Remiss av SOU 2015:66 En förvaltning som håller ihop

Relevanta dokument
Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Datainspektionen lämnar följande synpunkter.

Hur står det till med den personliga integriteten? (SOU 2016:41)

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m.

Yttrande i Förvaltningsrätten i Stockholms mål

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Beslag och husrannsakan ett regelverk för dagens behov (SOU 2017:100)

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Betänkandet låt fler forma framtiden! (SOU 2016:5)

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Datalagring och integritet (SOU 2015:31)

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Betänkandet Allmänna handlingar i elektronisk form offentlighet och integritet (SOU 2010:4)

Remiss av betänkandet 2014 års utlänningsdatalag (SOU 2015:73)

Remissen Läkemedelsverkets förslag till föreskrifter för Nationella medicinska informationssystem

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

SOU 2015:84 Organdonation En livsviktig verksamhet

Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Snabbare lagföring (Ds 2018:9)

Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Så stärker vi den personliga integriteten SOU 2017:52

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Remittering av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning

Mediegrundlagskommitténs betänkande Ändrade mediegrundlagar (SOU 2016:58)

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Yttrande över promemorian Införande av vissa internationella standarder i penningtvättslagen

mellan myndigheter samt mellan myndigheter och företag principer för användning av e-legitimationer och utformning av åtkomstkontroll.

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

Vissa frågor om sekretess med anledning av EU:s dataskyddsreform

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Stockholm den 14 september 2017

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Hemlig dataavläsning ett viktigt verktyg i kampen mot allvarlig brottslighet (SOU 2017:89)

Ds 2016:44 Nationell läkemedelslista

Utkast till lagrådsremissen Vägtrafikdatalag

Tillsyn enligt personuppgiftslagen (1998:204) registrering av känsliga personuppgifter om anställda

Allmänna handlingar i elektronisk form

Myndighetsdatalag (SOU 2015:39)

Kompletterande promemoria: Kameraövervakning vid åteljakt efter vildsvin

Bättre juridiska förutsättningar för samverkan och service (SOU 2014:39) Yttrande till Näringsdepartementet

Kommittédirektiv. Behandlingen av personuppgifter i verksamhet enligt utlänningsoch. medborgarskapslagstiftningen, Dir. 2014:76

Beslut om förteckning enligt artikel 35.4 i EU:s allmänna dataskyddsförordning 2016/679

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Betänkandet SOU 2014:39 Så enkelt som möjligt för så många som möjligt Bättre juridiska förutsättningar för samverkan och service

Svar på förfrågan om vad som utgör en känslig personuppgift

Kommittédirektiv. Tilläggsdirektiv till Utredningen om kameraövervakning brottsbekämpning och integritetsskydd (Ju 2015:14) Dir.

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Stockholm den 9 november 2017 R-2017/1875. Till Utrikesdepartementet UD2017/15958/HI

Betänkandet Myndighetsdatalag (SOU 2015:39)

Handlägges.Q"(4.e...

Datainspektionen informerar. Vägledningen ska tjäna som verktyg för att bedöma integritetsriskerna med ny eller ändrad lagstiftning.

Yttrande över betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning

Remissvar Registersforskningsutredningen {SOU 2014:45)

Utökat sekretesskydd i verksamhet för teknisk bearbetning och lagring

Tillsynsbeslut; omdömen om elever

Användandet av E-faktura inom den Summariska processen

Kommittédirektiv. Personuppgiftsbehandling inom den arbetsmarknadspolitiska verksamheten och i tillsynsverksamheten över denna. Dir.

Kommittédirektiv. En myndighet med ett samlat ansvar för tillsyn över den personliga integriteten. Dir. 2014:164

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter vid antidopningsarbete inom idrotten. Dir. 2018:31

Föredragande borgarrådet Karin Wanngård anför följande.

ALLMÄNNA HANDLINGAR OCH EU FÖRSLAGET TILL DATASKYDDSFÖRORDNING

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Yttrande över Departementspromemorian Domstolsdatalag (DS 2013:10)

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Remiss av slutbetänkandet reboot - omstart för den digitala förvaltningen (SOU 2017:114)

EU:s dataskyddsförordning och utbildningsområdet (SOU 2017:49)

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

En omreglerad spelmarknad (SOU 2017:30)

Kommittédirektiv. Förutsättningar för registerbaserad forskning. Dir. 2013:8. Beslut vid regeringssammanträde den 17 januari 2013.

Stockholm den 21 november 2017

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst

Folkbokföringsuppgifter hos arkivmyndigheterna

Utdrag ur protokoll vid sammanträde

Sveriges advokatsamfund har genom remiss den 11 april 2017 beretts tillfälle att avge yttrande över betänkandet Brottsdatalag (SOU 2017:29).

Promemorian Integritetsskyddsmyndigheten ett nytt namn för Datainspektionen

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Transkript:

Yttrande Diarienr 1 (6) 2015-12-10 1618-2015 Ert diarienr N2015/5090/EF Näringsdepartementet 103 33 Stockholm Remiss av SOU 2015:66 En förvaltning som håller ihop Inledning Datainspektionen har granskat förslaget utifrån sin uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Betänkandet är främst en redogörelse för e-delegationens uppdrag och erfarenheter. Ett antal rekommendationer lämnas, dessa åtföljs dock inte av några författningsförslag. Detta yttrande kommer med anledning av betänkandets utformning att fokusera på frågeställningar relevanta utifrån det dataskyddsperspektiv som aktualiseras av betänkandet. 2.3 Rekommendationer för att driva på den gemensamma e-förvaltningsutvecklingen I betänkandet anges att delegationen vill uppmärksamma på de integritetsrisker vid informationshantering som beror på bristande samordning mellan tryckfrihetsförordningen, yttrandefrihetsgrundlagen, personuppgiftslagen och registerförfattningar. Datainspektionen konstaterar att det är oklart vilka integritetsrisker som avses (beträffande personuppgiftsbehandling som sker med s.k. utgivningsbevis, se avsnitt 2.3.5). Datainspektionen vill inledningsvis framhålla att rätten till respekt för den personliga integriteten och de regelverk som finns för att tillförsäkra denna rätt i form av personuppgiftslagstiftningen och s.k. registerförfattningar är fristående och har en självständig innebörd, som inte kan tolkas utifrån annan offentligrättslig lagstiftning. Datainspektionen ställer sig därför och av Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00

Datainspektionen 2015-12-10 Diarienr 1618-2015 2 (6) nedanstående skäl frågande till vad som åsyftas med samordning av de olika regelverken. För informationshantering inom offentlig verksamhet gäller olika regelverk som har vitt skilda syften, såsom exempelvis verksamhetsregler i syfte att styra och stödja verksamheten, regler om offentlighet och sekretess som syftar till att säkerställa insyn i den offentliga verksamheten och dataskyddsregler, med syftet att skydda enskildas personliga integritet. De olika regelverken behöver vara anpassade till varandra, men ska inte sammanblandas eller tolkas i ljuset av varandra. Det viktiga är förståelsen för de olika regelverkens bakomliggande syften och hur dessa regelverk förhåller sig till varandra. Ju tydligare verksamheterna kan vara i sin tillämpning av dessa olika regelverk, desto tydligare blir också regleringarna och dess olika syften för den enskilde. I sammanhanget är det också viktigt att komma ihåg att dataskyddsregleringen baseras på EU-gemensamma regler, vilket medför att det inte är möjligt att utforma en nationell tolkning som skiljer sig från hur dataskyddet tolkas av övriga EU-länder. 2.3.2 Kostnadsfri grundläggande information En grundläggande förutsättning för personuppgiftsbehandling är, enligt såväl personuppgiftslagen och det bakomliggande direktivet, att personuppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Uppgifterna får därefter inte behandlas på ett sätt som är oförenligt med det ursprungliga ändamålet. Redan förekommande informationsutbyte (se t.ex. informationsutbyte mellan Försäkringskassan, a-kassorna, CSN och Skatteverket) är därför styrt, företrädelsevis genom särskild registerlagstiftning, utifrån det ändamål för vilket uppgifterna ska användas. E-delegationens betraktelsesätt av personbaserad information som en för samhället gemensam resurs är svårt att förena med grundläggande dataskyddsprinciper. Fokus bör istället koncentreras på att definiera konkreta behov och ändamål för behandlingen av personuppgifter vem som behöver informationen, vilken information det rör sig om och varför informationen behövs. En sådan analys är en grundläggande förutsättning för utformningen och författningsregleringen av ett eventuellt utökat informationsutbyte av personuppgifter.

Datainspektionen 2015-12-10 Diarienr 1618-2015 3 (6) 2.3.4 Förstärk förmågan att skapa juridiska förutsättningar för förvaltningsgemensam utveckling Datainspektionen delar delegationens uppfattning att nödvändiga författningsändringar behöver genomdrivas för att skapa bättre förutsättningar för e-förvaltning. Datainspektionen konstaterar i anslutning härtill att det är viktigt att det analyseras vilka integritetsskyddande regler som påverkar uppdrag och utvecklingsprojekt så att uppdragen eller projekten inte är oförenliga med gällande regelverk. 2.3.5 Behovet av balans mellan effektivitet och integritet I betänkandet konstateras att det finns brister i regleringen av förutsättningarna för en effektiv e-förvaltning kombinerat med ett tillfredsställande integritetsskydd. Vidare konstateras att regeringen uppmärksammat bristerna och tillsatt en rad utredningar som bör ha möjlighet att komma tillrätta med dem, bl.a. Informationshanteringsutredningen. När det gäller Informationshanteringsutredningens betänkande Myndighetsdatalag (SOU 2015:39) har Datainspektionen framfört kritik på en rad punkter, bl.a. för att utredningen inte i tillräcklig utsträckning beaktat de krav på skydd för den personliga integriteten som återfinns i Europakonventionen, EU:s rättighetsstadga, dataskyddsdirektivet och regeringsformen. Datainspektionen konstaterar att den offentliga verksamheten givetvis ska bedrivas så effektivt och ändamålsenligt som möjligt, men att detta inte får ske på ett sätt som sätter grundläggande integritetsskyddsmekanismer ur spel. I det förevarande betänkandet tas också upp användandet av integritetskänsliga uppgifter, som lämnats ut från myndigheter med stöd av offentlighetsprincipen, i kommersiell verksamhet med utnyttjande av s.k. utgivningsbevis och att detta innebär ett eftersättande av integritetsskyddet. Datainspektionen delar denna uppfattning och anser att det är olämpligt att utgivningsbevis i sig möjliggör en så stor exponering av integritetskänsliga uppgifter. Avslutningsvis konstateras att regeringens utredningsinitiativ måste leda till en bättre balans mellan effektiv förvaltning och ett gott integritetsskydd för att förbättra allmänhetens tilltro till myndigheter. Datainspektionen konstaterar att rätten till skydd för den personliga integriteten regleras av de

Datainspektionen 2015-12-10 Diarienr 1618-2015 4 (6) ramar som uppställs i den EU-gemensamma dataskyddsregleringen och dessa ramar gäller oavsett vilket behov av en effektiv förvaltning som finns. Datainspektionen anser att det är ett problem att dataskyddsreglerna i många lagstiftningsprocesser antingen inte beaktas alls eller att aktuell behandling av personuppgifter inte analyseras på ett sådant sätt att det är möjligt att göra en seriös avvägning mellan integritetsintrång och uppdrag. 3 Analys av sekretess vid outsourcing När det gäller den rättsliga regleringen av förutsättningarna för sådan outsourcing som innefattar sekretessreglerade uppgifter konstaterar delegationen att det på sikt kan vara önskvärt om regelverket kunde förtydligas, men att behovet av sådana författningsändringar för närvarande inte är så stort att ett sådant arbete bör initieras. Datainspektionen delar inte denna uppfattning, utan anser att den förstudie som genomförts av delegationen visar att det finns ett tydligt behov av översyn av berörd lagstiftning. E-delegationens slutsats utifrån förstudien är att mindre integritetskänsliga uppgifter bör kunna röjas för tjänsteleverantören om det finns en avtalsreglerad tystnadsplikt. Avseende uppgifter som är mer integritetskänsliga eller omfattas av absolut sekretess konstateras att det måste finnas en sekretessbrytande bestämmelse för att den typen av uppgifter ska kunna röjas för en extern tjänsteleverantör. E-delegationen har ansett att det oftast bör kunna anses nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet att använda externa it tjänster. Samtidigt anges att såväl JO som Lagrådet anser att den sekretessbrytande bestämmelsen om nödvändigt utlämnande ska användas restriktivt och lagrådet har dessutom uttalat att bestämmelsen inte får tillämpas när behovet avser myndighetens effektivitet. I Sverige används i stor utsträckning externa it-tjänster inom den offentliga verksamheten. Det är uppgifter som har olika integritetskänslighet, liksom uppgifter som omfattas av absolut sekretess. Det är inte sällan frågan om stora uppgiftssamlingar som omfattar stora delar av befolkningen. Samtidigt är det straffsanktionerat att obehörigen röja en sekretessbelagd uppgift. Uppgifterna har dessutom ett högt värde för många aktörer, både offentliga och privata. Det gäller såväl de direkta uppgifterna som de indirekta, som exempelvis uppgifter som beskriver flöden. Det är således allvarligt att röja uppgifter som inte får röjas, samtidigt som elektroniska uppgiftssamlingar betraktas mer och

Datainspektionen 2015-12-10 Diarienr 1618-2015 5 (6) mer som en resurs för den som kan få del av dem. Att tänja på tillämpningen av reglerna för att anpassa dessa efter en verklighet som de inte tillskapats för bidrar till en urholkning av det viktiga integritetsskydd som sekretessregleringen utgör. Det är därför viktigt att det finns tydliga regler för hur uppgifter får röjas för tjänsteleverantörer, vilket ansvar som myndigheten har, om handlingen ska anses utlämnad och vilket ansvar som åligger tjänsteleverantören. E-delegationen har ansett att ett antal straffbestämmelser kan vara relevanta för personal hos tjänsteleverantören. Datainspektionen delar inte den bedömningen. I betänkandet anges särskilt trolöshet mot huvudman och, såsom de övriga i förstudien föreslagna brotten, har trolöshet mot huvudman en mycket begränsad tillämpning i den aktuella situationen. Brottet förutsätter att det finns en direkt relation mellan den utlämnande myndigheten och den person som röjer uppgifterna hos tjänsteleverantören, att den personen har en särskild ställning och att röjandet är ett uppsåtligt missbruk av denna förtroendeställning. Dessutom ska myndigheten skadas men om uppgifter om enskilda röjs så är det i första hand dessa som skadas. För att myndigheten ska bli skadeståndsskyldig och därmed indirekt lida skada, måste myndigheten obehörigen ha röjt uppgifterna. Datainspektionen anser att det är angeläget att regelverken utreds och att nödvändiga författningsändringar föreslås, så att det blir tydligt under vilka förutsättningar sekretessbelagt material kan röjas för en tjänsteleverantör. Det är även viktigt att utreda ett eventuellt straffansvar för anställda hos tjänsteleverantören. 8.1.7 Redunansproblemet I betänkande redovisas tankegångar innebärande att myndigheter under regeringen utgör delar av samma rättssubjekt som kan liknas vid en koncern. Datainspektionen vill i detta sammanhang erinra om att såväl reglerna om dataskydd som sekretess har ett annat synsätt som utgångspunkt. Till exempel kan olika myndigheter inte anses vara en och samma personuppgiftsansvarig. Utgångspunkten för integritetsskyddet i sekretessregleringen är också uppbyggd med klara gränser mellan myndigheter och även mellan olika verksamhetsgrenar hos samma myndighet.

Datainspektionen 2015-12-10 Diarienr 1618-2015 6 (6) Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av Eva Maria Broberg. Vid den slutliga handläggningen har även chefsjuristen Hans-Olof Lindblom och enhetschefen Katarina Tullstedt deltagit. Kristina Svahn Starrsjö Eva Maria Broberg

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss