Yttrande över slutbetänkandet Myndighetsdatalagen (SOU 2015:39)



Relevanta dokument
Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Remissyttrande över promemorian Skydd för enskilds identitet i domar och beslut

Yttrande över Departementspromemorian Domstolsdatalag (DS 2013:10)

Personuppgiftslagens övergångsbestämmelser upphör; personinformation på webbsidor; m.m.

Betänkandet SOU 2015:39 Myndighetsdatalag (Dnr Ju2015/3364/L6)

Socialstyrelsens yttrande över betänkandet Myndighetsdatalag (SOU 2015:39)

Remissyttrande över promemorian Domstolsdatalag (Ds 2013:10)

E-delegationen VLDS 4.1 Juridiska aspekter på digital samverkan v1.0

Datainspektionens beslut

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

-CXf Wl \ct(fUl_

Kansliets svar begränsas i huvudsak till frågor som ligger inom E-delegationens verksamhetsområde.

Utdrag ur protokoll vid sammanträde Förslaget föranleder följande yttrande av Lagrådet:

8 Register med personuppgifter inom färdtjänsten och riksfärdtjänsten

SÖDERTÄLJE KOMMUN Utbildningskontoret

Kvalitetsregister & legala förutsättningar. Moa Malviker Wellermark, Jurist SKL, Landstingsjurist LiÖ

REMISSYTTRANDE 1(7) AdmD Justitiedepartementet Stockholm

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Betänkandet Omhändertagen (SOU 2000:77) (dnr S 2000/5585/ST)

Yttrande över slutbetänkande Rätt information på rätt plats i rätt tid, SOU 2014:23

Svensk författningssamling

Yttrande över departementspromemorian Domstolsdatalag (Ds 2013:10)

Fördjupning: Juridik vid införande av välfärdsteknik. Jeanna Thorslund, Jurist och Samordnare Informationssäkerhet, SKL Manólis Nymark, Jurist

Kommunala lantmäteridagarna november 2015

Kommissionens förslag till dataskyddsförordning (KOM (2012) 11 slutlig)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Policy för behandling av personuppgifter vid uthyrning av bostäder

Tillsyn enligt personuppgiftslagen (1998:204) avseende den webbaserade tjänsten Squill

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Tillsyn över Säkerhetspolisens utlämnande av personuppgifter till underrättelse- och säkerhetstjänster i andra stater

Ulla Lönnqvist Endre. Avd för vård och omsorg

Patientdatalag (2008:355)

DOM Meddelad i Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

Yttrande över betänkande Toppdomän för Sverige (SOU 2003:59)

Yttrande över promemorian Myndigheters tillgång till tjänster för elektronisk identifiering. Dnr

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Regler för behandling av personuppgifter vid Högskolan Dalarna

Kompletterande yttrande över PM Billigare utbyggnad av bredbandsnät, ert dnr N2015/2228/ITP

Kommittédirektiv. Förutsättningar för registerbaserad forskning. Dir. 2013:8. Beslut vid regeringssammanträde den 17 januari 2013.

Datainspektionen informerar. Hur länge får personuppgifter

HANDIKAPP FÖRBUNDEN. Er referens: Yttrande över betänkandet Inbyggd integritet inom Inspektionen för Socialförsäkring SOU 2014:67

Konsekvensutredning Boverkets allmänna råd om rivningsavfall

Remiss: Förslag till förordning om behandling av personuppgifter i Lantmäteriets databas för arkiverade handlingar

Utdrag ur protokoll vid sammanträde

Offentlig upphandling från eget företag?! och vissa andra frågor (SOU 2011:43)

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor

Utdrag ur protokoll vid sammanträde

Regeringens proposition 2007/08:126

HFD 2015 ref 79. Lagrum: 58 1 jaktförordningen (1987:905)

Svensk författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Tobias Eriksson (Justitiedepartementet)

Klagande Datainspektionen, Box 8114, Stockholm. Motpart Örnsköldsviks kommun, , Örnsköldsvik

Gäldenärens möjligheter att överklaga utmätningsbeslut

5 Överväganden och förslag

Utbildningsdepartementet STOCKHOLM. Dnr U 3011/5355/S

Remiss: En ny kameraövervakningslag (SOU 2009:87), (Ju2009/9053/L6)

Postadress Telefonväxel E-post: Stockholm

Riktlinjer för upplåtelse av bostadsrätt i andra hand

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

Information om personuppgiftslagens tillämpning i Riksbanken

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Behandlingen av personuppgifter i. Dir. 2001:108. i verksamhet enligt utlännings- och medborgarskapslagstiftningen.

Generella synpunkter på utredningen

BESLUT Meddelat i Stockholm

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

Samråd enligt 2 och 3 patientdataförordningen

Betänkandet E-legitimationsnämnden och Svensk e-legitimation SOU 2010:104

Granskning av ärenden vid Åklagarkammaren i Östersund där den enskilde inte underrättats om hemlig tvångsmedelsanvändning

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Betänkandet En ny säkerhetsskyddslag (SOU 2015:25)

Promemoria med utkast till lagrådsremiss Skydd för enskilds identitet i domar och beslut

Remiss: Tolkning och översättning vid straffrättsliga förfaranden (SOU 2012:49)

Tillsyn enligt personuppgiftslagen (1998:204) personuppgiftsbehandling i anslutning till Pliktverkets e-tjänst för lämplighetsundersökning

ÖVERGRIPANDE PRINCIPER FÖR OFFENTLIGHET OCH SEKRETESS I INTEGRITETSKÄNSLIG FORSKNING

Remissyttrande över promemorian En omarbetad domstolsdatalag Anpassning till EU:s dataskyddsförordning

Tillsyn enligt personuppgiftslagen (1998:204) angående publicering av personuppgifter på Internet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Tillsyn enligt personuppgiftslagen (1998:204) VA Syds personuppgiftsbehandling inom avfallshanteringsverksamheten

Kommittédirektiv. Genomförande av EU-direktivet om rätt till tolkning och översättning vid straffrättsliga förfaranden. Dir.

Yttrande över framställning från Riksskatteverket med förslag till vissa ändringar i folkbokföringsförfattningar (Fi2001/4557)

Svar över vidtagna åtgärder önskas före februari månads utgång 2009.

Allmänna villkor. DPOrganizer Ett verktyg från Beyano AB

Tolktjänst för vardagstolkning

Tjänsteskrivelse. Juridiskt kön och medicinsk könskorrigering Vår referens. Petra Olsson Planeringssekreterare

Innehåll. Del 1. Inledning. Sammanfattning Summary... 41

Regeringens proposition 2014/15:136

sökningar på referenspersoner i Migrationsverkets centrala utlänningsdatabas samt slagningar i misstanke- och belastningsregistret

Tillämpningen av vissa bestämmelser med anledning av EMR

Betänkandet Allmänna handlingar i elektronisk form offentlighet och integritet (SOU 2010:4)

Regeringens proposition 2014/15:143

Stockholm den 1 juni 2009 R-2009/0488. Till Justitiedepartementet. Ju2009/2441/PO

Transkript:

PM 1 (9) Justitiedepartementet Grundlagsenheten 103 33 Stockholm Yttrande över slutbetänkandet Myndighetsdatalagen (SOU 2015:39) Ert dnr JU2015/3364/L6 Det är en gedigen utredning som innehåller en omfattande redogörelse för gällande rätt och de ändringar som en ny reglering på EU-nivå kan komma att innebära. Utredningen har även analyserat rättsläget inom områden där det i dag är oklart vad som gäller. För att myndigheterna ska kunna fullgöra sina uppdrag måste det skapas förutsättningar för dem att kunna arbeta effektivt. Ett tydligt och förutsägbart regelverk är grundläggande liksom att reglernas innehåll i sig tillåter en effektiv hantering. Det är viktigt att lagstiftaren klargör rättsläget i de frågor som utredningen lyfter. Det är också viktigt att effektivitets- och behovsfaktorer tillåts väga tungt vid utformningen av en ny myndighetsdatalag. Domstolsverket anser att utredningen i allt väsentligt gjort välgrundade avvägningar men har i vissa fall synpunkter som utvecklas nedan. Domstolsverket vill redan nu påpeka att det är svårt att i vissa delar lämna detaljerade synpunkter. Det finns flera osäkerhetsfaktorer varav den nya regleringen på EU-nivå är den främsta. EU-förordningen kommer att gälla i domstolarnas administrativa verksamhet medan EU-direktivet kommer bli tillämpligt i den del av allmän domstols verksamhet som anses tillhöra den brottsbekämpande verksamheten. Vid årsskiftet träder vidare den nya domstolsdatalagen (DDL) i kraft som gäller i domstolarnas rättsvårdande och rättsskipande verksamhet. Detta har gjort att det är svårt att överblicka konsekvenserna av förslaget för domstolarnas del. Motsvarande gäller i viss mån även för Domstolsverket, främst när det gäller reglerna om personuppgiftsansvar. En anpassning till myndigheternas verksamhet Utredningens utgångspunkt har varit att skapa regler om personuppgiftsbehandling som är särskilt anpassade till myndigheternas verksamhet. Detta är i sig mycket positivt. Utredningen framhåller att myndigheters behandling av personuppgifter inte längre kan ses som en separat del av myndigheternas verksamhet bara för att den är automatiserad. De regelverk som styr behandlingen av personuppgifter måste därför enligt utredningen vara anpassade till de regler som mer allmänt styr en myndighets verksamhet. Vi delar den uppfattningen och kan konstatera att ett sådant synsätt är en förutsättning för att minimera konflikter mellan olika regelverk och principer. Att sådana konflikter existerar i dag och också orsakar svårigheter i praktiken har Domstolsverket egen erfarenhet av. Särskilt motsägelse- R2B 551 81 Jönköping Besöksadress: Kyrkogatan 34 Telefon: 036-15 53 00 Fax: 036-16 57 21 domstolsverket@dom.se www.domstol.se Expeditionstid: Måndag-fredag kl. 8-12, 13-16

PM 2 (9) fullt är regelverken som ska möta såväl berättigade verksamhetsbehov som integritetsskydd, offentlighet och rätten till insyn. Det är mot denna bakgrund en god strävan att försöka skapa en reglering som ser till denna komplexa helhet. I förlängningen skapar detta en tydligare och enklare reglering både för myndigheterna och enskilda. Utrymmet för särreglering Det är bra att myndighetsdatalagen (MDL) som huvudregel ska gälla för samtliga myndigheters personuppgiftsbehandling. En sådan ordning ger bäst förutsättningar för myndighetsgemensamma lösningar, till exempel vid uppgiftsutbyte mellan myndigheter. Detta är en utveckling i tiden och Domstolsverket kontaktas frekvent av andra myndigheter som vill utbyta uppgifter med myndigheter inom Sveriges Domstolar. Även om det finns ett behov av särregler i lag för vissa myndigheter kommer dessa enligt förslaget som utgångspunkt att finnas i en bilaga till lagen. En sådan ordning gör att det blir enklare att få en överblick över vilka regler som gäller för en viss myndighet. De flesta särreglerna bör dock tas in i en myndighetsdataförordning. Utredningens tolkning av vilket utrymme RF ger för att ta in bestämmelser om personuppgiftsbehandling i förordning framstår som rimlig och korrekt. Med en sådan tolkning riskeras inte heller inlåsningseffekter eftersom lagstiftningen sker på en nivå där det är enkelt att anpassa reglerna över tid och också relativt snabbt. Med hänsyn till den snabba tekniska utvecklingen är detta en nödvändig ordning. Domstolsverket delar uppfattningen att den brottsbekämpande verksamheten i princip bör regleras i lag. När domstolarna handlägger brottmål anses de vara en del av den brottsbekämpande verksamheten och de kommer alltså att påverkas av denna bedömning. Även här är det dock viktigt att det finnas ett utrymme att meddela närmare regler i förordning. Lagens tillämpningsområde Det framstår som rimligt att avgränsa de verksamheter som utredningen föreslår från tillämpningsområdet för MDL. Eftersom myndigheterna är vana vid att tilllämpa PuL i sin administrativa verksamhet finns det en vinst i att PuL, så länge lagen gäller, fortsatt är tillämplig på den verksamheten. Myndigheters verksamhet inom det administrativa området skiljer sig inte nämnvärt från privata aktörers administrativa verksamhet. Det finns dock ett undantag. Utlämnade av allmän handling brukar normalt sett anses vara en del av en myndighets administrativa verksamhet. Den typen av frågor hanteras i princip inte av privata aktörer. För domstolarnas del kommer DDL gälla vid utlämnande av allmänna handlingar från kärnverksamheten. Domstolsverket anser att det bör gälla även i framtiden. DDL är vad utredningen kallar en informationshanteringsförfattning. Utredningens utgångspunkt är att denna typ av författningar ska avvecklas och ersättas av MDL, eventuellt med viss fortsatt särreglering i anslutande förordning eller vid behov i bilagan till lagen. Utredningen öppnar dock också upp för fortsatt särreglering i undantagsfall. Det är viktigt att domstolarna får en enkel och samlad reglering. Domstolarnas verksamhet kommer inte att till fullo kunna regleras av MDL ens utanför det

PM 3 (9) administrativa området. Detta eftersom lagen inte kommer kunna vara tillämplig i hela den dömande verksamheten. Handläggning av brottmål kommer troligtvis inte omfattas av MDL:s tillämpningsområde. Den handläggningen kommer troligtvis i stället att regleras genom en implementering av det kommande EUdirektivet på området. För domstolarnas del bör det därför finnas skäl för en fortsatt särreglering. Detta gäller även om det till följd av det kommande direktivet kan innebära att det i DDL kommer att behöva införas specialregler för brottmålshanteringen. De hänvisningar som i dag görs till PuL i DDL kommer att behöva ersättas av hänvisningar till EU-förordningen. Det kan också bli aktuellt att i något fall föra in regler motsvarande de som föreslås i MDL i den utsträckning de är adekvata och lämpliga. Genom DDL kan domstolarnas kärnverksamhet regleras i sin helhet och det är enligt Domstolsverkets mening att föredra. För Domstolsverkets egen del kan konstateras att MDL skulle reglera verkets personuppgiftsbehandling tillsammans med EU-förordningen som ersätter PuL. Det är dock oklart hur MDL ska tillämpas på servicemyndigheter eftersom deras kärnverksamhet till stor del består av att utföra administrativt arbete åt andra myndigheter. Att lagen inte kommer gälla i Domstolsverkets egen administrativa verksamhet är klart, men vad som kommer att gälla när verket utför administrativa göromål åt domstolarna berörs inte i utredningen. Detta bör klargöras i det fortsatta lagstiftningsarbetet. Tanken att MDL ska träda i kraft successivt är god. Det är rimligt att lagen först ersätter PuL och i ett inledande skede enbart gäller för de myndigheter som i dag har den lagen att förhålla sig till. Det är också bra att de myndigheter som i dag har egna registerförfattningar, till dess en översyn har gjorts, fortsätter att tilllämpa dessa. Tillåten behandling När får myndigheter behandla personuppgifter? Utredningen föreslår att MDL inte ska innehålla några ändamålsbestämmelser. Det finns både för- och nackdelar med en sådan ordning. Å ena sidan skapar avsaknaden av sådana bestämmelser flexibilitet genom att överlåta åt myndigheten själv att bestämma ändamålen. Å andra sidan kräver det ett inte obetydligt arbete av myndigheten eftersom den själva måste formulera ändamålen. Vid en sammantagen bedömning anser Domstolsverket dock att fördelarna överväger och instämmer därför i utredningens bedömning i denna fråga. Utredningen föreslår också att samtycke inte ska kunna utgöra grund för personuppgiftsbehandling på myndighetsområdet. Det innebär att en enskild inte kan motsätta sig en behandling som är tillåten enligt lag. Detta är grundläggande och Domstolsverket tillstyrker att en uttrycklig regel om detta tas in i MDL. Särskilda kategorier av personuppgifter Hänvisningen till PuL:s bestämmelser om känsliga personuppgifter innebär att huvudregeln enligt MDL blir att det inte är tillåtet att behandla sådana personuppgifter. Utgångspunkten i DDL är den motsatta. För domstolarna är det alltså som huvudregel tillåtet att behandla känsliga personuppgifter om det finns en godtagbar grund för sådan behandling. En domstol har i princip samma behov

PM 4 (9) av att kunna behandla känsliga personuppgifter som andra personuppgifter. För det fall MDL blir tillämplig på domstolarnas verksamhet finns det därför behov av särregler som är mer tillåtande. Domstolsverket är positivt till att 22 PuL inte ska gälla för myndigheters behandling av personnummer. Bestämmelsen är inte ändamålsenlig på myndighetsområdet eftersom personnummer behöver användas i stor omfattning. Vi instämmer i bedömningen av att huvudregeln bör vara att sökningar på begrepp som avslöjar känsliga uppgifter ska vara förbjudna. En sådan reglering stämmer väl överens med hur DDL är utformad. Om domstolarna ska omfattas av lagen kan det dock komma att behövas vissa särregler. Personuppgiftsansvar och säkerhet Personuppgiftsansvaret Utredningens förslag när det gäller personuppgiftansvaret väcker en del frågor kring den ordning som valts i DDL i relationen mellan domstolarna och Domstolsverket. Enligt DDL har domstolarna hela personuppgiftsansvaret även om Domstolsverket tillhandahåller och utvecklar många av domstolarnas systemstöd. Domstolsverket är enligt DDL att betrakta som ett personuppgiftsbiträde åt domstolarna i dessa avseenden. Före DDL var ansvaret delat mellan domstolarna och Domstolsverket, vilket ledde till oklarheter både mellan myndigheterna och för enskilda när det gäller vem som var ansvarig för behandlingen av uppgifter. Domstolsverket anser därför, även om den hållning utredningen har vinner gehör, att domstolarna även fortsättningsvis ska vara ensamt personuppgiftsansvariga för behandlingen av personuppgifter i den rättskipande och rättsvårdande verksamheten trots att Domstolsverket svarar för verksamhetsstöden. Personuppgiftsansvar, risk- och sårbarhetsanalyser samt överenskommelse om säkerhetsåtgärder vid direktåtkomst Utredningen föreslår att myndigheter som ger varandra direktåtkomst eller på annat sätt utbyter information ska ingå avtal om personuppgiftsansvarets fördelning. Utredningen ser dock inte att avtalet får rättsföljder, utan att det är de faktiska förhållandena som ska avgöra ansvarets placering. Däremot kan avtalet få betydelse i efterhand vid identifieringen av ansvar. Utredningen föreslår vidare att en myndighet innan direktåtkomst beviljas ska göra en risk- och sårbarhetsanalys. Vidare ska myndigheterna enas om skyddet. Motsvarande ska även gälla vid andra informationsutbyten eller samarbeten som innebär behandling av personuppgifter i gemensamma eller annars integrerade informationssystem. Att myndigheter som ger varandra direktåtkomst eller på annat sätt utbyter information bör reda ut ansvarsfördelningen sinsemellan och enas om säkerhetskrav är enligt Domstolsverket en självklarhet. Att införa ett sådant formellt krav som utredningen föreslår skulle dock leda till en tung administrativ börda. För domstolarnas del, som enligt DDL medges direktåtkomst till varandras verksamhetsstöd i olika omfattning och också är beroende av att möjlighet till sådan åtkomst finns i t.ex. överklagade mål skulle en reglering i avtal av personuppgiftsansvaret på sätt utredningen föreslår bli mycket komplex. Eftersom avtalet inte skulle få några rättsverkningar beträffande ansvarsfördelningen anser Domstols-

PM 5 (9) verket inte att den betydande administration som kravet innebär uppvägs av fördelarna med en sådan ordning. Frågan hanteras bättre och smidigare genom informationsinsatser och handledningar till myndigheter om vad de bör tänka på när de upplåter direktåtkomst till varandra, men detta bör inte formaliseras som ett lagkrav. Särskilt om personuppgiftsbiträden I betänkandet analyseras frågan om t.ex. två statliga myndigheter kan ingå avtal med varandra eller inte och då särskilt personuppgiftsbiträdesavtal. Utredningen synes mena att detta inte är möjligt eftersom förvaltningsmyndigheter inte är egna juridiska personer utan kapaciteten att ingå avtal tillkommer staten. Utredningen drar av detta slutsatsen att det inte är en hållbar konstruktion att statliga myndigheter på grund av avtal är personuppgiftsbiträde åt andra statliga myndigheter. Det skulle få negativa konsekvenser om statliga myndigheter inte längre kan ingå personuppgiftsbiträdesavtal med varandra. Detta gäller särskilt när myndigheterna är organiserade på ett sådant sätt som Sveriges Domstolar och de verksamhetsstöd som används i princip uteslutande tillhandahålls och utvecklas av en servicemyndighet, Domstolsverket. Verket ger också support på ett sätt som gör att myndigheten är att betrakta som ett personuppgiftsbiträde. Det vore därför olyckligt om utredningens tolkning av rättsläget skulle få gehör. Utredningen vill också införa ytterligare krav på personuppgiftsbiträdesavtal mellan myndigheter. Dels vill utredningen att instruktionerna som personuppgiftsbiträdet fått ska dokumenteras, dels införa ett förbud mot att anlita underbiträde utan godkännande i det enskilda fallet. Domstolsverket kan se vissa svårigheter med sådana krav om lagen ska tillämpas av domstolarna alternativt om motsvarande bestämmelse ska gälla för dem. Skälet är att Domstolsverket enligt DDL ska ingå personuppgiftsbiträdesavtal med var och en av domstolarna. Avtalen måste, för att det ska bli praktiskt och tekniskt hanterbart, vara allmängiltiga och se likadana ut för alla domstolar vad avser bland annat instruktioner. När det gäller underbiträden är situationen än mer komplicerad eftersom Domstolsverket skulle behöva inhämta ett godkännande från var och en av domstolarna i varje enskilt fall som anlitande av underbiträde aktualiserades. En sådan reglering som föreslås skulle alltså inte fungera i praktiken utan skapa en alltför stor administrativ börda. Domstolsverket kan inte heller se att dagens sätt att hantera dessa frågor ger upphov till problem, varken mellan den personuppgiftsansvarige och personuppgiftsbiträdet eller i relationen till enskilda vars uppgifter behandlas. Domstolsverket menar alltså att det även fortsättningsvis bör vara tillräckligt att reglera för vilka ändamål personuppgiftsbiträdet får behandla uppgifterna, men att avtalet inte behöver vara uttömmande vad avser instruktioner till biträdet. Vidare bör det även fortsättningsvis vara möjligt att avtala om ett generellt medgivande för personuppgiftsbiträdet att använda underbiträde med krav på att den personuppgiftsansvarige ska underrättas. Det finns inget som hindrar att de myndigheter som finner det lämpligt i ett visst fall uttömmande anger vilka instruktioner som gäller eller tar in en avtalsklausul som säger att underbiträde inte får anlitas utan medgivande i det enskilda fallet. Den typ av reglering utredningen föreslår är bättre ämnad om personuppgiftsbiträdet är ett privaträttsligt subjekt och inte när två myndigheter ingår personuppgiftsbiträdesavtal med varandra.

PM 6 (9) Tillgängligheten till personuppgifter inom en myndighet Utredningen föreslår en generell regel om behörighetsstyrning. Till skillnad från i DDL används inte begreppet tjänsteman utan anställd. I kommentaren sägs att begreppet omfattar även andra som deltar i arbetet hos myndigheten, men detta framgår inte uttryckligen av lagtexten. Domstolsverket anser att lagtexten bör kompletteras så att det uttryckligen anges att åtkomst kan ges även till andra än de som är formellt anställda. Att lämna ut uppgifter i elektronisk form Åtskillnad mellan olika former av elektroniskt utlämnande Utredningens slutsats om att åtskillnaden mellan direktåtkomst och annat elektroniskt utlämnande bör behållas. Domstolsverket anser att skälen som utredningen framför för detta ställningstagande är rimliga och instämmer därför i den bedömning utredningen gör. Domstolsverket vill dock framhålla det problematiska i att de båda formerna för elektroniskt utlämnande inte definieras på samma sätt i DDL, vilket vi återkommer till nedan. Direktåtkomst Domstolsverket instämmer i utredningens bedömning att det inte finns skäl att införa något generellt krav på lagstöd för att direktåtkomst ska få medges annat än när det gäller direktåtkomst till sekretessreglerade uppgifter. Även utredningens förslag om att undanta direktåtkomst som medges ett personuppgiftsbiträde från kravet på stöd i lag framstår som rimligt. I detta sammanhang vill Domstolsverket dock lyfta fram en skillnad jämfört med hur regleringen i DDL är utformad. Enligt DDL får direktåtkomst endast medges en allmän domstol, en allmän förvaltningsdomstol, en hyres- och arrendenämnd eller en part eller partens ombud, biträde eller försvarare. Lagen är uppbyggd på det sättet att endast den direktåtkomst som är uppräknad är tillåten. DDL tillåter således inte att domstolarna medger Domstolsverket direktåtkomst. Samtidigt förutsätter lagen att Domstolsverket ska agera personuppgiftsbiträde åt domstolarna (se. prop. 2014/15:148 s. 35-36). Domstolsverket har uppfattat regleringen på det sättet att skälet till att verket inte omfattas av bestämmelsen om vilka som kan medges direktåtkomst är att verket i rollen som personuppgiftsbiträde inte har direktåtkomst i DDL:s mening utan behandlar uppgifterna på uppdrag av domstolen. Verkets behandling sker då i enlighet med ett avtal som också reglerar åtkomsten, vilket innebär att verket inte behöver något lagstöd för åtkomsten eftersom den i DDL:s mening inte är direktåtkomst. En sådan tolkning vinner också stöd av definitionen i PuL av tredje man respektive personuppgiftsansvarig och personuppgiftsbiträde. En tredje man medges direktåtkomst för sina egna syften, medan ett personuppgiftsbiträde hanterar personuppgifter på den personuppgiftsansvariges uppdrag och för dennes räkning. Utredningen tycks dock betrakta även den tillgång som ett personuppgiftsbiträde har som direktåtkomst. Regleringen i DDL och förslaget till MDL stämmer alltså inte överens med varandra. Om lagstiftaren bestämmer sig för att den åtkomst ett personuppgiftsbiträde har är en form av direktåtkomst (som i förslaget till

PM 7 (9) MDL) måste DDL ändras så att även ett personuppgiftsbiträde kan medges direktåtkomst. Annars saknar Domstolsverket stöd för den åtkomst vi har till domstolarnas verksamhetsstöd. Domstolsverket anser dock att den utgångspunkt som DDL bygger på bör gälla även i framtiden. Förslaget om en generell sekretessbrytande regel vid direktåtkomst framstår som en stor förenkling jämfört med dagens reglering som förutsätter att det införs både regler om direktåtkomst och sekretessbrytande regler för att direktåtkomst ska kunna medges. Regleringen blir också tydligare och mer överskådlig än i dag. Domstolsverket tillstyrker detta förslag. Annat elektroniskt utlämnande Det är bra att det införs ett enhetligt begrepp för att beskriva sådant elektroniskt utlämnande som inte är direktåtkomst. Vi vill dock påpeka att begreppet utlämnande på automatiserad behandling används i DDL och att det begreppet bör ersättas med begreppet elektroniskt utlämnande om utredningens förslag blir verklighet. Domstolsverket instämmer vidare i utredningens bedömning att utlämnande i elektronisk form inte bör kräva lagstöd. Övrigt Vi saknar en analys av rättsläget för utlämnande av personuppgifter genom publicering på internet. Det blir i dag allt vanligare att myndigheter vill använda denna möjlighet för att på ett enkelt sätt sprida information om till exempel viktigare beslut av allmänt intresse. Det råder dock osäkerhet om och i vilken utsträckning myndigheter får publicera information på nätet. Vidare är myndighetens registerförfattning ofta tillämplig på hämtandet av uppgifterna, medan publiceringen regleras av PuL. Det är svårt för domstolarna att tillämpa två olika regelverk som innehåller olika regler. När missbruksregeln försvinner kommer rättsläget, i vart fall för domstolarna, att bli än mer osäkert eftersom Datainspektionen menat att denna är tilllämplig vid publicering på internet och som huvudregel medger publicering om domen eller beslutet publiceras på det sätt som rättsinformationsförordningen stadgar. Det är viktigt att rättsläget klargörs eftersom allmänhet och media i allt större omfattning förväntar sig att kunna finna myndighetsinformation på nätet om t.ex. för domstolarnas del beslut, domar och förhandlingar samtidigt som rättsläget är väldigt oklart. Information till den registrerade Utredningen föreslår att den registrerade ska ha rätt att efter ansökan få information om den behandling av personuppgifter som en myndighet utför beträffande honom eller henne. Skyldigheten ska dock endast gälla personuppgifter som ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning eller utgör en sammanställning av personuppgifter. Uppgifter i ostrukturerat material omfattas alltså inte enligt förslaget. Den ordningen gäller redan i dag på grund av den så kallade missbruksregeln. Sverige kommer inte kunna behålla missbruksregeln när EUförordningen börjar gälla. Precis som utredningen konstaterar är det dock rimligt att myndigheter även fortsatt får en sådan lättnad som dagens missbruksregel innebär. En sådan lättnadsregel kan, som utredningen framhåller, inte anses strida mot EU-lagstiftningen. Domstolsverket tillstyrker att en sådan lättnadsregel in-

PM 8 (9) förs i MDL och anser att motsvarande bör gälla för domstolarna även om deras personuppgiftsbehandling särregleras. Bevarande och gallring Utredningen menar att utgångspunkten bör vara att arkivlagstiftningens bestämmelser om bevarande och gallring ska gälla för uppgifter i allmänna handlingar. Eftersom vi, som utredningen påpekar, går mot ett elektroniskt förvarande av allmänna handlingar och digital arkivering är det inte hållbart att den ordning som gäller enligt dagens registerförfattningar fortsätter att gälla även i framtiden. Dagens registerförfattningar bygger på att gallring är huvudregeln. En sådan ordning riskerar, som utredningen påpekar, att få allvarliga konsekvenser för offentlighetsprincipen och rätten till insyn och de andra intressen aktivlagstiftningen grundas på. Det framstår därför som korrekt att inte införa bestämmelser om gallring i MDL. Särskilda gallringsbestämmelser bör enligt utredningen utformas utifrån arkivlagstiftningens terminologi och bara ta sikte på att begränsa hur länge personuppgifter i allmänna handlingar få bevaras. Vi anser att dessa utgångspunkter är bra. Det vore dock önskvärt om lagstiftaren kunde göra en samlad översyn av offentlighetsprincipen i ett digitalt samhälle och där ta ställning till hur lagstiftning som till exempel personuppgiftsreglering på ett mer principiellt plan ska förhålla sig till denna i ett digitaliserat samhälle. Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet Utredningen föreslår dels en skyldighet att rätta felaktiga och ofullständiga uppgifter, dels att korrigera en behandling som av andra skäl inte är tillåten. Den utformning av reglerna som föreslås av utredningen är bättre förenliga med myndigheters skyldighet att bevara handlingar och uppgifter än vad dagens regler är, bland annat görs undantag för personuppgifter i beslut. Konsekvenser Vi instämmer i utredningens bedömning att införandet av en samlad och enhetlig reglering av myndigheters behandling av personuppgifter skapar bättre förutsättningar för myndigheternas personuppgiftsbehandling. Det är dock, som vi nämnt inledningsvis, mycket svårt att i detta skede överblicka vilka konsekvenser förslagen får för domstolarna vilket beror på att det varken är klart i vilken utsträckning lagen kommer att bli tillämplig i domstolarnas verksamhet eller hur övrig reglering på området kommer att se ut. För närvarande pågår ett arbete på Domstolsverket och i domstolarna med att förbereda DDL:s ikraftträdande. Verksamhetsstöden behöver anpassas på olika sätt för att leva upp till lagens krav. Om MDL blir tillämplig i domstolarnas verksamhet kommer det sannolikt att medföra att ytterligare anpassningar av verksamhetsstöden behöver göras. Omfattningen av detta anpassningsarbete går dock inte att ange i nuläget. Även för Domstolsverkets egen del är det svårt att överblicka konsekvenserna av förslagen. Anledningen är, som vi angett ovan, att det är osäkert hur gränsen mellan den administrativa verksamheten och kärnverksamheten ska dras ef-

PM 9 (9) tersom mycket av vår kärnverksamhet (service till domstolarna) är sådant som är administrativ verksamhet på andra myndigheter. Detta yttrande har beslutats av chefsjuristen Anna Hjort Ööpik och hovrättsassessorerna Karin Månsson och Jonna Wiborn (båda föredragande). Anna Hjort Ööpik

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss