Yttrande över betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning

Relevanta dokument
Yttrande över delbetänkandet Översyn av Riksrevisionen - grundlagsfrågor (2016/17:URF1)

EU:s dataskyddsförordning, dataskyddslagen och myndigheters arkiv

Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39)

Myndighetsdatalag (SOU 2015:39)

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Ändring av statistiksekretessen

Datainspektionen lämnar följande synpunkter.

Remiss från Justitiedepartementet - Ny dataskyddslag (SOU 2017:39)

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Eskil Nord och Lena Moore samt justitierådet Dag Mattsson

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Yttrande över Översyn av Riksrevisionen slutbetänkande (2017/18:URF2)

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Utdrag ur protokoll vid sammanträde

24 kap. 8 offentlighets- och sekretesslagen (2009:400)

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI

Finansdepartementet. EU:s dataskyddsförordning: Anpassade regler om personuppgiftsbehandling inom skatt, tull och exekution

Svensk författningssamling

Riksrevisionens yttrande över betänkandet Juridik som stöd för förvaltningens digitalisering (SOU 2018:25).

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Behandling av personuppgifter för forskningsändamål. Eva Lenberg (Utbildningsdepartementet) Lagrådsremissens huvudsakliga innehåll

Sekretesspolicy

Anpassning till den allmänna dataskyddsförordningen av lagen (1996:810) om registrering av riksdagsledamöters åtaganden och ekonomiska intressen m.m.

SOU 2017:39 Ny dataskyddslag

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Stockholm den 14 september 2017

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Svensk författningssamling

Översyn av Riksrevisionen grundlagsfrågor (vilande grundlagsbeslut, m.m.)

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Remissyttrande över promemorian Sekretess i det internationella samarbetet (Ds 2012:34) Dnr Ju2012/5900/L6

GDPR. Ulrika Harnesk 17 oktober 2018

Remissvar Registersforskningsutredningen {SOU 2014:45)

Lag (2001:185) om behandling av uppgifter i Tullverkets verksamhet

6 Yttrande över betänkandet Totalförsvarsdatalag Rekryteringsmyndighete ns personuppgiftsbehandlin g (SOU 2017:97) LS

Skatte- och tullavdelningen. Skyldighet för allmänna domstolar att lämna uppgifter om domar och beslut i brottmål till Skatteverket i vissa fall

Svensk författningssamling

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Stockholm den 8 augusti 2014

Svensk författningssamling

Leena Mildenberger (Finansdepartementet) Lagrådsremissens huvudsakliga innehåll

Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning. Sammanfattning. Betänkande av Dataskyddsutredningen.

Ändringar i vissa författningar inom Finansdepartementets ansvarsområde med anledning av EU:s dataskyddsreform

Eva Lenberg (Utbildningsdepartementet) Lagrådsremissens huvudsakliga innehåll

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Svensk författningssamling

LAGEN.NU. Lag (2003:763) om behandling av personuppgifter inom socialförsäkrin... administration. Nyheter Lagar Domar Begrepp

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Personuppgiftsbehandling för forskningsändamål

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Hur står det till med den personliga integriteten? (SOU 2016:41)

Remittering av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning

Allmänna handlingar i elektronisk form

Utdrag ur protokoll vid sammanträde

Rätt information på rätt plats i rätt tid, SOU 2014:23

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

/19 Informationsklass: Publik

Remiss av betänkandet 2014 års utlänningsdatalag (SOU 2015:73)

Behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys (SOU 2018:52)

Betänkandet Myndighetsdatalag (SOU 2015:39)

Ds 2016:20 Strada, Transportstyrelsens Olycksdatabas

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning

Dataskyddsförordningen för prefekter och administrativa chefer

Betänkandet Allmänna handlingar i elektronisk form offentlighet och integritet (SOU 2010:4)

Personuppgiftsbehandling i forskning

Svensk författningssamling

Att hantera personuppgifter

STINT Personuppgiftspolicy. 1 Om STINT

Regeringens proposition 2017/18:95

Regeringens proposition 2017/18:112

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Kommittédirektiv. Personuppgiftsbehandling inom den arbetsmarknadspolitiska verksamheten och i tillsynsverksamheten över denna. Dir.

Snabbare lagföring (Ds 2018:9)

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Personuppgiftslagen baseras på det s.k. dataskyddsdirektivet (95/46/EG). Inom EU har det beslutats att detta direktiv ska ersättas av

Regeringens proposition 2013/14:162

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde

Svensk författningssamling

Myndighetsdatalag slutbetänkande av Informationshanteringsutredningen (SOU 2015:39)

Stockholm den 28 april 2015

Förslag om dataskyddsbestämmelser som komplettering till propositionen Ny ordning för att främja god sed och hantera oredlighet i forskning

Dataskydd och forskning i Europa och Sverige

Stockholm den 9 november 2017 R-2017/1875. Till Utrikesdepartementet UD2017/15958/HI

Information till den registrerade i samband med insamlande av personuppgifter

Sociala medier ur ett rättsligt perspektiv. Johan Bålman, E-delegationen

Anpassningar av registerförfattningar på arbetsmarknadsområdet. Susanne Södersten (Arbetsmarknadsdepartementet)

Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Instruktion till mallen för den informationstext som SLU ska lämna när vi samlar in personuppgifter

Dataskyddsförordningen GDPR

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Skatteverkets Promemoria Beskattningsdatabasen, bouppteckning och äktenskapsregister

GDPR- Vad har hänt och hur ser tillämpningen ut?

Yttrande avseende utkast till lagrådsremissen Behandling av personuppgifter för forskningsändamål

Transkript:

REMISSVAR DATUM: 2017-0 9-01 ERT DATUM: 2017-05- 15 ER REFERENS: JU2017/04264/L6 Justitiedepartementet 103 33 Stockholm Yttrande över betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning Riksrevisionen avger härmed sitt yttrande över Dataskyddsutredningens betänkande Ny dataskyddslag - Kompletterande bestämmelser till EU:s dataskyddsförordning, SOU 2017:39. Sammanfattning Riksrevisionen instämmer i såväl utredningens förslag till nationell reglering av den rättsliga grunden för behandling av personuppgifter, som förslaget till nationell reglering av känsliga personuppgifter. Riksrevisionen anser dock att det vore önskvärt att Riksrevisionens rätt att behandla personuppgifter för statistiska ändamål uttryckligen regleras i författning samt att ett förtydligande görs angående rätten för Riksrevisionen att behandla känsliga personuppgifter för ändamålet att utföra årlig revision. Det vore också önskvärt med ett förtydligande om att information inte behöver lämnas till den registrerade när personuppgifter hämtas in från annan källa än den registrerade om behandling som är nödvändig för att genomföra författningsreglerad granskning och tillsyn. För att omhänderta den enskildes intresse av att få information skulle information om att uppgifterna kan komma att hanteras i granskningsverksamhet kunna lämnas av den som först hämtar in personuppgifterna från den enskilde. Inledning Riksrevisionens granskning utförs genom årlig revision och effektivitetsrevision. Inom båda dessa verksamheter inhämtas uppgifter, även personuppgifter, som ett led i genomförandet av granskningsverksamheten. RIKSREVISIONEN NYBROGATAN 55 114 90 STOCKHOLM 08-5171 4000 W WW.RIKSREVISIONEN.SE 1 ( 7 )

Möjligheten för Riksrevisionen att få del av uppgifter som behövs för granskningen är av avgörande betydelse för möjligheten att utföra grundlagsreglerad revision. Av 6 lagen (2002:1022) om revision av statlig verksamhet m.m. (revisionslagen) framgår att statliga myndigheter och andra som får granskas ska lämna de uppgifter som behövs för granskningen till Riksrevisionen. Förslag finns om att flytta bestämmelsen till regeringsformen. 1 Det finns härutöver inte någon särskild reglering av Riksrevisionens behandling av personuppgifter. 2 Utöver den behandling av personuppgifter som sker inom Riksrevisionens interna administration, förekommer behandling av känsliga personuppgifter i myndighetens granskningsverksamhet. Inom effektivitetsrevision sker behandling av känsliga personuppgifter för ändamålet att framställa statistik. Inom årlig revision sker behandling av känsliga personuppgifter utifrån skyldigheten att utföra just årlig revision (se 3 revisionslagen). Även inom årlig revision kan det i viss utsträckning vara aktuellt att behandla personuppgifter för framställning av statistik. Nedan följer Riksrevisionens synpunkter, vilka i huvudsak lämnas utifrån den behandling av känsliga personuppgifter som sker inom Riksrevisionens granskningsverksamhet. Riksrevisionens synpunkter Synpunkternas ordning följer betänkandets struktur. 8.3.1 Grunden för behandlingen ska i vissa fall vara fastställd Riksrevisionen instämmer i utredningens lagförslag angående rättslig grund för att få behandla personuppgifter med stöd av artikel 6. 1 e. Riksrevisionen har dock önskemål när det gäller reglering av behandling av personuppgifter för statistiska ändamål. Se härom i Kapitel 14.5. Övervägande och förslag statistiska ändamål nedan. 1 2 Översyn av Riksrevisionen grundlagsfrågor, 2016/17:URF1. I förarbeten till nämnda bestämmelse uttalas att skyldigheten att tillhandahålla uppgifter omfattar alla uppgifter oavsett medium som bär uppgifterna. Förarbetena uttalar vidare att uppgiftsskyldigheten omfattar uppgiftslämnande på medium för automatiserad behandling. Av förarbeten framgår även att bestämmelsen innebär undantag från informationsskyldigheten i personuppgiftslagen (prop. 2001/02:190, sid. 158-159). 2 ( 7 )

Kapitel 10 Känsliga personuppgifter Kapitel 10.6.2 En särskild myndighetsreglering - Behandling i löpande text Utredningens uttalande om att Begränsningen till löpande text behöver inte utesluta att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande behöver utvecklas genom att den närmare innebörden härav anges. Exempelvis behöver begreppen ostrukturerad och lagring i detta sammanhang tydliggöras. Det vore vidare önskvärt att ett sådant undantag från förbudet att behandla känsliga personuppgifter kommer till uttryck i dataskyddslagen. - Behandling som krävs på grund av annan lag Det finns situationer där myndigheters behandling av känsliga personuppgifter är oundviklig till följd av lagstadgade skyldigheter och som inte omhändertas av det föreslagna undantaget för behandling i löpande text. Utredningen nämner som exempel behandling av personuppgifter som en direkt följd av tryckfrihetsförordningens, offentlighets- och sekretesslagens och förvaltningslagens krav när det gäller inkomna handlingar, såsom krav på diarieföring och skyldighet att ta emot inkomna handlingar. Riksrevisionen tar inom ramen för årlig revision del av myndigheters redovisningsdata, som även innehåller känsliga personuppgifter. Dessa data behöver Riksrevisionen kunna behandla även på annat sätt än i löpande text. Redan när Riksrevisionen tar emot myndigheternas redovisningsdata i registerform medför det oundvikligen att personuppgifterna behandlas hos Riksrevisionen och då på annat sätt än i löpande text. Därutöver kan känsliga personuppgifter komma att behöva behandlas för att utföra lagstadgad revision. Även om ordalydelsen i det föreslagna undantaget omfattar Riksrevisionens skyldighet att genomföra årlig revision vore det önskvärt med ett förtydligande av rätten för Riksrevisionen att behandla känsliga personuppgifter för detta ändamål. En osäkerhet kan i annat fall skapas om myndighetens rätt att behandla känsliga personuppgifter inom årlig revision. Samma oklarhet kan tänkas finnas vid andra tillsynsmyndigheter med ett generellt tillsynsuppdrag. 3 ( 7 )

Kapitel 14.4.3 Förhållandet till arkivlagstiftningen och behandling av känsliga personuppgifter Riksrevisionen kan behöva behandla känsliga personuppgifter för arkivändamål och välkomnar utredningens lagförslag härom. Riksrevisionen noterar att utredningen hänvisar till skyddsåtgärder i form av bl.a. registerförfattningar och gallringsföreskrifter för att uppfylla de krav på skyddsåtgärder som ställs i artikel 9.2 j. I likhet med vissa andra myndigheter som inte står under Riksarkivets tillsyn men som i och för sig omfattas av arkivlagen, gäller dock inte Riksarkivets föreskrifter om gallring för Riksrevisionen. Riksrevisionen omfattas heller inte av någon registerlagstiftning. Riksrevisionen saknar en belysning av vad avsaknaden av nämnda skyddsåtgärder får för konsekvenser för den behandling av personuppgifter som sker vid Riksrevisionen, såsom en av de myndigheter som lyder under riksdagen. Kapitel 14.5 Överväganden och förslag statistiska ändamål Inom granskningsverksamheten, framförallt inom effektivitetsrevisionen, sker insamling och behandling av personuppgifter (i huvudsak registerdata) för statistiska ändamål. Riksrevisionens framställning av statistik sker som en direkt följd av Riksrevisionens grundlagsreglerade uppdrag att bedriva revision. Däremot finns ingen särskild reglering av Riksrevisionens statistiska undersökningar, utan denna arbetsuppgift framgår endast indirekt av dels bestämmelserna om granskning i regeringsformen, dels bestämmelserna om statistiksekretess samt förarbeten till revisionslagen. Av 13 kap. 8 andra stycket regeringsformen framgår att riksrevisorerna beslutar självständigt och var för sig om hur granskning ska bedrivas. Av förarbetena till revisionslagen framgår vidare att statistiksekretess gäller för uppgifter i bearbetningar eller sammanställningar som Riksrevisionen företar vid revision. 3 Enligt 24 kap. 8 offentlighets- och sekretesslagen (2009:400) gäller sekretess i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Detsamma gäller, enligt bestämmelsen, annan jämförbar undersökning som utförs av Riksrevisionen. Det finns ingen definition av vad som menas med jämförbara undersökningar. I samband med att även undersökningar hos Statskontoret och det statliga kommittéväsendet lades till i bestämmelsen om statistiksekretess uttalades dock följande i förarbetena. Gemensamt för dessa myndigheter är att de har uppgifter som inte innefattar myndighetsutövning mot enskilda och att de statistiska 3 Prop. 2001/02:190 sid. 93-94. Regeringen föreskrev om sekretess för två kartläggningar; en av omfattningen av fusk med förmåner och bidrag av social karaktär samt en av datorrelaterade brott och datormissbruk. 4 ( 7 )

undersökningarna som görs handlar om att belysa vissa förhållanden. 4 Något som härutöver närmare beskriver innebörden av bestämmelsens begrepp jämförbara undersökningar finns, såvitt Riksrevisionen känner till, inte. Definitionen av statistiska ändamål som görs i skälen till dataskyddsförordningen stämmer överens med hur framförallt registerdata används inom granskningsverksamheten. Utifrån denna definition och med hänsyn till ovannämnda bestämmelser i regeringsformen, förarbetena till revisionslagen och bestämmelsen om statistiksekretess anser Riksrevisionen att hanteringen faller under dataskyddsförordningens undantag för statistiska ändamål. Som utredningen framhåller måste dock behandlingen, framställning av statistik, vara nödvändig för att utföra en författningsreglerad uppgift av allmänt intresse. Utredningen ger inte något exempel på när framställning av statistik kan anses följa av en författningsreglerad uppgift. Riksrevisionen anser att framställning av statistik inom granskningsverksamheten sker som en direkt följd av Riksrevisionens författningsreglerade uppdrag och att denna behandling uppfyller utredningens förslag om att behandlingen ska vara nödvändig för att utföra en uppgift av allmänt intresse som följer av författning. Sammanfattningsvis menar Riksrevisionen att den behandling av personuppgifter som sker för att framställa statistik inom granskningsverksamheten uppfyller kraven i dataskyddsförordningen och förslaget till ny dataskyddslag. För att undvika osäkerhet om Riksrevisionens rätt att behandla personuppgifter för statistiska ändamål anser Riksrevisionen emellertid att denna rätt bör komma till uttryck i författning. I detta sammanhang vill Riksrevisionen även lyfta fram betydelsen av en tydlig gräns mellan behandling som sker för statistiska ändamål respektive forskningsändamål. Forskningsdatautredningen gör i sitt delbetänkande (SOU 2017:50) bedömningen att följande avgränsning ska vara utgångspunkt för hur forskningsbegreppet ska tolkas vid personuppgiftsbehandling för forskningsändamål. Vetenskapligt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs endast inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå. Forskningsdatautredningen gör vidare bedömningen att statistiska ändamål inte innefattar forskning. 4 Prop. 2013/14:162 sid. 14-15 5 ( 7 )

Mot bakgrund av ovanstående, bestämmelserna i dataskyddsförordningen och bestämmelserna om granskning i 13 kap. 7 regeringsformen samt 2 och 3 revisionslagen anser Riksrevisionen att den behandling av personuppgifter som sker inom ramen för granskningsverksamheten vid myndigheten inte är att betrakta som personuppgiftsbehandling för forskningsändamål. När Riksrevisionen behandlar personuppgifter för att framställa statistik sker det således uteslutande i syfte att genomföra granskning och inte forskningsändamål. Övrigt Undantag från skyldigheten att lämna information Enligt artikel 14.5. b) i dataskyddsförordningen behöver information till den registrerade inte lämnas när uppgifter inhämtas från annan källa än den registrerade om tillhandhållandet av informationen skulle medföra en oproportionell ansträngning. Riksrevisionen anser att det skulle innebära en sådan oproportionell ansträngning när sådana uppgifter behandlas i myndighetens granskningsverksamhet I artikel 14.5. c) dataskyddsförordningen görs även undantag från informationsskyldigheten i de fall erhållande eller utlämnande av uppgifter uttryckligen föreskrivs i nationell rätt och som fastställer lämpliga åtgärder för att skydda registrerades berättigade intressen. Motsvarande bestämmelse finns även i 24 andra stycket personuppgiftslagen (1998:204) (Dataskyddsdirektivet). Av förarbetena till bestämmelsen om uppgiftsskyldighet i 6 revisionslagen framgår att denna är en sådan bestämmelse som innebär undantag från skyldigheten att lämna information i enlighet med 24 andra stycket personuppgiftslagen (1998:204). Riksrevisionen saknar en belysning av hur den nya bestämmelsen i dataskyddsförordningen förhåller sig till dataskyddsdirektivets motsvarande undantagsbestämmelse. Även om Riksrevisionen bedömer att ovannämnda undantag är tillämpliga i granskningsverksamheten vore det önskvärt med ett förtydligande av att Riksrevisionen inte behöver lämna information till den registrerade när personuppgifter hämtas in från annan källa än den registrerade i syfte att genomföra författningsreglerad revision. Detta skulle kunna ske genom en bestämmelse som särskilt reglerar möjligheten för myndigheter som bedriver granskning och tillsyn att göra undantag från informationsskyldigheten. För att omhänderta den enskildes intresse av att få information skulle information om att uppgifterna kan komma att hanteras i 6 ( 7 )

granskningsverksamhet kunna lämnas av den som först hämtar in personuppgifterna från den enskilde. Borttagande av missbruksregeln Det vore bra om regeringen i det fortsatta arbetet tydliggör vad borttagande av den s.k. missbruksregeln i 5 a personuppgiftslagen (1998:204) får för konsekvenser för myndigheter. I det sammanhanget vore det bra med ett förtydligande av när behandling av personuppgifter kan ske utifrån intresseavvägningen i artikel 6.1. andra stycket i dataskyddsförordningen i myndigheters administrativa verksamhet, dvs. sådan verksamhet som inte är direkt kopplad till myndighetens uppdrag. Det handlar exempelvis om möjligheten att skicka e-post, publicera personuppgifter på myndighetens hemsida och att ha en enkel lista med personuppgifter i datorn. Andra exempel är loggning av arbetstagare i inpasseringssystem och deras användning av datorverktyg samt arbetsgivarens användning av kompetensportaler och bemanningslistor. Reglering av skyldigheten att lämna uppgifter till Riksrevisionen Riksrevisionen avser att återkomma till frågan om regleringen av skyldigheten att lämna uppgifter till Riksrevisionen i sitt yttrande över delbetänkandet Översyn av Riksrevisionen grundlagsfrågor, 2016/17:URF1. Riksrevisor Helena Lindberg har beslutat i detta ärende. Jurist Anna-Karin Waldton har varit föredragande. Chefsjurist Petra Bergman och jurist Ulrika Brun har deltagit i den slutliga handläggningen. Helena Lindberg Anna-Karin Waldton 7 ( 7 )

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss