SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen



Relevanta dokument
Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Snabbare lagföring (Ds 2018:9)

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Remiss av betänkandet 2014 års utlänningsdatalag (SOU 2015:73)

Remiss av SOU 2015:66 En förvaltning som håller ihop

Regionala etikprövningsnämnden i Uppsala

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Hur står det till med den personliga integriteten? (SOU 2016:41)

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Datainspektionen lämnar följande synpunkter.

Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX

Tillsyn enligt kameraövervakningslagen (2013:460) Försäkringskassans användning av webbkameror

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Myndighetsdatalag (SOU 2015:39)

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Datalagring och integritet (SOU 2015:31)

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m.

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

SOU 2015:84 Organdonation En livsviktig verksamhet

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Yttrande över betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Tillsyn - äldreomsorg

Så stärker vi den personliga integriteten SOU 2017:52

Utkast till lagrådsremissen Vägtrafikdatalag

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Försäkringskassan

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Remissen Läkemedelsverkets förslag till föreskrifter för Nationella medicinska informationssystem

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Överklagande. Prövningstillstånd. Kammarrätten i Jönköping Box Jönköping. Klagande Datainspektionen, Box 8114, Stockholm

Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert

Behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys (SOU 2018:52)

Yttrande över promemorian Införande av vissa internationella standarder i penningtvättslagen

Tillsyn enligt personuppgiftslagen

HANDIKAPP FÖRBUNDEN. Er referens: Yttrande över betänkandet Inbyggd integritet inom Inspektionen för Socialförsäkring SOU 2014:67

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Tillsyn enligt personuppgiftslagen (1998:204) registrering av känsliga personuppgifter om anställda

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Beslag och husrannsakan ett regelverk för dagens behov (SOU 2017:100)

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Remittering av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning

Yttrande i Förvaltningsrätten i Stockholms mål

LAGEN.NU. Lag (2003:763) om behandling av personuppgifter inom socialförsäkrin... administration. Nyheter Lagar Domar Begrepp

Tillsyn - äldreomsorg

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Personuppgiftsbehandling i forskningsbibliotekens verksamhet

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Departementspromemorian Domstolsdatalag (Ds 2013:10)

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Hyresbostäder i Norrköping AB

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

Tillsyn enligt personuppgiftslagen (1998:204) Polismyndighetens behandling av personuppgifter i belastningsregistret och misstankeregistret

Handlägges.Q"(4.e...

Mediegrundlagskommitténs betänkande Ändrade mediegrundlagar (SOU 2016:58)

Tillsynsbeslut; omdömen om elever

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Hemlig dataavläsning ett viktigt verktyg i kampen mot allvarlig brottslighet (SOU 2017:89)

Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda

Beslut efter tillsyn enligt inkassolagen (1974:182) ny uppföljning av uppgift om grunden för fordran

Betänkandet Allmänna handlingar i elektronisk form offentlighet och integritet (SOU 2010:4)

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Beslut efter tillsyn enligt inkassolagen (1974:182) ny uppföljning av uppgift om grunden för fordran

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Skapa tilltro Generell tillsyn, enskildas klagomål och det allmänna ombudet inom socialförsäkringen (SOU 2015:46)

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Svensk författningssamling

Transkript:

Yttrande Diarienr 1 (6) 2015-02-26 2529-2014 Ert diarienr S2014/6786/SF Socialdepartementet Regeringskansliet 103 33 STOCKHOLM SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen Sammanfattning Datainspektionen har granskat betänkandet utifrån inspektionens uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Inspektionens yttrande begränsas till de frågor som är av väsentlig betydelse för den enskildes personliga integritet. Datainspektionen avstyrker förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen i sin nuvarande utformning, eftersom förslaget inte är förenligt med 2 kap. 6 andra stycket samt 2 kap. 20-21 regeringsformen. Datainspektionen anser att de integritetsskyddande åtgärder som krävs för att en sådan omfattande behandling som Inspektionens verksamhet innebär ska vara tillåten, inte framgår av den föreslagna lagen. Datainspektionen avstyrker förslaget till lag om ändring i socialförsäkringsbalken. Datainspektionen anser att betänkandets förslag om att Inspektionen för socialförsäkringen ska få medges direktåtkomst till personuppgifter i socialförsäkringsdatabasen inte är tillräckligt utrett. Datainspektionen avstyrker förslaget att behandling av känsliga personuppgifter inom Inspektionen för socialförsäkringen ska regleras av både den föreslagna registerlagen och lagen (2003:460) om etikprövning av forskning som avser människor. Datainspektionen anser att en särskild lagregel om gallring av kodnycklar bör införas i den föreslagna registerlagen. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00

Datainspektionen 2015-02-26 Diarienr 2529-2014 2 (6) 8 Känsliga personuppgifter I betänkandet föreslås att Inspektionen för socialförsäkringen (förkortad ISF) ska få behandla känsliga personuppgifter enligt 13 personuppgiftslagen samt personuppgifter som avses i 21 samma lag, om uppgifterna har lämnats i ett tillsyns- eller granskningsärende eller annars är nödvändiga för handläggningen av ett sådant ärende. Datainspektionen instämmer i utredningens bedömning att ISF ska få behandla sådana uppgifter och att detta även ska regleras i den föreslagna registerlagen. Genom sitt uppdrag ges ISF en mycket vidsträckt befogenhet att behandla synnerligen integritetskänsliga personuppgifter, något som får anses gå utöver vad som generellt sett skulle vara tillåtet vid ett enskilt forskningsprojekt. ISF:s behandling av känsliga personuppgift bör därför regleras i dess registerlag, tillsammans med där införda särskilda skyddsmekanismer. Av betänkandet framgår emellertid att den föreslagna regleringen inte utesluter att ISF ansöker om etikprövning enligt lagen (2003.460) om etikprövning av forskning som avser människor (förkortad EPL). Enligt utredningen bör dock inte ISF gå vidare med en behandling av känsliga personuppgifter om de fått avslag på en ansökan enligt EPL. Om så ändå skulle ske ska Datainspektionen, enligt betänkandet kunna inleda tillsyn och vidta erforderliga åtgärder (se s.122). Datainspektionen ifrågasätter det lämpliga i att en och samma behandling av känsliga personuppgifter i en och samma verksamhet skulle kunna vara tillåten enligt olika regelverk. Det är först och främst mycket oklart, mot bakgrund av uttalanden i förarbetena, om ISF:s verksamhet överhuvudtaget innebär forskning. Flera parallella regelverk skulle dessutom riskera att rättstillämpningen blir motstridig och godtycklig. En behandling av känsliga personuppgifter skulle kunna vara tillåten enligt reglerna i registerlagen men ändå inte bli etikgodkänd om ISF väljer att ansöka om etikprövning enligt EPL. Datainspektionen har här svårt att se vilka möjligheter inspektionen skulle kunna ha att vidta åtgärder mot ISF om de ändå skulle välja att fortsätta med behandlingen. Den situationen skulle även kunna uppstå att ISF ansöker om och får ett etikgodkännande enligt EPL, trots att behandlingen av känsliga personuppgifter inte skulle vara tillåten enligt den föreslagna registerlagen, Behandlingen skulle t.ex. kunna vara otillåten för att den inte är nödvändig för handläggningen av ett tillsyns- eller granskningsärende. Vilken lagstiftning ska då ges företräde? Datainspektionens uppfattning är att

Datainspektionen 2015-02-26 Diarienr 2529-2014 3 (6) regleringen gällande behandling av känsliga personuppgifter inte bör innehålla sådana motstridigheter och avstyrker därför förslaget. 9 Inbyggd integritet I betänkandet anges att den personuppgiftsbehandling som ISF bedriver inom ramen för sin verksamhet innebär att det blir fråga om sådan kartläggning av enskildas personliga förhållanden och sådana betydande intrång i den personliga integriteten att 2 kap. 6 andra stycket regeringsformen blir tillämplig. Behandlingen av personuppgifter hos ISF behöver således enligt utredningen regleras i lag, samtidigt som skyddet för den enskildes personliga integritet bör stärkas. Datainspektioner instämmer i utredningens bedömning att den behandling av personuppgifter som utförs av ISF inom ramen för sitt uppdrag är ytterst omfattande och innebär en kartläggning av enskilda individer. De personuppgifter som ISF kommer att behandla i sin verksamhet för tillsyn och granskning måste anses som mycket integritetskänsliga. För att en sådan behandling av personuppgifter överhuvudtaget ska vara förenlig med reglerna i regeringsformen och dataskyddsdirektivet krävs att behandlingen omgärdas av kraftfulla skyddsåtgärder. I betänkandets kapitel 9 redogörs för en lång rad åtgärder vilka enligt utredningen ska minimera riskerna för otillbörliga intrång i enskildas personliga integritet s.k. inbyggd integritet. Utredningen anser emellertid att det, för att tillgodose kraven i regeringsformen, av den föreslagna registerlagen endast behöver framgå att det inom ISF ska finnas en integritetsskyddsfunktion samt att särskilt integritetskänslig personuppgiftsbehandling ska beredas i särskild ordning. Mer detaljerade regler om dessa funktioner bör enligt utredningen ges i form av föreskrifter på lägre nivå. Datainspektionen finner det lovvärt att utredningen så grundligt utrett vilka skyddsåtgärder som kan komma att krävas för att en sådan personuppgiftsbehandling som ISF har behov av att utföra ska vara tillåten enligt gällande dataskyddsregler. Datainspektion anser emellertid inte att den föreslagna registerlagen tillräckligt tydligt reglerar de skyddsåtgärder som krävs för att behandlingen ska vara tillåten. Det räcker inte enligt Datainspektionens mening att det av lagen framgår att en

Datainspektionen 2015-02-26 Diarienr 2529-2014 4 (6) integritetsskyddsfunktion ska finnas hos ISF samt att särskilt integritetskänsliga personuppgifter ska beredas i särskild ordning. De skyddsmekanismer sådana funktioner ska garantera måste även de framgå av lagen. Enligt 2 kap. 6 andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. En begränsning av rättigheterna i 2 kap. 6 andra stycket regeringsformen ska för att vara tillåten stadgas i lag och får inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den, se 2 kap. 20 och 21 regeringsformen. I ett konkret lagstiftningsärende innebär det att det intrång som sker i den enskildes privata sfär måste vara befogat och inte större än nödvändigt. Intrånget ska mötas av integritetshöjande bestämmelser till förmån för den enskilde vars uppgifter behandlas. För att förslaget ska uppfylla kraven i regeringsformen krävs därför att i vart fall de åtgärder som är av central betydelse för integritetsskyddet direkt kan utläsas av den föreslagna registerlagen. Exempel på det är att åtkomsten till personuppgifter som är direkt hänförliga till enskilda begränsas till ett fåtal personer och att endast anonymiserade uppgifter hanteras i den övriga verksamheten. Enligt Datainspektionens mening uppfyller således inte förslaget till lag om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen i sin nuvarande utformning de krav som ställs i regeringsformen. Datainspektionen avstyrker därför förslaget. 10 Direktåtkomst och annat elektroniskt utlämnande Utredningen föreslår i betänkandet att ISF genom en ändring i socialförsäkringsbalken ska få medges direktåtkomst till socialförsäkringsdatabasen. Åtkomsten ska begränsas till de uppgifter som är nödvändiga som underlag vid ISF:s tillsyns- och granskningsverksamhet. Den närmare utformningen och begränsningen av direktåtkomsten ska emellertid tas fram av ISF, Försäkringskassan och Pensionsmyndigheten i samråd utifrån praktiska realiteter (se s.162). Direktåtkomst till uppgifter i en databas innebär generellt sett att myndigheten har direkt tillgång till uppgifterna och på egen hand kan söka

Datainspektionen 2015-02-26 Diarienr 2529-2014 5 (6) efter information. Åtkomsten begränsas således inte i praktiken till vad den aktuella myndigheten behöver för sin verksamhet. För att en sådan behandling av personuppgifter ska vara tillåten krävs enligt regleringen i regeringsformen och dataskyddsdirektivet att direktåtkomstens utformning och omfattning vägs mot intrånget den medför i den personliga integriteten. Datainspektionen finner det därför anmärkningsvärt att utredningen, trots att man uppger att någon närmare analys av direktåtkomstens faktiska utformning i nuläget inte kan göras utan får ske efterhand utifrån vad som är praktiskt möjligt, ändå föreslår att ISF ska få medges direktåtkomst till socialförsäkringsdatabasen. Då vare sig direktåtkomstens omfattning eller dess inverkan på enskildas personliga integritet presenterats i betänkandet är den avvägning som krävs enligt dataskyddsregleringen inte möjlig. Datainspektionen ställer sig också frågande till utredningens slutsats att befintliga regler om sekretess hos ISF för närvarande får anses tillräckliga. Eftersom det presenterade förslaget till direktåtkomst utifrån sin ordalydelse medger en mycket vid direktåtkomst finns det skäl att befara att personuppgifter och sammanställningar av personuppgifter, som det inte alls är tänkt att ISF ska kunna ta del av, blir allmänna handlingar hos ISF och således kan begäras ut. Det är därför av yttersta vikt att frågan om sekretesskydd för uppgifter inom ISF utreds vidare innan någon möjlighet till direktåtkomst införs. Datainspektionen anser även att det inte står helt klart att ISF verkligen har ett behov av direktåtkomst till uppgifterna i socialförsäkringsdatabasen. Som uppges i betänkandet är tillsyns- och granskningsverksamheten hos ISF i huvudsak utformad med i förväg beslutade och väl avgränsade projekt. Det finns således anledning att överväga om nuvarande rutiner för elektroniskt utlämnande av personuppgifter till ISF, utan att det blir fråga om en direktåtkomst, skulle kunna utgöra alternativ till direktåtkomst. Något mer utförligt övervägande av sådana alternativ har dock inte presenterats i utredningen. Mot denna bakgrund anser Datainspektions att den utredning avseende direktåtkomst för ISF till uppgifter i socialförsäkringsdatabasen som presenterats i betänkandet är så pass bristfällig att den inte kan läggas till grund för lagstiftning. Datainspektionen avstyrker därför förslaget till lag om ändring i socialförsäkringsbalken.

Datainspektionen 2015-02-26 Diarienr 2529-2014 6 (6) 11.3 Bevarande och gallring 13.2.6 Bevarande av kodnycklar I betänkandet anges att skäl saknas för att införa någon särskild gallringsregel för ISF:s egna kodnycklar i den föreslagna registerlagen. Enligt utredningens bedömning bör de regler som i övrigt gäller avseende gallring av de personuppgifter kodnycklarna är hänförliga till gälla även för nycklarna som sådana. Personuppgifter ska enligt förslaget som huvudregel gallras så snart de inte längre behövs för det ändamål de behandlas för. Datainspektionen instämmer i att kodnycklar ska gallras så snart de inte längre behövs för det ändamål de används för. Då kodning av personuppgifter är en av förutsättningarna för att uppnå den integritetsskyddande funktion som föreslås anser Datainspektionen att en särskild gallringsregel för kodnycklar, med innebörd att en nyckel inte får bevaras längre än det finns behov av det, bör införas i registerlagen. Behov av kodnycklar får, mot bakgrund av det uppdrag ISF har, anses saknas när det projekt de använts i är klart och slutredovisat. Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av juristen Ulrika Harnesk. Vid den slutliga handläggningen har även chefsjuristen Hans-Olof Lindblom och enhetschefen Katarina Tullstedt deltagit. Kristina Svahn Starrsjö Ulrika Harnesk

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss