SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Transkript

1 Yttrande Diarienr 1 (6) Ert diarienr S2014/6786/SF Socialdepartementet Regeringskansliet STOCKHOLM SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen Sammanfattning Datainspektionen har granskat betänkandet utifrån inspektionens uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Inspektionens yttrande begränsas till de frågor som är av väsentlig betydelse för den enskildes personliga integritet. Datainspektionen avstyrker förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen i sin nuvarande utformning, eftersom förslaget inte är förenligt med 2 kap. 6 andra stycket samt 2 kap regeringsformen. Datainspektionen anser att de integritetsskyddande åtgärder som krävs för att en sådan omfattande behandling som Inspektionens verksamhet innebär ska vara tillåten, inte framgår av den föreslagna lagen. Datainspektionen avstyrker förslaget till lag om ändring i socialförsäkringsbalken. Datainspektionen anser att betänkandets förslag om att Inspektionen för socialförsäkringen ska få medges direktåtkomst till personuppgifter i socialförsäkringsdatabasen inte är tillräckligt utrett. Datainspektionen avstyrker förslaget att behandling av känsliga personuppgifter inom Inspektionen för socialförsäkringen ska regleras av både den föreslagna registerlagen och lagen (2003:460) om etikprövning av forskning som avser människor. Datainspektionen anser att en särskild lagregel om gallring av kodnycklar bör införas i den föreslagna registerlagen. Postadress: Box 8114, Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: Telefon:

2 Datainspektionen Diarienr (6) 8 Känsliga personuppgifter I betänkandet föreslås att Inspektionen för socialförsäkringen (förkortad ISF) ska få behandla känsliga personuppgifter enligt 13 personuppgiftslagen samt personuppgifter som avses i 21 samma lag, om uppgifterna har lämnats i ett tillsyns- eller granskningsärende eller annars är nödvändiga för handläggningen av ett sådant ärende. Datainspektionen instämmer i utredningens bedömning att ISF ska få behandla sådana uppgifter och att detta även ska regleras i den föreslagna registerlagen. Genom sitt uppdrag ges ISF en mycket vidsträckt befogenhet att behandla synnerligen integritetskänsliga personuppgifter, något som får anses gå utöver vad som generellt sett skulle vara tillåtet vid ett enskilt forskningsprojekt. ISF:s behandling av känsliga personuppgift bör därför regleras i dess registerlag, tillsammans med där införda särskilda skyddsmekanismer. Av betänkandet framgår emellertid att den föreslagna regleringen inte utesluter att ISF ansöker om etikprövning enligt lagen ( ) om etikprövning av forskning som avser människor (förkortad EPL). Enligt utredningen bör dock inte ISF gå vidare med en behandling av känsliga personuppgifter om de fått avslag på en ansökan enligt EPL. Om så ändå skulle ske ska Datainspektionen, enligt betänkandet kunna inleda tillsyn och vidta erforderliga åtgärder (se s.122). Datainspektionen ifrågasätter det lämpliga i att en och samma behandling av känsliga personuppgifter i en och samma verksamhet skulle kunna vara tillåten enligt olika regelverk. Det är först och främst mycket oklart, mot bakgrund av uttalanden i förarbetena, om ISF:s verksamhet överhuvudtaget innebär forskning. Flera parallella regelverk skulle dessutom riskera att rättstillämpningen blir motstridig och godtycklig. En behandling av känsliga personuppgifter skulle kunna vara tillåten enligt reglerna i registerlagen men ändå inte bli etikgodkänd om ISF väljer att ansöka om etikprövning enligt EPL. Datainspektionen har här svårt att se vilka möjligheter inspektionen skulle kunna ha att vidta åtgärder mot ISF om de ändå skulle välja att fortsätta med behandlingen. Den situationen skulle även kunna uppstå att ISF ansöker om och får ett etikgodkännande enligt EPL, trots att behandlingen av känsliga personuppgifter inte skulle vara tillåten enligt den föreslagna registerlagen, Behandlingen skulle t.ex. kunna vara otillåten för att den inte är nödvändig för handläggningen av ett tillsyns- eller granskningsärende. Vilken lagstiftning ska då ges företräde? Datainspektionens uppfattning är att

3 Datainspektionen Diarienr (6) regleringen gällande behandling av känsliga personuppgifter inte bör innehålla sådana motstridigheter och avstyrker därför förslaget. 9 Inbyggd integritet I betänkandet anges att den personuppgiftsbehandling som ISF bedriver inom ramen för sin verksamhet innebär att det blir fråga om sådan kartläggning av enskildas personliga förhållanden och sådana betydande intrång i den personliga integriteten att 2 kap. 6 andra stycket regeringsformen blir tillämplig. Behandlingen av personuppgifter hos ISF behöver således enligt utredningen regleras i lag, samtidigt som skyddet för den enskildes personliga integritet bör stärkas. Datainspektioner instämmer i utredningens bedömning att den behandling av personuppgifter som utförs av ISF inom ramen för sitt uppdrag är ytterst omfattande och innebär en kartläggning av enskilda individer. De personuppgifter som ISF kommer att behandla i sin verksamhet för tillsyn och granskning måste anses som mycket integritetskänsliga. För att en sådan behandling av personuppgifter överhuvudtaget ska vara förenlig med reglerna i regeringsformen och dataskyddsdirektivet krävs att behandlingen omgärdas av kraftfulla skyddsåtgärder. I betänkandets kapitel 9 redogörs för en lång rad åtgärder vilka enligt utredningen ska minimera riskerna för otillbörliga intrång i enskildas personliga integritet s.k. inbyggd integritet. Utredningen anser emellertid att det, för att tillgodose kraven i regeringsformen, av den föreslagna registerlagen endast behöver framgå att det inom ISF ska finnas en integritetsskyddsfunktion samt att särskilt integritetskänslig personuppgiftsbehandling ska beredas i särskild ordning. Mer detaljerade regler om dessa funktioner bör enligt utredningen ges i form av föreskrifter på lägre nivå. Datainspektionen finner det lovvärt att utredningen så grundligt utrett vilka skyddsåtgärder som kan komma att krävas för att en sådan personuppgiftsbehandling som ISF har behov av att utföra ska vara tillåten enligt gällande dataskyddsregler. Datainspektion anser emellertid inte att den föreslagna registerlagen tillräckligt tydligt reglerar de skyddsåtgärder som krävs för att behandlingen ska vara tillåten. Det räcker inte enligt Datainspektionens mening att det av lagen framgår att en

4 Datainspektionen Diarienr (6) integritetsskyddsfunktion ska finnas hos ISF samt att särskilt integritetskänsliga personuppgifter ska beredas i särskild ordning. De skyddsmekanismer sådana funktioner ska garantera måste även de framgå av lagen. Enligt 2 kap. 6 andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. En begränsning av rättigheterna i 2 kap. 6 andra stycket regeringsformen ska för att vara tillåten stadgas i lag och får inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den, se 2 kap. 20 och 21 regeringsformen. I ett konkret lagstiftningsärende innebär det att det intrång som sker i den enskildes privata sfär måste vara befogat och inte större än nödvändigt. Intrånget ska mötas av integritetshöjande bestämmelser till förmån för den enskilde vars uppgifter behandlas. För att förslaget ska uppfylla kraven i regeringsformen krävs därför att i vart fall de åtgärder som är av central betydelse för integritetsskyddet direkt kan utläsas av den föreslagna registerlagen. Exempel på det är att åtkomsten till personuppgifter som är direkt hänförliga till enskilda begränsas till ett fåtal personer och att endast anonymiserade uppgifter hanteras i den övriga verksamheten. Enligt Datainspektionens mening uppfyller således inte förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen i sin nuvarande utformning de krav som ställs i regeringsformen. Datainspektionen avstyrker därför förslaget. 10 Direktåtkomst och annat elektroniskt utlämnande Utredningen föreslår i betänkandet att ISF genom en ändring i socialförsäkringsbalken ska få medges direktåtkomst till socialförsäkringsdatabasen. Åtkomsten ska begränsas till de uppgifter som är nödvändiga som underlag vid ISF:s tillsyns- och granskningsverksamhet. Den närmare utformningen och begränsningen av direktåtkomsten ska emellertid tas fram av ISF, Försäkringskassan och Pensionsmyndigheten i samråd utifrån praktiska realiteter (se s.162). Direktåtkomst till uppgifter i en databas innebär generellt sett att myndigheten har direkt tillgång till uppgifterna och på egen hand kan söka

5 Datainspektionen Diarienr (6) efter information. Åtkomsten begränsas således inte i praktiken till vad den aktuella myndigheten behöver för sin verksamhet. För att en sådan behandling av personuppgifter ska vara tillåten krävs enligt regleringen i regeringsformen och dataskyddsdirektivet att direktåtkomstens utformning och omfattning vägs mot intrånget den medför i den personliga integriteten. Datainspektionen finner det därför anmärkningsvärt att utredningen, trots att man uppger att någon närmare analys av direktåtkomstens faktiska utformning i nuläget inte kan göras utan får ske efterhand utifrån vad som är praktiskt möjligt, ändå föreslår att ISF ska få medges direktåtkomst till socialförsäkringsdatabasen. Då vare sig direktåtkomstens omfattning eller dess inverkan på enskildas personliga integritet presenterats i betänkandet är den avvägning som krävs enligt dataskyddsregleringen inte möjlig. Datainspektionen ställer sig också frågande till utredningens slutsats att befintliga regler om sekretess hos ISF för närvarande får anses tillräckliga. Eftersom det presenterade förslaget till direktåtkomst utifrån sin ordalydelse medger en mycket vid direktåtkomst finns det skäl att befara att personuppgifter och sammanställningar av personuppgifter, som det inte alls är tänkt att ISF ska kunna ta del av, blir allmänna handlingar hos ISF och således kan begäras ut. Det är därför av yttersta vikt att frågan om sekretesskydd för uppgifter inom ISF utreds vidare innan någon möjlighet till direktåtkomst införs. Datainspektionen anser även att det inte står helt klart att ISF verkligen har ett behov av direktåtkomst till uppgifterna i socialförsäkringsdatabasen. Som uppges i betänkandet är tillsyns- och granskningsverksamheten hos ISF i huvudsak utformad med i förväg beslutade och väl avgränsade projekt. Det finns således anledning att överväga om nuvarande rutiner för elektroniskt utlämnande av personuppgifter till ISF, utan att det blir fråga om en direktåtkomst, skulle kunna utgöra alternativ till direktåtkomst. Något mer utförligt övervägande av sådana alternativ har dock inte presenterats i utredningen. Mot denna bakgrund anser Datainspektions att den utredning avseende direktåtkomst för ISF till uppgifter i socialförsäkringsdatabasen som presenterats i betänkandet är så pass bristfällig att den inte kan läggas till grund för lagstiftning. Datainspektionen avstyrker därför förslaget till lag om ändring i socialförsäkringsbalken.

6 Datainspektionen Diarienr (6) 11.3 Bevarande och gallring Bevarande av kodnycklar I betänkandet anges att skäl saknas för att införa någon särskild gallringsregel för ISF:s egna kodnycklar i den föreslagna registerlagen. Enligt utredningens bedömning bör de regler som i övrigt gäller avseende gallring av de personuppgifter kodnycklarna är hänförliga till gälla även för nycklarna som sådana. Personuppgifter ska enligt förslaget som huvudregel gallras så snart de inte längre behövs för det ändamål de behandlas för. Datainspektionen instämmer i att kodnycklar ska gallras så snart de inte längre behövs för det ändamål de används för. Då kodning av personuppgifter är en av förutsättningarna för att uppnå den integritetsskyddande funktion som föreslås anser Datainspektionen att en särskild gallringsregel för kodnycklar, med innebörd att en nyckel inte får bevaras längre än det finns behov av det, bör införas i registerlagen. Behov av kodnycklar får, mot bakgrund av det uppdrag ISF har, anses saknas när det projekt de använts i är klart och slutredovisat. Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av juristen Ulrika Harnesk. Vid den slutliga handläggningen har även chefsjuristen Hans-Olof Lindblom och enhetschefen Katarina Tullstedt deltagit. Kristina Svahn Starrsjö Ulrika Harnesk