Personuppgiftsbehandling i forskningsbibliotekens verksamhet

Relevanta dokument
Utkast till lagrådsremissen Vägtrafikdatalag

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Datainspektionen lämnar följande synpunkter.

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Snabbare lagföring (Ds 2018:9)

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

Datainspektionen informerar. Vägledningen ska tjäna som verktyg för att bedöma integritetsriskerna med ny eller ändrad lagstiftning.

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Remittering av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Yttrande i Förvaltningsrätten i Stockholms mål

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Beslag och husrannsakan ett regelverk för dagens behov (SOU 2017:100)

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m.

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Yttrande över betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Beslut om förteckning enligt artikel 35.4 i EU:s allmänna dataskyddsförordning 2016/679

EU:s dataskyddsförordning, dataskyddslagen och myndigheters arkiv

Remiss av betänkandet 2014 års utlänningsdatalag (SOU 2015:73)

Regionala etikprövningsnämnden i Uppsala

Kommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42

Hemlig dataavläsning ett viktigt verktyg i kampen mot allvarlig brottslighet (SOU 2017:89)

Så stärker vi den personliga integriteten SOU 2017:52

Hur står det till med den personliga integriteten? (SOU 2016:41)

GDPR- Vad har hänt och hur ser tillämpningen ut?

Tillsyn enligt personuppgiftslagen (1998:204) En forskningsstudie vid Örebro universitet med känsliga personuppgifter om barn

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag


Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Utbildningsdepartementet Forskningsdatautredningen Delredovisning enligt dir. 2017:29 och 2017:87

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

6 Yttrande över betänkandet Totalförsvarsdatalag Rekryteringsmyndighete ns personuppgiftsbehandlin g (SOU 2017:97) LS

2 kap. 3 och 5 kap. 4 patientdatalagen (2008:355) Högsta förvaltningsdomstolen meddelade den 4 december 2017 följande dom (mål nr ).

Ds 2016:44 Nationell läkemedelslista

Remiss av slutbetänkandet Vägen till självkörande fordon (SOU 2018:16)

En omreglerad spelmarknad (SOU 2017:30)

Vården och reglerna om dataskydd

Datalagring och integritet (SOU 2015:31)

Yttrande över promemorian Införande av vissa internationella standarder i penningtvättslagen

Kompletterande promemoria: Kameraövervakning vid åteljakt efter vildsvin

SOU 2015:84 Organdonation En livsviktig verksamhet

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

BOOK-IT OCH GDPR Magdalena Olofsson

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Stockholm den 12 december 2018 R-2018/1679. Till Försvarsdepartementet. Fö2018/00999/RS

Dataskyddsförordningen - GDPR

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Kerstin Wardman, 25 april 2018

En anpassning till dataskyddsförordningen kreditupplysningslagen och några andra författningar

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Betänkandet EU:s dataskyddsförordning och utbildningsområdet (SOU 2017:49)

Personuppgiftsbehandling i forskning

Handlägges.Q"(4.e...

Anpassning till EU:s dataskyddsförordning av lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor

GDPR. Ulrika Harnesk 17 oktober 2018

Information om behandling av personuppgifter

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Behandling av personuppgifter vid Försvarsmakten och Försvarets radioanstalt (SOU 2018:63)

Tillsyn enligt kameraövervakningslagen (2013:460) Försäkringskassans användning av webbkameror

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av hotell

Personuppgiftsbehandling för forskningsändamål

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Datum Dnr Yttrande över promemorian Personuppgiftsbehandling i forskningsbibliotekens verksamhet (U2018/02662/F)

Regler för behandling av personuppgifter vid Högskolan Dalarna

Mediegrundlagskommitténs betänkande Ändrade mediegrundlagar (SOU 2016:58)

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

1. INLEDNING 2. PERSONUPPGIFTSANSVARIG 3. INSAMLING OCH ÄNDAMÅL

Dataskyddsförordningen i utbildningsverksamhet

Tillsyn avseende undersökningen Hälsa Stockholm

Transkript:

Yttrande Diarienr 1 (9) 2018-09-14 DI-2018-9649 Ert diarienr U2018/02662/F Regeringskansliet Utbildningsdepartementet Personuppgiftsbehandling i forskningsbibliotekens verksamhet Datainspektionen har granskat promemorian huvudsakligen utifrån inspektionens uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter. Med anledning av att promemorian tar upp många områden inom bibliotekens verksamhet är yttrandet begränsat till övergripande frågor av väsentlig betydelse för den enskildes personliga integritet. Sammanfattning Datainspektionen avstyrker förslagen i sin nuvarande form. Skälen till det är framförallt att regleringen inte sker i form av lag och att förslagen om textoch datautvinning och vad som kallas Kulturarw saknar tydligt rättsligt stöd och analyser som visar vilka risker behandlingarna kan innebära för den enskildes integritet och hur dessa risker kan minimeras. Det saknas även en bedömning om nyttan av behandlingarna står i proportion till det integritetsintrång som behandlingarna kan medföra. Forskningsbiblioteken har i sina samlingar tillgång till stora informationsmängder i digital form som kan innehålla såväl känsliga personuppgifter som integritetskänsliga personuppgifter och behandlingen sker utan samtycke. Datainspektionen anser mot denna bakgrund att personuppgiftsbehandlingen kräver reglering i lag, se vidare vad som anges under rubriken Normgivningsnivå. För att en personuppgiftsbehandling ska vara tillåten krävs dessutom att den uppfyller de grundläggande principerna enligt dataskyddsförordningen, bland annat att det finns ett berättigat ändamål och att behandlingen är proportionerlig i förhållande till det intrång i den enskildes integritet som behandlingen kan orsaka. För att kunna göra en sådan bedömning måste det Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00

Datainspektionen DI-2018-9649 2 (9) vara klart vilken behandling av personuppgifter som avses, vilket syfte behandlingen har, vilka personuppgifter som det kan vara fråga om, vilka som kan komma att ta del av dessa, vilka risker det kan finnas med behandlingen och hur dessa risker tas om hand. Datainspektionen anser inte att utredningen har beskrivit detta på ett tydligt sätt, trots att det i delbetänkandet finns en integritetsanalys i punktform i avsnitt 6.3. Integritetsanalysen är mycket generell och beskriver ofta bara en variant av behandling eller ger bara en svepande överblick. Integritetsanalysen lämnar också över mycket till den personuppgiftsansvarige att åtgärda, vilket innebär att förslaget i sig inte kan bedömas vara proportionerligt. Att betänkandet ger en otydlig och generell bild är särskilt problematiskt vad gäller text- och datautvinning som uppges ska göras för att utvinna ny kunskap ur befintliga samlingar. Det är fråga om mycket stora behandlingar där det inte tillräckligt tydligt klargörs vilka personuppgifter som ska behandlas, för vilket syfte eller för vem denna behandling ska göras. Ändamålet utvinna kunskap är oprecist och någon analys över integritetsintrånget redovisas inte. Ännu mer otydlig är den formulering som föreslås i författningstexten att tillgängliggöra kunskap. Datainspektionen anser att om forskningsbiblioteken ska behandla personuppgifter för textoch datautvinning måste uppdraget vara mer preciserat, ha ett tydligt stöd i lag och föregås av en noggrann analys som avser just den aktuella behandlingen. Även den automatiserade insamlingen av svenska webbsidor, Kulturarw, kräver av samma skäl reglering i lag, tydligare rättsligt stöd och en noggrann analys. Normgivningsnivå Datainspektionen ifrågasätter den reglering i förordningsform som föreslås i promemorian. Det gäller framför allt regleringen av text- och datautvinning av stora informationsmängder i digital form som kan omfatta känsliga personuppgifter eller uppgifter om lagöverträdelser (avsnitt 4.10). Men även Kulturarw den reglering av robotinsamling som Kungl. biblioteket utför och som innebär att alla svenska webbsidor ska sparas borde det regleras tydligare i lag. (avsnitt 5.7). Datainspektionen konstateras att det rör sig om stora datamängder där det kan förekomma känsliga personuppgifter som behandlas utan att samtycken inhämtas från dem som berörs. En stor del av personuppgifterna är även föremål för direktåtkomst. Enligt 2 kap. 6 andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den

Datainspektionen DI-2018-9649 3 (9) personliga integriteten som sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Dessa rättigheter får begränsas genom lag men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett begränsningen, se 2 kap. 20 och 21 regeringsformen. Av förarbetena framgår att denna reglering med några få undantag innebär att inskränkningar i integritetsskyddet bara kan ske i lag. En följd av denna reglering är bl.a. att lagstiftaren tvingas att tydligt redovisa vilka avvägningar som gjorts vid proportionalitetsbedömningen. Detta kan förväntas öka förutsättningarna för att avvägningarna i fråga om integritetsintrånget blir mer ingående belysta och att de presenteras på ett sådant sätt att kvaliteten i lagstiftningen höjs ytterligare. (Se prop. 2009/10:80 s. 176). Av skäl 41 till dataskyddsförordningen framgår att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för personer som omfattas av den. I propositionen Ny dataskyddslag anger regeringen att vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden måste bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär. Mer kännbara intrång i den personliga integriteten kräver enligt regeringen att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsägbart. (Se prop. 2017/18:105 s. 51). Personuppgifter om låntagare och biblioteksanvändning Utredningen bedömer att det inte finns en tillämplig rättslig grund för behandling av låntagaruppgifter hos Kungl. biblioteket eller de statliga högskolebiblioteken. En jämförelse görs med den reglering som finns för folkbiblioteken i bibliotekslagen. Där anges att allmänheten på folkbiblioteken avgiftsfritt ska få låna eller på annat sätt få tillgång till litteratur (9 ). För de statliga högskolebiblioteken anges att de ska svara för biblioteksverksamheten inom de områden som anknyter till utbildning och forskning vid universitet och högskolor (12 ). Bibliotekslagen är inte tillämplig på de privata högskolorna. Enligt utredningen kan personuppgiftsbehandlingen göras med stöd av samtycke eller avtal. Utredningen bedömer att ett sådant samtycke kan ges frivilligt eftersom den enskilde, även i de fall denne är student vid lärosätet, kan välja att inte nyttja bibliotekets låneverksamhet. Utredningen anser därför att det inte föreligger en betydande ojämlikhet mellan den enskilde och biblioteket.

Datainspektionen DI-2018-9649 4 (9) Datainspektionen instämmer inte i denna bedömning. Enligt dataskyddsförordningen är det lagstiftarens sak att tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter. Det torde i stor utsträckning gälla även annan verksamhet som är finansierad med offentliga medel. Det innebär att den rättsliga grunden för personuppgiftsbehandling i dessa verksamheter bör vara rättsligt intresse, allmänt intresse eller myndighetsutövning och då krävs det att grunden är fastställd antingen i unionsrätt eller nationell rätt. Beträffande samtycke anges också i skäl 43 att möjligheten att inom offentlig sektor använda samtycke är mycket begränsat eftersom den enskilde befinner sig i en beroendesituation. Resultatet av att inte ge eller att återkalla samtycket i dessa sammanhang innebär att personen inte kan låna litteratur som kan vara viktig för studierna. Att gratis få låna litteratur på ett bibliotek är en förmån tillhandahållen av det offentliga och om möjligheten att ta del av denna förmån villkoras med ett krav på samtycke är det inte frågan om ett frivilligt samtycke. Inte heller avtal mellan den enskilde och den offentliga verksamheten är lämpligt. Datainspektionen bedömer att detta bör vara fråga om behandling som sker för att utföra en uppgift av allmänt intresse. Datainspektionen konstaterar att det enligt bibliotekslagen ska finnas tillgång till högskolebibliotek vid alla universitet och högskolor och att de ska svara för biblioteksverksamheten inom de områden som anknyter till utbildning och forskning vid universitet och högskolor. I bibliotekslagen finns även en bestämmelse om att biblioteken ska erbjuda litteratur och tekniska hjälpmedel till bl.a. personer med funktionsnedsättning (4 ). Mot denna bakgrund anser Datainspektionen att utlåning borde ses som en naturlig del av bibliotekens verksamhet. Men som konstateras i utredningen följer i och med övergången till datoriserade utlåningssystem större möjligheter till kartläggning av enskildas läsvanor, vilket kan utgöra ett hot mot den personliga integriteten. Ett tydligt lagstöd skulle därför kunna vara lämpligt. För de privatfinansierade högskolebiblioteken som inte omfattas av bibliotekslagen krävs det att det ges ett tydligt stöd. Digitalisering av analoga samlingar och publicering av dessa på internet Utredningen föreslår en reglering om att tillgängliggöra kunskap i syfte att stödja forskning och utbildning. Den regleringen ska utgöra stöd för att digitalisera analoga samlingar och publicera på internet. Utredningen bedömer att uppgiften är av allmänt intresse och proportionerlig, sett till den stora samhällsnyttan med en effektiv forskningsbiblioteksverksamhet ställt i relation till den lilla påverkan på den enskildes integritet som behandling

Datainspektionen DI-2018-9649 5 (9) och spridning av redan utgivet material medför. Dessutom bedömer utredningen att uppgiften är precist formulerad på så sätt att det är tydligt vilka handlingar som ingår respektive inte ingår i uppgiften, utan att de enskilda tillåtna behandlingarna behöver särskilt nämnas. Tillämpningen anges vidare vara förutsägbar för den enskilde utifrån förutsättningen att forskningsbibliotek kan använda modern informationsteknik för att utföra sitt uppdrag. I författningsförslaget till förordning om personuppgiftsbehandling i forskningsbibliotekens verksamhet är de två första punkterna i bestämmelsen om uppgifter av allmänt intresse (6 ) utformade som upplysningsbestämmelser i enlighet med skäl 8 dataskyddsförordningen. Den tredje punkten är däremot avsedd att utgöra en reglering av de privata forskningsbibliotekens uppdrag att tillgängliggöra kunskap. Motsvarande bestämmelse föreslås för övriga forskningsbibliotek i högskoleförordningen. Datainspektionen anser till skillnad mot utredningen att uppgiften att tillgängliggöra kunskap är alltför generell för att uppfylla kraven i dataskyddsförordningen (skäl 41). Särskilt med beaktande av att det är fråga om stora uppgiftssamlingar som innehåller känsliga personuppgifter och integritetskänsliga uppgifter. Vad gäller känsliga personuppgifter konstaterar Datainspektionen att något utrymme inte lämnas för medlemsstaterna att föreskriva ytterligare undantag från förbudet i dataskyddsförordningen att behandla känsliga personuppgifter. Däremot får medlemsstaterna behålla eller införa mer specifika bestämmelser i fråga om behandling som sker med stöd av artikel 6.1 c och e, även när det gäller känsliga personuppgifter. Vissa av undantagen i artikel 9.2 innehåller också uttryckliga hänvisningar till och krav på innehållet i unionsrätten och medlemsstaternas nationella rätt. Detta gäller bland annat bestämmelserna om viktigt allmänt intresse (g) och om arkiv, forskning och statistik (j). I författningsförslaget till förordning om personuppgiftsbehandling i forskningsbibliotekens verksamhet föreslås undantag från förbudet att behandla känsliga personuppgifter. De föreslagna undantagen är utformade så att de anger vilket undantag enligt artikel 9 som skulle vara tillämpligt om förutsättningarna i dessa bestämmelser är uppfyllda. Eftersom dataskyddsförordningen är direkt gällande och primär så blir de föreslagna bestämmelserna att se som upplysningsbestämmelser och de utgör inte den nationella reglering som krävs enligt artikel 9.

Datainspektionen DI-2018-9649 6 (9) Datainspektionen ställer sig frågande till den föreslagna regleringen och anser att den är mer vilseledande än tydliggörande. Beträffande annan behandling av personuppgifterna än den som sker för forskning anges vissa skyddsåtgärder, men eftersom det inte är angivet vilken behandling som omfattas av undantaget från förbudet att behandla känsliga personuppgifter så är skyddsåtgärderna i förslaget inte möjliga att bedöma. Datainspektionen kan sammanfattningsvis konstatera att utformningen av de föreslagna bestämmelserna gällande behandling av känsliga personuppgifter inte uppfyller kraven i artikel 9.2 g och j. Text- och datautvinning I promemorian anges att text- och datautvinning (Text and Data Mining, TDM) utgår från stora mängder information i digital form, t.ex. text, ljud, bild eller annan data och att sådant informationsunderlag inom en text- eller datautvinningsprocess kan innehålla känsliga personuppgifter eller uppgifter om lagöverträdelser (s. 74). Enligt utredningen bör uppgiften att utvinna kunskap ur befintliga samlingar ses som en uppgift av allmänt intresse. I betänkandet anges att uppgiften är precist formulerad och förutsägbar för den enskilde utifrån förutsättningen att forskningsbiblioteken kan använda modern informationsteknik för att utföra sitt uppdrag. Datainspektionen delar inte den uppfattningen utan anser att uppgiften att tillgängliggöra kunskap är alltför generell för att uppfylla kraven i dataskyddsförordningen (skäl 41). Datainspektionen kan konstatera att tillgängliggöra kunskap ska omfatta såväl digitaliseringen av analoga samlingar, publiceringen av dem på internet och denna avancerade behandling i form av text- och datautvinning. Att allt detta inryms i den föreslagna uppgiften talar i sig emot att uppgiften är precist formulerad och förutsägbar. Dessutom ska särskilt beaktas att det är fråga om stora uppgiftssamlingar som innehåller känsliga personuppgifter och integritetskänsliga uppgifter och att ny information ska hämtas ur dessa med avancerad teknik Såsom nämnts tidigare är en förutsättning för att allmänt intresse ska kunna användas som rättslig grund är att uppgiften är fastställd i unionsrätten eller nationell rätt. Enligt regeringen kräver ett mer kännbart intrång, att den

Datainspektionen DI-2018-9649 7 (9) rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart. Om intrånget är betydande och innebär övervakning eller kartläggning av den enskildes personliga förhållanden krävs dessutom särskilt lagstöd enligt 2 kap. 6 och 20 regeringsformen. Datainspektionen anser att text- och datautvinning ur stora datasamlingar som även innehåller känsliga personuppgifter kan leda till övervakning eller kartläggning av den enskildes personliga förhållanden och det innebär att det krävs särskilt lagstöd enligt 2 kap. 6 och 20 regeringsformen. Förutom att behandlingen ska vara laglig med hänvisning till att en rättslig grund i artikel 6 i dataskyddsförordningen måste samtliga grundläggande principer i artikel 5.1 följas. Av principerna i artikel 5 följer att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de senare inte får behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning). Därutöver ska uppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). Uppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för det ändamål för vilka personuppgifterna behandlas (lagringsminimering). Ytterligare en av principerna i artikel 5 är att personuppgifterna ska behandlas på ett lagligt, rättvist och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet). Vad gäller ändamålet med behandlingen är det inte klart angivet att det avser att tillhandahålla kunskap eller utvinna ny kunskap. Inte heller framgår till vems nytta, för vem, på vilket sätt och hur resultatet ska redovisas. Kan en student, arbetsgivare, marknadsförare, försäkringsbolag efterfråga kunskap om en individ? De risker som behandlingen leder till eller kan leda till för enskildas personliga integritet måste analyseras och ställning måste tas till hur riskerna för de registrerade kan minimeras. En sådan redogörelse saknas i promemorian. Utredningen själv anger att det kan finnas svårigheter med viss text- och datautvinningsteknik och att det påkallar extra försiktighet. Dessutom anges att det endast i vissa fall går att hävda att text- och datautvinning görs för forskningsändamål eller för arkivändamål av allmänt intresse och att utredningen bedömt att det i huvudsak utförs för ett viktigt allmänt intresse. Datainspektionen kan konstatera att denna extra försiktighet inte återspeglas i författningsförslagen.

Datainspektionen DI-2018-9649 8 (9) Beträffande behandling av känsliga personuppgifter är det samma reglering som beskrivits under avsnittet Digitalisering av analoga samlingar och publicering av dem på internet. Det är således inte någon reglering som uppfyller kravet på nationell reglering enligt artikel 9. Några särskilda skyddande bestämmelser för behandling av känsliga personuppgifter finns inte heller om syftet är att tillhandahålla kunskap till forskning som fått ett etikgodkännande. Om etikgodkännandet behöver omfatta den behandling som forskningsbiblioteken ska utföra eller inte anges inte i bestämmelsen. Gällande skyddet vid text- och datautvinning anges att känsliga personuppgifter inte får processas under något skede av behandlingen. Ordet processas anges i betänkandet ha en begränsad betydelse och inte avse sådana handlingar (manuella eller automatiska) som inte försöker tolka den semantiska innebörden i det underlag där de känsliga uppgifterna förekommer. Datainspektionen vill i det sammanhanget påpeka att innebörden av ett begrepp inte kan ändras genom att dess betydelse förklaras i förarbetena. Om känsliga personuppgifter inte får processas får det förstås som att känsliga personuppgifter inte får behandlas eftersom ordet processa och behandla har samma innebörd i vanligt språkbruk. Datainspektionen anser sammanfattningsvis att om forskningsbiblioteken ska behandla personuppgifter för text- och datautvinning måste uppdraget vara mer preciserat, ha ett tydligt stöd i lag och dessutom föregås av en noggrann analys. Datainspektionen avstyrker därför förslaget avseende forskningsbibliotekens text- och datautvinning. Kulturarw Kungl. biblioteket ska med automatiserat robotteknik samla in och bevara svenska dokument på internet för kommande generationer. Alla svenska webbsidor ska sparas. Skälet anges vara att man inte kan veta vilket materia som i framtiden kommer att anses som värdefullt och efterfrågat. Det finns en kulturarvförordning, men syftet med behandlingen anges inte där. Utredningen föreslår att uppgiften att samla in ska framgå av förordningen och att biblioteket har en sådan uppgift ska framgå av bibliotekets instruktion. Datainspektionen anser att även här är det frågan om mycket omfattande personuppgifter som både kan vara känsliga och integritetskänsliga varför regleringen måste ske i lag, vara tydlig och föregås av en noggrann analys.

Datainspektionen DI-2018-9649 9 (9) Datainspektionen avstyrker därför även förslaget avseende Kulturarw i sin nuvarande utformning. Detta beslut har fattats av enhetschefen Katarina Tullstedt efter föredragning av juristen Caroline Cruz Julander. Katarina Tullstedt, 2018-09-14 (Det här är en elektronisk signatur)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss