Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Transkript

1 Yttrande Diarienr 1(7) Dnr Ert diarienr Dnr Fi 2016/00407/S3 Finansdepartementet Stockholm Promemorian Uppgifter på individnivå i en arbetsgivardeklaration Datainspektionen har granskat promemorian utifrån myndighetens uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Inspektionens yttrande begränsas till de frågor som är av väsentlig betydelse för den enskildes personliga integritet. Sammanfattning Förslaget kan sägas bestå i två delar. I den första delen föreslås att uppgifter som arbetsgivare i nuläget lämnar för enskilda betalningsmottagare i årliga kontrolluppgifter istället ska lämnas månadsvis i arbetsgivardeklarationerna. I den senare delen föreslås omfattande möjligheter till elektroniskt uppgiftsutlämnande från Skatteverket till ett antal myndigheter och till arbetslöshetskassorna. Uppgiftsutlämnande till angivna myndigheter får ske genom direktåtkomst medan det till arbetslöshetskassorna får ske på medium för automatiserad behandling. Förslaget innefattar att den absoluta sekretess för uppgifterna som gäller hos Skatteverket även gäller hos de myndigheter och arbetslöshetskassor som mottar uppgifterna. Datainspektionen anser att förslaget brister vad gäller att klargöra och säkerställa skyddet för personuppgifterna vid föreslagna informationsutbyten. Datainspektionen inga synpunkter på förslaget i övriga delar. Förslaget innebär att flera stora myndigheter och arbetslöshetskassorna får omfattande tillgång till personuppgifter som berör den personliga sfären och som gäller en mycket stor del av befolkningen. Om ett flertal myndigheter kan söka information ur en sådan uppgiftssamling är det mycket viktigt att riskerna för intrång i den personliga integriteten, inklusive obehörig åtkomst, noga utvärderas och minimeras. Postadress: Box 8114, Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: Telefon:

2 Datainspektionen Diarienr Dnr (7) I promemorian anges att det råder en oklarhet gällande vad som avses med begreppen direktåtkomst respektive utlämnande på medium för automatiserad behandling, men dessa begrepp föreslås ändå i författningsförslagen. I promemorian beskrivs inte närmre hur dessa informationsutbyten ska gå till i praktiken. Eftersom det inte är tydligt hur direktåtkomsten ska gå till och riskerna inte beskrivits på ett konkret sätt går det inte att bedöma om behovet överväger riskerna. Datainspektionen anser att i det fortsatta lagstiftningsarbetet måste förslagen konkretiseras och analyseras för att en avvägning ska kunna ske. Förslaget bygger på nuvarande lagstiftning och föreslås träda i kraft den 1 januari Förslaget till en dataskyddsförordning inom EU antogs den 14 april 2016 och den ska börja tillämpas om drygt två år. Förordningen kommer att vara direkt gällande rätt i Sverige och personuppgiftsbehandlingen måste därför vara i överensstämmelse med förordningen. Det ställs dessutom krav i förordningen på kompletterande nationella regler i vissa fall. Det är därför av största vikt att förordningens regler beaktas i lagstiftningsarbetet. Avsnitt Normgivningsnivån Inledningsvis konstaterar Datainspektionen att personuppgiftslagen kommer att upphävas i och med att dataskyddsförordningen börjar tillämpas. Oavsett om en behandling idag utförs med stöd av en särskild registerförfattning eller personuppgiftslagen måste dataskyddsförordningen beaktas och analyseras som helhet, dvs. vilken behandling är tillåten med direkt tillämpning av dataskyddsförordningen, i vilka fall finns det enligt dataskyddsförordningen krav på nationell reglering för att viss behandling ska vara tillåten och i vilka fall får kompletterande nationell reglering finnas enligt förordningen. Av detta följer att nya lagstiftningsförslag, i synnerhet om de som i detta fall är tänkta att träda kraft i mycket nära anslutning till att förordningen börjar tillämpas, kan visa sig omöjliga att genomföra om man inte från början har beaktat förordningens bestämmelser. Det är därför Datainspektionens uppfattning att förslaget måste prövas mot förordningens regler. Detta gäller i desto högre grad om det krävs omfattande anpassningar av myndigheternas IT-system. När medlemsstaterna använder sig av sitt handlingsutrymme i lagstiftningen måste 2 kap. 6 andra stycket regeringsformen beaktas. Datainspektionen anser, till skillnad från vad som anförs i promemorian, att det föreslagna informationsutbytet, om det realiseras innebär en så betydande kartläggning

3 Datainspektionen Diarienr Dnr (7) av enskildas personliga förhållanden att 2 kap. 6 andra stycket regeringsformen blir tillämplig. Ju känsligare uppgifter det rör sig om desto mer ingripande ska en behandling som avser kartläggning eller övervakning anses vara. Vidare ska ändamålet beaktas såtillvida att exempelvis en hantering som syftar till att utreda brott är mer känslig än t ex en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvalitén i handläggningen. Mängden uppgifter har betydelse och det uttalas även att behovet av lagstiftning är särskilt stort om uppgifterna sprids externt i inte obetydlig omfattning. (Prop 2009/10:80, s. 182 ff). I nu föreslagna informationsutbyten rör det sig om integritetskänsliga uppgifter med ändamålet kontroll för att upptäcka felaktiga utbetalningar och fusk, de avser en omfattande del av befolkningen och det är frågan om en stor spridning. Bestämmelsen i 2 kap. 6 andra stycket regeringsformen innebär att sådana åtgärder som föreslås ska prövas mot grundlagen och regleras i lag. Det är endast tillåtet med lagar som inskränker integritetsskyddet om det intresse som ska tillgodoses är så starkt och integritetsskyddsintresset så förhållandevis svagt att inskränkningen framstår som proportionerlig. Bestämmelsen innebär också att lagstiftaren tydligt måste redovisa vilka avvägningar som gjorts vid proportionalitetsbedömningen. En begränsning av rättigheterna i 2 kap. 6 andra stycket regeringsformen ska för att vara tillåten stadgas i lag och får inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den, se 2 kap. 20 och 21 regeringsformen. I ett konkret lagstiftningsärende innebär det att det intrång som sker i den enskildes personliga integritet måste vara befogat och inte större än nödvändigt. Intrånget ska mötas av integritetshöjande bestämmelser till förmån för den enskilde vars personuppgifter behandlas. Avsnitt Personlig integritet och elektroniskt informationsutbyte Avsnitt Direktåtkomst Avsnitten I de övergripande integritetsbedömningarna (avsnitt 3.5.2) i promemorian anges att elektroniska utlämnanden hos myndigheter kan innebära en risk för den enskildes personliga integritet genom att stora informationsmängder samlas och är enkelt sökbara. Denna, abstrakt uttryckta, risk som angetts för elektroniska utlämnanden och alltså inte specifikt för direktåtkomst, vägs

4 Datainspektionen Diarienr Dnr (7) mot att flera myndigheter redan deltar i elektroniska informationsutbyten med Skatteverket. Dessutom uttalas att ett elektroniskt informationsutbyte som är en nödvändig följd av förmånssystemens utformning inte ansetts medföra ett intrång som är att anse som oacceptabelt. Datainspektionen anser inte att det är en tillräcklig analys eller avvägning. Den föreliggande promemorian bygger till stor del på tidigare utredningar, framförallt Månadsuppgiftsutredningens betänkande Månadsuppgifter snabbt och enkelt (SOU 2011:40). Datainspektionen står fast vid den synpunkt som framfördes i remissyttrandet till SOU 2011:40, att det krävs en integritetsanalys som tar hänsyn till helheten. Det är också nödvändigt att en analys av integritetsriskerna anger vilka konkreta risker för integriteten som det föreslagna informationsutbytet innebär och att det prövas i det enskilda fallet om intresset av informationsutbytet väger över riskerna för oacceptabelt intrång. Vad gäller bedömningarna för de olika mottagarna i informationsutbytet finner Datainspektionen det orimligt att först peka på att det är oklart var gränsen går mellan direktåtkomst och annat elektroniskt utlämnande för att sedan använda begreppen i författningsförslag utan att förklara vad som avses. Mot den bakgrunden är det varken möjligt att förstå vilken slags tillgång till personuppgifter myndigheterna och arbetslöshetskassorna får eller bedöma proportionaliteten. Slutsatsen att det för myndigheterna inte räcker med utlämnande på medium för automatiserad behandling blir inte lättare att förstå mot bakgrund av hänvisningen till avsnitt I detta avsnitt anförs bland annat att det mot bakgrund av Högsta förvaltningsdomstolens avgörande den 29 oktober 2015 i mål nr finns anledning att överväga om de utlämnanden som föreslås i denna promemoria, genom utformningen av de tekniska systemen kan bedömas som utlämnande på medium för automatiserad behandling och att det därför inte skulle finnas behov av direktåtkomst. Det är i och för sig förtjänstfullt att man inte velat tilldela arbetslöshetskassorna större tillgång än vad behovet hos dem motiverar. Det är dock oklart varför myndigheternas behov av direktåtkomst till uppgifterna är större än kassornas behov. Det är också oklart hur det utlämnande som beviljas arbetslöshetskassorna skiljer sig från det utlämnande som beviljas myndigheterna. Utöver att det saknas förklaring till hur utlämnandena ska gå till redogörs inte för vilka konkreta risker som finns med att ge en möjlighet till direktåtkomst.

5 Datainspektionen Diarienr Dnr (7) Det går inte att genomföra en korrekt proportionalitetsbedömning utan att ha en specifik behandling inbegripet de säkerhetsåtgärder som föreligger och inbegripet konkreta risker för den enskildes personliga integritet - beskrivet. Eftersom promemorian saknar en djupare analys är det svårt att bedöma vilka konsekvenser det föreslagna informationsutbytet får för den personliga integriteten. Datainspektionen anser att man i det fortsatta lagstiftningsarbetet bör utreda frågorna närmare och redogöra för de bedömningar som gjorts. Det som framförallt saknas är förutsättningarna för att utföra en viktning av behoven, en ingående undersökning av alternativa och mindre ingripande metoder och att det av de föreslagna reglerna går att läsa vari inskränkningen består och hur stor den är. (Jämför Integritetsskyddskommitténs uttalanden i SOU 2007:22, s. 449 ff). Avsnitt Krav på administrativa och tekniska begränsningar Det föreliggande författningsförslaget innebär att de angivna myndigheterna ges direktåtkomst till ett stort antal uppgifter utan att det säkerställs att relevanta organisatoriska och tekniska begränsningar kommer till stånd. Det kan konstateras att myndigheternas behov av uppgifter enbart gäller begränsade kategorier. Det är därför omotiverat att myndigheterna har en generell direktåtkomst till alla registrerade. De åtgärder som åligger berörda myndigheter, vilka promemorian har redogjort för, enligt bestämmelser i registerförfattningar och personuppgiftslagen kan normalt aldrig till fullo ersätta ett system med inbyggda tekniska hinder. Promemorian snuddar vid frågor om möjligheter att skicka över skiktad information, att direktåtkomst endast ska kunna medges efter en överenskommelse om att direktåtkomst får medges först sedan den utlämnande myndigheten försäkrat sig om att den mottagande myndighetens handläggare bara kan ta del av uppgifter om enskilda som är aktuella i ärenden och att en risk- och sårbarhetsanalys ska göras. Datainspektionen anser att man i det fortsatta lagstiftningsarbetet noga ska överväga att införa bestämmelser som ansluter till de lösningsalternativ som förs fram. I andra sammanhang finns sådana bestämmelser som syftar till att garantera att direktåtkomst inte medges innan behörighets- och säkerhetsfrågorna är lösta, se exempelvis 14 utlänningsdataförordningen (2016:30). Det bör även beaktas att enligt 2 kap. 6 och 20-21

6 Datainspektionen Diarienr Dnr (7) regeringsformen krävs integritetshöjande bestämmelser till förmån för den enskilde vars uppgifter behandlas, varför Datainspektionen även i linje med sin uppfattning om grundlagsbestämmelsernas tillämplighet anser att ytterligare bestämmelser behövs. Det är i sammanhanget också en brist i promemorian att respektive myndighets roll vad gäller personuppgiftsansvaret inte har klarlagts. Utan ett sådant klarläggande uppstår stora risker för att de inblandade myndigheterna inte kan uppfylla de krav som ställs på dem i egenskap av personuppgiftsansvariga. Ett sådant klarläggande är också en förutsättning för att kunna ta fram lämpliga skyddsåtgärder i lagstiftningsarbetet. Det måste också vara tydligt för den enskilde vilken myndighet som är personuppgiftsansvarig. Datainspektionen vill slutligen fästa uppmärksamhet på Dataskyddsförordningens bestämmelser om konsekvensbedömning (artikel 35), med tillhörande skäl (skäl 90-93). Om en typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utföra en konsekvensbedömning före behandlingen. Detta bör särskilt vara tillämpligt på storskalig uppgiftsbehandling med syftet att behandla betydande mängder personuppgifter på region, nationell eller övernationell nivå, vilket skulle kunna påverka ett stort antal registrerade och sannolikt kommer att innebära en hög risk. Bedömningen ska, utöver en proportionalitetsbedömning och en systematisk beskrivning av den planerade behandlingen, bland annat innehålla de åtgärder som planeras för att hantera riskerna. När myndigheter avser att skapa en gemensam tillämpnings- eller behandlingsplattform kan en konsekvensbedömning anses nödvändig att genomföra i lagstiftningsarbetet. Om bedömningen redan gjorts i lagstiftningsarbetet behöver den inte göras på nytt om inte medlemsstaten har bestämt att det är nödvändigt. I sådana fall blir förhandssamråd med tillsynsmyndigheten i enlighet med artikel 36 aktuellt om konsekvensbedömningen visar att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken.

7 Datainspektionen Diarienr Dnr (7) Detta yttrande har beslutats av enhetschefen Katarina Tullstedt efter föredragning av juristen Elin Hallström. Vid den slutliga handläggningen har även datarådet Agneta Runmarker deltagit. Katarina Tullstedt Elin Hallström