Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras



Relevanta dokument
Mötesanteckningar, Integritetsforum 13 november 2013, kl på PTS

Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Saken. PTS underrättelse

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Socialstyrelsens yttrande över betänkandet Myndighetsdatalag (SOU 2015:39)

Yttrande över betänkande Toppdomän för Sverige (SOU 2003:59)

PTS remissvar på betänkandet om E-legitimationsnämnd och e-legitimationer i Sverige

Efterlevnad av tillstånd avseende användning av nummer i 118-serien för nummerupplysningstjänster

Konsekvensutredning avseende föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter

Post- och telestyrelsen (PTS) har med utgångspunkt från myndighetens verksamhetsområde följande synpunkter.

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

Säkerhetsbrister i kundplacerad utrustning

Yttrande över slutbetänkandet Myndighetsdatalagen (SOU 2015:39)

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

Kansliets svar begränsas i huvudsak till frågor som ligger inom E-delegationens verksamhetsområde.

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Kommissionens förslag till dataskyddsförordning (KOM [2012] 11 slutlig)

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

REMISSYTTRANDE 1(7) AdmD Justitiedepartementet Stockholm

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Postutdelning i Lidsjöbergsområdet, Strömsunds kommun

Yttrande över Departementspromemorian Domstolsdatalag (DS 2013:10)

-CXf Wl \ct(fUl_

Betänkandet SOU 2015:39 Myndighetsdatalag (Dnr Ju2015/3364/L6)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn över dokumentation av informationsbehandlingstillgångar

Kommittédirektiv. Dir. 2006:69. Beslut vid regeringssammanträde den 8 juni 2006

Ändring av lagen om flygplatsavgifter. Lagrådsremissens huvudsakliga innehåll

Kommittédirektiv Dir. 2016:22 Sammanfattning PNR-direktivet

Anmälan om fördragsbrott av Sverige

Beslut om ändring av telefoninummerplanen

Återkallelse av såld utrustning samt ersättning för kostnader för provning av radioutrustning m.m.

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor

Minnesanteckningar Driftsäkerhetsforum Tid: 26 november Plats: PTS lokaler på Valhallavägen 117 i Stockholm

RÅDETS DIREKTIV 2001/115/EG

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Finansdepartementet. Avdelningen för offentlig förvaltning. Ändring i lagen om lägenhetsregister

Postadress Telefonväxel E-post: Stockholm

Konsekvensutredning H 15

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Kommissionens förslag till dataskyddsförordning (KOM (2012) 11 slutlig)

Nya regler för revisorer och revision SOU 2015:49

Yttrande över departementspromemorian Domstolsdatalag (Ds 2013:10)

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Europaparlamentets och Rådets förordning om åtgärder för att minska kostnaderna för utbyggnad av höghastighetsnät för elektronisk kommunikation

Betänkandet En ny säkerhetsskyddslag (SOU 2015:25)

Yttrande över framställning från Riksskatteverket med förslag till vissa ändringar i folkbokföringsförfattningar (Fi2001/4557)

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Tillsyn över behandling av uppgifter

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Borderlight AB, org. nr , Vretgränd 18, Uppsala

Att: Per Hemrin TeliaSonera Sverige AB Stab Juridik, Regulatoriska frågor FARSTA

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Kompletterande yttrande över PM Billigare utbyggnad av bredbandsnät, ert dnr N2015/2228/ITP

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Datainspektionen informerar. Hur länge får personuppgifter

Stockholm den 1 juni 2009 R-2009/0488. Till Justitiedepartementet. Ju2009/2441/PO

Kommunala lantmäteridagarna november 2015

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Datainspektionens beslut

Tillsyn enligt personuppgiftslagen (1998:204) VA Syds personuppgiftsbehandling inom avfallshanteringsverksamheten

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Införande av vissa internationella standarder i penningtvättslagen

AVTAL FÖR MEDLEMSKAP I SKOLFEDERATION.SE För E-tjänsteleverantör

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Föreläggande till TeliaSonera om sänkning av grossistpriser för telefoniabonnemang

Regeringskansliet Faktapromemoria 2007/08:FPM Nytt EG-direktiv mot diskriminering. Dokumentbeteckning. Sammanfattning

Tillsyn enligt personuppgiftslagen (1998:204) avseende den webbaserade tjänsten Squill

Ert datum. Göteborgs Hamn har i anledning av detta avgivit ett yttrande till Näringsdepartementet

Förslag till EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV. om ändring av direktiv 2003/88/EG om arbetstidens förläggning i vissa avseenden

KOMMISSIONENS BESLUT. av den

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

Energikartläggning i stora företag

Förslagen föranleder följande yttrande av Lagrådet:

Föreläggande enligt 60 första stycket telelagen (1993:597)

Tillsyn efter inträffad integritetsincident i fakturasystem

Delbetänkandet UCITS V En uppdaterad fondlagstiftning (SOU 2015:62)

Utdrag ur protokoll vid sammanträde Offentliga uppköpserbjudanden på aktiemarknaden

SÄKERHETS- OCH Ändrade förhållanden under verkställighet av hemlig teleavlyssning och hemlig teleövervakning, m.m. 1.

Tillsyn över säkerhetsarbete hos underleverantör

Remiss: Förslag till förordning om behandling av personuppgifter i Lantmäteriets databas för arkiverade handlingar

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Regeringskansliet Faktapromemoria 2015/16:FPM37. Direktiv om försäljning av varor på nätet eller annars på distans. Dokumentbeteckning.

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

(5)

RAPPORT FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Departementspromemorian Godkännande av motorfordon m.m., Ds 2008:8

Remissvar avseende kompletterande remiss om förhållandet mellan Solvens II-direktivet och tjänstepensionsdirektivet

Informationssäkerhet för samhällsviktiga och digitala tjänster

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Anmälningsrutiner enligt Schengenregelverket och reglerna avseende Sjöfartsskydd

Transkript:

Datum Vår referens Sida 2012-03-05 Dnr: 12-1100 1(6) Ert datum Er referens Ju2012/1000/L6 Nätsäkerhetsavdelningen Staffan Lindmark 08-678 57 36 staffan.lindmark@pts.se Justitiedepartementet Grundlagsenheten 103 33 Stockholm Yttrande avseende kommissionens förslag till dataskyddsförordning Post- och telestyrelsen (PTS) är enligt 2 förordningen (2003:396) om elektronisk kommunikation tillsynsmyndighet enligt lagen (2003:389) om elektronisk kommunikation (LEK). Digitala tjänster som nyttjar elektronisk kommunikation blir allt viktigare i samhället. Användningen och beroendet av sådana tjänster ökar stadigt och spelar numera en betydande roll i många människors liv. Viljan att använda digitala tjänster kan emellertid hämmas av oro för den personliga integriteten. Mot denna bakgrund välkomnar PTS EU-kommissionens initiativ till att modernisera personuppgiftsregleringen och stärka skyddet av den personliga integriteten. Med utgångspunkt från PTS verksamhetsområden har myndigheten följande synpunkter på förslagets närmare utformning. Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras Den generella personuppgiftsregleringen, som i dag kommer till uttryck i personuppgiftslagen (1998:204) (PuL) och som enligt EU-kommissionens förslag ska ersättas av den föreslagna förordningen, berör PTS i egenskap av personuppgiftsansvarig för de personuppgifter som behandlas inom den egna verksamheten. Myndigheten har inga synpunkter på förslaget utifrån detta perspektiv. Även de företag som verkar inom för området för elektronisk kommunikation berörs dock av den föreslagna regleringen. För sådana företag, tillhandahållare av elektroniska kommunikationsnät och kommunikationstjänster, finns även i 6 kapitlet LEK en särskild reglering om integritetsskydd som genomför direktiv 2002/58/EG (e-komdataskyddsdirektivet) och som i enlighet med principen lex Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117 Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se

2(6) specialis i tillämpliga delar gäller istället för reglerna i PuL. 1 För de aktörer som således har två regelverk om integritetsskydd att efterleva torde det vara av betydande vikt att gränsdragningen mellan de båda regelverkens tillämplighet är tydlig. PTS har uppmärksammat oklarheter i gränsdragningen mellan PuL och LEK i vissa fall. Det kan till exempel röra tillämpligheten av regler i PuL om information till registrerade eller överföring av personuppgifter till tredje land, vars motsvarighet i stor utsträckning saknas i LEK. Det kan även röra sig om frågor om respektive lags tillämplighet när uppgifter, som ursprungligen behandlas inom verksamheter som omfattas av specialregleringen i LEK, överförs till parter vars verksamhet inte faller inom denna lagstiftnings tillämpningsområde. PTS vill i detta sammanhang understryka att många gränsdragningsfrågor har kunnat hanteras genom en kontinuerlig och väl fungerande samverkan mellan Datainspektionen och PTS. Även om gränsdragningsproblematik många gånger kan hanteras av tillsynsmyndigheterna i den dagliga tillämpningen av respektive regelverk bör det dock, enligt PTS uppfattning, eftersträvas att gränsdragningarna tydliggörs på så hög nivå som möjligt i normgivningshierarkin. I förslaget till förordning uttalas endast, i artikel 89 att: [t]his Regulation shall not impose additional obligations in relation to matters for which they are subject to specific obligations with the same objective set out in Directive 2002/58/EC. PTS anser att det vore fördelaktigt om förhållandet mellan förordningens och e-komdataskyddsdirektivets tillämplighet, liksom frågor rörande tillämpning och tillsyn enligt respektive regelverk, kom till uttryck på ett tydligare och mer precist sätt. För att underlätta efterlevnaden av reglerna även för det fall att osäkerhet kvarstår om gränsdragningen mellan regelverken, menar PTS att det är lämpligt att bestämmelserna i respektive regelverk, i den utsträckning dessa är överlappande i materiellt hänseende, så långt som möjligt utformas i överensstämmelse med varandra. Genom förslaget till dataskyddsförordning kommer det generella regelverket för dataskydd emellertid att utökas med regler som motsvarar men i viss mån avviker från regler i e-komdataskyddsdirektivet, vilket PTS anser vara olyckligt. Dagens innebörd av begreppet samtycke bör bibehållas I förslaget till förordning har definitionen av begreppet samtycke förändrats så att det, utöver de kriterier som idag gäller enligt personuppgiftslagen, även ska krävas att samtycket är uttryckligt (eng. explicit). I dag återfinns kravet på 1 Se 6 kap. 2 LEK. Post- och telestyrelsen 2

3(6) uttryckligt samtycke endast vad gäller s.k. känsliga personuppgifter. 2 Enligt Datainspektionens praxis innebär ett krav på uttryckligt samtycke bland annat att detta inte kan komma till uttryck genom s.k. konkludent handlande, dvs. att den registrerade aktivt vidtar en åtgärd som medför att dennes personuppgifter behandlas, efter att denne har fått information om såväl den tilltänkta behandlingen som att den aktuella åtgärden betraktas som ett samtycke. Den föreslagna förändringen av definitionen av samtycke förefaller således utesluta samtycke genom konkludent handlande i samtliga fall där samtycke erfordras, inte enbart gällande känsliga personuppgifter. En sådan förändring torde även få direkt påverkan på tillämpningen av reglerna i 6 kap. LEK eftersom begreppet samtycke där ska anses ha samma innebörd som i 3 personuppgiftslagen. PTS kan konstatera att det på flera ställen i 6 kap. LEK uppställs krav på samtycke och att det i flertalet av dessa fall inte finns någon alternativ grund för att behandling ska vara tillåten. Detta kan jämföras med personuppgiftslagen, enligt vilken samtycke vanligtvis endast utgör en av flera alternativa grunder för behandling. En skärpning av kraven på giltigt samtycke medför således inskränkningar i möjligheterna till behandling av uppgifter enligt ett antal regler i LEK. Enligt PTS mening kan dessa inskränkningar, som riskerar att försvåra tillhandahållandet av tjänster inom området elektronisk kommunikation, inte motiveras av den relativt marginella ökningen av skyddet för den registrerades personliga integritet som förändringen innebär. PTS förordar därför att begreppet samtycke ska bibehålla den innebörd det har idag. Bestämmelser om rapportering av incidenter bör utformas på ett likvärdigt sätt i de båda regelverken Enligt artikel 4.3 i e-komdataskyddsdirektivet, efter ändringen genom direktiv 2009/136/EG, är tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster skyldiga att utan onödigt dröjsmål underrätta tillsynsmyndigheten om inträffade integritetsincidenter (eng. Personal Data Breach). 4 Om incidenten kan antas ha negativ inverkan på berörda abonnenter eller individer ska även dessa underrättas utan onödigt dröjsmål. Genom artiklarna 31 och 32 i förslaget till förordning kommer en motsvarande incidentrapporteringsskyldighet att införas i det generella 2 Se 15 PuL. 3 Se 6 kap. 1 2 st. LEK som genomför artikel 2(f) i e-komdataskyddsdirektivet. 4 Bestämmelsen har i Sverige genomförts genom 6 kap. 4 a LEK. Post- och telestyrelsen 3

4(6) personuppgiftsregelverket. Definitionen av Personal Data Breach är densamma som i e-komdataskyddsdirektivet. Emellertid finns skillnader i reglerna rörande underrättelsen. Bland annat framgår av förslaget till förordning att underrättelse i normalfallet ska ske inom 24 timmar efter att den personuppgiftsansvarige fått kännedom om händelsen. I förening med viss administrativ börda finns dock möjlighet att undantagsvis lämna underrättelsen senare. Någon motsvarande tidsangivelse finns inte i e-komdataskyddsdirektivet. Med hänsyn till de många olika slags händelser som kommer att behöva rapporteras, anser PTS att det är mindre lämpligt att ange en fast tidsfrist för rapportering. Vissa incidenter torde kunna rapporteras snabbare medan det i andra fall kan vara motiverat att fördröja rapporteringen. Det kan till exempel röra sig om händelser där det är olämpligt att ge offentlighet åt händelsen innan säkerhetsbrister eller andra sårbarheter har åtgärdats. Det bör i sammanhanget beaktas att incidentrapporter till den svenska tillsynsmyndigheten kommer att utgöra allmänna handlingar. Av artikel 32 i förslaget till förordning framgår vidare att underrättelse till berörda individer ska ske efter underrättelse har skett till tillsynsmyndigheten. Även i detta avseende föreligger en skillnad i jämförelse med e-komdataskyddsdirektivet som endast anger att individen ska underrättas utan onödigt dröjsmål. PTS anser att det i vissa fall kan finnas anledning att underrätta berörda individer innan tillsynsmyndigheten underrättas. Detta gäller i synnerhet med tanke på den berörda individens behov av att vidta åtgärder för att lindra sin skada till följd av händelsen. Det åligger den personuppgiftsansvarige, enligt förslaget, att rekommendera åtgärder som individen kan vidta och det föreligger således fara i dröjsmål avseende denna underrättelse. Syftet med underrättelsen till tillsynsmyndigheten, å andra sidan, torde närmast vara att ge myndigheten underlag för eventuella tillsynsåtgärder. Någon brådska torde därför i normalfallet knappast föreligga. Sammanfattningsvis anser PTS att det vore olyckligt om de två regelverken, vad gäller incidentrapportering, skulle komma att skilja sig åt. Detta gäller inte minst eftersom det kan komma att inträffa incidenter som berör såväl uppgifter som behandlas i samband med tillhandahållandet av en allmänt tillgänglig elektronisk kommunikationstjänst (vilket leder till att reglerna i LEK är tillämpliga), som personuppgifter som inte har direkt samband med sådant tillhandahållande (vilket leder till att reglerna i den föreslagna förordningen är tillämpliga). Det kan till exempel röra sig om ett fall där uppgifter ur ett kundregister kommer i orätta händer; registret kan innehålla såväl uppgifter om abonnemang på elektroniska kommunikationstjänster som uppgifter rörande fakturering och Post- och telestyrelsen 4

5(6) betalning för innehållstjänster som inte omfattas av LEK. I dessa fall skulle alltså båda regelverken kunna anses tillämpliga och disparata materiella regler skulle sannolikt försvåra efterlevnaden. PTS förespråkar därför att de berörda reglerna i förordningen så långt som möjligt anpassas till de redan gällande reglerna i e-komdataskyddsdirektivet. Samverkan mellan tillsynsmyndigheter enligt de båda regelverken bör omfattas av regleringen I förslaget till förordning regleras också samverkan mellan de nationella tillsynsmyndigheterna, avseende tillsyn mot personuppgiftsansvariga som är verksamma i eller som behandlar personuppgifter om individer i flera medlemsstater. PTS har inte några synpunkter på de föreslagna reglernas utformning men noterar att förslaget inte innehåller någon motsvarande reglering av förhållandet mellan tillsynsmyndigheter enligt dataskyddsförordningen (dataskyddsmyndigheter) och tillsynsmyndigheter enligt e-komdataskyddsdirektivet (i Sverige och vissa andra medlemsstater regleringsmyndigheten för elektronisk kommunikation). På nationell nivå har informell samverkan mellan Datainspektionen och PTS förekommit avseende tillsyn där personuppgifter överförs mellan aktörer som faller inom respektive myndighets tillsynsområde. Det kan emellertid även finnas anledning till mer formaliserad samverkan, mellan myndigheten med ansvar för tillsyn enligt e-komdataskyddsdirektivet i en medlemsstat och tillsynsmyndigheten enligt dataskyddsförordningen i samma eller en annan medlemsstat. Ett exempel på när en sådan situation skulle kunna uppkomma är fall där en tillhandahållare av elektroniska kommunikationstjänster väljer att anlita ett externt företag för lagring av trafikuppgifter i enlighet med direktiv 2006/24/EG om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät. Vid en tillsyn enligt detta direktiv kan behov uppkomma av samverkan med dataskyddsmyndigheten i den medlemsstat där det anlitade företaget bedriver sin verksamhet. PTS anser därför att det i den föreslagna förordningen bör regleras även samverkansformer mellan tillsynsmyndigheter enligt e-komdataskyddsdirektivet och tillsynsmyndigheter enligt förordningen. Post- och telestyrelsen 5

6(6) Bestämmelser om sanktioner vid bristande efterlevnad bör samordnas mellan regelverken Enligt förslaget till förordning ska tillsynsmyndigheten ha möjlighet att besluta om bötesliknande sanktioner mot personuppgiftsansvariga som inte efterlevt förordningens bestämmelser. PTS har inte någon synpunkt på nyttan med sådana sanktioner eller den närmare utformningen av sanktionerna. Däremot kan PTS konstatera att några liknande sanktionsmöjligheter inte finns i e-komdataskyddsdirektivet eller i LEK. Detta risker att få till följd att likvärdiga förseelser, dvs. brister i efterlevnaden av nästintill likalydande bestämmelser i direktivet respektive förordningen, får betydligt mer kännbara konsekvenser för den personuppgiftsansvarige i de fall förordningen är tillämplig än i de fall LEK är tillämplig. Det kan till exempel röra underlåtenhet att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda behandlade uppgifter 5 eller underlåtenhet att underrätta tillsynsmyndigheten om en inträffad integritetsincident 6. PTS ifrågasätter motiven bakom denna skillnad och förordar en samordning av reglerna i respektive regelverk. Catarina Wretman Stf. generaldirektör Yttrandet har beslutats av stf. generaldirektören Catarina Wretman. I ärendets slutliga handläggning har även avdelningschefen Annica Bergman och juristen Staffan Lindmark (föredragande) deltagit. 5 Jfr artikel 30 jämte artikel 79.6(e) i förslaget till förordning och artikel 4.1 i e-komdataskyddsdirektivet (genomförd i 6 kap. 3 LEK). 6 Jfr artikel 31 jämte artikel 79.6(h) i förslaget till förordning och artikel 4.3 i e-komdataskyddsdirektivet (genomförd i 6 kap. 4 a LEK). Post- och telestyrelsen 6

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss