RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Relevanta dokument
Utkast till lagrådsremissen Vägtrafikdatalag

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Datainspektionen lämnar följande synpunkter.

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Snabbare lagföring (Ds 2018:9)

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Personuppgiftsansvarig och personuppgiftsbiträde

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

Svensk författningssamling

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Personuppgiftsbehandling i forskningsbibliotekens verksamhet

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m.

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Remittering av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Varför granskar Datainspektionen er verksamhet?

Hur står det till med den personliga integriteten? (SOU 2016:41)

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Eskil Nord och Lena Moore samt justitierådet Dag Mattsson

Handlägges.Q"(4.e...

Beslut om förteckning enligt artikel 35.4 i EU:s allmänna dataskyddsförordning 2016/679

Stockholm den 28 april 2015

Våra frågor Datainspektionen vill att ni svarar på följande frågor:

Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Stockholm den 12 december 2018 R-2018/1679. Till Försvarsdepartementet. Fö2018/00999/RS

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Skatteverket och vägtrafikregistret

Tillsyn enligt personuppgiftslagen (1998:204) En forskningsstudie vid Örebro universitet med känsliga personuppgifter om barn

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Behandling av personuppgifter vid Försvarsmakten och Försvarets radioanstalt (SOU 2018:63)

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Anpassning till den allmänna dataskyddsförordningen av lagen (1996:810) om registrering av riksdagsledamöters åtaganden och ekonomiska intressen m.m.

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

Datalagring och integritet (SOU 2015:31)

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Finansdepartementet Avdelningen för offentlig förvaltning Föreskriftsrätt för Lantmäteriet enligt förordningen om lägenhetsregister Maj

Yttrande i Förvaltningsrätten i Stockholms mål

Svensk författningssamling

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Anpassning till EU:s dataskyddsförordning av lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

SOU 2015:84 Organdonation En livsviktig verksamhet

Svensk författningssamling

Lag (2001:185) om behandling av uppgifter i Tullverkets verksamhet

Tillsyn enligt personuppgiftslagen (1998:204) hjälpmedelshanteringssystemet Sesam

Vården och reglerna om dataskydd

Så stärker vi den personliga integriteten SOU 2017:52

Rätt att forska Långsiktig reglering av forskningsdatabaser

Ds 2016:44 Nationell läkemedelslista

Datainspektionen informerar. Vägledningen ska tjäna som verktyg för att bedöma integritetsriskerna med ny eller ändrad lagstiftning.

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Kommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42

Beslag och husrannsakan ett regelverk för dagens behov (SOU 2017:100)

Utdrag ur protokoll vid sammanträde

Remiss av betänkandet 2014 års utlänningsdatalag (SOU 2015:73)

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde

EU:s dataskyddsförordning och lagstiftningen inom Näringsdepartementets ansvarsområden

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Kommittédirektiv. Tilläggsdirektiv till Utredningen om kameraövervakning brottsbekämpning och integritetsskydd (Ju 2015:14) Dir.

En anpassning till dataskyddsförordningen kreditupplysningslagen och några andra författningar

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Remiss av SOU 2015:66 En förvaltning som håller ihop

2 kap. 3 och 5 kap. 4 patientdatalagen (2008:355) Högsta förvaltningsdomstolen meddelade den 4 december 2017 följande dom (mål nr ).

Tillsyn. Räddningstjänsten i Östra Skaraborg

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Personuppgiftslagen baseras på det s.k. dataskyddsdirektivet (95/46/EG). Inom EU har det beslutats att detta direktiv ska ersättas av

Användandet av E-faktura inom den Summariska processen

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Severin Blomstrand och Annika Brickman samt justitierådet Thomas Bull

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Utdrag ur protokoll vid sammanträde Behandling av personuppgifter samt registrering och användning av fordon på vägtrafikområdet

Användandet av E-faktura inom verksamheten betalningsföreläggande

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Ds 2016:20 Strada, Transportstyrelsens Olycksdatabas

Tillsyn enligt personuppgiftslagen (1998:204) VA Syds personuppgiftsbehandling inom avfallshanteringsverksamheten

Dataskyddsförordningen för prefekter och administrativa chefer

Ändring i lagen om vägtrafikregister. Lagrådsremissens huvudsakliga innehåll

Tillsyn enligt personuppgiftslagen (1998:204) Barn och grundskolenämnden i Täbys behandling av personuppgifter i VKlass

Tillsyn enligt personuppgiftslagen (1998:204) mot IOGT-NTO behandling av uppgifter i medlemsregister

Tillsyn avseende undersökningen Hälsa Stockholm

21 kap. 7 offentlighets- och sekretesslagen (2009:400), 9 första stycket a) personuppgiftslagen (1998:204)

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Remiss av slutbetänkandet Vägen till självkörande fordon (SOU 2018:16)

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst

Utdrag ur protokoll vid sammanträde Brottsdatalag - kompletterande lagstiftning

PERSONUPPGIFTSBITRÄDESAVTAL

Finansdepartementet. EU:s dataskyddsförordning: Anpassade regler om personuppgiftsbehandling inom skatt, tull och exekution

Transkript:

Yttrande Diarienr 1 (5) 2018-08-20 DI-2018-5215 Ert diarienr [N2018/02625/MRT] Regeringskansliet, Näringsdepartementet RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande Datainspektionen har granskat promemorian huvudsakligen utifrån myndighetens uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Yttrandet är begränsat till mer övergripande frågor och frågor av väsentlig betydelse för den enskildes personliga integritet. Det kan inledningsvis framföras att Datainspektionen har yttrat sig över utkast till lagrådsremissen Vägtrafikdatalag och inspektionen hänvisar till de synpunkter som förs fram i remissvaret den 23 april 2018 (dnr DI-2018-703). Det kan även nämnas att Datainspektionen har yttrat sig över förslag till ändringar i förordningen (2001:650) om vägtrafikregister den 27 april 2018 (dnr DI-2018-2630). Datainspektionen lämnar därutöver följande synpunkter. Anpassning till EU:s dataskyddsförordning Den 27 april 2016 utfärdades Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. Dataskyddsförordningen utgör det primära regelverket för behandling av personuppgifter inom EU. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat, men innehåller trots detta många bestämmelser som förutsätter eller tillåter kompletterande nationella bestämmelser. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00

Datainspektionen 2018-08-20 Diarienr DI-2018-5215 2 (5) Kompletterande bestämmelser i nationell rätt är dock subsidiära till dataskyddsförordningen och måste vara förenliga med förordningen. Vägtrafikregistret innehåller en stor mängd uppgifter, bland annat känsliga personuppgifter men även andra integritetskänsliga personuppgifter, om ett stort antal personer. En grundläggande princip enligt dataskyddsförordningen är att behandlingen av personuppgifter endast får avse vad som är nödvändigt för de ändamål som bedömts vara berättigade. Det krävs även att regleringen är utformad så att den säkerställer att intrånget i den personliga integriteten är proportionell i förhållande till vad som ska uppnås med behandlingen av personuppgifterna för att de krav som framgår av de grundläggande principerna i dataskyddsförordningen och andra kapitlet regeringsformen ska uppnås. Intrånget ska mötas av integritetshöjande bestämmelser till förmån för de enskilde vars uppgifter behandlas. Detta förutsätter att de risker som behandlingen kan innebära för de registrerade identifieras och att det görs en bedömning av vilket intrång i den personliga integriteten det är fråga om och vilka mindre integritetskänsliga alternativ som står till buds. Av kravet på proportionalitet följer att det inte är tillräckligt att redogöra för behovet av eller nyttan med behandlingen, utan att samtidigt ta upp och väga detta mot de risker som behandlingen leder till eller kan leda till för enskildas personliga integritet samt att ta ställning till hur riskerna för de registrerade kan minimeras. Bestämmelser om skyddande åtgärder är en viktig del för att säkerställa att en personuppgiftsbehandling är proportionerlig. Som Datainspektionen tidigare fört fram är det enligt regeringsformen lagstiftarens uppgift att säkerställa att denna proportionalitet uppnås. En sådan lagreglering hindrar dock inte att mer detaljerade bestämmelser i vissa avseenden meddelas av regeringen eller den myndighet som regeringen bestämmer. Att som lagstiftare helt överlämna möjligheten att meddela skyddande bestämmelser ger dock inte någon garanti för att ett skydd ges för personuppgifterna eller att om det ges, att skyddet är tillräckligt. Det kan här konstateras att det i utkastet till lagrådsremissen Vägtrafikdatalag finns några bestämmelser huvudsakligen av upplysningskaraktär som rör skyddsåtgärder. Exempelvis anges där att regeringen eller den myndigheter som regeringen bestämmer kan meddela föreskrifter om säkerhetsåtgärder till skydd för personuppgifter. Datainspektionen noterar att förslaget till vägtrafikdataförordning inte innehåller några sådana bestämmelser. Att skyddande bestämmelser av detta

Datainspektionen 2018-08-20 Diarienr DI-2018-5215 3 (5) slag saknas i det aktuella förslaget understryker vikten av att lagstiftaren ger de skyddande ramarna som behövs för att säkerställa att en viss personuppgiftsbehandling är proportionerlig. Som Datainspektionen tidigare påpekat bör även artikel 35 i dataskyddsförordningen övervägas i samband med att nationell rätt tas fram med stöd av artiklarna 6.2 och 6.3. Med beaktande av detta kan en allmän konsekvensbedömning behöva göras som ett led i det aktuella författningsarbetet då det här är fråga om behandling av känsliga och integritetskänsliga personuppgifter i stor omfattning. När det gäller förslaget till vägtrafikdataförordning kan det konstateras att många av bestämmelserna i förslaget har sin motsvarighet i den nu gällande förordningen om vägtrafikregister eller föreslås bli föremål för ändringar som inte innebär någon ändring i sak. Det föreslås även nya bestämmelser. Det är under alla förhållanden viktigt att varje författningsförslag analyseras noggrant så att det säkerställs att det är förenligt med dataskyddsförordningen och att bedömningen inte enbart sker på ett generellt plan. En sådan analys av de föreslagna bestämmelserna saknas dock i promemorian som endast innehåller en summarisk redogörelse. Sökbegrepp I vissa fall är det även svårt att få en förståelse för förslagens närmare innebörd och vilka konsekvenser den föreslagna behandlingen kan förväntas medföra för de registrerade. Exempelvis föreslås en ny bestämmelse som reglerar vilka sökbegrepp som får användas vid sökning i andra gemensamt tillgängliga uppgifter än sådana som finns i vägtrafikregistret (4 kap. 8 ). I promemorian anges endast under rubriken Sökbegrepp och integritet att med detta avses främst sökning i Transportstyrelsens ärendehanteringssystem och det konstateras att de sökbegrepp som föreslås är nödvändiga för Transportstyrelsens verksamhet och avser offentliga uppgifter. Vidare anges att sammantaget bedöms Transportstyrelsens behov av att kunna använda de föreslagna sökbegreppen överväga de risker som en sådan behandling kan medföra för enskildas personliga integritet. Datainspektionen har emellertid utifrån detta knapphändiga underlag svårt att uttala oss närmare om förslaget annat än att även personuppgifter som är offentliga kan vara av integritetskänslig natur och därför kräva en varsam hantering. Som angetts ovan är det en förutsättning för all personuppgiftsbehandling att behandlingen är proportionerlig och i övrigt förenlig med dataskyddsförordningen. Detta förutsätter en ordentlig

Datainspektionen 2018-08-20 Diarienr DI-2018-5215 4 (5) integritetsanlys avseende vilka konsekvenser en tilltänkt behandling innebär för de registrerade. Datainspektionen konstaterar att det föreslås en ny bestämmelse i 4 kap. 5 som möjliggör en utvidgad sökning avseende tillstånd eller taxiförarlegitimation i fråga om bland annat överträdelser i vissa särskilt angivna fall. Härmed avses enligt promemorian vilken slags överträdelse det är fråga om och, i förekommande fall, vilken allvarlighetsgrad överträdelsen har. I promemorian anges att bestämmelsen är avsedd att ge Transportstyrelsen möjligheter att söka fram och göra nödvändiga sammanställningar av uppgifter på icke personell nivå som behövs för att följa upp och utvärdera den egna verksamheten och för att uppfylla krav i exempelvis EU-rättsakter på att tillhandahålla statistik. Eftersom uppgifterna inte behöver behandlas på personell nivå är det enligt Datainspektionen viktigt att bestämmelsen inte ger utrymme för en vidare behandling än vad som är berättigat. En sådan begränsning kan vara att i förordningen ange att uppgifterna som sammanställs ska vara pseudonymiserade (se skäl 26 i dataskyddsförordningen). Datainspektionen anser därför att även begränsningen av behandlingen behöver komma till uttryck i den aktuella regleringen. Direktåtkomst I 4 kap. 10 första stycket punkten 1 i förslaget till vägtrafikdataförordning anges att Transportstyrelsen får medge en sökande direktåtkomst till personuppgifter i vägtrafikregistret endast om behörighets- och säkerhetsfrågorna är lösta på ett sätt som är tillfredsställande från integritetssynpunkt. Enligt Datainspektionen är bestämmelsen missledande i förhållande till innehållet i de bestämmelser om säkerhet för personuppgifter som gäller enligt dataskyddsförordningen, se artiklarna 5.1f, 25 och 32. Om säkerheten ska regleras måste det ske på ett sätt som överensstämmer med dataskyddsförordningen. I den föreslagna vägtrafikdataförordningen finns i inledningen en bestämmelse om att förordningen kompletterar dataskyddsförordningen och vägtrafikdatalagen. Hänvisningen i 4 kap. 10 första stycket punkten 2 till bland annat dessa regelverk framstår därför som oklar och bestämmelsen bör bli föremål för ytterligare överväganden. Mot bakgrund av detta avstyrker Datainspektionen förslagen i 4 kap. 10 första stycket punkterna 1-2.

Datainspektionen 2018-08-20 Diarienr DI-2018-5215 5 (5) Registerutdrag Vidare noterar Datainspektionen att det i kapitel 5 i förslaget till vägtrafikdataförordning, i likhet med förordningen om vägtrafikregister, finns bestämmelser där begreppet registerutdrag används. Med registerutdrag avses i förslaget vissa sammanställningar av uppgifter framtagna ur vägtrafikregistret varvid även avses utlämnanden till annan än den registrerade. När det gäller begreppet registerutdrag kan det nämnas att begreppet i praxis används för att uttrycka den registrerades rätt att på begäran få information om de personuppgifter rörande denne som behandlas av personuppgiftsansvarig (artikel 15 i dataskyddsförordningen och 26 i den nu upphävda personuppgiftslagen). De aktuella bestämmelserna i kapitel 5 i författningsförslaget riskerar att ge upphov till missförstånd eller tolkningsproblem för såväl de registrerade som verksamheterna som ska tillämpa regelverket. Enligt Datainspektionen bör därför ett annat ord än registerutdrag användas. Detta beslut har fattats av enhetschefen Katarina Tullstedt efter föredragning av juristen Nina Hubendick. Katarina Tullstedt, 2018-08-20 (Det här är en elektronisk signatur)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss