YTTRANDE Dnr 2005-11-29 1678-2005 Ert dnr 131 576292 05/111 Skatteverket Att: Johan Bålman 171 94 Solna Förslag beträffande en Vägledning för Elektroniskt informationsutbyte mellan myndigheter samt mellan myndigheter och företag principer för användning av e-legitimationer och utformning av åtkomstkontroll. Datainspektionen har getts tillfälle att lämna synpunkter på Skatteverkets förslag till vägledning. Om bakgrunden till vägledningen anges att Nämnden för elektronisk förvaltning (e-nämnden) har uppdragit åt Skatteverket att genomlysa rättsfrågor vid elektroniskt informationsutbyte mellan myndigheter och mellan myndighet och privaträttsliga organ. Syftet är att etablera myndighetsgemensamma principer för utformning av rutiner och IT-stöd, så att uppgiftslämnandet kan ske på ett betryggande och juridiskt hållbart sätt. Vid utformningen av principerna bör en avvägning göras mellan enskildas behov av skydd för den personliga integriteten och nyttan för samhället och rättssäkerheten. SAMSET-projektet har som ett led i uppdraget gjort en omfattande rättsutredning (SAMSET-rapporten 2005:1, Elektroniskt informationsutbyte myndighetsgemensamma rättsfrågor). Den rapporten omfattas dock inte, enligt vad som framgår av remisskrivelsen och av vad som uttryckligen upplysts av Skatteverket vid ett halvdagsseminarie i ärendet, av remissen. Datainspektionen lämnar därför i det följande endast synpunkter på förslaget till vägledning. Det innebär inte att rättsutredningen enligt Datainspektionens mening är invändningsfri. Datainspektionen ser positivt på ambitionen att ta fram en vägledning för myndigheterna i dessa frågor. Emellertid är de rättsliga frågorna kring elektroniskt Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: http://www.datainspektionen.se Telefax: 08-652 86 52
2 (7) tillhandahållande av information komplicerade. Det framgår med all tydlighet av SAMSET-rapporten 2005:1 och även av förslaget till vägledning. Som vägledningen nu är utformad kan den fungera som en allmän information kring frågor om informationsutbyte. Den duger dock inte som ett underlag för myndigheternas beslut i konkreta fall. Detta beror på att vägledningens principer i många fall är alltför generaliserande och ger uttryck för en långtgående förenkling av en komplex verklighet. Om vägledningen ska ges ut är det mycket viktigt att detta framhålls samt att nedanstående synpunkter beaktas. Innan vägledningen antas är det enligt Datainspektionens mening nödvändigt att göra en bredare beredning så att juridisk expertis på sekretessområdet kan belysa förslaget. En sådan belysning bör även omfatta den förstudie (SAMSET-rapporten 2005:1) som förslaget till vägledning bygger på. Som Datainspektionen anger nedan måste vägledningen också lyfta fram frågorna om krav på säkerhet vid kommunikation av personuppgifter. 3 Utgångspunkter för myndigheternas bedömning av frågor kring åtkomst B. Åtkomst till uppgifter som skyddas av regler om persondataskydd och sekretess I rutan under denna punkt ges en uppräkning av i vilka fall en myndighet kan ges åtkomst till sekretessbelagda uppgifter som en annan myndighet förfogar över och som inte skyddas av en särskild registerförfattning och det anges i ett andra stycke att det beträffande de tre först uppräknade fallen - och i vissa fall även i de övriga - bör finnas förutsättningar att göra en tillräckligt säker generell sekretessprövning på förhand, så att automatiserade rutiner blir möjliga. Datainspektionen anser att det som anges i rutan inte står helt i överensstämmelse med hur sekretesslagens regler är tänkta att tillämpas. När det exempelvis gäller generalklausulens (14 kap. 3 sekretesslagen) tillämpning så förutsätter den att det ska vara uppenbart att intresset av att uppgifterna lämnas har företräde framför det intresse som sekretessen ska skydda. Här används i vägledningen inte ordvalet uppenbart utan istället om att nyttan av att uppgifterna lämnas har företräde. Till detta kommer att uppgiftslämnanden med stöd av generalklausulen främst är avsett för uppgiftsutbyte mellan myndigheter med samma eller närliggande verksamheter.
3 (7) I övrigt ska normalt stor restriktivitet iakttas. Generalklausulen anses i och för sig kunna utgöra grund för att utbyta uppgifter mellan myndigheter eller mellan en myndighets olika verksamhetsgrenar rutinmässigt även utan författningsreglering. Sekretesslagen bygger emellertid på att rutinmässigt uppgiftsutbyte i regel ska vara författningsreglerat (jfr. prop. 1979/80:2 del A s. 326 och prop.2000/01:129 s. 24). Att så är fallet borde komma till tydligt uttryck i vägledningen. I vägledningen bör man lyfta fram att utgångspunkten hittills, med hänsyn till enskildas personliga integritet, har varit att elektroniskt utlämnande av uppgifter i myndighetsregister till andra myndigheter (eller enskilda företag och andra organisationer) ofta kräver en särskild reglering. Som vid sekretessprövningen måste man i dessa frågor om införande av automatiserade rutiner göra en prövning med hänsyn till alla föreliggande omständigheter, såsom uppgifternas beskaffenhet, de registrerades inställning, behörighetskontroll och annan teknisk utformning av informationssystemet, de ändamål för vilka uppgifterna kan komma att användas samt det skydd uppgifterna kommer att ha hos den mottagande myndigheten eller organisationen/företaget. En annan sak som inte kommer fram av vägledningen och som har betydelse för möjligheten till elektroniskt utlämnande genom automatiserade rutiner är betydelsen av hur en sekretessregel är utformad dvs. om det är fråga om ett rakt eller omvänt skaderekvisit som skyddar informationen. Det raka skaderekvisitet innebär en presumtion för offentlighet och att tillämparen kan göra sin bedömning inom ganska vida ramar och inte i första hand genom en skadebedömning i det enskilda fallet. Det omvända rekvisitet innebär att sekretess gäller, om det inte står klart att uppgiften kan röjas utan skada. Det omvända rekvisitet utgår från att sekretess är huvudregel och innebär att tillämparen har ett ganska begränsat utrymme för sin bedömning. Det har varit lagstiftarens avsikt att en skadeprövning enligt det omvända skaderekvisitet i regel ska ske i varje enskilt fall dvs. varje gång en uppgift lämnas ut från myndigheten. En generell sekretessprövning på förhand är därför inte tillräckligt för ett sekretessgenombrott när stark sekretess gäller. Ett massutlämnande såsom det kan bli fråga om vid automatiserade rutiner brukar således inte anses förenligt med sådan stark sekretess (se exv. prop. 1990/91:111).
4 (7) I den andra punkten i uppräkningen anges den som begär uppgiften har samtyckt till utlämnandet. Avses här det fallet att den uppgifterna avser (exv. den registrerade i en databas) har begärt att en myndighet hämtar in information från en annan myndighet dvs. hos den som förvarar uppgifterna och att det i den meningen finns ett samtycke till att uppgifterna lämnas ut? I så fall skulle skrivningen förslagsvis kunna ges följande lydelse: den som uppgifterna avser har samtyckt till utlämnandet. Motsvarande synpunkt gäller skrivningen i tredje stycket första punkten i rutan. När det gäller tredje stycket måste särskilt framhållas att en annan förutsättning för att ett företag ska kunna få ges åtkomst till personuppgifter är att företagets behandling har stöd i PuL. Hinder kan exempelvis föreligga om det avser behandling av känsliga personuppgifter. När det gäller skrivningen i stycket under rutan är det en slutsats som enligt Datainspektionens mening inte utan vidare bör läggas till grund för vägledningen. Slutsatsen som bygger på OSEK:s bedömning och förslag till ny sekretesslag är inte invändningsfri. OSEK:s betänkande bereds för närvarande i regeringskansliet. C. Åtkomst till uppgifter som skyddas av en registerförfattning Beskrivningen i rutan är enligt Datainspektionens mening starkt förenklande och kan därför vilseleda. Naturligtvis har bestämmelserna om ändamål i författningsregleringen betydelse för frågan om uppgifterna kan lämnas ut men det kan också finnas uttryckliga bestämmelser i författningen som reglerar frågan om elektroniskt utlämnande. För att avgöra om ett utlämnande genom automatiska elektroniska rutiner är möjlig när uppgifterna skyddas av registerförfattning får man precis som beträffande annan författningsreglering göra en tolkning av regleringens innehåll. Även om regleringen inte innehåller uttryckliga regler om elektroniskt utlämnande kan frågan vara behandlad i förarbetena. Dessa kan ge behövlig vägledning för frågan om elektroniska rutiner för att lämna ut uppgifter till andra myndigheter eller till företag och organisationer är avsedda och i så fall under vilka förutsättningar. Sekretesslagens bestämmelser måste naturligtvis också beaktas liksom behovet av att undersöka om införandet av det rutinmässiga elektroniskt informationsutbytet kan behöva författningsregleras. Med hänsyn till enskildas personliga integritet har
5 (7) utgångspunkten hittills varit att elektroniskt utlämnande av uppgifter i myndighetsregister till enskilda företag och andra organisationer kan kräva en särskild reglering av mottagarens behandling eller att verksamheten står under särskild tillsyn. 3.1 Beslutsmönster för myndighetens juridiska bedömning De synpunkter som Datainspektionen ovan redovisat kring slutsatserna under avsnitt 3 gäller på motsvarande sätt för innehållet i delavsnitt 3.1. 4 Bedömning av frågor om form och metod för utlämnande A. Uppgiftsutlämnande enligt PuL Även i detta avsnitt anser Datainspektionen att beskrivningen är väl förenklad. Det är riktigt att PuL inte innehåller några särskilda regler om metoden för att lämna ut uppgifter. Samtidigt kan metoden ha betydelse för flera av den lagens bestämmelser t.ex. i fråga om kraven på säkerhet men också i fråga om behandlingens tillåtlighet som sådan. Det som anges i rutan kan vilseleda. Ett av de grundläggande kraven på behandling av personuppgifter är att behandlingen är laglig. Vad som är lagligt följer av bestämmelserna i PuL men också av annan lagstiftning såsom sekretesslagen. Ett utlämnande i elektronisk form måste naturligtvis också vara förenligt med sekretesslagen. Som angetts under synpunkterna på avsnitt 3 kan sekretessregleringen ha betydelse också för vilken form av åtkomst som kan ske. I tredje stycket anges att ett befogat elektroniskt utlämnande mellan myndigheter vanligtvis är förenligt med de grundläggande kraven i PuL och reglerna i PuL om när behandling av personuppgifter är tillåten. Enligt Datainspektionens mening är det ett alltför generellt påstående. Skrivningen borde snarare ha en lydelse som angav att reglerna i PuL måste beaktas vid utformningen av ett sådant elektroniskt utlämnande dvs. att bl.a. de grundläggande kraven och reglerna om tillåten behandling i PuL måste iakttas.
6 (7) 5 Myndighetsgemensamma principer för åtkomstkontroll och användning av e-legitimationer 5.1 Principer för åtkomstkontroll Datainspektionen delar helt uppfattningen att åtkomstkontroll ska bygga på en säker identifiering av den som begär åtkomst. När det gäller skrivningen under B ifrågasätter Datainspektionen att identifiering av en myndighet som begär en uppgift av en annan myndighet alltid bör ske på organisationsnivå. Skrivningen är väl kategorisk och skulle istället kunna ange att identifiering kan ske på organisationsnivå, om det inte finns särskilda omständigheter som talar för att identifieringen bör ske på individnivå. Detta mot bakgrund av att det i vissa fall kan vara fråga om att den information som efterfrågas är av sådan integritetskänslig natur att den utlämnande myndigheten måste ha fullständig kontroll över till vem hos den mottagande myndigheten informationen lämnas ut. Ang. not 9 anser Datainspektionen att elektronisk brevlåda inte är en bra definition av ett elektroniskt mottagningsställe. I vart fall bör skrivningen på en webbplats strykas. Ang. not 11 anser Datainspektionen att Webservercertifikat kan ersättas av begreppet severcertifikat. I fjärde stycket under avsnitt 5.2.3 A som börjar med Eftersom rutinerna berörs frågan om informationsutbyte som avser uppgifter som skyddas av sekretess och myndigheternas behov av överväganden om krav på mottagaren. Det aktualiserar en fråga som Datainspektionen anser att vägledningen saknar nämligen betydelsen av säkerheten för informationen vid kommunikationen. Såvitt det gäller personuppgifter som ska kommuniceras elektroniskt måste exempelvis reglerna i PuL om säkerhet beaktas. Personuppgifter som sänds via nät bör beroende på känsligheten hos personuppgifterna skyddas, t.ex. genom kryptering. Hur säkerheten är utformad är naturligtvis en fråga som myndigheterna måste väga in i ett tänkt informationsutbyte. Det måste lyftas fram i vägledningen.
7 (7) 6.2.1 Myndigheters skyldighet att lämna ut uppgifter till företag Skrivningen i andra stycket om offentlighetsprincipen skulle kunna förtydligas så att det framgår att en myndighet inte är skyldig att i större utsträckning än vad som följer av lag lämna ut en upptagning för automatiserad behandling i annan form än utskrift (jfr. 2 kap. 13 TF). 6.5.4 E-nämndens bedömning I fråga om skrivningarna i andra stycket om generell prövning på förhand och att detta möjliggör en automatiserad, elektronisk hantering gäller de synpunkter Datainspektionen redovisat på avsnitt 3 B om betydelsen av hur tillämplig sekretessbestämmelse är utformad. 7 Formen och metoden för utlämnande gällande reglering Datainspektionen har förståelse för slutsatsen att det kan vara svårt att finna ett entydigt svar på frågan om vad som är direktåtkomst respektive annat elektroniskt utlämnande. Inspektionen delar vägledningens bedömning att den fråga om skydd för enskildas personliga integritet som avses att regleras genom bestämmelser om bl.a. direktåtkomst och utlämnande på automatiserad behandling inte får bli en begreppsfråga utan att bakomliggande skyddsintressen måste identifieras och beskrivas så att reella hot och risker kan avvärjas, utan att införa metoder som skapar onödiga hinder. Tanken att utgå från funktionella skillnader mellan de olika sätten för utlämnande kan vara en tänkbar utgångspunkt för de fortsatta övervägandena av dessa frågor. Detta yttrande har beslutats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Leif Lindgren och datarådet Hans-Olof Lindblom, föredragande. Göran Gräslund Hans-Olof Lindblom