Datum Vår referens Sida 2012-03-05 Dnr: 12-1100 1(6) Ert datum Er referens Ju2012/1000/L6 Nätsäkerhetsavdelningen Staffan Lindmark 08-678 57 36 staffan.lindmark@pts.se Justitiedepartementet Grundlagsenheten 103 33 Stockholm Yttrande avseende kommissionens förslag till dataskyddsförordning Post- och telestyrelsen (PTS) är enligt 2 förordningen (2003:396) om elektronisk kommunikation tillsynsmyndighet enligt lagen (2003:389) om elektronisk kommunikation (LEK). Digitala tjänster som nyttjar elektronisk kommunikation blir allt viktigare i samhället. Användningen och beroendet av sådana tjänster ökar stadigt och spelar numera en betydande roll i många människors liv. Viljan att använda digitala tjänster kan emellertid hämmas av oro för den personliga integriteten. Mot denna bakgrund välkomnar PTS EU-kommissionens initiativ till att modernisera personuppgiftsregleringen och stärka skyddet av den personliga integriteten. Med utgångspunkt från PTS verksamhetsområden har myndigheten följande synpunkter på förslagets närmare utformning. Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras Den generella personuppgiftsregleringen, som i dag kommer till uttryck i personuppgiftslagen (1998:204) (PuL) och som enligt EU-kommissionens förslag ska ersättas av den föreslagna förordningen, berör PTS i egenskap av personuppgiftsansvarig för de personuppgifter som behandlas inom den egna verksamheten. Myndigheten har inga synpunkter på förslaget utifrån detta perspektiv. Även de företag som verkar inom för området för elektronisk kommunikation berörs dock av den föreslagna regleringen. För sådana företag, tillhandahållare av elektroniska kommunikationsnät och kommunikationstjänster, finns även i 6 kapitlet LEK en särskild reglering om integritetsskydd som genomför direktiv 2002/58/EG (e-komdataskyddsdirektivet) och som i enlighet med principen lex Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117 Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se
2(6) specialis i tillämpliga delar gäller istället för reglerna i PuL. 1 För de aktörer som således har två regelverk om integritetsskydd att efterleva torde det vara av betydande vikt att gränsdragningen mellan de båda regelverkens tillämplighet är tydlig. PTS har uppmärksammat oklarheter i gränsdragningen mellan PuL och LEK i vissa fall. Det kan till exempel röra tillämpligheten av regler i PuL om information till registrerade eller överföring av personuppgifter till tredje land, vars motsvarighet i stor utsträckning saknas i LEK. Det kan även röra sig om frågor om respektive lags tillämplighet när uppgifter, som ursprungligen behandlas inom verksamheter som omfattas av specialregleringen i LEK, överförs till parter vars verksamhet inte faller inom denna lagstiftnings tillämpningsområde. PTS vill i detta sammanhang understryka att många gränsdragningsfrågor har kunnat hanteras genom en kontinuerlig och väl fungerande samverkan mellan Datainspektionen och PTS. Även om gränsdragningsproblematik många gånger kan hanteras av tillsynsmyndigheterna i den dagliga tillämpningen av respektive regelverk bör det dock, enligt PTS uppfattning, eftersträvas att gränsdragningarna tydliggörs på så hög nivå som möjligt i normgivningshierarkin. I förslaget till förordning uttalas endast, i artikel 89 att: [t]his Regulation shall not impose additional obligations in relation to matters for which they are subject to specific obligations with the same objective set out in Directive 2002/58/EC. PTS anser att det vore fördelaktigt om förhållandet mellan förordningens och e-komdataskyddsdirektivets tillämplighet, liksom frågor rörande tillämpning och tillsyn enligt respektive regelverk, kom till uttryck på ett tydligare och mer precist sätt. För att underlätta efterlevnaden av reglerna även för det fall att osäkerhet kvarstår om gränsdragningen mellan regelverken, menar PTS att det är lämpligt att bestämmelserna i respektive regelverk, i den utsträckning dessa är överlappande i materiellt hänseende, så långt som möjligt utformas i överensstämmelse med varandra. Genom förslaget till dataskyddsförordning kommer det generella regelverket för dataskydd emellertid att utökas med regler som motsvarar men i viss mån avviker från regler i e-komdataskyddsdirektivet, vilket PTS anser vara olyckligt. Dagens innebörd av begreppet samtycke bör bibehållas I förslaget till förordning har definitionen av begreppet samtycke förändrats så att det, utöver de kriterier som idag gäller enligt personuppgiftslagen, även ska krävas att samtycket är uttryckligt (eng. explicit). I dag återfinns kravet på 1 Se 6 kap. 2 LEK. Post- och telestyrelsen 2
3(6) uttryckligt samtycke endast vad gäller s.k. känsliga personuppgifter. 2 Enligt Datainspektionens praxis innebär ett krav på uttryckligt samtycke bland annat att detta inte kan komma till uttryck genom s.k. konkludent handlande, dvs. att den registrerade aktivt vidtar en åtgärd som medför att dennes personuppgifter behandlas, efter att denne har fått information om såväl den tilltänkta behandlingen som att den aktuella åtgärden betraktas som ett samtycke. Den föreslagna förändringen av definitionen av samtycke förefaller således utesluta samtycke genom konkludent handlande i samtliga fall där samtycke erfordras, inte enbart gällande känsliga personuppgifter. En sådan förändring torde även få direkt påverkan på tillämpningen av reglerna i 6 kap. LEK eftersom begreppet samtycke där ska anses ha samma innebörd som i 3 personuppgiftslagen. PTS kan konstatera att det på flera ställen i 6 kap. LEK uppställs krav på samtycke och att det i flertalet av dessa fall inte finns någon alternativ grund för att behandling ska vara tillåten. Detta kan jämföras med personuppgiftslagen, enligt vilken samtycke vanligtvis endast utgör en av flera alternativa grunder för behandling. En skärpning av kraven på giltigt samtycke medför således inskränkningar i möjligheterna till behandling av uppgifter enligt ett antal regler i LEK. Enligt PTS mening kan dessa inskränkningar, som riskerar att försvåra tillhandahållandet av tjänster inom området elektronisk kommunikation, inte motiveras av den relativt marginella ökningen av skyddet för den registrerades personliga integritet som förändringen innebär. PTS förordar därför att begreppet samtycke ska bibehålla den innebörd det har idag. Bestämmelser om rapportering av incidenter bör utformas på ett likvärdigt sätt i de båda regelverken Enligt artikel 4.3 i e-komdataskyddsdirektivet, efter ändringen genom direktiv 2009/136/EG, är tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster skyldiga att utan onödigt dröjsmål underrätta tillsynsmyndigheten om inträffade integritetsincidenter (eng. Personal Data Breach). 4 Om incidenten kan antas ha negativ inverkan på berörda abonnenter eller individer ska även dessa underrättas utan onödigt dröjsmål. Genom artiklarna 31 och 32 i förslaget till förordning kommer en motsvarande incidentrapporteringsskyldighet att införas i det generella 2 Se 15 PuL. 3 Se 6 kap. 1 2 st. LEK som genomför artikel 2(f) i e-komdataskyddsdirektivet. 4 Bestämmelsen har i Sverige genomförts genom 6 kap. 4 a LEK. Post- och telestyrelsen 3
4(6) personuppgiftsregelverket. Definitionen av Personal Data Breach är densamma som i e-komdataskyddsdirektivet. Emellertid finns skillnader i reglerna rörande underrättelsen. Bland annat framgår av förslaget till förordning att underrättelse i normalfallet ska ske inom 24 timmar efter att den personuppgiftsansvarige fått kännedom om händelsen. I förening med viss administrativ börda finns dock möjlighet att undantagsvis lämna underrättelsen senare. Någon motsvarande tidsangivelse finns inte i e-komdataskyddsdirektivet. Med hänsyn till de många olika slags händelser som kommer att behöva rapporteras, anser PTS att det är mindre lämpligt att ange en fast tidsfrist för rapportering. Vissa incidenter torde kunna rapporteras snabbare medan det i andra fall kan vara motiverat att fördröja rapporteringen. Det kan till exempel röra sig om händelser där det är olämpligt att ge offentlighet åt händelsen innan säkerhetsbrister eller andra sårbarheter har åtgärdats. Det bör i sammanhanget beaktas att incidentrapporter till den svenska tillsynsmyndigheten kommer att utgöra allmänna handlingar. Av artikel 32 i förslaget till förordning framgår vidare att underrättelse till berörda individer ska ske efter underrättelse har skett till tillsynsmyndigheten. Även i detta avseende föreligger en skillnad i jämförelse med e-komdataskyddsdirektivet som endast anger att individen ska underrättas utan onödigt dröjsmål. PTS anser att det i vissa fall kan finnas anledning att underrätta berörda individer innan tillsynsmyndigheten underrättas. Detta gäller i synnerhet med tanke på den berörda individens behov av att vidta åtgärder för att lindra sin skada till följd av händelsen. Det åligger den personuppgiftsansvarige, enligt förslaget, att rekommendera åtgärder som individen kan vidta och det föreligger således fara i dröjsmål avseende denna underrättelse. Syftet med underrättelsen till tillsynsmyndigheten, å andra sidan, torde närmast vara att ge myndigheten underlag för eventuella tillsynsåtgärder. Någon brådska torde därför i normalfallet knappast föreligga. Sammanfattningsvis anser PTS att det vore olyckligt om de två regelverken, vad gäller incidentrapportering, skulle komma att skilja sig åt. Detta gäller inte minst eftersom det kan komma att inträffa incidenter som berör såväl uppgifter som behandlas i samband med tillhandahållandet av en allmänt tillgänglig elektronisk kommunikationstjänst (vilket leder till att reglerna i LEK är tillämpliga), som personuppgifter som inte har direkt samband med sådant tillhandahållande (vilket leder till att reglerna i den föreslagna förordningen är tillämpliga). Det kan till exempel röra sig om ett fall där uppgifter ur ett kundregister kommer i orätta händer; registret kan innehålla såväl uppgifter om abonnemang på elektroniska kommunikationstjänster som uppgifter rörande fakturering och Post- och telestyrelsen 4
5(6) betalning för innehållstjänster som inte omfattas av LEK. I dessa fall skulle alltså båda regelverken kunna anses tillämpliga och disparata materiella regler skulle sannolikt försvåra efterlevnaden. PTS förespråkar därför att de berörda reglerna i förordningen så långt som möjligt anpassas till de redan gällande reglerna i e-komdataskyddsdirektivet. Samverkan mellan tillsynsmyndigheter enligt de båda regelverken bör omfattas av regleringen I förslaget till förordning regleras också samverkan mellan de nationella tillsynsmyndigheterna, avseende tillsyn mot personuppgiftsansvariga som är verksamma i eller som behandlar personuppgifter om individer i flera medlemsstater. PTS har inte några synpunkter på de föreslagna reglernas utformning men noterar att förslaget inte innehåller någon motsvarande reglering av förhållandet mellan tillsynsmyndigheter enligt dataskyddsförordningen (dataskyddsmyndigheter) och tillsynsmyndigheter enligt e-komdataskyddsdirektivet (i Sverige och vissa andra medlemsstater regleringsmyndigheten för elektronisk kommunikation). På nationell nivå har informell samverkan mellan Datainspektionen och PTS förekommit avseende tillsyn där personuppgifter överförs mellan aktörer som faller inom respektive myndighets tillsynsområde. Det kan emellertid även finnas anledning till mer formaliserad samverkan, mellan myndigheten med ansvar för tillsyn enligt e-komdataskyddsdirektivet i en medlemsstat och tillsynsmyndigheten enligt dataskyddsförordningen i samma eller en annan medlemsstat. Ett exempel på när en sådan situation skulle kunna uppkomma är fall där en tillhandahållare av elektroniska kommunikationstjänster väljer att anlita ett externt företag för lagring av trafikuppgifter i enlighet med direktiv 2006/24/EG om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät. Vid en tillsyn enligt detta direktiv kan behov uppkomma av samverkan med dataskyddsmyndigheten i den medlemsstat där det anlitade företaget bedriver sin verksamhet. PTS anser därför att det i den föreslagna förordningen bör regleras även samverkansformer mellan tillsynsmyndigheter enligt e-komdataskyddsdirektivet och tillsynsmyndigheter enligt förordningen. Post- och telestyrelsen 5
6(6) Bestämmelser om sanktioner vid bristande efterlevnad bör samordnas mellan regelverken Enligt förslaget till förordning ska tillsynsmyndigheten ha möjlighet att besluta om bötesliknande sanktioner mot personuppgiftsansvariga som inte efterlevt förordningens bestämmelser. PTS har inte någon synpunkt på nyttan med sådana sanktioner eller den närmare utformningen av sanktionerna. Däremot kan PTS konstatera att några liknande sanktionsmöjligheter inte finns i e-komdataskyddsdirektivet eller i LEK. Detta risker att få till följd att likvärdiga förseelser, dvs. brister i efterlevnaden av nästintill likalydande bestämmelser i direktivet respektive förordningen, får betydligt mer kännbara konsekvenser för den personuppgiftsansvarige i de fall förordningen är tillämplig än i de fall LEK är tillämplig. Det kan till exempel röra underlåtenhet att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda behandlade uppgifter 5 eller underlåtenhet att underrätta tillsynsmyndigheten om en inträffad integritetsincident 6. PTS ifrågasätter motiven bakom denna skillnad och förordar en samordning av reglerna i respektive regelverk. Catarina Wretman Stf. generaldirektör Yttrandet har beslutats av stf. generaldirektören Catarina Wretman. I ärendets slutliga handläggning har även avdelningschefen Annica Bergman och juristen Staffan Lindmark (föredragande) deltagit. 5 Jfr artikel 30 jämte artikel 79.6(e) i förslaget till förordning och artikel 4.1 i e-komdataskyddsdirektivet (genomförd i 6 kap. 3 LEK). 6 Jfr artikel 31 jämte artikel 79.6(h) i förslaget till förordning och artikel 4.3 i e-komdataskyddsdirektivet (genomförd i 6 kap. 4 a LEK). Post- och telestyrelsen 6