Hur står det till med den personliga integriteten? (SOU 2016:41)

Relevanta dokument
Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Snabbare lagföring (Ds 2018:9)

Så stärker vi den personliga integriteten SOU 2017:52

Kommittédirektiv. Tilläggsdirektiv till Utredningen om kameraövervakning brottsbekämpning och integritetsskydd (Ju 2015:14) Dir.

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Remiss: Integritetskommitténs slutbetänkande Så stärker vi den personliga integriteten (SOU 2017:52)

Hemlig dataavläsning ett viktigt verktyg i kampen mot allvarlig brottslighet (SOU 2017:89)

Remiss av SOU 2015:66 En förvaltning som håller ihop

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Datalagring och integritet (SOU 2015:31)

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Datainspektionen lämnar följande synpunkter.

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Promemorian Integritetsskyddsmyndigheten ett nytt namn för Datainspektionen

Kommittédirektiv. Möjligheterna till kameraövervakning ska förenklas. Dir. 2017:124. Beslut vid regeringssammanträde den 13 december 2017

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Svensk författningssamling

Svar på remiss, Så stärker vi den personliga integriteten, (SOU 2017:52)

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Beslag och husrannsakan ett regelverk för dagens behov (SOU 2017:100)

Remissen Läkemedelsverkets förslag till föreskrifter för Nationella medicinska informationssystem

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)

Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m.

SOU 2015:84 Organdonation En livsviktig verksamhet

Yttrande över betänkandet En ny kamerabevakningslag

Komplettering av överklagande

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Personuppgiftsansvarig och personuppgiftsbiträde

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

Behandling av personuppgifter vid Försvarsmakten och Försvarets radioanstalt (SOU 2018:63)

Remittering av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning

Kommittédirektiv. Genomförande av EU:s direktiv om skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet

Beslut om förteckning enligt artikel 35.4 i EU:s allmänna dataskyddsförordning 2016/679

Datainspektionens riktlinjer för förebyggande och korrigerande befogenheter samt administrativa sanktionsavgifter enligt brottsdatalagen

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Tillsyn enligt personuppgiftslagen (1998:204) hjälpmedelshanteringssystemet Sesam

Yttrande i Förvaltningsrätten i Stockholms mål

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Så stärker vi den personliga integriteten (SOU 2017:52)

Sammanställning av Datainspektionens möten med verksamheter hösten 2018

Stockholm den 27 september 2017

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

Stockholm den 25 november 2015 R-2015/2121. Till Justitiedepartementet. Ju2015/08545/L4

Överklagande. Prövningstillstånd. Kammarrätten i Jönköping Box Jönköping. Klagande Datainspektionen, Box 8114, Stockholm

Utkast till lagrådsremissen Vägtrafikdatalag

Hur står det till med den personliga integriteten? (SOU 2016:41)

Svar på förfrågan om vad som utgör en känslig personuppgift

Personuppgiftslagen baseras på det s.k. dataskyddsdirektivet (95/46/EG). Inom EU har det beslutats att detta direktiv ska ersättas av

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Kommittédirektiv. En myndighet med ett samlat ansvar för tillsyn över den personliga integriteten. Dir. 2014:164

Betänkandet Brottsdatalag (SOU 2017:29)

Tillsyn enligt kameraövervakningslagen (2013:460) Försäkringskassans användning av webbkameror

YTTRANDE. Dnr Ju2017/05090/L6. Så stärker vi den personliga integriteten (SOU 2017:52) slutbetänkande av Integritetskommittén

Vissa frågor om sekretess med anledning av EU:s dataskyddsreform

Svensk författningssamling

Remissyttrande över promemorian En omarbetad domstolsdatalag Anpassning till EU:s dataskyddsförordning

Remiss av betänkandet 2014 års utlänningsdatalag (SOU 2015:73)

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

Klagande Datainspektionen, Box 8114, Stockholm. Motpart MarknadsTing i Gånarp AB, Munka Ljungby

Kommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

PERSONUPPGIFTSBITRÄDESAVTAL

Våra frågor Datainspektionen vill att ni svarar på följande frågor:

Yttrande över slutbetänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

En anpassning till dataskyddsförordningen kreditupplysningslagen och några andra författningar

Yttrande över promemorian Införande av vissa internationella standarder i penningtvättslagen

Varför granskar Datainspektionen er verksamhet?

Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert

FÖRSLAG TILL BETÄNKANDE

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn. Räddningstjänsten i Östra Skaraborg

Yttrande över Departementspromemorian Domstolsdatalag (DS 2013:10)

Betänkandet En ny kamerabevakningslag

Yttrande över remiss av slutbetänkandet reboot omstart för den digitala förvaltningen (SOU 2017:114)

Finansdepartementet Avdelningen för offentlig förvaltning Föreskriftsrätt för Lantmäteriet enligt förordningen om lägenhetsregister Maj

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn avseende undersökningen Hälsa Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Föredragande borgarrådet Karin Wanngård anför följande.

Myndighetsdatalag (SOU 2015:39)

Yttrande över betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning

Kommittédirektiv. Nya regler om åtgärder mot penningtvätt och finansiering av terrorism. Dir. 2014:140

Transkript:

Yttrande Diarienr 1 (6) 2016-10-21 1360-2016 Ert diarienr Ju2016/04398/L6 Justitiedepartementet 103 33 Stockholm Hur står det till med den personliga integriteten? (SOU 2016:41) Datainspektionen har granskat delbetänkandet huvudsakligen utifrån myndighetens uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Datainspektionen tillstyrker förslaget att Datainspektionen ges i uppdrag att årligen lämna en redovisning till regeringen. Däremot motsätter sig Datainspektionen att det i uppdraget ska ingå att analysera och beskriva de legala förutsättningarna för integritetsskyddet. Datainspektionen har också synpunkter på kommitténs bedömning av kostnaderna för uppdragets genomförande. Datainspektionen framhåller i samband därmed att myndigheten har ett stort behov av ytterligare resurser med anledning av EU:s dataskyddsreform. Den nya dataskyddsförordningen ålägger varje medlemsstat att se till att tillsynsmyndigheten får de finansiella resurser som är nödvändiga för att myndigheten effektivt ska kunna utföra sina uppgifter (artikel 52 punkt 4 och skäl 120). Datainspektionen lämnar i det följande även en del allmänna synpunkter på delbetänkandet. Inledning Datainspektionen anser att delbetänkandet i stort ger en bra beskrivning av de risker för intrång i den personliga integriteten som kan uppkomma i samband med användning av informationsteknik. Delbetänkandet täcker in många områden och företeelser och kan fungera som en ögonöppnare när det gäller omfattningen av de risker för integritetsintrång som den enskilde dagligen utsätts för. Det kan dock vara värt att lyfta fram att bilden inte är heltäckande och att den snabbt förändras. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00

Datainspektionen 2016-10-21 Diarienr 1360-2016 2 (6) Datainspektionen ser ingen anledning till att närmare kommentera slutsatserna av de riskbedömningar som kommittén har gjort för respektive företeelse. Datainspektionen har dock synpunkter på att delbetänkandet inte innehåller några reflektioner över i vilken mån den nya dataskyddsförordningen 1 och det nya direktivet inom den brottsbekämpande sektorn 2 påverkar bedömningen av riskerna för intrång. Dataskyddsförordningen ska börja tillämpas den 25 maj 2018 och direktivet inom den brottsbekämpande sektorn ska vara implementerat i nationell rätt senast den 6 maj 2018. Det innebär att i princip allt inom dataskyddsområdet som ska äga giltighet efter maj 2018 måste beakta den nya förordningen och det nya direktivet. Det är därför en brist att kommittén inte reflekterat över förordningen och direktivet vid sin bedömning av riskerna. 23 Vilket skydd erbjuder samhället den enskilde? Tillsyn, ekonomisk ersättning och straffrättsliga sanktioner Kommittén konstaterar att sanktionssystemet inte har den kompensatoriska och preventiva effekt som är önskvärd. Med anledning av detta vill Datainspektionen, precis som ovan, framhålla att samtliga analyser borde innehålla reflektioner över i vilken mån den nya dataskyddsförordningen och det nya direktivet inom den brottsbekämpande sektorn påverkar bedömningen. Förordningen innehåller möjligheter för tillsynsmyndigheten att utfärda administrativa sanktionsavgifter på betydande belopp (artikel 83). Sanktionsavgiften kan åläggas såväl personuppgiftsansvariga som personuppgiftsbiträden. Enskilda ges, liksom idag, rätt till skadestånd och även här kan både personuppgiftsansvariga och personuppgiftsbiträden bli skyldiga att betala (artikel 82). Tillsyn Kommittén bedömer att omfattningen av tillsynen inom området inte är tillräckligt stor för att säkerställa skyddet för behandlade personuppgifter på 1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 2 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

Datainspektionen 2016-10-21 Diarienr 1360-2016 3 (6) ett önskvärt sätt. (s. 636). Datainspektionen delar uppfattningen att tillsynen behöver utökas med tanke på hur omfattande och komplex digitaliseringen är. Datainspektionen vill dock i sammanhanget framhålla att det inte är tillsynsmyndigheten utan den som, i egenskap av personuppgiftsansvarig, utför en behandling som ansvarar för att regelverken följs så att personuppgifterna skyddas på ett önskvärt sätt. Tyvärr möts Datainspektionen inte sällan av uppfattningen att en behandling är laglig så länge Datainspektionen inte sagt att den är felaktig oavsett om behandlingen varit föremål för tillsyn eller inte. Som tillsynsmyndighet kan Datainspektionen omöjligen bedriva faktisk tillsyn över all eller ens merparten av den personuppgiftsbehandling som sker i samhället. Tillsynen kan endast utgöras av stickprovskontroller. Tillsynsmyndigheten har dock, såsom framgår av betänkandet, en viktig roll att tolka gällande bestämmelser och fatta tillsynsbeslut som kan ge ledning åt personuppgiftsansvariga vid de bedömningar som de måste göra. Datainspektionen försöker därför vara strategisk i valet av tillsyn, för att kunna göra så stor nytta som möjligt med de resurser myndigheten har. Vid sidan av tillsynen av enskilda verksamheter har myndigheten också i uppdrag att ge information och vägledning. Datainspektionen använder sina resurser för att på olika sätt genom förebyggande arbete bidra till skyddet för personuppgifter. Myndigheten bedriver upplysningsverksamhet, håller utbildningar, svarar på förfrågningar, stöttar personuppgiftsombud, samråder med utredningar och olika verksamheter samt deltar med experter i utredningar och svarar på remisser. Beträffande remisshanteringen så är den omfattande och tidskrävande, dels för att det är frågan om många remisser, dels för att dataskyddsreglerna i många lagstiftningsprocesser antingen inte har beaktats alls eller för att föreslagen personuppgiftsbehandling inte analyserats på ett sådant sätt att det är möjligt att göra en seriös avvägning mellan integritetsintrång och uppdrag. 3 Sammanfattningsvis är inspektionens förebyggande arbetet väl så viktigt för att försöka säkerställa skyddet för behandlade personuppgifter på ett önskvärt sätt. Det är viktigt att ge stöd och vägledning, så att de som vill göra rätt också kan göra rätt. Det är även viktigt att verka för att det inte tillskapas nya regelverk som inte överensstämmer med de grundläggande 3 Se t.ex. Datainspektionens remissyttrande, dnr 376-2016, Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91).

Datainspektionen 2016-10-21 Diarienr 1360-2016 4 (6) dataskyddsbestämmelserna. Det förebyggande arbetet kan därför inte prioriteras bort till förmån för ytterligare tillsynsverksamhet. Omfattningen av tillsynen över hur regleringen efterlevs är således beroende av de resurser som Datainspektionen har att tillgå. 24 Förslag om ökad information till regering och riksdag Datainspektionen tillstyrker förslaget att Datainspektionen ges i uppdrag att årligen lämna en redovisning till regeringen. Däremot motsätter sig Datainspektionen att det i uppdraget ska ingå att analysera och beskriva de legala förutsättningarna för integritetsskyddet. Kommitténs förslag på utökat uppdrag för Datainspektionen avseende information till regeringen ligger till viss del i linje med vad som åläggs tillsynsmyndigheten enligt dataskyddsförordningen. Av artikel 57 första punkten framgår att en av tillsynsmyndighetens uppgifter är att följa sådan utveckling som påverkar skyddet av personuppgifter, bland annat inom informations- och kommunikationsteknik och affärspraxis (i). Det är också tillsynsmyndighetens uppgift att öka medvetenheten om och förståelse för risker, regler, skyddsåtgärder och rättigheter i fråga om behandling och att i enlighet med nationell rätt ge rådgivning åt bl.a. riksdag och regering om lagstiftningsåtgärder och administrativa åtgärder (b, e). Enligt förordningens artikel 59 ska myndigheten också upprätta en årlig rapport om sin verksamhet och översända den till bland annat regering och riksdag. Datainspektionen tillstyrker därför att det är Datainspektionen som ges i uppdrag att stå för den produkt som ska ligga till grund för att tillgodose det behov av ökad information till regering och riksdag som kommittén har identifierat. Datainspektionen anser emellertid att det i det fortsatta lagstiftningsarbetet behöver analyseras hur den föreslagna bestämmelsen förhåller sig till dataskyddsförordningen och till Dataskyddsutredningens kompletterande nationella bestämmelser gällande Datainspektionen. Vidare ifrågasätter Datainspektionen att myndigheten ska analysera och beskriva de legala förutsättningarna för integritetsskyddet. I betänkandet uttrycks ett behov av att analysera hur de legala förutsättningarna löpande förändras. Som exempel på vad sammanställningen och analysen skulle kunna innehålla nämns ny lagstiftning och förslag till lagstiftning, [och] lagförslag som blivit liggande men som är önskvärda för att stärka integriteten (s. 648). Från den 25 maj 2018 är det emellertid dataskyddsförordningen inte nationell lagstiftning som huvudsakligen

Datainspektionen 2016-10-21 Diarienr 1360-2016 5 (6) avgör de legala förutsättningarna för integritetsskyddet vid behandling av personuppgifter. Tillsynsmyndigheterna har enligt artikel 57 att övervaka förordningens tillämpning. Om nationell rätt inte överensstämmer med förordningen så ingår det således i Datainspektionens uppgift att påtala detta. Det kan däremot inte anses vara tillsynsmyndighetens sak att analysera de legala förutsättningarna för integritetsskyddet som förordningen ger. Även i denna del behöver fortsatt analyseras hur förslaget förhåller sig till dataskyddsförordningen och det nya direktivet om behandling av personuppgifter inom den brottsbekämpande sektorn. Datainspektionen anser även att formuleringen bör ändras, så att det förtydligas att Datainspektionens uppdrag endast har sin utgångspunkt i skyddet för den enskildes personliga integritet vid behandling av personuppgifter. Det är utifrån denna utgångspunkt som myndigheten ska följa, analysera och beskriva utvecklingen på IT-området. Datainspektionens uppdrag när det gäller att följa ny teknik bör därför tydligare kopplas samman med att det ska röra den personliga integriteten vid behandling av personuppgifter. I dataskyddsförordningen anges att varje medlemsstat ska se till att tillsynsmyndigheten bland annat får de finansiella resurser som är nödvändiga för att myndigheten effektivt ska kunna utföra sina uppgifter (artikel 52 punkt 4 och skäl 120). Det är svårt att närmare bedöma omfattningen av det arbete som krävs när den mest aktuella och betydelsefulla utvecklingen som påverkar den personliga integriteten ska sammanfattas och analyseras (s. 648). Det anges att det vore önskvärt med en analys av den sammantagna effekten som utvecklingen har eller kan få för enskildas personliga integritet och för samhällsutvecklingen i stort. Datainspektionen kan konstatera att myndigheten förväntas utföra en omfattande omvärldsbevakning (s. 654) men hur omfattande är svårt att bedöma. IT-området omfattar i princip all verksamhet i samhället idag och utvecklingen går enormt snabbt framåt. Vilka resurser Datainspektionen tilldelas är givetvis avgörande för vad Datainspektionen kan leverera. Kommittén har förslagit att Datainspektionen ska tilldelas en miljon kronor, för en kvalificerad årsarbetskraft, men också påtalat att det sannolikt kommer att krävas anlitande av konsulttjänster. Någon ersättning för konsulttjänsterna har inte föreslagits. Datainspektionen vill i sammanhanget framhålla att myndigheten står inför stora förändringar med anledning av den nya dataskyddsförordningen och det nya direktivet om behandling av

Datainspektionen 2016-10-21 Diarienr 1360-2016 6 (6) personuppgifter inom den brottsbekämpande sektorn. Med anledning därav bedömde myndigheten i februari 2016 att den behövde en resursförstärkning på knappt 12 miljoner kronor för 2017 och på drygt 16,5 miljoner kronor vardera för åren 2018 och 2019. Härefter har förordningen och direktivet antagits och analyserna av Datainspektionens behov av resurser har fortsatt. Datainspektionen bedömer nu att behovet av resurser är ännu större än vad som framgår av senaste budgetunderlaget och kommer därför att yrka ytterligare resurser med anledning av dataskyddsreformen. Regeringens budgetproposition för 2017 innehåller ett förslag på ökat anslag på endast omkring 5 miljoner kronor för 2017-2020. För att Datainspektionen ska kunna bedriva tillräcklig tillsyn och samtidigt klara alla övriga utmaningar som väntar med anledning av dataskyddsreformen krävs det att myndigheten ges tillräckliga resurspåslag för varje tillkommande uppgift som den åläggs. Datainspektionen delar kommitténs slutsats att det saknas behov av ett nytt organ för säkrare avvägning i lagstiftningen (kap. 24.5.1). Det bör heller inte, med hänsyn till dataskyddsförordningens krav på en fullständigt oberoende tillsynsmyndighet (artikel 52 punkten 1), inrättas ett rådgivande organ vid Datainspektionen (kap. 24.5.6). Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av juristen Lena Carlsson. Vid den slutliga handläggningen har även chefsjuristen Hans-Olof Lindblom och enhetschefen Katarina Tullstedt deltagit. Kristina Svahn Starrsjö Lena Carlsson

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss