särskilda, uttryckligt angivna ändamål och att senare behandling inte får ske på ett sätt som är oförenligt med dessa ändamål. E-hälsomyndigheten har uttryckt att myndigheten inte har några egna ändamål för att behandla uppgifterna som ska lagras i hälsokontona. 9 Det skulle innebära att E-hälsomyndigheten inte alls får behandla uppgifterna ifråga. Datainspektionen är av uppfattningen att E-hälsomyndighetens ändamål framgår av myndighetens instruktion, dvs. att tillhandahålla en tjänst där enskilda kan behandla uppgifter om sin hälsa och uppgifterna får enbart behandlas i form av teknisk lagring för enskilds räkning och för att ge tredje part möjlighet att ansluta tillämpningar och tjänster till den elektroniska tjänsten. Denna instruktion, som är en tydlig hänvisning till 2 kap. 10 första stycket tryckfrihetsförordningen, tolkar E-hälsomyndigheten som att den i sig inskränker personuppgiftsansvaret. Det är i och för sig möjligt för lagstiftaren 8 E-hälsomyndighetens yttrande avsnitt E-hälsomyndighetens yttrande punkt 15

5 Datainspektionen Diarienr (8) att, under vissa förutsättningar, reglera personuppgiftsansvaret, men vare sig instruktionen eller tryckfrihetsförordningen innehåller någon sådan reglering. Tryckfrihetsförordningen anger något förenklat att om vissa förhållanden föreligger, så gäller inte bestämmelserna om allmänna handlingar. Såsom bestämmelsen är utformad är den överhuvudtaget inte konkurrerande till dataskyddsreglerna. Tvärtom är den väl överensstämmande med dataskyddsreglerna när den tillämpas i en situation där en myndighet är värdmyndighet (personuppgiftsbiträde) för en annan myndighets uppgiftssamlingar (personuppgiftsansvarig). Bestämmelsen i 2 kap. 10 tryckfrihetsförordningen är inte heller en bestämmelse om tryckeller yttrandefrihet som enligt 7 första stycket personuppgiftslagen ska ha företräde framför personuppgiftslagen, jfr artikel 85 dataskyddsförordningen. För att kunna reglera personuppgiftsansvaret behöver lagstiftaren idag följa dataskyddsdirektivet och framöver artikel 4.7 i dataskyddsförordningen som anger att om ändamål och medlen för behandlingen bestäms i nationell rätt kan det också föreskrivas vem som är personuppgiftsansvarige eller utifrån vilka kriterier denna ska utses. Det s.k. egna utrymmet har skapats för att undvika att vissa handlingar blir allmänna. Om denna strävan kolliderar med dataskyddsreglerna så är det endast lagstiftaren som, utifrån det utrymme som finns enligt grundlag och unionsrätten, som kan reglera personuppgiftsansvaret och begränsningar av rättigheter eller reglera bestämmelserna om sekretess. Dataskyddsreglerna är vare sig dispositiva eller sekundära, varför det inte är möjligt att välja bort dem för att de påverkar karaktären av det s.k. egna utrymmet. Att det i E-hälsomyndighetens instruktion anges att uppgifterna enbart får behandlas för teknisk lagring för enskilds räkning innebär en stark begränsning av ändamålet. Det är endast för att tillgodose Användarens behov som E-hälsomyndigheten har ett berättigat ändamål för att behandla uppgifterna. Datainspektionen kan konstatera att E-hälsomyndigheten i huvudavtalet avseende anslutning av applikation till Hälsa för mig i punkt 2.1 anger att syftet med Hälsa för mig är att möjliggöra ett effektivt stöd för enskilda individer för att samla, lagra och dela hälso- och sjukvårdsrelaterad information. Datainspektionen anser inte att det i instruktionen anges att E- hälsomyndigheten ska dela hälso- och sjukvårdsuppgifterna. Tvärtom anges det att lagringen enbart ska vara till för den enskilde. Ett utrymme som

6 Datainspektionen Diarienr (8) dessutom omfattas av absolut sekretess, för den som erbjuder lagringen dvs. E-hälsomyndigheten. De Applikationsleverantörer som bjuds in kan således erbjuda tjänster, men inte för egna syften få del av information. Datainspektionen vill i sammanhanget poängtera att om en Användare samtycker till att dennes hälsouppgifter behandlas för exempelvis marknadsföring, är det inte detsamma som att marknadsföring är ett ändamål för Användaren. Att ändamålen med tjänsten följs är också viktigt utifrån vårdgivarnas perspektiv. Det är naturligtvis stor skillnad på att överföra sjukjournaler till en tjänst där enbart patienten kan ta del av uppgifterna, eller en tjänst som är till för att tillhandahålla andra intressenter uppgifterna. Det är den personuppgiftsansvarige som ska tillse att uppgifterna behandlas bara för de för tjänsten berättigade ändamålen och att de personuppgifter som behandlas är adekvata och relevanta och inte omfattar mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de samlades in och för vilka de senare behandlas. E-hälsomyndigheten kan inte överlåta till respektive Användare att ta ansvar för vad de genom samtycke ger Applikationsleverantörerna åtkomst till. Det är E-hälsomyndigheten i egenskap av personuppgiftsansvarig som ansvarar för att den behandling som sker är korrekt och laglig och att det finns berättigade ändamål som är särskilda och uttryckligt angivna och att behandlingen inte omfattar mer uppgifter än nödvändigt. Förutom att följa de grundläggande principerna och se till att det finns en rättslig grund för behandlingen, måste den personuppgiftsansvarige också se till att något av undantagen från förbudet att behandla känsliga personuppgifter är tillämpligt när behandlingen avser känsliga personuppgifter. Den registrerades rättigheter ska uppfyllas av den personuppgiftsansvarige i den mån de inte har begränsats i reglering gällande personuppgiftsbehandling. Den personuppgiftsansvarige ska också uppfylla övriga krav avseende sina skyldigheter. Dessa kommer framöver utökas och vara tydligare när dataskyddsförordningen börjar tillämpas i maj 2018, se kapitel IV dataskyddsförordningen. Den personuppgiftsansvarige har också ansvar för att överföringen av personuppgifter till tredje land inte sker utan att det finns ett rättsligt stöd för överföringen.

7 Datainspektionen Diarienr (8) Att såsom E-hälsomyndigheten anför, se de separata hälsokontona som individuella behandlingar, är inte i överensstämmelse med verkligheten. 10 Det är den stora samlingen av hälsouppgifter som möjliggör att prenumerationstjänster kan skapas och att Applikationsleverantörerna kan skapa applikationer för tjänsten och att de dessutom är beredda att betala E- hälsomyndigheten för att få möjligheten att erbjuda applikationer. E- hälsomyndigheten har i sitt överklagande uppgett att en förutsättning för Applikationsleverantörernas intresse är att de erhåller något av värde för dem. 11 Intresset av informationen hör givetvis samman med mängden information och informationens karaktär. Även riskerna med tjänsten hör samman med såväl mängden som uppgifternas karaktär. Ansvaret för tjänsten kan därför inte heller ur detta perspektiv, bli en fråga för den enskilde Användaren, det är enbart E-hälsomyndigheten som kan ansvara för helheten. Användarna är registrerade och har på samma sätt som de andra registrerade - vårdpersonal och andra som omnämns i exempelvis sjukjournaler - rätt till skydd för sina personuppgifter. E-hälsomyndighetens bedömning att det är Användaren som är ansvarig för behandlingen av hälsouppgifterna, skulle om den var korrekt, innebära att myndigheten skulle kunna ha en uppgiftssamling med potentiellt sett hela Sveriges befolknings sjukjournaler, läkemedelsuppgifter och andra hälsouppgifter, utan att någon skulle vara att anse som personuppgiftsansvarig för informationssamlingen och utan att någon skulle ha ansvar för att gällande dataskyddsregler följs. Bevisning De bevis som åberopas av E-hälsomyndigheten är två dokument som E- hälsomyndigheten utformat. Datainspektionen bestrider inte dessa. Datainspektionen åberopar inte någon bevisning eftersom målet avser grundläggande rättsliga förutsättningar för tjänsten Hälsa för mig. 10 E-hälsomyndighetens yttrande punkt E-hälsomyndighetens överklagande punkt 122

8 Datainspektionen Diarienr (8) Detta yttrande har beslutats av ställföreträdande generaldirektören Hans-Olof Lindblom efter föredragning av enhetschefen Katarina Tullstedt. Hans-Olof Lindblom Katarina Tullstedt