mellan myndigheter samt mellan myndigheter och företag principer för användning av e-legitimationer och utformning av åtkomstkontroll.

Relevanta dokument
Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Betänkandet Allmänna handlingar i elektronisk form offentlighet och integritet (SOU 2010:4)

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Stockholm den 25 november 2015 R-2015/2121. Till Justitiedepartementet. Ju2015/08545/L4

Tillsyn - äldreomsorg

Kommittédirektiv. Sekretess i ärenden om anställning som myndighetschef. Dir. 2008:81. Beslut vid regeringssammanträde den 12 juni 2008

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Från: Kent Sangmyr och Charlene Holmström Datum: 9 maj 2012 Angående: Utredning angående regelverket kring vårdens intyg till Försäkringskassan

Handlägges.Q"(4.e...

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Användandet av E-faktura inom verksamheten betalningsföreläggande

Datum: Vår ref: Pär Trehörning. Dnr: 2015/ Justitiedepartementet Nils Sjöblom Stockholm

Tillsyn - äldreomsorg

Användandet av E-faktura inom den Summariska processen

Utdrag ur protokoll vid sammanträde

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Tillsyn enligt personuppgiftslagen (1998:204) mot IOGT-NTO behandling av uppgifter i medlemsregister

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Regelverk för digital utomlänsfakturering

Kommittédirektiv. Ett effektivt och rättssäkert informationsutbyte vid samverkan mot terrorism. Dir. 2017:75

Remiss av SOU 2015:66 En förvaltning som håller ihop

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

8 Sekretess. 8.1 Allmänt. Sekretess, Avsnitt 8 125

Ombud: N.N N.N Danowsky & Partners Advokatbyrå KB Box STOCKHOLM

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Tillsynsbeslut; omdömen om elever

Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda

Stockholm den 28 april 2015

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Stensjö Fastigheter

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Tillsyn enligt inkassolagen (1974:182) användande av konkursinstitutet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Myndighetsdatalag (SOU 2015:39)

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Fitness24Seven

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Datainspektionen lämnar följande synpunkter.

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

Snabbare lagföring (Ds 2018:9)

Stockholm den 9 november 2017 R-2017/1875. Till Utrikesdepartementet UD2017/15958/HI

Ansökan om undantag från förbudet i 21 personuppgiftslagen

Yttrande i Förvaltningsrätten i Stockholms mål

Säkerhetspolisen har i sitt yttrande hit anfört bl.a. följande (vissa namn ersatta med initialer här).

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Tillsyn över Säkerhetspolisens utlämnande av personuppgifter till underrättelse- och säkerhetstjänster i andra stater

Betänkandet Myndighetsdatalag (SOU 2015:39)

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

Dnr Fi2005/398

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Remissyttrande över promemorian Sekretess i det internationella samarbetet (Ds 2012:34) Dnr Ju2012/5900/L6

Sekretess: En väg till ökad konkurrens och bättre upphandlingar, eller en irritationskälla för alla vid offentlig upphandling.

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

PSI. Hur har Public Sector Information direktivet (PSI) påverkat Skatteverkets verksamhet?

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Pass 6: Forskningsjuridik

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Tillsyn enligt personuppgiftslagen (1998:204) Arbetslöshetskassornas samorganisation (SO)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Tillsyn enligt personuppgiftslagen (1998:204), PuL. LifeGene

Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt inkassolagen (1974:182) uppgift om grunden för tele-, TV- och Internetfordringar

DOM Meddelad i Stockholm

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Brf Kvarnberget

Samråd enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Yttrande över delbetänkandet Översyn av Riksrevisionen - grundlagsfrågor (2016/17:URF1)

Kritik mot Länsstyrelsen i Värmlands län angående handläggningen av en begäran om att få ta del av allmän handling

DOM Meddelad i Göteborg

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

DOM Meddelad i Stockholm

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen

Transkript:

YTTRANDE Dnr 2005-11-29 1678-2005 Ert dnr 131 576292 05/111 Skatteverket Att: Johan Bålman 171 94 Solna Förslag beträffande en Vägledning för Elektroniskt informationsutbyte mellan myndigheter samt mellan myndigheter och företag principer för användning av e-legitimationer och utformning av åtkomstkontroll. Datainspektionen har getts tillfälle att lämna synpunkter på Skatteverkets förslag till vägledning. Om bakgrunden till vägledningen anges att Nämnden för elektronisk förvaltning (e-nämnden) har uppdragit åt Skatteverket att genomlysa rättsfrågor vid elektroniskt informationsutbyte mellan myndigheter och mellan myndighet och privaträttsliga organ. Syftet är att etablera myndighetsgemensamma principer för utformning av rutiner och IT-stöd, så att uppgiftslämnandet kan ske på ett betryggande och juridiskt hållbart sätt. Vid utformningen av principerna bör en avvägning göras mellan enskildas behov av skydd för den personliga integriteten och nyttan för samhället och rättssäkerheten. SAMSET-projektet har som ett led i uppdraget gjort en omfattande rättsutredning (SAMSET-rapporten 2005:1, Elektroniskt informationsutbyte myndighetsgemensamma rättsfrågor). Den rapporten omfattas dock inte, enligt vad som framgår av remisskrivelsen och av vad som uttryckligen upplysts av Skatteverket vid ett halvdagsseminarie i ärendet, av remissen. Datainspektionen lämnar därför i det följande endast synpunkter på förslaget till vägledning. Det innebär inte att rättsutredningen enligt Datainspektionens mening är invändningsfri. Datainspektionen ser positivt på ambitionen att ta fram en vägledning för myndigheterna i dessa frågor. Emellertid är de rättsliga frågorna kring elektroniskt Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: http://www.datainspektionen.se Telefax: 08-652 86 52

2 (7) tillhandahållande av information komplicerade. Det framgår med all tydlighet av SAMSET-rapporten 2005:1 och även av förslaget till vägledning. Som vägledningen nu är utformad kan den fungera som en allmän information kring frågor om informationsutbyte. Den duger dock inte som ett underlag för myndigheternas beslut i konkreta fall. Detta beror på att vägledningens principer i många fall är alltför generaliserande och ger uttryck för en långtgående förenkling av en komplex verklighet. Om vägledningen ska ges ut är det mycket viktigt att detta framhålls samt att nedanstående synpunkter beaktas. Innan vägledningen antas är det enligt Datainspektionens mening nödvändigt att göra en bredare beredning så att juridisk expertis på sekretessområdet kan belysa förslaget. En sådan belysning bör även omfatta den förstudie (SAMSET-rapporten 2005:1) som förslaget till vägledning bygger på. Som Datainspektionen anger nedan måste vägledningen också lyfta fram frågorna om krav på säkerhet vid kommunikation av personuppgifter. 3 Utgångspunkter för myndigheternas bedömning av frågor kring åtkomst B. Åtkomst till uppgifter som skyddas av regler om persondataskydd och sekretess I rutan under denna punkt ges en uppräkning av i vilka fall en myndighet kan ges åtkomst till sekretessbelagda uppgifter som en annan myndighet förfogar över och som inte skyddas av en särskild registerförfattning och det anges i ett andra stycke att det beträffande de tre först uppräknade fallen - och i vissa fall även i de övriga - bör finnas förutsättningar att göra en tillräckligt säker generell sekretessprövning på förhand, så att automatiserade rutiner blir möjliga. Datainspektionen anser att det som anges i rutan inte står helt i överensstämmelse med hur sekretesslagens regler är tänkta att tillämpas. När det exempelvis gäller generalklausulens (14 kap. 3 sekretesslagen) tillämpning så förutsätter den att det ska vara uppenbart att intresset av att uppgifterna lämnas har företräde framför det intresse som sekretessen ska skydda. Här används i vägledningen inte ordvalet uppenbart utan istället om att nyttan av att uppgifterna lämnas har företräde. Till detta kommer att uppgiftslämnanden med stöd av generalklausulen främst är avsett för uppgiftsutbyte mellan myndigheter med samma eller närliggande verksamheter.

3 (7) I övrigt ska normalt stor restriktivitet iakttas. Generalklausulen anses i och för sig kunna utgöra grund för att utbyta uppgifter mellan myndigheter eller mellan en myndighets olika verksamhetsgrenar rutinmässigt även utan författningsreglering. Sekretesslagen bygger emellertid på att rutinmässigt uppgiftsutbyte i regel ska vara författningsreglerat (jfr. prop. 1979/80:2 del A s. 326 och prop.2000/01:129 s. 24). Att så är fallet borde komma till tydligt uttryck i vägledningen. I vägledningen bör man lyfta fram att utgångspunkten hittills, med hänsyn till enskildas personliga integritet, har varit att elektroniskt utlämnande av uppgifter i myndighetsregister till andra myndigheter (eller enskilda företag och andra organisationer) ofta kräver en särskild reglering. Som vid sekretessprövningen måste man i dessa frågor om införande av automatiserade rutiner göra en prövning med hänsyn till alla föreliggande omständigheter, såsom uppgifternas beskaffenhet, de registrerades inställning, behörighetskontroll och annan teknisk utformning av informationssystemet, de ändamål för vilka uppgifterna kan komma att användas samt det skydd uppgifterna kommer att ha hos den mottagande myndigheten eller organisationen/företaget. En annan sak som inte kommer fram av vägledningen och som har betydelse för möjligheten till elektroniskt utlämnande genom automatiserade rutiner är betydelsen av hur en sekretessregel är utformad dvs. om det är fråga om ett rakt eller omvänt skaderekvisit som skyddar informationen. Det raka skaderekvisitet innebär en presumtion för offentlighet och att tillämparen kan göra sin bedömning inom ganska vida ramar och inte i första hand genom en skadebedömning i det enskilda fallet. Det omvända rekvisitet innebär att sekretess gäller, om det inte står klart att uppgiften kan röjas utan skada. Det omvända rekvisitet utgår från att sekretess är huvudregel och innebär att tillämparen har ett ganska begränsat utrymme för sin bedömning. Det har varit lagstiftarens avsikt att en skadeprövning enligt det omvända skaderekvisitet i regel ska ske i varje enskilt fall dvs. varje gång en uppgift lämnas ut från myndigheten. En generell sekretessprövning på förhand är därför inte tillräckligt för ett sekretessgenombrott när stark sekretess gäller. Ett massutlämnande såsom det kan bli fråga om vid automatiserade rutiner brukar således inte anses förenligt med sådan stark sekretess (se exv. prop. 1990/91:111).

4 (7) I den andra punkten i uppräkningen anges den som begär uppgiften har samtyckt till utlämnandet. Avses här det fallet att den uppgifterna avser (exv. den registrerade i en databas) har begärt att en myndighet hämtar in information från en annan myndighet dvs. hos den som förvarar uppgifterna och att det i den meningen finns ett samtycke till att uppgifterna lämnas ut? I så fall skulle skrivningen förslagsvis kunna ges följande lydelse: den som uppgifterna avser har samtyckt till utlämnandet. Motsvarande synpunkt gäller skrivningen i tredje stycket första punkten i rutan. När det gäller tredje stycket måste särskilt framhållas att en annan förutsättning för att ett företag ska kunna få ges åtkomst till personuppgifter är att företagets behandling har stöd i PuL. Hinder kan exempelvis föreligga om det avser behandling av känsliga personuppgifter. När det gäller skrivningen i stycket under rutan är det en slutsats som enligt Datainspektionens mening inte utan vidare bör läggas till grund för vägledningen. Slutsatsen som bygger på OSEK:s bedömning och förslag till ny sekretesslag är inte invändningsfri. OSEK:s betänkande bereds för närvarande i regeringskansliet. C. Åtkomst till uppgifter som skyddas av en registerförfattning Beskrivningen i rutan är enligt Datainspektionens mening starkt förenklande och kan därför vilseleda. Naturligtvis har bestämmelserna om ändamål i författningsregleringen betydelse för frågan om uppgifterna kan lämnas ut men det kan också finnas uttryckliga bestämmelser i författningen som reglerar frågan om elektroniskt utlämnande. För att avgöra om ett utlämnande genom automatiska elektroniska rutiner är möjlig när uppgifterna skyddas av registerförfattning får man precis som beträffande annan författningsreglering göra en tolkning av regleringens innehåll. Även om regleringen inte innehåller uttryckliga regler om elektroniskt utlämnande kan frågan vara behandlad i förarbetena. Dessa kan ge behövlig vägledning för frågan om elektroniska rutiner för att lämna ut uppgifter till andra myndigheter eller till företag och organisationer är avsedda och i så fall under vilka förutsättningar. Sekretesslagens bestämmelser måste naturligtvis också beaktas liksom behovet av att undersöka om införandet av det rutinmässiga elektroniskt informationsutbytet kan behöva författningsregleras. Med hänsyn till enskildas personliga integritet har

5 (7) utgångspunkten hittills varit att elektroniskt utlämnande av uppgifter i myndighetsregister till enskilda företag och andra organisationer kan kräva en särskild reglering av mottagarens behandling eller att verksamheten står under särskild tillsyn. 3.1 Beslutsmönster för myndighetens juridiska bedömning De synpunkter som Datainspektionen ovan redovisat kring slutsatserna under avsnitt 3 gäller på motsvarande sätt för innehållet i delavsnitt 3.1. 4 Bedömning av frågor om form och metod för utlämnande A. Uppgiftsutlämnande enligt PuL Även i detta avsnitt anser Datainspektionen att beskrivningen är väl förenklad. Det är riktigt att PuL inte innehåller några särskilda regler om metoden för att lämna ut uppgifter. Samtidigt kan metoden ha betydelse för flera av den lagens bestämmelser t.ex. i fråga om kraven på säkerhet men också i fråga om behandlingens tillåtlighet som sådan. Det som anges i rutan kan vilseleda. Ett av de grundläggande kraven på behandling av personuppgifter är att behandlingen är laglig. Vad som är lagligt följer av bestämmelserna i PuL men också av annan lagstiftning såsom sekretesslagen. Ett utlämnande i elektronisk form måste naturligtvis också vara förenligt med sekretesslagen. Som angetts under synpunkterna på avsnitt 3 kan sekretessregleringen ha betydelse också för vilken form av åtkomst som kan ske. I tredje stycket anges att ett befogat elektroniskt utlämnande mellan myndigheter vanligtvis är förenligt med de grundläggande kraven i PuL och reglerna i PuL om när behandling av personuppgifter är tillåten. Enligt Datainspektionens mening är det ett alltför generellt påstående. Skrivningen borde snarare ha en lydelse som angav att reglerna i PuL måste beaktas vid utformningen av ett sådant elektroniskt utlämnande dvs. att bl.a. de grundläggande kraven och reglerna om tillåten behandling i PuL måste iakttas.

6 (7) 5 Myndighetsgemensamma principer för åtkomstkontroll och användning av e-legitimationer 5.1 Principer för åtkomstkontroll Datainspektionen delar helt uppfattningen att åtkomstkontroll ska bygga på en säker identifiering av den som begär åtkomst. När det gäller skrivningen under B ifrågasätter Datainspektionen att identifiering av en myndighet som begär en uppgift av en annan myndighet alltid bör ske på organisationsnivå. Skrivningen är väl kategorisk och skulle istället kunna ange att identifiering kan ske på organisationsnivå, om det inte finns särskilda omständigheter som talar för att identifieringen bör ske på individnivå. Detta mot bakgrund av att det i vissa fall kan vara fråga om att den information som efterfrågas är av sådan integritetskänslig natur att den utlämnande myndigheten måste ha fullständig kontroll över till vem hos den mottagande myndigheten informationen lämnas ut. Ang. not 9 anser Datainspektionen att elektronisk brevlåda inte är en bra definition av ett elektroniskt mottagningsställe. I vart fall bör skrivningen på en webbplats strykas. Ang. not 11 anser Datainspektionen att Webservercertifikat kan ersättas av begreppet severcertifikat. I fjärde stycket under avsnitt 5.2.3 A som börjar med Eftersom rutinerna berörs frågan om informationsutbyte som avser uppgifter som skyddas av sekretess och myndigheternas behov av överväganden om krav på mottagaren. Det aktualiserar en fråga som Datainspektionen anser att vägledningen saknar nämligen betydelsen av säkerheten för informationen vid kommunikationen. Såvitt det gäller personuppgifter som ska kommuniceras elektroniskt måste exempelvis reglerna i PuL om säkerhet beaktas. Personuppgifter som sänds via nät bör beroende på känsligheten hos personuppgifterna skyddas, t.ex. genom kryptering. Hur säkerheten är utformad är naturligtvis en fråga som myndigheterna måste väga in i ett tänkt informationsutbyte. Det måste lyftas fram i vägledningen.

7 (7) 6.2.1 Myndigheters skyldighet att lämna ut uppgifter till företag Skrivningen i andra stycket om offentlighetsprincipen skulle kunna förtydligas så att det framgår att en myndighet inte är skyldig att i större utsträckning än vad som följer av lag lämna ut en upptagning för automatiserad behandling i annan form än utskrift (jfr. 2 kap. 13 TF). 6.5.4 E-nämndens bedömning I fråga om skrivningarna i andra stycket om generell prövning på förhand och att detta möjliggör en automatiserad, elektronisk hantering gäller de synpunkter Datainspektionen redovisat på avsnitt 3 B om betydelsen av hur tillämplig sekretessbestämmelse är utformad. 7 Formen och metoden för utlämnande gällande reglering Datainspektionen har förståelse för slutsatsen att det kan vara svårt att finna ett entydigt svar på frågan om vad som är direktåtkomst respektive annat elektroniskt utlämnande. Inspektionen delar vägledningens bedömning att den fråga om skydd för enskildas personliga integritet som avses att regleras genom bestämmelser om bl.a. direktåtkomst och utlämnande på automatiserad behandling inte får bli en begreppsfråga utan att bakomliggande skyddsintressen måste identifieras och beskrivas så att reella hot och risker kan avvärjas, utan att införa metoder som skapar onödiga hinder. Tanken att utgå från funktionella skillnader mellan de olika sätten för utlämnande kan vara en tänkbar utgångspunkt för de fortsatta övervägandena av dessa frågor. Detta yttrande har beslutats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Leif Lindgren och datarådet Hans-Olof Lindblom, föredragande. Göran Gräslund Hans-Olof Lindblom

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss