Yttrande 2015-11-17 Dnr 10.1-14199/2015 1(6) Avdelningen för regler och behörighet Jenny Gaudio jenny.gaudio@socialstyrelsen.se Regeringskansliet Justitiedepartementet 103 33 Stockholm Socialstyrelsens yttrande över betänkandet Myndighetsdatalag (SOU 2015:39) Justitiedepartementets diarienummer: JU2015/3364/L6 Sammanfattning Socialstyrelsen delar utredningens uppfattning om att det finns ett angeläget behov av förändringar i den reglering som rör personuppgiftsbehandling inom den offentliga sektorn. Socialstyrelsen tillstyrker därför i huvudsak utredningens förslag till en myndighetsdatalag. Myndigheten anser dock att det är svårt att fullt ut bedöma vilka effekter och konsekvenser förslaget får. Svårigheterna består dels av att förslag till anslutande förordning och de särregler som är tänkta att tas in i bilagor till myndighetsdatalagen saknas, dels av att mycket är ovisst kring den kommande EU-förordningen, både vad gäller dess innehåll och dess ikraftträdande. Socialstyrelsen lämnar nedan synpunkter och förslag bland annat vad gäller lagens tillämpningsområde och på bestämmelser i lagen om direkt marknadsföring i myndighets verksamhet respektive direktåtkomst till handlingar. Myndigheten ser också behov av vissa preciseringar och förtydliganden i förarbetena till lagen. Socialstyrelsen anser även att om syftet med myndighetsdatalagen ska kunna uppnås bör ikraftträdandet samordnas med de nödvändiga förändringar som planeras av registerförfattningarna. Särskilt om vissa förslag 8 Allmänna bestämmelser 8.2.2 Vilka verksamheter bör omfattas av lagens tillämpningsområde? Socialstyrelsen tillstyrker utredningens förslag om att vissa verksamheter bör undantas från lagens tillämpningsområde och anser dessutom att även hälso- och sjukvården bör undantas från tillämpningsområdet. SOCIALSTYRELSEN 106 30 Stockholm Telefon 075-247 30 00 Fax 075-247 32 52 socialstyrelsen@socialstyrelsen.se www.socialstyrelsen.se
SOCIALSTYRELSEN 2015-11-17 Dnr 10.1-14199/2015 2(6) Hälso- och sjukvårdens behandling av personuppgifter regleras i dag av patientdatalagen (2008:355), PdL, som reglerar såväl offentligt som enskilt bedriven hälso- och sjukvård. Socialstyrelsen anser att det saknas saklig grund för att olika bestämmelser om personuppgiftsbehandling skulle vara tillämpliga inom hälso- och sjukvården beroende på om vården bedrivs offentligt eller privat. Enligt förslaget ska myndighetsdatalagen inte tillämpas på den verksamhet som bedrivs i syfte att verkställa straffrättsliga påföljder. Om hälso- och sjukvården inte ska undantas generellt från myndighetsdatalagens tillämpningsområde bör det i förarbetena tydliggöras om verkställighet av rättspsykiatrisk vård är att betrakta som verkställighet av en straffrättslig påföljd i myndighetsdatalagens mening eller inte. Socialstyrelsen anser att den rättspsykiatriska vården bör ha samma regler för behandling av personuppgifter som hälso- och sjukvården i övrigt. 8.3.2. Vissa bestämmelser i personuppgiftslagen som inte bör gälla enligt den nya lagen Bestämmelsen i 11 personuppgiftslagen (1998:204), PuL, förbjuder behandling av personuppgifter för ändamål som rör direkt marknadsföring i de fall den registrerade har anmält att han eller hon motsätter sig en sådan behandling. Socialstyrelsen instämmer med utredningen om att det inte i någon större utsträckning bör vara nödvändigt för en myndighets verksamhet att behandla personuppgifter för marknadsföringsändamål. Gränsen mellan vad som är information och vad som är marknadsföring kan dock vara svår att dra. Det skulle t.ex. kunna uppstå tillfällen då myndigheter eller andra på myndighetens uppdrag använder sig av myndighetens register för att skicka ut erbjudande om t.ex. kurser och seminarier. I en sådan situation bör den registrerade ges en möjlighet till att motsätta sig utskick som kan uppfattas som marknadsföring. Socialstyrelsen anser därför att det bör övervägas att införa en hänvisning till 11 PuL i myndighetsdatalagen. 9 Tillåten behandling En allma n och helta ckande ra ttslig grund fo r myndigheternas behandling av personuppgifter Socialstyrelsen tillstyrker förslaget om när behandling ska vara tillåten. Socialstyrelsens bedömning är att 8 förslaget till myndighetsdatalag i sakligt hänseende motsvarar de rättsliga grunderna för behandling enligt 10 a-f PuL samt artikel 7 i Europaparlamentets och Rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Socialstyrelsen anser i likhet med utredningen att det inte finns någon anledning för en myndighet att utföra behandling av personuppgifter som ligger utanför myndighetens verksamhetsområde och att det därför inte finns något behov av att möjliggöra en behandling av personuppgifter hos myndigheter enbart på den grunden att den enskilde har samtyckt till behandlingen.
SOCIALSTYRELSEN 2015-11-17 Dnr 10.1-14199/2015 3(6) 9.3.3 Personnummer och samordningsnummer Socialstyrelsen anser att det behöver förtydligas i förarbetena vilka situationer som omfattas av regleringen i 11, t.ex. om uppgift om legitimation för hälsooch sjukvårdspersonal kan anses utgöra motsvarande personliga förhållanden. 10 Personuppgiftsansvar och säkerhet 10.1.4 En myndighet ska vara personuppgiftsansvarig för den behandling som myndigheten utför Socialstyrelsen tillstyrker utredningens förslag om att en myndighet ska ha personuppgiftsansvar för den behandling som myndigheten utför genom direktåtkomst. Socialstyrelsen anser dock att det bör förtydligas i den fortsatta beredningen att ett personuppgiftsansvar vid direktåtkomst inte följer av att en myndighet behandlar personuppgifter enbart genom att läsa dessa på en öppen webbplats. Socialstyrelsen tillstyrker utredningens förslag om att aktörerna på förhand bör fatta en överenskommelse om hur skyddet för personuppgifterna ska säkerställas. Socialstyrelsen anser i likhet med utredningen att det är särskilt viktigt att aktörerna vid direktåtkomst redan på förhand tillsammans utreder och klargör hur en heltäckande efterlevnad av samtliga dataskyddsbestämmelser ska garanteras så att det inte uppstår situationer där de olika skyldigheterna inte följs åt av aktörerna. Socialstyrelsen anser att ett författningsreglerat krav på en risk- och sårbarhetsanalys hos myndighet som medger direktåtkomst samt ett krav på att myndigheten fattar en överenskommelse med mottagande myndighet förtydligar hur skyddet för personuppgifterna ska säkerställas. Detta bör bidra till en säkrare hantering och ett starkare skydd för de personuppgifter som behandlas. 10.2.5 Allma nna krav pa sa kerhetsa tga rder m.m. Socialstyrelsen tillstyrker förslaget om säkerhet vid behandlingen och anser att de förtydliganden angående säkerhetsåtgärder och säkerhetsarbete som görs i förslaget är bra. Socialstyrelsen anser dock att det av bestämmelsen även bör framgå att ett säkerhetsarbete ska genomföras systematiskt enligt förutbestämda principer. 11 Att lämna ut personuppgifter i elektronisk form 11.1.1 Definition av begreppet direkta tkomst Socialstyrelsen instämmer i utredningens bedömning om att begreppet direktåtkomst även fortsättningsvis bör kopplas till bestämmelserna i 2 kap. 3 tryckfrihetsförordningen, TF. Socialstyrelsen anser dock att definitionen också bör föras in i myndighetsdatalagen.
SOCIALSTYRELSEN 2015-11-17 Dnr 10.1-14199/2015 4(6) 11.2.4 Behövs en särskild bestämmelse som begränsar utlämnanden i elektronisk form? Socialstyrelsen tillstyrker förslaget om annat utlämnande i elektronisk form, men efterlyser fler exempel i förarbetena på när ett utlämnande i elektronisk form kan anses olämpligt med hänsyn till skyddet för personuppgiften. 15 Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet 15.4.3 En särskild bestämmelse om skyldighet att rätta felaktiga eller ofullständiga personuppgifter Socialstyrelsen tillstyrker förslagen om korrigering av felaktiga personuppgifter eller annars otillåten behandling. Socialstyrelsen anser dock att det av 25 förslaget till myndighetsdatalag även bör framgå av vilken anledning uppgifterna avskiljs, dvs. i enlighet med den hantering som i dag gäller vid blockering. 16 Anmälan till tillsynsmyndigheten m.m. 16.4.1 Anmälningsskyldighet m.m. Socialstyrelsen tillstyrker förslaget om att myndigheternas behandling av personuppgifter inte ska omfattas av anmälningsskyldigheten till tillsynsmyndigheten utan att myndigheterna i stället ska föra en förteckning över de behandlingar som myndigheten utför. Socialstyrelsen förutsätter dock att ett undantag från kravet på att föra förteckning för personuppgifter som förekommer i ostrukturerat material införs i den anslutande förordningen. 20 Ikraftträdande och övergångsbestämmelser 20.1 Myndighetsdatalagen Socialstyrelsen anser att en myndighetsdatalag bör träda i kraft i anslutning till de förändringar som planeras av registerförfattningarna och regeringens kommande förordning i anslutning till lagen. Myndigheten ser i annat fall risk för dels tolkningssvårigheter beträffande tillämpningen av de förevarande registerförfattningarna i förhållande till myndighetsdatalagen, dels att syftet att åstadkomma en generell, enhetlig och samlad reglering inte uppnås förrän i ett längre perspektiv. Socialstyrelsen anser att det är svårt att för närvarande fullt ut bedöma vilka effekter och konsekvenser som förslaget till myndighetsdatalag får för myndigheter då mycket är ovisst kring den kommande EU-förordningen, både vad gäller dess innehåll och dess ikraftträdande.
SOCIALSTYRELSEN 2015-11-17 Dnr 10.1-14199/2015 5(6) Synpunkter på författningsförslaget 6 Enligt 6 förslaget till myndighetsdatalag ska 19 PuL tillämpas på motsvarande sätt när personuppgifter behandlas enligt myndighetsdatalagen. Bestämmelsen i 19 PuL hänvisar till 10 PuL, som anger när behandling av personuppgifter är tillåten. I förslaget till myndighetsdatalagen regleras dock när behandling av personuppgifter är tillåten i 8. Eftersom 10 PuL och 8 myndighetsdatalagen materiellt skiljer sig från varandra bör det tydligt framgå vilken bestämmelse som 19 PuL hänvisar till i dessa fall. 13 Enligt 13 andra stycket 2 förslaget till myndighetsdatalag gäller inte första stycket direktåtkomst som medges till personuppgifter som är sekretessreglerade enligt 21 kap. 7 offentlighets- och sekretesslagen (2009:400), OSL. En invändning mot den föreslagna lydelsen är att alla personuppgifter är sekretessreglerade enligt 21 kap. 7 OSL, också de personuppgifter som är sekretessreglerade enligt andra bestämmelser i OSL. En bättre formulering för att undvika missförstånd och åstadkomma vad utredningen eftersträvar vore att begränsa undantaget i 13 andra stycket 2 förslaget till personuppgifter som endast är sekretessreglerade enligt 21 kap. 7 OSL. 25 Utformningen av 25 förslaget till myndighetsdatalag bör ses över och tydliggöras eftersom det finns risk för att nuvarande formulering kan ge uppfattningen att en avskild personuppgift vare sig får lämnas ut eller utplånas. Förslag till alternativ lydelse av 25 första stycket: En personuppgift som inte får behandlas enligt denna lag ska på begäran av den registrerade som uppgiften rör avskiljas från fortsatt behandling eller utplånas. En uppgift som har avskilts från fortsatt behandling får inte lämnas ut till en enskild annat än med stöd av 2 kap. tryckfrihetsförordningen. Övriga synpunkter Det bör förtydligas att 21 kap. 7 OSL som anger att sekretess gäller för en personuppgift om det kan antas att ett utlämnande skulle medföra att uppgiften behandlades i strid med PuL även ska tillämpas då det kan antas att ett utlämnande skulle medföra att uppgiften behandlads i strid med myndighetsdatalagen. Beslut i detta ärende har fattats av generaldirektören Olivia Wigzell. I den slutliga handläggningen har ställföreträdande generaldirektören Taina Bäck-
SOCIALSTYRELSEN 2015-11-17 Dnr 10.1-14199/2015 6(6) ström, chefsjuristen Lars Hobert, avdelningschefen Erik Höglund och enhetschefen Georg Lagerberg deltagit. Juristen Jenny Gaudio har varit föredragande. SOCIALSTYRELSEN Olivia Wigzell Jenny Gaudio