Månadsuppgiftsutredningens betänkande Månadsuppgifter snabbt och enkelt (SOU 2011:40)



Relevanta dokument
Betänkandet SOU 2010:103 Särskilda spaningsmetoder

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Sverigedemokraternas medlemsregister

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Regeringskansliet Näringsdepartementet Enheten för transportpolitik Stockholm

Samråd om webbaserat verksamhetsstöd till Stockholms stads grundskolor

Ändrad rätt till ersättning för viss mervärdesskatt för kommuner

RP 305/2010 rd. I propositionen föreslås att lagen om besvärsnämnden. intressen skyddas genom sekretessen. Besvärsinstansernas

Utdrag ur protokoll vid sammanträde

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Moderaternas medlemsregister

Myndigheters tillgång till tjänster för elektronisk identifiering

Utdrag ur protokoll vid sammanträde

Skatteverkets promemoria Behandling av personuppgifter i Skatteverkets verksamhet med brottsutredningar

12 Yttrande över remissen Betänkande -Arbetslöshet och ekonomiskt bistånd (SOU 2015:44) AMN

Betänkandet Myndighetsdatalag (SOU 2015:39)

Utdrag ur protokoll vid sammanträde Ändrad deklarationstidpunkt för mervärdesskatt. Förslaget föranleder följande yttrande av Lagrådet:

Socialstyrelsens författningssamling

Region Skåne Fråga om utformning av fördelningsnyckel i ramavtal för radiologiprodukter

Utdrag ur protokoll vid sammanträde Preskription och information i försäkringssammanhang

Kommittédirektiv. En samordnad utveckling av validering. Dir. 2015:120. Beslut vid regeringssammanträde den 19 november 2015

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

HÖGSTA FÖRVALTNINGSDOMSTOLENS BESLUT

Elsäkerhetsverkets förslag till föreskrifter om ändring i ELSÄK-FS 2013:1

Informationsmeddelande IM2013:

Anmälan om sjukhusens läkemedelsförsörjning

Informationssäkerhet

Utdrag ur protokoll vid sammanträde Den nya inskrivningsmyndigheten

Tillsyn enligt personuppgiftslagen (1998:204) Arbetsmiljöverkets användning av Facebook

Sammanfattning. Utgångspunkter

Förslag till beslut Landstingsstyrelsen föreslås besluta MISSIV 1(1) LJ2014/1368. Förvaltningsnamn Landstingsstyrelsen

Ersättningsperiod vid anmälan om höjd inkomst och beslut om sjukpenninggrundande inkomst (SGI) för förfluten tid

Avgift efter prestation? Komplettering och förtydligande av rapport om fondbolagens avgifter

Tillämpning. Kommun, offentlighet. och. sekretess

Promemorian Vissa ändringar i lagen (2003:389) om elektronisk kommunikation

1 LAGRÅDET. Utdrag ur protokoll vid sammanträde

RP 27/2006 rd. 1. Nuläge och föreslagna ändringar. Enligt artikel 8 b i direktivet skall medlemsstaterna

1. Angående motion om julgran

Subsidiaritetsprövning av kommissionens förslag om ändring av direktiv 2011/96/EU om ett gemensamt beskattningssystem för

VÄGLEDNING FÖRETAGSCERTIFIERING Ansökan, recertifiering och uppgradering Version: (SBSC dok )

Vi skall skriva uppsats

HÖGSTA DOMSTOLENS BESLUT

Gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänst, läkemedel, folkhälsa m.m.

Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten och Tullverket

EUROPAPARLAMENTET. Utskottet för sysselsättning och socialfrågor

Yttrande över remiss av förslag till allmänna råd om prövning samt föreskrifter om prövning

1. Problemet. Myndigheten för samhällsskydd och beredskap Konsekvensutredning 1 (5) Datum

Råd. Utlämnande av uppgifter från HSA-katalog

En stärkt yrkeshögskola ett lyft för kunskap (Ds 2015:41)

Vägledning. De nordiska konsumentombudsmännens ståndpunkt om dold marknadsföring

Rutin för rapportering och handläggning av anmälningar enligt Lex Sarah

Överklagande. Prövningstillstånd. Kammarrätten i Göteborg Box Göteborg. Klagande Datainspektionen, Box 8114, Stockholm. Motpart N.

ANMÄLAN om förvaltare enligt Föräldrabalken 11 kap 7

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Remiss - Promemoria En bättre skolstart för alla: bedömning och betyg för progression i lärandet (U 2014:C)

Förberedelser inför EU:s dataskyddsförordning

Offentlighetsprincipen. Kortfattat om lagstiftningen

Yttrande över promemorian Förslag till ny lag om Pensionsmyndighetens premiepensionsverksamhet (Fi2016/01000/FPM)

Avgifter i skolan. Informationsblad

Kommittédirektiv. Genomförande av dataskyddsrambeslutet. Dir. 2010:17. Beslut vid regeringssammanträde den 25 februari 2010

Offentlighets- och sekretesslag

Aktiv väntan asylsökande i Sverige (SOU 2009:19)

REGERINGSRÄTTENS DOM

Socialdepartementet Ränta och dröjsmålsränta vid återbetalning av sjukersättning enligt 37 kap. socialförsäkringsbalken

Utdrag ur protokoll vid sammanträde

HÖGSTA DOMSTOLENS DOM

PBL om tidsbegränsade bygglov m.m

Konferens Vem bestämmer om arkiv

Möjlighet att leva som andra - ny lag om stöd och service till vissa personer med funktionsnedsättning (SOU 2008:77) - svar till kommunstyrelsen

Medborgarförslag om möjlighet att kunna välja Falkenbergs kommun som utförare av personlig assistans. KS

Yttrande över departementspromemorian Bortom fagert tal Om bristande tillgänglighet som diskriminering (Ds 2010:20)

Effektivare uppdatering av lägenhetsregistret. Magnus Bengtson (Finansdepartementet) Lagrådsremissens huvudsakliga innehåll

Beslut för gymnasieskola

Landstingsstyrelsens förslag till beslut

Betänkandet En ny förvaltningslag (2010:29)

FÖRSLAG TILL YTTRANDE

EUROPEISKA GEMENSKAPERNAS KOMMISSION. Utkast till BESLUT AV BLANDADE EG EFTA-KOMMITTÉN FÖR GEMENSAM TRANSITERING

MANUAL TILL AVTALSMALL FÖR KIST- OCH URNTRANSPORTER

Överenskommelse avseende uppföljningssystemet SUS

Gallring ur belastningsregistret av. av uppgifter om unga lagöverträdare.

Kostnader för personlig assistans

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Upplägg och genomförande - kurs D

Beslut för Föreningen Fogdaröd Omsorg, Vård & Utbildning Utan Personligt ansvar

5. Motion om policy för besvarande av post yttrande Dnr 2015/

VÅLD HOT OCH. inom omsorg och skola

I promemorian föreslås ändringar i patientsäkerhetslagen (2010:659) när det gäller användandet av yrkestitlar för tillfälliga yrkesutövare.

Tillämpliga bestämmelser för Skoljuridik exempelsamling

Kommittédirektiv. Utvärdering av hanteringen av flyktingsituationen i Sverige år Dir. 2016:47. Beslut vid regeringssammanträde den 9 juni 2016

HFD 2016 Ref 52. Högsta förvaltningsdomstolen meddelade den 20 juni 2016 följande beslut (mål nr ).

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) - PuL

Slopad särskild löneskatt för personer födda 1937 och tidigare

Uppdrag att införa en tjänst för ingivning av finansiell information avseende årsredovisningar m.m.

Arkivreglemente för Hälsinglands Utbildningsförbund Bilaga: Kommentarer och förklaringar.

Lagrum: 5 kap. 2 a och 3, 25 a kap. 23 och 23 a, 48 kap. 26 och 27 inkomstskattelagen (1999:1229)

Departementspromemorian Registrering av personuppgifter vid katastrofer utomlands (Ds 2009:12)

Tillsyn enligt personuppgiftslagen (1998:204)

Bortom fagert tal Om bristande tillgänglighet som diskriminering.

Beslut om ändring av telefoninummerplanen

När du som vårdpersonal vill ta del av information som finns hos en annan vårdgivare krävs det att:

Transkript:

Yttrande Diarienr 2011-11-04 944-2011 Ert diarienr FI2011/2588/S3 Finansdepartementet Skatte- och tullavdelningen 103 33 STOCKHOLM Månadsuppgiftsutredningens betänkande Månadsuppgifter snabbt och enkelt (SOU 2011:40) I betänkandet lägger Månadsuppgiftsutredningen fram åtgärder som syftar till att effektivisera den offentliga verksamheten, att utöka servicen gentemot enskilda, att förbättra myndigheternas kontrollmöjligheter och att korrekta inkomstrelaterade ersättningar lämnas från välfärdsystemen. Datainspektionen har granskat förslagen i betänkandet främst utifrån uppgiften att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Sammanfattning I betänkandet läggs förslag som i praktiken innebär en ny omfattande insamling av integritetskänsliga uppgifter om enskilda och ett utökat elektroniskt informationsutbyte av dessa uppgifter mellan olika aktörer. Bland annat föreslås att Skatteverket ska samla in och lagra, delvis känsliga, personuppgifter om enskilda, som inte behövs för myndighetens egen verksamhet. Detta skulle innebära ett väsentligt avsteg från en sedan länge etablerad princip, nämligen att den personuppgiftsansvarige enbart ska behandla personuppgifter som denne själv behöver. Det är i och för sig inte otänkbart att det kan finnas anledning att avvika från den principen, men i så fall krävs en proportionalitetsbedömning, det vill säga en utförlig och noggrann analys, där behovet av de förslagna åtgärderna vägs mot det intrång i enskildas personliga integritet som uppstår. Datainspektionen anser att utredningen inte har gjort en sådan genomgripande analys av förslagets konsekvenser för den personliga integriteten som krävs i detta fall. Utredningen har inte heller presenterat ett tillräckligt underlag för att en sådan analys ska kunna göras. Det är därför svårt att ta ställning till förslagets alla delar från integritetssynpunkt. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

Inledande synpunkter Det är naturligtvis angeläget att den offentliga förvaltningen bedrivs effektivt och serviceinriktat och att felaktiga utbetalningar inom välfärdssystemen minimeras. Om förslagen i betänkandet om elektroniska månadsuppgifter realiseras innebär det, som vi uppfattar det, en väsentligt ökad insamling och spridning av integritetskänslig information om enskilda. Vi anser att det är fråga om en så betydande kartläggning av enskildas personliga förhållanden att 2 kap. 6 andra stycket Regeringsformen blir tillämplig. Den bestämmelsen innebär att ett genomförande av de förslag som betänkandet lägger måste prövas mot grundlagen och regleras i lag. Lagar som inskränker integritetsskyddet får endast genomföras om det intresse som ska tillgodoses är så starkt och integritetsskyddsintresset så förhållandevis svagt att inskränkningen framstår som proportionerlig. Bestämmelsen innebär också att lagstiftaren tydligt måste redovisa vilka avvägningar som gjorts vid proportionalitetsbedömningen. Någon sådan redogörelse har utredningen inte lämnat. Det är därför svårt att närmare bedöma vilka konsekvenser det föreslagna informationsutbytet får för den personliga integriteten. Inriktningen i det här betänkandet är i huvudsak detsamma som betänkandet från Delegationen mot felaktiga utbetalningar (SOU 2008:74). I vårt remissyttrande över det betänkandet avstyrkte vi förslagen, eftersom utredningen överhuvudtaget inte hade gjort några överväganden kring frågor om skyddet för den personliga integriteten. Månadsuppgiftsutredningen innehåller däremot åtskilliga överväganden som rör den personliga integriteten. Utredningen har på ett förtjänstfullt sätt beskrivit sekretessfrågor som uppstår till följd av det föreslagna informationsutbytet och lämnat författningsförslag som innebär att sekretesskyddet hålls på en hög nivå. De rättsliga förutsättningarna för direktåtkomst har också uppmärksammats och utredningens förslag i den delen uppfyller de krav som är rimliga att ställa i dessa sammanhang. Sekretessfrågor och frågor om direktåtkomst är centrala för upprätthållandet av ett acceptabelt integritetsskydd vid elektroniska informationsutbyten. Men det är viktigt att den närmare analysen inte stannar vid dessa frågor. För att förslagets integritetskonsekvenser ska kunna bedömas, måste alla relevanta delar i informationsutbytet beskrivas och bli föremål för rättsliga överväganden. I det följande redovisar vi frågor av praktisk och principiellt stor betydelse för den personliga integriteten i samband med ett elektroniskt informationsutbyte av nu aktuellt slag. Dessa frågor behöver klargöras i det fortsatta lagstiftningsärendet. Sida 2 av 6

Säkerhet för personuppgifter Arbetsgivare är enligt utredningens förslag skyldiga att till Skatteverket månadsvis lämna uppgifter elektroniskt om utgiven ersättning och förmån som utgör intäkt i inkomstslaget tjänst. Om det i ersättningen ingår sjuklön eller kompletterande ersättningar vid föräldraledighet eller sjukdom ska dessa uppgifter anges särskilt. Det innebär att det aktuella informationsutbytet, utöver detaljerade uppgifter om inkomster som idag omfattas av absolut sekretess hos Skatteverket och som inte utan vidare kan spridas till andra myndigheter, i princip kommer att innehålla uppgifter som är att beteckna som känsliga enligt 13 personuppgiftslagen. Det ställer höga krav på administrativa och tekniska åtgärder för att skydda informationen mot obehörig åtkomst. Utredningen har, i linje med utredningsdirektiven, allmänt beskrivit hur infrastrukturen bakom det aktuella informationsutbytet ska se ut. Det är dock viktigt att i det fortsatta lagstiftningsarbetet närmare precisera infrastrukturen utifrån ett integritetsskyddsperspektiv. I sammanhanget är det värt att framhålla de krav på teknisk och administrativ säkerhet för personuppgifter som uppställs i 30 och 31 personuppgiftslagen. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, kostnaden för åtgärderna, särskilda risker med behandlingen och hur pass känsliga uppgifterna är. Vår uppfattning är att då personuppgifter som är känsliga enligt 13 personuppgiftslagen eller uppgifter som omfattas av sekretess görs tillgängliga för användare över öppna nät, som till exempel Internet, ska uppgifterna skyddas så att endast den avsedda mottagaren kan ta del av uppgifterna. Detta kan till exempel åstadkommas med kryptering vid överföring samt stark autentisering av mottagaren (eller mottagarens system). I det fortsatta lagstiftningsarbetet måste dessa frågor belysas. Överskottsinformation Det aktuella informationsutbytet innebär att uppgifter som per definition är känsliga eller uppgifter som på annat sätt är särskilt skyddsvärda ur integritetshänseende kommer att finnas tillgängliga för mottagande myndigheter genom direktåtkomst. Eftersom Skatteverket aldrig kan veta vilka personer som är aktuella i den mottagande myndighetens verksamhet, innefattar möjligheten till direktåtkomst uppgifter om en mycket stor del av landets befolkning. Det innebär att direktåtkomsten kommer att omfatta fler personuppgifter än de som den mottagande myndigheten faktiskt har behov av. Den enskilde handläggaren hos den mottagande myndigheten får då i praktiken tillgång till en mängd personuppgifter som denne aldrig har Sida 3 av 6

anledning att ta del av. För att minska risken för oacceptabla integritetsintrång måste åtkomsten till det insamlade materialet begränsas. Riskerna för obehörig åtkomst till personuppgifter kan i och för sig minskas med noggrann åtkomstbegränsning, utbildningsinsatser, instruktioner till användarna samt loggning och logguppföljning. Sådana åtgärder kan dock normalt aldrig till fullo ersätta ett system med inbyggda tekniska hinder. Med tanke på mängden uppgifter, antalet personer som kommer att omfattas och känsligheten hos de uppgifter som kommer att behandlas till följd av det föreslagna informationsutbytet, bör därför noga övervägas tekniska begränsningar, som enbart möjliggör sökningar på personer som är aktuella i den egna verksamheten. Skatteverkets tillgång till personuppgifter Utredningen förslår i avsnitt 8.2.10 att månadsuppgifterna, utöver de uppgifter som enligt nu gällande regler ska lämnas i den årliga kontrolluppgiften, ska innehålla uppgifter om sjuklön och kompletterande ersättningar vid föräldraledighet. Innehållet i den årliga kontrolluppgiften är enligt nuvarande regler i allt väsentligt utformat för Skatteverkets behov. Såvitt vi kan förstå motiverar utredningen det utökade informationsinnehållet i månadsuppgifterna utifrån Försäkringskassans behov av tillgång till dessa uppgifter. Förslaget innebär därför i praktiken att det i Skatteverkets databas kommer att registreras en stor mängd känsliga personuppgifter, utan att Skatteverket har behov av dessa i den egna verksamheten. Det är en sedan länge etablerad princip, som följer av de grundläggande kraven i 9 personuppgiftslagen, att den personuppgiftsansvarige enbart ska behandla personuppgifter som denne själv behöver. Det aktuella förslaget innebär ett väsentligt avsteg från denna princip och förutsätter en noggrann proportionalitetsbedömning, där behovet av de förslagna åtgärderna vägs mot det intrång i enskildas personliga integritet som uppstår. I den här delen efterlyser vi också en analys av hur detta förhåller sig till bland annat offentlighets- och sekretesslagen och särskild registerförfattning. Utredningen har inte presenterat några bedömningar av ovan angivna slag. Vi kan därför på föreliggande material inte ställa oss bakom förslaget i denna del. Utredningen konstaterar vidare i avsnitt 9 att uppgifter om frånvaro och arbetad tid skulle vara till nytta bland annat för kontrolländamål och därför i princip skulle kunna ingå i en månadsuppgift. Utredningen avstår dock i nuläget från att föreslå att dessa uppgifter inkluderas i månadsuppgiften. Sida 4 av 6

Utredningen hänvisar dels till den pågående parlamentariska socialförsäkringsutredningen där dessa frågor behandlas, dels till de merkostnader som skulle kunna uppstå för vissa företag till följd av ett sådant förslag. Vi är positiva till att utredningen avstår från att lägga förslag om att frånvaro och arbetad tid ska ingå i månadsuppgifterna. Vi vill dock betona att elektroniska informationsutbyten inte får styras enbart av effektivitets- och kostnadsskäl. Informationsutbytets konsekvenser för den personliga integriteten måste också vägas in. Personuppgiftsansvar I avsnitt 11 i betänkandet behandlas översiktligt de informationsflöden och den IT-lösning som utredningens förslag medför. Av redovisningen framgår att personrelaterad information kommer att flöda till och från Skatteverket och övriga inblandade aktörer på en mängd olika sätt. När olika aktörer utbyter information elektroniskt kan det uppstå oklarheter om personuppgiftsansvaret. I utredningen föreslås till exempel att arbetsgivare ska kunna överföra månadsuppgifter genom lönesystem som stödjer elektronisk överföring till Skatteverket. Vem ansvarar i dessa fall för att systemen uppfyller de krav på säkerhet som följer av personuppgiftslagen? I det fortsatta lagstiftningsärendet bör frågor om personuppgiftsansvar noga analyseras. Det får inte råda några oklarheter om vilken av de inblandade aktörerna som är ansvarig för behandlingen av personuppgifter i varje del av informationskedjan. Informationsutbyte med socialnämnderna Utredningen bedömer i avsnitt 19.3 att ett utökat informationsutbyte mellan Skatteverket och socialnämnderna av månadsuppgifter inte bör genomföras. Vi delar denna uppfattning. I utredningen föreslås dock att socialnämnderna med den biståndssökandes samtycke ska kunna inhämta månadsuppgifter från Skatteverket. Hur detta förfarande ska utformas praktiskt för att bli så effektivt som möjligt är enligt utredningen något som varje enskild kommun måste avgöra. Vi har två synpunkter i denna del. För det första befinner sig den som ansöker om ekonomiskt bistånd ofta i en utsatt situation och är typiskt sett i en utpräglad beroendeställning gentemot socialnämnden för sin försörjning. Det kan därför ifrågasättas om ett samtycke från den enskilde till behandling av personuppgifter i dessa fall uppfyller det krav på frivillighet som personuppgiftslagen kräver. För det andra ställer vi oss frågande till att socialnämnderna själva ska kunna bestämma hur åtkomsten till månadsuppgifterna praktiskt ska gå till utifrån rena effektivitetsskäl. Förutsättningarna för socialnämndernas inhämtning av månadsuppgifter får Sida 5 av 6

inte överlåtas åt socialnämnderna att besluta om, utan måste omgärdas av tydlig författningsreglering. Avslutande synpunkter Utredningen konstaterar i avsnitt 6 att flera myndigheter redan deltar i elektroniska informationsutbyten med andra myndigheter och att det i dessa fall har ansetts vara förenligt med kraven på skydd mot oacceptabla intrång att tillåta dessa utbyten. Utredningen anser därför att det är svårt att generellt hävda att ytterligare elektroniska informationsöverföringar mellan myndigheter skulle vara oförenliga med skyddet av den personliga integriteten. Vi vill i detta sammanhang lyfta fram vad integritetsskyddskommittén anfört i sin sammanfattande analys kring vikten av systematisering vid behandling av frågor om integritetsskydd (SOU 2007:22 s. 455). Vi delar kommitténs uppfattning och anser att enbart det skälet att det redan förekommer informationsutbyten inte medför att det är ett acceptabelt intrång i den enskildes integritet att utbyta fler uppgifter eller involvera fler myndigheter i utbytet. Risken för oacceptabla intrång i den personliga integriteten ökar ju fler uppgifter som görs tillgängliga för sammanställning. Ett utökat elektroniskt utbyte av personuppgifter, som nu föreslås, kräver därför en integritetsanalys som tar hänsyn till helheten och behovet av denna analys försvinner inte på grund av att utvecklingen sker gradvis. Detta yttrande har beslutats av generaldirektören Göran Gräslund i närvaro av teamledaren Britt-Marie Wester och juristen Oskar Öhrström, föredragande. Göran Gräslund Oskar Öhrström Sida 6 av 6