Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Relevanta dokument
En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

Datainspektionen lämnar följande synpunkter.

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Utkast till lagrådsremissen Vägtrafikdatalag

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Regeringens proposition 2017/18:133

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Remittering av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

En anpassning till dataskyddsförordningen kreditupplysningslagen och några andra författningar

Snabbare lagföring (Ds 2018:9)

Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m.

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Beslut om förteckning enligt artikel 35.4 i EU:s allmänna dataskyddsförordning 2016/679

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

SOU 2015:84 Organdonation En livsviktig verksamhet

Personuppgiftsbehandling i forskningsbibliotekens verksamhet

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Hur står det till med den personliga integriteten? (SOU 2016:41)

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Ds 2016:44 Nationell läkemedelslista

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

En anpassning till dataskyddsförordningen av författningar inom Miljö- och energidepartementets verksamhetsområde. Ds 2017:54

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)

Yttrande i Förvaltningsrätten i Stockholms mål

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Remiss av betänkandet 2014 års utlänningsdatalag (SOU 2015:73)

Så stärker vi den personliga integriteten SOU 2017:52

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde

Våra frågor Datainspektionen vill att ni svarar på följande frågor:

Kommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42

Stockholm den 25 november 2015 R-2015/2121. Till Justitiedepartementet. Ju2015/08545/L4

En anpassning till dataskyddsförordningen av lagar inom Miljö- och energidepartementets verksamhetsområde

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Remiss av SOU 2015:66 En förvaltning som håller ihop

Datainspektionen informerar. Vägledningen ska tjäna som verktyg för att bedöma integritetsriskerna med ny eller ändrad lagstiftning.

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Anpassning till EU:s dataskyddsförordning av lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar

2 kap. 3 och 5 kap. 4 patientdatalagen (2008:355) Högsta förvaltningsdomstolen meddelade den 4 december 2017 följande dom (mål nr ).

Anpassning av lagen om passagerarregister till EU:s dataskyddsreform. Linda Rantén (Justitiedepartementet) Lagrådsremissens huvudsakliga innehåll

GDPR. Ulrika Harnesk 17 oktober 2018

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

M2016/1849/R, Remissyttrande över Promemorian Miljöbedömningar (Ds 2016:25)

Kommittédirektiv. Tilläggsdirektiv till Utredningen om kameraövervakning brottsbekämpning och integritetsskydd (Ju 2015:14) Dir.

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Personuppgiftslagen baseras på det s.k. dataskyddsdirektivet (95/46/EG). Inom EU har det beslutats att detta direktiv ska ersättas av

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Eskil Nord och Lena Moore samt justitierådet Dag Mattsson

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

Användandet av E-faktura inom den Summariska processen

Datalagring och integritet (SOU 2015:31)

Anpassning till den allmänna dataskyddsförordningen av lagen (1996:810) om registrering av riksdagsledamöters åtaganden och ekonomiska intressen m.m.

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter vid antidopningsarbete inom idrotten. Dir. 2018:31

Yttrande över promemorian Införande av vissa internationella standarder i penningtvättslagen

Informationsskyldighet enligt dataskyddsförordningen Joachim Angermund, Charlotta Sandström, Ingela Alverfors februari 2017

Stockholm den 12 december 2018 R-2018/1679. Till Försvarsdepartementet. Fö2018/00999/RS

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor

Myndighetsdatalag (SOU 2015:39)

Personuppgiftsansvarig och personuppgiftsbiträde

Vården och reglerna om dataskydd

Erik Tiberg (Justitiedepartementet) Lagrådsremissens huvudsakliga innehåll

Stockholm den 8 augusti 2014

EU:s dataskyddsförordning och lagstiftningen inom Näringsdepartementets ansvarsområden

Varför granskar Datainspektionen er verksamhet?

KURS I JURIDIKS PERSONUPPGIFTSPOLICY

Tillsyn enligt personuppgiftslagen (1998:204) En forskningsstudie vid Örebro universitet med känsliga personuppgifter om barn

Anpassning av lagen om passagerarregister till EU:s dataskyddsreform. Ds 2018:12


Användandet av E-faktura inom verksamheten betalningsföreläggande

Stockholm den 14 september 2017

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst

Regeringens proposition 2017/18:254

Postadress Besöksadress Telefon Telefax Box Birger Jarls Torg Stockholm

Ds 2018:15 Direktivet om ett ökat aktieägarengagemang Förslag till genomförande i svensk rätt (Ju2018/03135/L1)

Beslag och husrannsakan ett regelverk för dagens behov (SOU 2017:100)

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

1.2. Advokatfirman Carler är personuppgiftsansvarig för den behandling som utförs av Advokatfirman Carler i enlighet med denna personuppgiftspolicy.

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Tillsyn enligt personuppgiftslagen (1998:204) hjälpmedelshanteringssystemet Sesam

Finansdepartementet. Avdelningen för offentlig förvaltning. Ändring i reglerna om aggressiv marknadsföring

Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert

Personuppgiftsbehandling för forskningsändamål

Skatteverkets Promemoria Beskattningsdatabasen, bouppteckning och äktenskapsregister

Regeringskansliet Faktapromemoria 2013/14:FPM22. Anpassning av regler för genomförande. Dokumentbeteckning. Sammanfattning. Statsrådsberedningen

Transkript:

Yttrande Diarienr 1(6) 2017-12-01 2418-2017 Ert diarienr M2017/02676/R Miljö och energidepartementet m.registrator@regeringskansliet.se Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54) Datainspektionen har granskat promemorian huvudsakligen utifrån myndighetens uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Datainspektionen behandlar promemorians författningsförslag utifrån promemorians struktur. Datainspektionen har på grund av områdets omfattning inte gjort några bedömningar huruvida det finns andra befintliga bestämmelser på området som borde ha ändrats med anledning av dataskyddsförordningen, men som inte berörs i promemorian. Datainspektionen har inte undersökt om det saknas reglering som borde finnas för att uppfylla kraven i dataskyddsförordningen. Beträffande förslagen i promemorian har Datainspektionen följande synpunkter. 6.1 Rättslig grund för behandling av personuppgifter 6.1.3 Det finns rättslig grund för behandlingen av personuppgifter Datainspektionen anser inte att promemorian i tillräcklig grad har beaktat skillnaderna mellan ett EU direktiv och en EU förordning. EU direktiv måste implementeras i nationell rätt, till exempel genom lagstiftning. Det är utifrån detta perspektiv som nu gällande dataskyddsbestämmelser är framtagna. EU förordningar är däremot tillämpliga direkt i nationell rätt. Dataskyddsförordningen har dock en direktivliknande karaktär, vilket innebär att den i Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00

Datainspektionen 2017-12-01 Diarienr 2418-2017 2 (6) vissa fall kräver kompletterande nationella bestämmelser. Nationella bestämmelser får dock endast meddelas om dataskyddsförordningen kräver det eller uttryckligen tillåter det. I promemorian anges att de uppgifter som myndigheterna har att utföra är fastställda i författningar och i många fall finns det specifika bestämmelser om personuppgiftsbehandling. Sådan behandling som enskilda har att utföra framgår ofta av lag. Enligt promemorian ska författningsreglerad personuppgiftsbehandling anses utgöra uppgift av allmänt intresse, såväl när uppgifterna behandlas av enskilda som av det allmänna. I den mån behandlingen är nödvändig till följd av en författning bedömer promemorian att den har rättslig grund enligt dataskyddsförordningen. Det framgår dock inte av promemorian vilka författningar som dess bedömning omfattar. I arbetet med nationell reglering med anledning av dataskyddsförordningen är det av vikt att de grundläggande principerna i artikel 5.1 analyseras och beaktas samt att de krav på nationella bestämmelser som följer av artikel 6.3 beaktas. Enligt artikel 6.3 ska grunden för behandlingen som avses i punkt 1 c och e fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Unionsrätten eller den nationella rätten ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. I skäl 41 anges att en rättslig grund bör vara tydlig och precis samt att dess tillämpning bör vara förutsägbarhet för personer som omfattas av den. Genom dessa bestämmelser ställs därmed nya krav på hur den rättsliga grunden ska vara utformad för att den ska kunna utgöra grund för behandling av personuppgifter. Att, som i promemorian, konstatera att grunden är fastställd i nationell rätt utan att närmare redovisa vilken rättslig grund som avses i varje specifikt fall eller en beskrivning hur den rättsliga grunden är fastställd, är inte tillräckligt för att uppfylla dataskyddsförordningens krav. Av promemorian framgår ingen analys huruvida andra rättsliga grunder än allmänt intresse kan vara aktuell. Datainspektionen kan dock konstatera att promemorian, i samband med att frågor rörande de registrerades rättigheter behandlas, anger att det kan vara fråga om andra rättsliga grunder än allmänt intresse, jfr s. 48. En analys av vilka rättsliga grunder som kan vara aktuella för respektive författning är dock viktig eftersom de olika rättsliga grunderna kan ge olika konsekvenser för såväl de registrerade som den som behandlar personuppgifter. Avsaknad av en

Datainspektionen 2017-12-01 Diarienr 2418-2017 3 (6) sådan analys innebär en risk för att bestämmelserna inte blir transparenta för de registrerade eller de personuppgiftsansvariga. Eftersom promemorian saknar såväl en analys av vilka rättsliga grunder som kan vara aktuella och hur dessa är fastställda, som proportionalitetsbedömningar är det inte möjligt att ta ställning till om de anpassningar som krävs enligt dataskyddsförordningen genomförs genom promemorians förslag. Datainspektionen efterfrågar därför i det fortsatta lagstiftningsarbetet ett tydligare utpekande av de rättsliga grunderna och en analys som visar att lagstiftningen är såväl proportionell mot de legitima mål som eftersträva, som så tydlig, precis och förutsägbar som förordningen kräver. 7. 2 Sektorsspecifika bestämmelser om rättigheter 7.2.1 Rätten till rättelse Enligt artikel 23 dataskyddsförordnigen kan de registrerades rättigheter begränsas för vissa angivna intressen under förutsättning att en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna samt utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Förordningen lämnar således ett visst utrymme för att inskränka de registrerades rättigheter, men ställer då krav på lagstiftningens utformning och innehåll i enlighet med artikel 23.2. Promemorian föreslår att 3 kap. 15 lagen om elcertifikat, som särreglerar rätten till rättelse, ska kompletteras med en upplysning om att rättelsebestämmelsen i den lagen gäller i stället för dataskyddsförordningens bestämmelser om rättelse. Promemorian redogör för behovet att begränsa rätten till rättelse enligt artikel 16 och anger att begränsningen motiveras av behovet att skydda den registrerades eller andras fri och rättigheter, i detta fall att skydda enskilds äganderätt. Behovet anses vara stort enligt promemorian med hänsyn till de viktiga rättsverkningar som är förenade med registreringen av uppgifter på ett certifikatkonto. Enligt promemorian uppfyller den aktuella bestämmelsen kraven i artikel 23.2. Promemorians bedömning utgår från förarbetena till lagen om elcertifikat som i sin tur, i fråga om bestämmelsen om särreglering rättelse, hänvisar till förarbetena till lagen om fastighetsregister (prop. 1999/2000:39.) I dessa förarbeten anges bl.a. följande.

Datainspektionen 2017-12-01 Diarienr 2418-2017 4 (6) Frågan är då om en särreglering på fastighetsrättens område låter sig förenas med EG direktivet. Direktivet föreskriver att den registrerade skall ha rätt att få uppgifter som inte har behandlats i enlighet med direktivet rättade, utplånade eller blockerade. Det tar sikte på den personliga integriteten. De fastighetsrättsliga specialbestämmelserna har ett annat syfte. De ger emellertid upphov till i stort sett samma effekt. Visserligen föreskriver de inte omedelbar rättelse utan, som huvudregel, rättelse först efter kommunicering. Rättelse förutsätter också att felaktigheten är uppenbar. Dessa begränsningar i rättelseregelns tillämplighet får emellertid anses förenliga med direktivet. Enligt artikel 13 g i direktivet får omfattningen av rätten till rättelse begränsas med hänsyn till skyddet av den registrerades eller andras fri och rättigheter. De begränsningar som de fastighetsrättsliga reglerna om rättelse innefattar avser bl.a. att skydda enskilds äganderätt. De omfattas därför av det angivna undantaget i direktivet (s. 120). I ovan angivna utdrag från förarbetena till lagen om fastighetsregister anges att specialbestämmelserna har ett annat syfte än dataskyddsdirektivet. Datainspektionen ifrågasätter dock denna bedömning. Syftet med såväl artikel 16 dataskyddsförordningen som 3 kap. 15 lagen om elcertifikat är att tillförsäkra möjlighet att få felaktiga uppgifter rättade. Dataskyddsförordningen kräver inte omedelbar rättelse utan den personuppgiftsansvarige bör, enligt skäl 59, utan onödigt dröjsmål och senast inom en månad vara skyldig att besvara registrerades önskemål och lämna en motivering, om de inte avser att uppfylla sådana önskemål. Den personuppgiftsansvarige har därmed tidsutrymme att genomföra en utredning huruvida det finns anledning genomföra rättelse enligt dataskyddsförordningen. Promemorian har inte analyserat huruvida relevanta förvaltningsrättsliga bestämmelser såsom lagen om elcertifikat samt förvaltningslagen är oförenliga med de krav som följer av artikel 16. Promemorian har i detta avsnitt haft en bedömning som gjordes långt före dataskyddsförordningen antogs som utgångspunkt. Det har inte genomförts någon analys huruvida de tillämpliga svenska förvaltningsbestämmelserna är oförenliga med dataskyddsförordningens krav och det går därmed inte att ta ställning till huruvida det finns något behov att begränsa rätten till rättelse. Promemorian saknar dessutom en närmare beskrivning av den bedömning som har att visa att den aktuella bestämmelsen uppfyller dataskyddsförordningens krav enligt artikel 23.2. Datainspektionen kan således, mot

Datainspektionen 2017-12-01 Diarienr 2418-2017 5 (6) bakgrund av förevarande utredning, inte tillstyrka den föreslagna bestämmelsen. 7.2.5 Rätten att göra invändningar I promemorian föreslås att en hänvisning till dataskyddsförordningens bestämmelser om rätten att göra invändningar ska införas i 18 femte punkten lagen om energideklaration för byggnader. Promemorian konstaterar att rätten för den registrerade att göra invändningar mot behandlingen av personuppgifter gäller enligt dataskyddsförordningen och är direkt tillämplig och det därför inte behövs någon hänvisning till artikel 21 för att den ska gälla. I promemorian anges att med beaktande av regleringen i 18 lagen om energideklaration för byggnader och de ändamål för vilka uppgifterna i energideklarationsregistret kan komma att behandlas finns det ett behov av att i den lagen förtydliga att den registrerade har rätt att invända mot sådan behandling som omfattas av artikel 21 i dataskyddsförordningen. Enligt skäl 8 i dataskyddsförordningen får medlemsstater införliva delar av förordningen i nationell rätt i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga. Datainspektionen anser att det i dessa fall måste stå klart för de som har att tillämpa dessa bestämmelser att de endast är ett återgivande av bestämmelserna i förordningen och att det är förordningens bestämmelser som ska tillämpas. Mot bakgrund av den faktiska utformningen av den föreslagna bestämmelsen i lagen om energideklaration för byggnader ifrågasätter Datainspektionen om den kan anses vara enbart ett återgivande av dataskyddsförordningens bestämmelser. Såsom bestämmelsen är utformad kan den tolkas som att rätten att göra invändningar endast är aktuell i samband med sådan behandling som beskrivs i 18 femte punkten lagen om energideklaration för byggnader. Promemorian gör dock inte gällande att någon sådan begränsning skulle vara aktuell. Ett införlivande av förordningens bestämmelser i nationell rätt på ett sätt som inte leder till ökad tydlighet, utan snarare riskerar att vilseleda de som tillämpar bestämmelserna är inte förenligt med skäl 8 i förordningen. Mot bakgrund av detta avstyrker Datainspektionen förslaget i sin nuvarande utformning.

Datainspektionen 2017-12-01 Diarienr 2418-2017 6 (6) 9 Övriga frågor 9.3 9.4 Behandling av personuppgifter genom utlämnande och Bestämmelser om uppgiftsskyldighet I promemorian konstateras att vissa av de aktuella författningarna innehåller bestämmelser som reglerar utlämnade av personuppgifter exempelvis genom e post eller direktåtkomst. Flera av författningarna innehåller även bestämmelser om att uppgifter ska eller får lämnas till andra myndigheter, både nationellt och inom EU samarbetet. För att dessa bestämmelser ska vara förenliga med dataskyddsförordningen anges att kraven enligt artikel 5 och 6 måste vara uppfyllda. I promemorian görs bedömningen att nu gällande bestämmelser som reglerar dessa frågor är förenliga med dataskyddsförordningen. Datainspektionen konstaterar att promemorian inte anger vilka bestämmelser som omfattas av ovan nämnda bedömning. Inspektionen efterfrågar i det fortsatta lagstiftningsarbetet en analys som identifierar de rättsliga grunderna och en beskrivning av hur bestämmelserna förhåller sig till de grundläggande principerna i artikel 5, såsom principen om uppgiftsminimering samt integritet och konfidentialitet. När det gäller frågan om direktåtkomst bör det även klargöras vad som avses med detta begrepp i och med att det saknas en legal definition av begreppet. Med hänsyn till att bestämmelser om uppgiftsskyldighet samt elektroniskt utlämnande kan möjliggöra mycket omfattande behandling av personuppgifter anser inspektionen att det är av vikt att lagstiftaren i det fortsatta lagstiftningsarbetet tar ställning till om en allmän konsekvensbedömning enligt artikel 35 dataskyddsförordningen ska utföras av lagstiftaren. Detta yttrande har beslutats av enhetschefen Katarina Tullstedt efter föredragning av juristen Mattias Sandström. Katarina Tullstedt Mattias Sandström

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss