Stockholm den 14 september 2017

Relevanta dokument
Stockholm den 28 april 2015

Stockholm den 7 september 2017 R-2017/0906. Till Justitiedepartementet. Ju2017/04264/L6

Datainspektionen lämnar följande synpunkter.

Utdrag ur protokoll vid sammanträde

Stockholm den 25 november 2015 R-2015/2121. Till Justitiedepartementet. Ju2015/08545/L4

Finansdepartementet. EU:s dataskyddsförordning: Anpassade regler om personuppgiftsbehandling inom skatt, tull och exekution

Skatteverkets Promemoria Beskattningsdatabasen, bouppteckning och äktenskapsregister

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Stockholm den 22 augusti 2019

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Eskil Nord och Lena Moore samt justitierådet Dag Mattsson

GDPR. Ulrika Harnesk 17 oktober 2018

Stockholm den 8 augusti 2014

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

Kommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Yttrande över betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Stockholm den 12 december 2018 R-2018/1679. Till Försvarsdepartementet. Fö2018/00999/RS

Kommittédirektiv. Tilläggsdirektiv till Utredningen om kameraövervakning brottsbekämpning och integritetsskydd (Ju 2015:14) Dir.

EU:s dataskyddsförordning, dataskyddslagen och myndigheters arkiv

Regeringens proposition 2017/18:95

Svensk författningssamling

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39)

Leena Mildenberger (Finansdepartementet) Lagrådsremissens huvudsakliga innehåll

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Stockholm den 9 november 2017 R-2017/1875. Till Utrikesdepartementet UD2017/15958/HI

Utkast till lagrådsremissen Vägtrafikdatalag

Kommittédirektiv. En myndighet med ett samlat ansvar för tillsyn över den personliga integriteten. Dir. 2014:164

Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning

Kommittédirektiv. Personuppgiftsbehandling inom den arbetsmarknadspolitiska verksamheten och i tillsynsverksamheten över denna. Dir.

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

EU:s dataskyddsförordning och utbildningsområdet (SOU 2017:49)

Remissyttrande över departementspromemorian Behandling av personuppgifter i polisens brottsbekämpande verksamhet (Ds 2007:43)

Allmänna handlingar i elektronisk form

Svar på remiss, Så stärker vi den personliga integriteten, (SOU 2017:52)

Remiss av SOU 2015:66 En förvaltning som håller ihop

SOU 2017:39 Ny dataskyddslag

Sveriges advokatsamfund har genom remiss den 11 april 2017 beretts tillfälle att avge yttrande över betänkandet Brottsdatalag (SOU 2017:29).

Myndighetsdatalag (SOU 2015:39)

Skatte- och tullavdelningen. Skyldighet för allmänna domstolar att lämna uppgifter om domar och beslut i brottmål till Skatteverket i vissa fall

Stockholm den 21 november 2017

Advokatsamfundets inställning till utredningens olika förslag kan sammanfattas enligt följande:

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

EU:s dataskyddsförordning och utbildningsväsendet (SOU 2017:49) Remiss från Utbildningsdepartementet Remisstid den 15 september 2017

Remittering av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning

Integritetsskydd - igår, idag, imorgon. Professor Cecilia Magnusson Sjöberg

2 kap. 3 och 5 kap. 4 patientdatalagen (2008:355) Högsta förvaltningsdomstolen meddelade den 4 december 2017 följande dom (mål nr ).

Datum: Vår ref: Pär Trehörning. Dnr: 2015/ Justitiedepartementet Nils Sjöblom Stockholm

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde

Stockholm den 1 juni 2009 R-2009/0488. Till Justitiedepartementet. Ju2009/2441/PO

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Yttrande i Förvaltningsrätten i Stockholms mål

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

6 Yttrande över betänkandet Totalförsvarsdatalag Rekryteringsmyndighete ns personuppgiftsbehandlin g (SOU 2017:97) LS

Stockholm den 17 september 2015

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Folkbokföringsuppgifter hos arkivmyndigheterna


Betänkandet låt fler forma framtiden! (SOU 2016:5)

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Åklagarväsendets brottsbekämpning

Kommittédirektiv. Genomförande av EU:s direktiv om skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet

Hur står det till med den personliga integriteten? (SOU 2016:41)

Stockholm den 27 september 2017

Svensk författningssamling

Remiss från Justitiedepartementet - Ny dataskyddslag (SOU 2017:39)

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter vid antidopningsarbete inom idrotten. Dir. 2018:31

Stockholm den 22 april 2015

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

PUL OCH DATASKYDDSFÖRORDNINGEN

Anpassning till EU:s dataskyddsförordning av lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

21 kap. 7 offentlighets- och sekretesslagen (2009:400), 9 första stycket a) personuppgiftslagen (1998:204)

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Skatteverket och vägtrafikregistret

Lag (2001:185) om behandling av uppgifter i Tullverkets verksamhet

Regionala etikprövningsnämnden i Uppsala

Kommittédirektiv. Behandlingen av personuppgifter i verksamhet enligt utlänningsoch. medborgarskapslagstiftningen, Dir. 2014:76

Snabbare lagföring (Ds 2018:9)

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Stockholm den 27 september 2017

Betänkandet Myndighetsdatalag (SOU 2015:39)

Svensk författningssamling

Myndighetsdatalag slutbetänkande av Informationshanteringsutredningen (SOU 2015:39)

Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)

Remissyttrande över promemorian En omarbetad domstolsdatalag Anpassning till EU:s dataskyddsförordning

Yttrande över departementspromemorian Domstolsdatalag (Ds 2013:10)

Svensk författningssamling

Stockholm den 12 februari 2014

Riktlinjer för hantering av personuppgifter

Direktåtkomst för Försäkringskassan i ärenden om betalningsskyldighet för underhållsstöd. Kjell Rempler (Socialdepartementet)

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Behandlingen av personuppgifter i. Dir. 2001:108. i verksamhet enligt utlännings- och medborgarskapslagstiftningen.

EU:s dataskyddsreform anpassningar av vissa författningar om allmän ordning och säkerhet

Transkript:

R-2017/1139 Stockholm den 14 september 2017 Till Finansdepartementet Fi2017/02899/S3 Sveriges advokatsamfund har genom remiss den 29 juni 2017 beretts tillfälle att avge yttrande över promemorian EU:s dataskyddsförordning: Anpassade regler om personuppgiftsbehandling inom skatt, tull och exekution. Advokatsamfundet har ingen erinran mot förslagen i promemorian, med undantag för nedan angivna påpekanden, som enligt Advokatsamfundets mening bör föranleda ytterligare utredning och generell författningsreglering. Allmänt Advokatsamfundet har tidigare påtalat att gällande lagstiftning rörande registerfrågor är svår att överblicka både sett till verkningar för enskildas personliga integritet samt till den faktiska tillämpningen av de föreslagna lagrummen och rekvisiten, då det finns ett allt för stort antal skilda lagar om myndigheters personuppgifts- och registerhantering samt även bristande överensstämmelse mellan grundläggande begrepp i dessa lagar. 1 1 Se exempelvis Advokatsamfundets remissyttrande den 20 november 2015 över Informationshanteringsutredningens betänkande Myndighetsdatalag (SOU 2015:39), Advokatsamfundets remissyttrande den 16 december 2013 över Skatteverkets promemoria Behandling av personuppgifter i Skatteverkets verksamhet med brottsutredningar, Fi2012/4241 (med bilagor med remissyttrande den 29 augusti 2011 över Försvarsdepartementets promemoria om Kustbevakningsdatalag, Ds 2011:16, med remissyttrande den 27 februari 2008 över Justitiedepartementets promemoria Behandling av personuppgifter i polisens brottsbekämpande verksamhet, Ds 2007:43, samt med remissyttrande den 29 april 2002 över Domstolsdatautredningens slutbetänkande Informationshantering och behandling av uppgifter vid domstolar En rättslig översyn, SOU 2001:100), Advokatsamfundets remissyttrande den 30 september 2015 över betänkandet Personuppgiftsbehandling på utlännings- och medborgarskapsområdet, SOU 2015:73, Advokatsamfundets remissyttrande den 25 maj 2015 över Finansdepartementets promemoria Vissa registerfrågor, Fi2015/2161, Advokatsamfundets remissyttrande den 28 april 2015 över Skatteverkets promemoria Beskattningsdatabasen, bouppteckning och äktenskapsregister, bilaga till dnr 131 89000-15/113 (också Fi2012/4241) samt Advokatsamfundets remissyttrande den 15 augusti 2012 över Skatteverkets promemoria med förslag till ny lag om behandling av personuppgifter i Skatteverkets äktenskapsregisterverksamhet, m.m., Fi2012/2127.

2 Advokatsamfundet vidhåller tidigare lämnade synpunkter i detta avseende. Det mycket stora antal registerförfattningar som reglerar myndigheternas verksamheter, medför redan i dagsläget beaktansvärda svårigheter för myndigheterna att hänga med i den explosionsartade tekniska utvecklingen, inte minst när det gäller utvecklingen av en effektiv och samverkande e-förvaltning i medborgarnas tjänst. De tillämpningssvårigheter detta kan föra med sig när delvis nya tillvägagångssätt ska förenas med gällande rätt, kan inte förväntas minska i och med att dataskyddsförordningen och ett stort antal endast minimalt och redaktionellt anpassade registerförfattningar ska börja tillämpas. Advokatsamfundet anser således att det är olyckligt att uppdraget inte varit att ta fram en enhetlig reglering för åtminstone här berörd del av den offentliga verksamheten, jfr Informationshanteringsutredningens förslag till en samlad reglering på myndighetsområdet (SOU 2015:39). Personuppgiftsansvar, tillåten behandling och den snabbt framväxande e-förvaltningen I det följande ska de tillämpningssvårigheter som det anförda för med sig beskrivas genom ett exempel. Redan år 2006 var antalet e-deklarationer till Skatteverket uppe i drygt 2,5 miljoner år 2017 nästan 5,8 miljoner (73,65 procent). För denna hantering behövs ett s.k. eget utrymme (se om detta prop. 2016/17:198 s. 7, jfr prop. 2016/17:180 s. 141). Det är emellertid oklart om personuppgiftslagen, respektive dataskyddsförordningen och den föreslagna dataskyddslagen, gäller för behandlingar som äger rum i eget utrymme. Ska i stället lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet (skattedatabaslagen) tillämpas? Frågan har belysts av berörda myndigheter inom det s.k. esamverkansprogrammet i publikationen Eget utrymme hos myndighet en vägledning (avsnitt 5.5). I skattedatabaslagen föreskrivs att denna lag tillämpas vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet och i verkets handläggning enligt vissa lagar. Någon handläggning kan dock inte ske hos Skatteverket av handlingar i ett eget utrymme, eftersom verket inte förfogar över dem (verket får inte ta del av uppgifter i eget utrymme). Det kan däremot inte uteslutas att denna hantering ska ses som en del av Skatteverkets beskattningsverksamhet. 2 Konsekvenserna av att Skatteverket blir personuppgiftsansvarigt är i så fall svåra att överblicka, eftersom ett sådant ansvar måste förenas med en skyldighet för verket att inte ta del av uppgifterna. Från de utgångspunkter Advokatsamfundet har att tillvarata, är det viktigt att framhålla de risker som denna rättsliga osäkerhet 2 Jfr hur regeringen i prop. 2016/17:198 s. 24 uttalat att uppgifter som uppstår vid användning av en hjälptjänst i anknytning till eget utrymme omfattas av sekretess enligt 27 kap. 1 OSL, dvs. sekretess i verksamhet som avser bestämmande av skatt eller fastställande av underlag för bestämmande av skatt. Möjligen ska denna bedömning endast gälla för uppgifter som lämnats från utrymmet till hjälptjänsten och inte för uppgifter i eget utrymme. Absolut sekretess enligt 40 kap. 5 OSL gäller normalt för uppgifter i utrymmet.

3 kan föra med sig när det gäller skyddet mot insyn i t.ex. utkast till deklarationer i eget utrymme. Det kan dessutom visa sig att upplysningar som behöver lämnas i en deklaration inte får behandlas i eget utrymme, t.ex. att sjukdom eller en lagöverträdelse föranlett vissa för beskattningen betydelsefulla dispositioner eller åtgärder. Av 1 kap. 7 skattedatabaslagen följer nämligen att känsliga personuppgifter och uppgifter om lagöverträdelser m.m. får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Så är inte fallet när personuppgifter behandlas i eget utrymme. Från de utgångspunkter Advokatsamfundet har att tillvarata, är det väsentligt att påtala de risker denna rättsliga osäkerhet kan föra med sig för den som i egenskap av personuppgiftsbiträde ansvarar för den tekniska driften, när det gäller sanktioner enligt dataskyddsförordningen och den föreslagna dataskyddslagen. Skulle skattedatabaslagen inte bli tillämplig och Skatteverket inte heller anses bli personuppgiftsansvarigt enligt dataskyddsförordningen, för företags behandlingar i eget utrymme, finns en rättslig grund för behandlingarna. De kan ske i enlighet med den enskildes författningsreglerade skyldighet att lämna uppgifter till berörd myndighet, dvs. för att fullgöra en rättslig förpliktelse (se det remitterade betänkandet s. 54). Företaget kan också begränsa behandlingar i utrymmet av känsliga personuppgifter så att hanteringen blir förenlig med dataskyddsförordningen. För det fall att berörd registerförfattning inte anses vara tillämplig för behandlingar i eget utrymme och det innehas av någon som omfattas av privatundantaget, hävdar Datainspektionen att tillhandahållaren av utrymmet i detta exempel Skatteverket är personuppgiftsansvarig, trots att verket inte ska få ta del av informationsinnehållet i utrymmet. Myndigheter får dock enligt dataskyddsförordningen inte längre behandla personuppgifter med stöd av en intresseavvägning och behandlingar med stöd av den registrerades samtycke inskränks så att det kan ifrågasättas om denna grund kan åberopas av en myndighet. Efter dataskyddsförordningens ikraftträdande tillkommer således frågan om vilken rättslig grund en myndighet har för att tillhandahålla eget utrymme. Dessutom kan det ifrågasättas om känsliga personuppgifter får behandlas. Beträffande rättslig grund får prövas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 6.1 e). Denna grund för behandlingen måste emellertid enligt artikel 6.3 första stycket vara fastställd i enlighet med svensk rätt och enligt skäl 41 till förordningen, bör denna grund vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Sannolikt innebär den vida tolkning som Dataskyddsutredningen gjort i betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39), att även dessa behandlingar anses vara nödvändiga för myndighetens förvaltning och funktion och att de därmed är rättsligt grundade i dataskyddsförordningens mening. Detta hade emellertid bort belysas i den remitterade promemorian med beaktande av denna verksamhets omfattning och praktiska betydelse för att den offentliga förvaltningen ska fungera

4 (jfr regeringens proposition 2016/17:180 En modern och rättssäker förvaltning ny förvaltningslag, om det anknytande kravet på legalitet). Frågan bör klargöras, lämpligen genom regler i författning eller uttalanden i lagmotiv. När det gäller behandlingen i eget utrymme av känsliga personuppgifter, bedömer Advokatsamfundet att det behövs regler i lag för den händelse att myndigheten ska anses vara personuppgiftsansvarig. Med Datainspektionens syn på personuppgiftsansvarets fördelning anses myndigheten behandla de uppgifter som myndigheten inte får ta del av i eget utrymme. För att tillgodose myndigheternas behov av att få behandla känsliga personuppgifter har Dataskyddsutredningen, med stöd av artikel 9.2 g i dataskyddsförordningen, föreslagit en bestämmelse i lag enligt vilken känsliga personuppgifter får behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag eller i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 ). Detta författningsförslag torde exkludera den service som i dag ges genom eget utrymme, där myndigheten anses vara personuppgiftsansvarig, eftersom tillämpningsområdet har avgränsats till uppgifter som lämnats i ett ärende eller till myndigheten. Uppgifter som finns i eget utrymme anses inte vara inkomna till myndigheten i förvaltningsrättslig eller tryckfrihetsrättslig mening eller tillförda ett ärende (jfr prop. 2016/17:198). Utrymmen där känsliga uppgifter i dagsläget behövs för att t.ex. utarbeta en inlaga, blir därmed förbjudna om inte särskild reglering införs. Eftersom myndigheten inte ska få ta del av innehållet i eget utrymme, kan myndigheten inte heller veta om känsliga uppgifter förs in i ett utrymme i strid mot villkor för att tillhandahålla utrymmet. Myndigheten synes därmed riskera sanktioner enligt dataskyddsförordningen och dataskyddslagen. Detsamma gäller för ett personuppgiftsbiträde om det skulle visa sig att utrymmet missbrukats. Advokatsamfundet har i remissvar över Dataskyddsutredningens betänkande förordat att bestämmelsen ska utvidgas till att omfatta även här aktuella behandlingar. På liknande sätt bör den föreslagna generella sökbegränsningen i 3 kap. 4 dataskyddslagen anpassas till den service som myndigheter ger åt privatpersoner. Ett praktiskt exempel är att den som innehar en brevlåda knuten till Mina meddelanden, bör kunna få söka fritt bland sina meddelanden även om de rör hälso- och sjukvård. Att behandlingen i juridisk mening anses bli utförd av myndigheten, till följd av den tolkning Datainspektionen gjort av personuppgiftsansvarets fördelning, bör inte leda till annan bedömning. I stället visar detta på behovet av att göra en närmare avvägning mellan persondataskyddet och rätten till privatliv enligt den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. Advokatsamfundet förordar att regeringen överväger en författningsreglering för dessa fall, där myndigheten ges ett personuppgiftsansvar endast för de behandlingar som den i praktiken utför för att tillhandahålla dessa funktioner, införa erforderliga säkerhetsåtgärder, se till att säkerheten upprätthålls och begränsa hur eget utrymme kan och får användas, så att sådana utrymmen inte kan användas i strid mot reglerna om persondata-

5 skydd eller för brottslig eller annars otillåten verksamhet. Även här bör Europakonventionens regler om skydd för privatlivet särskilt beaktas. Vad som menas med direktåtkomst beskrivs i den remitterade promemorian, utan att den tolkning av begreppets innebörd nämns, som följer av Högsta förvaltningsdomstolens dom i det s.k. Lefi online-målet (se HFD 2015 ref. 61 och jfr esamverkansprogrammets publikation Elektroniskt informationsutbyte en vägledning för utlämnande elektronisk form). Även i denna del finns alltså ett behov av att se över och anpassa berörda registerförfattningar, särskilt då utvecklingen tyder på att direktåtkomst i enlighet med Högsta förvaltningsdomstolens tolkning av begreppet utmönstras i takt med att myndigheterna utvecklar sina informationssystem. Rätten att göra invändningar och föreskriftsrätt Avslutningsvis vill Advokatsamfundet göra två påpekanden. I avsnitt 7.11.4 redogörs för att det ska införas en bestämmelse som anger att rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen inte gäller vid sådan behandling som är tillåten enligt de författningar som avhandlas i den aktuella promemorian. Advokatsamfundet ifrågasätter om det finns tillräckligt starka skäl att ta bort rätten att få göra sådana invändningar, även om dessa oftast kommer att kunna avslås då det ofta kommer att finnas starka skäl till denna personuppgiftsbehandling. Advokatsamfundet anser att rättigheten ändå bör få finnas kvar till skydd för individens personliga integritet, oaktat att det kan påverka myndigheternas effektivitet. Vidare, vilket Advokatsamfundet har påpekat i tidigare remissyttranden, är det inte en acceptabel ordning, med beaktande av individens skydd för den personliga integriteten, att den myndighet som ska behandla personuppgifter med stöd av särskild registerlagstiftning också är den myndighet som har föreskriftsrätt rörande personuppgiftsbehandlingen (se s. 85 i betänkandet). Myndigheten kan då av egna effektivitetsskäl, när den meddelar föreskrifter, tendera att inte i tillräcklig utsträckning beakta individens rätt till skydd för den personliga integriteten. SVERIGES ADVOKATSAMFUND Anne Ramberg/ genom Maria Billing

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss