SOU 2017:39 Ny dataskyddslag

Relevanta dokument
Datainspektionen lämnar följande synpunkter.

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39)

Yttrande över betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Stockholm den 7 september 2017 R-2017/0906. Till Justitiedepartementet. Ju2017/04264/L6

Utdrag ur protokoll vid sammanträde

Myndighetsdatalag (SOU 2015:39)

Stockholm den 14 september 2017

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Remiss från Justitiedepartementet - Ny dataskyddslag (SOU 2017:39)

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

EU:s dataskyddsförordning, dataskyddslagen och myndigheters arkiv

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

Svensk författningssamling

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Betänkandet låt fler forma framtiden! (SOU 2016:5)

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Remittering av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning

Stockholm den 12 december 2018 R-2018/1679. Till Försvarsdepartementet. Fö2018/00999/RS

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Stockholm den 21 november 2017

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Stockholm den 9 november 2017 R-2017/1875. Till Utrikesdepartementet UD2017/15958/HI

Svar på remiss, Så stärker vi den personliga integriteten, (SOU 2017:52)

Så stärker vi den personliga integriteten SOU 2017:52

Ett eller flera dataskyddsombud?

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Eskil Nord och Lena Moore samt justitierådet Dag Mattsson

EU:s dataskyddsförordning

Stockholm den 25 november 2015 R-2015/2121. Till Justitiedepartementet. Ju2015/08545/L4

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Utdrag ur protokoll vid sammanträde

Regionala etikprövningsnämnden i Uppsala

Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Postadress Besöksadress Telefon Telefax Box Birger Jarls Torg Stockholm

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Hur står det till med den personliga integriteten? (SOU 2016:41)

Snabbare lagföring (Ds 2018:9)

Sveriges advokatsamfund har genom remiss den 11 april 2017 beretts tillfälle att avge yttrande över betänkandet Brottsdatalag (SOU 2017:29).

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

Utdrag ur protokoll vid sammanträde Vägen till mer effektiva energideklarationer

Ds 2016:44 Nationell läkemedelslista

Beslut om förteckning enligt artikel 35.4 i EU:s allmänna dataskyddsförordning 2016/679

Remissvar Registersforskningsutredningen {SOU 2014:45)

Stockholm den 28 april 2015

Dataskyddsförordningen för prefekter och administrativa chefer

Utdrag ur protokoll vid sammanträde Leveransplikt för elektroniskt material

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Anders Eka

Remissvar avseende Ny dataskyddslag (SOU 2017:39)

Utkast till lagrådsremissen Vägtrafikdatalag

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Utdrag ur protokoll vid sammanträde Stärkt stöd och skydd för barn och unga

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Ökad insyn i välfärden, SOU 2016:62

Remissyttrande över promemorian Sekretess i det internationella samarbetet (Ds 2012:34) Dnr Ju2012/5900/L6

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Betänkandet Allmänna handlingar i elektronisk form offentlighet och integritet (SOU 2010:4)

Utdrag ur protokoll vid sammanträde Frihet och inflytande kårobligatoriets avskaffande

Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Betänkandet EU:s dataskyddsförordning och utbildningsområdet (SOU 2017:49)

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Finansdepartementet. EU:s dataskyddsförordning: Anpassade regler om personuppgiftsbehandling inom skatt, tull och exekution

Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)

Kyrkostyrelsens cirkulär nr 18/

En kommunallag för framtiden (SOU 2015:24)

Borgarrådsberedningen föreslår att kommunstyrelsen beslutar följande. Remissen besvaras med hänvisning till vad som sägs i promemorian.


Vården och reglerna om dataskydd

Yttrande i Förvaltningsrätten i Stockholms mål

Förslag om dataskyddsbestämmelser som komplettering till propositionen Ny ordning för att främja god sed och hantera oredlighet i forskning

Datum Vår referens Sida Dnr: (10)

En anpassning till dataskyddsförordningen kreditupplysningslagen och några andra författningar

Vissa frågor om sekretess med anledning av EU:s dataskyddsreform

Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Susanne Billum och Dag Victor samt justitierådet Annika Brickman.

Allmänna handlingar i elektronisk form

Skyldigheten att lämna registerutdrag blir mindre betungande

Yttrande över betänkandet En ny kamerabevakningslag

PUL OCH DATASKYDDSFÖRORDNINGEN

Kommittédirektiv. Personuppgiftsbehandling inom den arbetsmarknadspolitiska verksamheten och i tillsynsverksamheten över denna. Dir.

6 Yttrande över betänkandet Totalförsvarsdatalag Rekryteringsmyndighete ns personuppgiftsbehandlin g (SOU 2017:97) LS

Yttrande över delbetänkandet För dig och för alla (SOU 2017:40)

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

2 kap. 3 och 5 kap. 4 patientdatalagen (2008:355) Högsta förvaltningsdomstolen meddelade den 4 december 2017 följande dom (mål nr ).

Utdrag ur protokoll vid sammanträde Brottsdatalag - kompletterande lagstiftning

av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk

Remissyttrande över promemorian En omarbetad domstolsdatalag Anpassning till EU:s dataskyddsförordning

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Utdrag ur protokoll vid sammanträde

Transkript:

Remissyttrande 1 (9) Justitiedepartementet 103 33 Stockholm SOU 2017:39 Ny dataskyddslag Inledning och sammanfattning Pensionsmyndigheten ställer sig i stort sett positiv till de förslag som lämnas. I och med att dataskyddsförordningen börjar tillämpas utgör den det primära regelverket avseende behandling av personuppgifter. Förordningen skapar goda förutsättningar för en enhetlighet i rättstillämpningen som Pensionsmyndigheten bedömer kommer att kunna vara gynnsam för myndigheternas arbete med digitalisering och framtagandet av gemensamma e-tjänster. Det mycket stora antal registerförfattningar som reglerar myndigheternas verksamheter medför redan i dagsläget beaktansvärda svårigheter för myndigheterna att hänga med i den explosionsartade tekniska utvecklingen, inte minst när det gäller utvecklingen av en effektiv och samverkande e-förvaltning i medborgarnas tjänst. De tillämpningssvårigheter som det fragmenterade regelverket medför kan inte förväntas minska i och med att förordningen börjar tillämpas, snarast tvärtom. Pensionsmyndigheten anser att behovet av att göra en sammanhållen och enhetlig översyn av registerförfattningarna kvarstår och blir större i och med förordningen. Pensionsmyndigheten anser således att det är olyckligt att utredningen inte haft i uppdrag att ta fram en enhetlig reglering för åtminstone all offentlig verksamhet. Pensionsmyndigheten instämmer i utredningens bedömning att vid behandling för att utföra en uppgift av allmänt intresse är det grunden för behandlingen som ska regleras i nationell rätt, vilket enligt Pensionsmyndighetens uppfattning innebär att verksamhet som bedrivs i allmänt intresse ska vara reglerad och att den personuppgiftsansvarige på ett eller annat sätt omfattas av regleringen. Enligt Pensionsmyndigheten krävs redan i dagsläget till följd av legalitetsprincipen att myndigheternas verksamhet kan härledas till en författning. Pensionsmyndigheten anser därför att det endast undantagsvis kan föreligga ett behov av att besluta nya föreskrifter för att myndigheter ska kunna behandla personuppgifter med stöd av grunden uppgift av allmänt intresse. Pensionsmyndigheten avstyrker utredningens förslag att vid erbjudande av informationssamhällets tjänster ska behandling av personuppgifter som rör ett barn med stöd av samtycke vara tillåten om barnet är minst 13 år. Pensionsmyndigheten delar inte den bedömning av vilken risk sådan behandling innebär för barns personliga integritet som utredningen gör. Enligt Pensionsmyndighetens uppfattning har utredningen inte fört fram några hållbara argument för att försämra det skydd för barn www.pensionsmyndigheten.se Pensionsmyndigheten Telefon Fax E-post Org.nr Box 38190 100 64 Stockholm 0771-771 771 08-658 13 00 registrator@pensionsmyndigheten.se 202100-6255

2 (9) som en högre åldersgräns innebär. Det saknas därför tillräckligt underlag för den av utredningen föreslagna lagstiftningsåtgärden. När det gäller de undantag som föreslås i förhållande till förbudet att behandla känsliga personuppgifter anser Pensionsmyndigheten att det inte är självklart att det krävs särskilda nationella bestämmelser, i dataskyddslagen eller andra författningar, i förhållande till flera av de undantag som anges i artikel 9. Enligt Pensionsmyndigheten bör frågan om det krävs särskilt författningsstöd för behandling av känsliga personuppgifter som är nödvändig av hänsyn till ett viktigt allmänt intresse särskilt övervägas i den fortsatta beredningen av förslaget. Om det inte enligt förordningen krävs författningsstöd anser Pensionsmyndigheten att det finns skäl som talar mot den dubbelreglering som utredningen och ett flertal andra utredningar föreslagit. Pensionsmyndigheten ställer sig principiellt tveksam till inskränkningar av de rättigheter som gäller enligt förordningen, eftersom sådana inskränkningar riskerar att urholka det skydd för integriteten som förordningen är avsedd att ge. Pensionsmyndigheten anser att de ändringar som föreslås i offentlighets- och sekretesslagen är otillräckliga, särskilt avseende sekretess för dataskyddsombud. Pensionsmyndigheten avstyrker avslutningsvis vissa av förslagen till övergångsbestämmelser eftersom förordningen inte lämnar något utrymme för sådana så som de föreslagits och de föreslagna bestämmelserna därför riskerar att bli vilseledande för tillämparen. 8 Rättslig grund för behandling av personuppgifter Pensionsmyndigheten ställer sig huvudsakligen positiv till de förslag om reglering av rättslig grund som utredningen lämnar. Myndigheten instämmer i utredningens tolkning att förordningen inte ställer krav på medlemsstaterna att reglera varje behandling av personuppgifter som sker för någon av de i artikel 6.1 c och e angivna grunderna, utan att det är grunden för behandlingen som ska regleras i nationell rätt. Pensionsmyndigheten välkomnar utredningens klargörande resonemang kring förhållandet mellan artiklarna 5 och 6 i förordningen. 8.3.4 Behandling för att utföra uppgifter av allmänt intresse Pensionsmyndigheten ställer sig positiv till den föreslagna regleringen avseende behandling av uppgifter som är nödvändig för att utföra en uppgift av allmänt intresse. Redan i dagsläget gäller att myndigheters behandling av personuppgifter ska vara förankrad i det uppdrag de getts av regering och riksdag, som en följd av legalitetsprincipen. Genom den föreslagna regleringen, sammantagen med de principer som gäller enligt artikel 5 i förordningen, förtydligas detta förhållande. Pensionsmyndigheten instämmer inte i utredningens uppfattning såsom den kommer till uttryck på sidan 123 att myndigheters utrymme att behandla personuppgifter med stöd av den registrerades samtycke kan antas minska med anledning av förordningen. Pensionsmyndighetens uppfattning är att myndigheters möjlighet att inhämta ett rättsligt giltigt samtycke redan i dagsläget är synnerligen begränsad inom ramen för den verksamhet som myndigheterna enligt lag eller annan författning är ålagda att utföra.

3 (9) Det kan dock inte uteslutas att myndigheter i vissa fall tillhandahåller service som går utöver deras uppdrag och serviceskyldighet enligt förvaltningslagen, och att behandlingen av personuppgifter i dessa situationer behöver ske med stöd av samtycke. I den mån detta är tillåtet enligt gällande rätt, med beaktande av den i dagsläget begränsade möjlighet som gäller för myndigheter att behandla personuppgifter med stöd av samtycke, anser Pensionsmyndigheten att samma utrymme finns när förordningen tillämpas. 9 Barns samtycke som rättslig grund Pensionsmyndigheten delar inte, utifrån ett integritetsperspektiv och mot bakgrund av det starka skyddsvärde som barns personuppgifter har, utredningens bedömning avseende vilken åldersgräns som bör gälla för barns samtycke vid erbjudande av informationssamhällets tjänster. Enligt Pensionsmyndighetens uppfattning har utredningen inte fört fram några hållbara argument för att försämra det skydd för barn som en högre åldersgräns innebär. Det saknas därför tillräckligt underlag för den av utredningen föreslagna lagstiftningsåtgärden. Pensionsmyndigheten avstyrker därför utredningens förslag och förordar att något avsteg från den åldersgräns som gäller enligt förordningen vid erbjudande av informationssamhällets tjänster direkt till barn inte görs. 10 Känsliga personuppgifter Pensionsmyndigheten anser att det inte är helt självklart att det alltid krävs särskild nationell lagstiftning i förhållande till flera av de undantag som anges i artikel 9. 10.3 Vad betyder kravet på stöd i nationell rätt? Pensionsmyndigheten anser inte att det är självklart att förordningen ska tolkas så att det finns ett behov av att i dataskyddslagen eller i annan nationell lagstiftning ta in bestämmelser om undantag från förbudet att behandla känsliga personuppgifter. Enligt Pensionsmyndigheten bör denna fråga analyseras närmare i den fortsatta beredningen. Vid denna analys anser Pensionsmyndigheten att bl.a. följande bör beaktas. För det första regleras behandling av personuppgifter efter den 25 maj 2018 av en förordning, vilket i sig talar emot att nationella regler antas i andra fall än när förordningens bestämmelser inte är direkt tillämpliga (såsom i förhållande till vissa av grunderna i artikel 6). För det andra finns det ingenting i artikel 9 som talar för tolkningen att särskilt lagstöd krävs. Tvärtom ger uttrycket på grundval av snarare intrycket av att sådana generellt tillämpliga nationella regler som föreslås i dataskyddslagen är överflödiga och att det snarare är verksamheten i sig som ska vara reglerad. En bedömning får då istället göras av om den reglering som gäller för verksamheten ifråga ger stöd för att känsliga personuppgifter behandlas och om de skyddsåtgärder som gäller inom verksamheten är tillräckliga för att uppfylla förordningens krav. För det tredje kan nationell reglering, när den inte är strikt föranledd av förordningens bestämmelser, riskera att flytta fokus från förordningen som principiellt regleringsinstrument av behandling av personuppgifter. Den konkreta tillämpningssituationen kan till och med bli mer komplex genom sådana nationella regler som nu föreslås, eftersom dessa medför ännu ett regelverk för tillämparen att förhålla sig till. Å andra sidan kan Pensionsmyndigheten också se värdet i nationella

4 (9) regler som är väsentligt mer begripliga för en tillämpare än dataskyddsförordningen. Det finns också som utredningen konstaterar ett behov av tydlig reglering av behandlingen av känsliga personuppgifter. Pensionsmyndigheten konstaterar att utredningen inte tydligt tar ställning till huruvida nationella lagstiftningsåtgärder krävs i förhållande till undantagen i artikel 9.1 b, g och h, och att den osäkerheten är otillfredsställande, inte minst för de myndigheter som saknar registerförfattning. Den tveksamheten kan skapa tillämpningsproblem för de personuppgiftsansvariga som behandlar personuppgifter för ett viktigt allmänt intresse i de fall personuppgiftsbehandling av känsliga uppgifter krävs och som inte omfattas av något av utredningens förslag. Pensionsmyndigheten inser att denna fråga i slutänden kommer att avgöras av rättspraxis men det finns trots det anledning för regeringen och riksdagen att tydligare än utredningen ge sin ståndpunkt till känna i denna fråga. 10.5 Överväganden och förslag I synnerhet när det gäller bestämmelsen i 9.2 b är Pensionsmyndigheten av uppfattningen att det inte finns något i förordningstexten som ger skäl för nationella regler. Pensionsmyndigheten avstyrker därför den föreslagna bestämmelsen. 10.6.2 Överväganden och förslag Pensionsmyndigheten delar utredningens uppfattning att begreppet viktigt allmänt intresse är betydligt snävare än begreppet allmänt intresse i artikel 6. Utifrån ovan redovisade utgångspunkter ställer sig Pensionsmyndigheten i viss mån tveksam till den föreslagna bestämmelsen. Vi anser att det bör analyseras ytterligare om det som krävs är att det är det viktiga allmänna intresset, snarare än behandlingen, som ska regleras i nationell rätt. Utöver dessa principiella tveksamheter om förordningens innebörd vill Pensionsmyndigheten också lämna följande lagtekniska synpunkt. Den föreslagna bestämmelsen i 3 kap. 3 1 synes ta sin utgångspunkt i löpande text som förekommer framför allt i elektroniska versioner av mer traditionella, pappersbaserade handlingar. Bestämmelsen kan därför i sin nuvarande utformning bli svår att tillämpa för myndigheter som har helt automatiserade handläggningsflöden. Om den föreslagna bestämmelsen behålls anser Pensionsmyndigheten att den bör göras teknikneutral genom att i löpande text stryks från 3 kap. 3 1. Pensionsmyndigheten vill också framhålla att den lagtekniska utformningen i punkterna 1 och 2, som innebär att bestämmelserna avgränsats till uppgifter som lämnats i ett ärende eller till myndigheten, gör att det inte är möjligt att tillämpa bestämmelsen när behandling av känsliga personuppgifter sker i myndigheters så kallade egna utrymmen. Detta beror på att uppgifter som finns i egna utrymmen inte anses inkomna till myndigheten i förvaltningsrättslig- eller tryckfrihetsrättslig mening eller tillförda ett ärende (jfr prop. 2016/17:198). Inte desto mindre anses tillhandahållaren av det egna utrymmet normalt vara personuppgiftsansvarig. Med hänsyn till den begränsade möjligheten för myndigheter att tillämpa samtycke inom sin obligatoriska verksamhet behöver bestämmelsen utvidgas till att även avse fall då uppgifterna ännu inte lämnats i ett ärende eller till myndigheten.

5 (9) 10.7.2 Överväganden och förslag När det gäller utredningens förslag till bestämmelse om undantag från förbudet att behandla personuppgifter inom de områden som anges i artikel 9.2.h hänvisar Pensionsmyndigheten till de principiella synpunkter som angetts ovan under avsnitt 10.3 och 10.6.2. När det gäller kravet på tystnadsplikt i artikel 9.3 konstaterar Pensionsmyndigheten att förordningstexten synes ge vid handen att, för att personuppgiftsbiträden ska kunna utföra sådan behandling som är föremål för den aktuella bestämmelsen, krävs att dessa omfattas av författningsreglerad tystnadsplikt. Pensionsmyndigheten vill i detta sammanhang fästa uppmärksamhet vid den framställan som gjorts av Datainspektionen till regeringen 1, och framför på nytt 2 uppfattningen att en lagreglerad tystnadsplikt för privata leverantörer av it-tjänster bör utredas. 13 Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen Pensionsmyndigheten ställer sig principiellt tveksam till inskränkningar av de rättigheter som gäller enligt förordningen eftersom sådana inskränkningar riskerar att urholka det skydd för integriteten som förordningen är avsedd att ge. Sådana inskränkningar ska inte göras generellt utan först efter noggranna överväganden i varje enskilt fall. 13.4 Överväganden och förslag Pensionsmyndigheten ställer sig i och för sig inte främmande för att en inskränkning av rätten till information i form av registerutdrag för uppgifter som omfattas av sekretess i förhållande till den enskilde själv kan vara motiverad för något av de syften som anges i artikel 23.1, men anser att det är viktigt att det är tydligt på vilken grund ett sådant undantag görs. Då förordningen är direkt tillämplig och gäller framför svensk rätt är det viktigt att tillämparen kan göra en bedömning av om svenska undantagsbestämmelser med stöd av artikel 23 uppfyller artikelns krav, eftersom tillämparen alltid i första hand är bunden av förordningen. Av betänkandet framgår vidare inte med stöd av vilken grund i artikel 23.1 som utredningen föreslår den begränsning av rätten enligt artikel 16 som anges i 5 kap. 2 i förslaget till dataskyddslag. Pensionsmyndigheten anser att det bör förtydligas i det fortsatta lagstiftningsarbetet. 14 Arkiv och statistik 14.4 Överväganden och förslag Pensionsmyndigheten instämmer i utredningens bedömning i avsnitt 14.4.1 att innebörden av begreppet arkivändamål av allmänt intresse behöver klargöras i rättstillämpningen. Mot bakgrund av den s.k. ändamålsparagrafen i arkivlagen vore det välkommet om begreppet på sikt inte bara klargjordes i förhållande till begreppet historiska forskningsändamål i förordningen (som utredningen skriver) utan också i förhållande till samtliga de ändamål som specificeras i 3 arkivlagen (1990:782) 1 Datainspektionens skrivelse till regeringen daterad den 7 juli 2017 med rubriken Vissa frågor om sekretess med anledning av EU:s dataskyddsreform, dnr 1704-2017. 2 Pensionsmyndighetens rapport Molntjänster i staten En ny generation av outsourcing, s 76.

6 (9) rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen, samt forskningens behov. De senare ändamålen lär också i fortsättningen bli styrande för vilka personuppgifter som bevaras under längre tid av svenska myndigheter. Vidare delar Pensionsmyndigheten utredningens bedömning i avsnitt 14.4.2 att myndigheter som omfattas av arkivlagstiftningen redan enligt gällande rätt har en rättslig grund för behandling av personuppgifter för arkivändamål av allmänt intresse. I linje med vad som anförts under avsnitt 10 ovan anser Pensionsmyndigheten att det behöver analyseras ytterligare om det är nödvändigt att införa bestämmelser i dataskyddslagen som undantar behandling av känsliga personuppgifter respektive personuppgifter som rör lagöverträdelser om de är nödvändiga för att följa föreskrifter om bevarande och vård av arkiv (3 kap. 6 och 11 lagförslaget). Om sådana bestämmelser beslutas anser myndigheten att detta inte bör ske utan ett förtydligande av det av utredningen använda uttrycket föreskrifter om bevarande och vård av arkiv. Pensionsmyndigheten utgår från att 5 och 6 arkivlagen (och följdföreskrifter till dessa) skulle kunna svara mot räckvidden av begreppet vård av arkiv, men räckvidden av föreskrifter om bevarande är mer oklar. Avses bara sådana föreskrifter som syftar till bevarande av personuppgifter för arkivändamål av allmänt intresse eller skulle allt bevarande som sker med hänvisning till ändamålen i 3 arkivlagen inkluderas t.ex. för forskningens behov enligt 3 tredje stycket 3 arkivlagen? Med hänsyn till att såväl den nationella ändamålsparagrafen i arkivlagen som förordningens artikel 9.2 j inkluderar skrivningar om forskningsändamål befarar vi att omfattningen av en eventuell undantagsbestämmelse som enbart refererar till arkivändamål av allmänt intresse blir oklar. 17 Sekretess Pensionsmyndigheten anser att de ändringar som föreslås i offentlighets- och sekretesslagen är otillräckliga, särskilt avseende sekretess för dataskyddsombud. 17.3.3 Överväganden Pensionsmyndigheten konstaterar att utredningens slutsats om att det inte krävs några förändringar i den sekretess som gäller hos Datainspektionen inte är helt given. Pensionsmyndigheten noterar att Datainspektionen för egen del bedömt att det behövs nya regler om sekretess hos tillsynsmyndigheten för att säkerställa en tillräcklig skyddsnivå för uppgifter som lämnas om personuppgiftsincidenter och i ärenden om förhandssamråd. Pensionsmyndigheten är i och för sig av uppfattningen att det enligt gällande rätt finns goda möjligheter att skydda känslig information men anser att det är av vikt att frågan ägnas uppmärksamhet och analys under det fortsatta beredningsarbetet. 17.4.3 Överväganden och förslag När det gäller sekretess för dataskyddsombud anser Pensionsmyndigheten att utredningens förslag inte är tillräckliga för att uppfylla förordningens krav på tystnadsplikt för dataskyddsombud inom offentlig verksamhet. Sekretess gäller av varierande styrka inom olika verksamheter och hos olika myndigheter. I betänkandet förs dock inte några resonemang kring om skyldigheten att se till att dataskyddsombudet är bundet av sekretess varierar beroende på inom vilken

7 (9) verksamhet han eller hon fullgör sina uppgifter. Enligt Pensionsmyndighetens mening kan ett sådant resonemang ta två principiella utgångspunkter. Enligt den första utgångspunkten ska sekretessintresset bedömas utifrån myndighetens kärnverksamhet. Enligt den andra utgångspunkten ska bedömningen utgå från den verksamhet som bedrivs av dataskyddsombudet. Enligt Pensionsmyndighetens uppfattning talar principiella skäl för att det är det senare synsättet som ska tillämpas och som innebär att samma skyddsintresse gäller inom alla verksamheter. En sådan ordning framstår som enklare lagstiftningstekniskt och mer förutsebart för dem som sekretessen ska skydda. Det förefaller också mer förenligt med den strävan efter harmonisering som utgjort ett motiv för förordningen. I förhållande till den egna verksamheten bedömer Pensionsmyndigheten att den sekretess som gäller inte är tillräcklig för att uppfylla förordningens bestämmelse, bl.a. med hänsyn till hur sekretessen har avgränsats (se t.ex. 28 kap. 5 offentlighets- och sekretesslagen). Sekretessen enligt den bestämmelsen har avgränsats till att gälla i visst slags ärende. En sådan konstruktion av sekretessbestämmelsen är relativt vanlig i offentlighets- och sekretesslagen. Det medför att Pensionsmyndigheten anser att det är mycket tveksamt om sekretess i sådana fall över huvud taget kommer att gälla för uppgifter som hanteras när dataskyddsombudet fullgör sina uppgifter enligt förordningen eftersom detta normalt inte kan anses ske inom ramen för ett ärende i myndighetens kärnverksamhet. Även detta talar enligt Pensionsmyndighetens uppfattning för att det bör införas en särskild primär sekretessbestämmelse som kan tillämpas av funktionärer vid myndigheterna när de fullgör sina uppgifter som dataskyddsombud. Pensionsmyndigheten anser att utredningen vid bedömningen av behovet av sekretessregler inte tillräckligt beaktat att dataskyddsombudet enligt förordningen ska ges tillräcklig insyn i verksamheten, vilket innebär att ombudet sannolikt kommer att ta del av en stor mängd känslig information. Enligt Pensionsmyndighetens uppfattning är det önskvärt att dataskyddsombudet arbetar proaktivt och nära verksamheten. Härigenom är det inte osannolikt att dataskyddsombudet får tillgång till en stor mängd information där de enskilda informationsdelarna kan ha lågt skyddsvärde men där all information sammantagen kan ha ett högt skyddsvärde. Sammanfattningsvis anser Pensionsmyndigheten av de skäl som anförts i det föregående att primära sekretessbestämmelser till skydd för såväl allmänna som enskilda intressen motsvarande den tystnadsplikt som kommer att gälla för dataskyddsombud inom privat verksamhet ska införas. Sådana bestämmelser skulle dessutom skapa enkelhet och förutsebarhet i tillämpningen. Om det inte sker anser Pensionsmyndigheten att det är av största vikt att det i det fortsatta lagstiftningsarbetet tydligt redogörs för de bedömningar som görs i fråga om att befintlig sekretess är tillräcklig för att skydda känsliga uppgifter. 17.7.2 Överväganden och förslag Pensionsmyndigheten noterar att regeringen beslutat en proposition (prop. 2016/17:198) som medför att den i betänkandet föreslagna ändringen i 40 kap. 5 offentlighets- och sekretesslagen inte är aktuell att genomföra. För det fallet att regeringen ändå överväger att genomföra ändringen som föreslås i betänkandet anser

8 (9) Pensionsmyndigheten att den i prop. 2016/17:198 föreslagna ändringen i offentlighetsoch sekretesslagen är mer ändamålsenlig. 18 Sanktioner 18.5.3 och 18.6.4 Överväganden och förslag Pensionsmyndigheten tillstyrker utredningens förslag, av de skäl som finns angivna i betänkandet. 19 Processuella frågor 19.3.3 Överväganden och förslag Pensionsmyndigheten ställer sig positiv till att myndigheters beslut avseende registrerades rättigheter ska kunna överklagas till allmän förvaltningsdomstol. Pensionsmyndigheten ifrågasätter dock att rätten till dataportabilitet enligt artikel 20 inte omfattas av uppräkningen av beslut som ska kunna överklagas på sidan 303 i betänkandet. Det finns i betänkandet inte någon motivering till att rätten att överklaga inte omfattar beslut om dataportabilitet. En tänkbar anledning till att beslut om dataportabilitet inte omfattas av överklaganderätten är att utredningen har utgått från att personuppgifter inte kommer att behandlas av myndigheter med stöd av samtycke. Pensionsmyndigheten anser att samtycke inte behöver ligga till grund för behandling av personuppgifter när behandlingen sker inom ramen för myndigheters ordinarie åligganden. Det kan dock inte uteslutas att kommunala och statliga myndigheter kommer att behandla personuppgifter med stöd av samtycke när det sker inom ramen för verksamhet som inte är hänförlig till utförande av en uppgift av allmänt intresse. I dessa fall anser Pensionsmyndigheten att det bör framgå av dataskyddslagen att även beslut om dataportabilitet får överklagas. 20 Ikraftträdande och övergångsbestämmelser 20.3 Överväganden och förslag Pensionsmyndigheten avstyrker den förslagna övergångsbestämmelsen som föreskriver att personuppgiftslagen fortfarande ska gälla i den utsträckning som det i en annan lag eller förordning finns bestämmelser som innehåller hänvisningar till den, av följande skäl. I och med att dataskyddsförordningen börjar tillämpas den 25 maj 2018 blir den det primära regelverket avseende behandling av personuppgifter. Nationella regler om behandling av personuppgifter är då endast giltiga i den utsträckning som förordningen lämnar utrymme för nationella bestämmelser. Någon analys av risken för normkonflikter om personuppgiftslagen fortsätter att gälla har inte gjorts av utredningen och Pensionsmyndigheten avstyrker därför den föreslagna bestämmelsen. Ett bättre alternativ vore enligt Pensionsmyndighetens mening att införa en bestämmelse som anger att personuppgiftslagen ska tillämpas så länge dess bestämmelser inte står i strid med förordningen. 21 Konsekvenser Pensionsmyndigheten instämmer i utredningens bedömning att dataskyddsförordningens direkt tillämpliga bestämmelser och tillhörande nationella

9 (9) regler kan förväntas öka kostnaderna för personuppgiftsansvariga myndigheter. Pensionsmyndigheten anser att det är rimligt med ökade kostnader eftersom förordningen leder till ökad rättssäkerhet och förutsebarhet för enskilda. De ökade kostnaderna måste dock beaktas när riksdagen och regeringen beslutar om budget och medel för myndigheterna. I annat fall kommer tillämpningen av förordningen och de nationella bestämmelser som införs till följd av förordningen att konkurrera ut annan verksamhet. Detta yttrande har beslutats av generaldirektör Katrin Westling Palm efter föredragning av jurist Eva Maria Broberg. I den slutliga handläggningen har även chefsjurist Mikael Westberg och arkivansvarig Andreas Ljung deltagit. Katrin Westling Palm Eva Maria Broberg

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss