Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Relevanta dokument
Myndighetsdatalag (SOU 2015:39)

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Myndighetsdatalag slutbetänkande av Informationshanteringsutredningen (SOU 2015:39)

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Riktlinjer för hantering av personuppgifter

Snabbare lagföring (Ds 2018:9)

Remiss av SOU 2015:66 En förvaltning som håller ihop

Yttrande över betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning

Datainspektionen lämnar följande synpunkter.

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Yttrande i Förvaltningsrätten i Stockholms mål

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Betänkandet SOU 2017:29 Brottsdatalag

Stockholm den 12 december 2018 R-2018/1679. Till Försvarsdepartementet. Fö2018/00999/RS

Dataskyddsförordningen

Remissyttrande över departementspromemorian Behandling av personuppgifter i polisens brottsbekämpande verksamhet (Ds 2007:43)

Betänkandet Myndighetsdatalag (SOU 2015:39)

Stockholm den 14 september 2017

Finansdepartementet Avdelningen för offentlig förvaltning Föreskriftsrätt för Lantmäteriet enligt förordningen om lägenhetsregister Maj

Yttrande över slutbetänkandet Myndighetsdatalagen (SOU 2015:39)

Stockholm den 8 augusti 2014

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Yttrande över Parlamentariska landsbygdskommitténs slutbetänkande (2017:1)

Remissvar Registersforskningsutredningen {SOU 2014:45)

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Hur står det till med den personliga integriteten? (SOU 2016:41)

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Policy för hantering av personuppgifter

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Remissvar avseende Framtidens biobanker (SOU 2018:4), dnr S2018/00641/FS

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Remiss av slutbetänkandet reboot - omstart för den digitala förvaltningen (SOU 2017:114)

Till Justitiedepartementet. Juridiska sekretariatet

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Remissyttrande över promemorian En omarbetad domstolsdatalag Anpassning till EU:s dataskyddsförordning

Behov av ytterligare reglering kring högskoleprovet

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

Socialstyrelsens yttrande över betänkandet Myndighetsdatalag (SOU 2015:39)

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

SOU 2015:84 Organdonation En livsviktig verksamhet

Personuppgiftslagen baseras på det s.k. dataskyddsdirektivet (95/46/EG). Inom EU har det beslutats att detta direktiv ska ersättas av

Svar på remiss, Så stärker vi den personliga integriteten, (SOU 2017:52)

21 kap. 7 offentlighets- och sekretesslagen (2009:400), 9 första stycket a) personuppgiftslagen (1998:204)

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

Förslag till beslut. Kommunstyrelsen

Policy för integritet vid hantering av personuppgifter

Kanslichef - Tillsvidare

Remiss: Promemoria om nya bestämmelser om Tullverkets säkerställande av skyddet för immateriella rättigheter

Modellavtal 2. Personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

PERSONUPPGIFTSLAGEN (PUL)

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

PUL OCH DATASKYDDSFÖRORDNINGEN

1. Bakgrund. 2. Parter. 3. Definitioner

Granskning av landstingets hantering av personuppgifter

/2018 1(5) Socialdepartementet

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Skatteverkets Promemoria Beskattningsdatabasen, bouppteckning och äktenskapsregister

Post- och telestyrelsen (PTS) har beretts tillfälle att yttra sig över rubricerad promemoria.

Remiss av delbetänkandet digitalforvaltning.nu (SOU 2017:23)

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Avdelning Meddelad i Stockholm. KLAGANDE Johan Gunnarsson. SAKEN.. ' -. Rätt att ta del av allmän handling KAMMARRATTENS AVGÖRANDE

Remissyttrande över promemorian Sekretess i det internationella samarbetet (Ds 2012:34) Dnr Ju2012/5900/L6

Remiss från Justitiedepartementet - Ny dataskyddslag (SOU 2017:39)

Riksarkivets nationella överblick över arkivfrågorna och arkivverksamheten i landet enskilda arkiv

INTEGRITETSPOLICY Information om behandling av personuppgifter för dig som är medlem i brf Gandalf

Yttrande över delbetänkandet Digitalforvaltning.nu (SOU 2017:23)

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Betänkandet SOU 2010:4 Allmänna handlingar i elektronisk form offentlighet och integritet (Dnr Ju2010/1020/L6)

Ds 2016:20 Strada, Transportstyrelsens Olycksdatabas

Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

Allmänna handlingar i elektronisk form

Remissen Läkemedelsverkets förslag till föreskrifter för Nationella medicinska informationssystem

Instruktion för personuppgiftsbiträdesavtal

Ett säkert statligt ID-kort med e- legitimation (SOU 2019:14)

Betänkandet SOU 2017:23 digital forvaltning.nu

Skapa tilltro Generell tillsyn, enskildas klagomål och det allmänna ombudet inom socialförsäkringen (SOU 2015:46)

Yttrande över betänkandet Nya regler om faderskap och föräldraskap (SOU 2018:68)

Kommittédirektiv. Tilläggsdirektiv till Utredningen om kameraövervakning brottsbekämpning och integritetsskydd (Ju 2015:14) Dir.

Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39)

Svensk författningssamling

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

EU:s dataskyddsförordning, dataskyddslagen och myndigheters arkiv

FSR FAMILJERÄTTSSOCIONOMERNAS RIKSFÖRENING FSR Familjerättssocionomernas Riksförening c/o Gunilla Cederström Braxengränd Järfälla

PERSONUPPGIFTSBITRÄDESAVTAL

Transkript:

Stab Drazenko Jozic Myndighetsjurist 010-470 05 28 drazenko.jozic@uhr YTTRANDE Datum 2015-11-13 Diarienummer 1.2.3-825-2015 Justitiedepartementet Grundlagsenheten 103 33 Stockholm Postadress Box 45093 104 30 Stockholm Besöksadress Wallingatan 2 111 60 Stockholm Telefon 010-470 03 00 Org nr 202100-6487 www.uhr.se Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39) Justitiedepartementets dnr Ju2015/3364/L6 Sammanfattning Universitets- och högskolerådet (UHR) är medvetet om behovet av ett mer enhetligt och samordnat regelverk för behandling av personuppgifter hos myndigheter. UHR ställer sig positivt till utredningens förslag om en samlad reglering i en lag om myndigheters behandling av personuppgifter. UHR anser att det bör finnas en möjlighet för myndigheter att behandla känsliga personuppgifter med stöd av den registererades samtycke och att utredningens förslag på den punkten bör förtydligas. UHR delar inte den uppfattning som betänkandet ger uttryck för och som går ut på att konstruktionen med personuppgiftsbiträden mellan statliga myndigheter inte kan upprätthållas. UHR understryker vikten av att det direkt efter avslutat arbete med den lagstiftning som föreslås av utredningen införs det författningsstöd som kommer att krävas för utlämnande via direktåtkomst av sekretessreglerade uppgifter och att det i övrigt genomförs en översyn av nuvarande registerförfattningar. I det följande framför UHR utförligare synpunkter på angivna punkter i betänkandet. Kapitel 9. Tillåten behandling Samtycke som särskild rättslig grund för behandling av personuppgifter Utredningen föreslår att den registrerades samtycke inte bör vara en självständig rättslig grund för myndigheters behandling av personuppgifter. Utredningen motiverar Sida 1 (5)

sitt förslag med en hänvisning till den generella rättsliga grunden att behandling av personuppgifter är tillåten om det är nödvändigt för att myndigheten ska utföra sin verksamhet. UHR delar utredningens bedömning att den generella grund för behandling av personuppgifter som korresponderar med myndigheters verksamhetsområden utgör tillräckligt stöd för myndigheterna att behandla personuppgifter som i lagens mening inte anses som känsliga personuppgifter och att något ytterligare stöd i form av den registrerades samtycke därför inte behövs. UHR vill samtidigt framhålla att det enligt UHR:s uppfattning bör finnas en möjlighet för myndigheter att behandla känsliga personuppgifter med stöd av den registrerades samtycke eftersom de föreslagna rättsliga grunderna för behandling av känsliga personuppgifter inte kan anses vara heltäckande. Inom t.ex. UHR:s verksamhet avseende högskoleprovet finns det behov av att behandla känsliga personuppgifter som inte kan anses ingå i ärendehandläggning. När det gäller behandling av känsliga personuppgifter innehåller 6 i den nyföreslagna lagen en hänvisning till 15 personuppgiftslagen (1998:204,PuL). Enligt 15 PuL får känsliga personuppgifter behandlas med stöd av den registrerades uttryckliga samtycke. Ett lämnat samtycke anses som en tillräcklig förutsättning för behandling av personuppgifter och någon bedömning om behandlingen är nödvändig behöver inte göras. Även utredningen ger uttryck för en sådan uppfattning (s. 295). UHR anser att hänvisningen till 15 PuL behövs i den nya lagen. Däremot finns det enligt UHR:s uppfattning oklarheter om hur den hänvisningen förhåller sig till utredningens generella ståndpunkt om att den registrerades samtycke inte bör vara en självständig rättslig grund för myndigheters behandling av personuppgifter. Hänvisningen till 15 PuL ger en möjlighet för myndigheterna att behandla känsliga personuppgifter enbart med stöd av den registrerades samtycke samtidigt som motsvarande möjlighet inte föreslås gälla för övriga personuppgifter. UHR ställer sig frågande om det kan ha varit den avsedda ordningen. Utredningen kommenterar inte särskilt frågan om behandling av känsliga personuppgifter med stöd av den registrerades samtycke. Den kan ha varit utredningens utgångspunkt att kravet på att behandling av personuppgifter ska vara nödvändig för att en myndighet ska utföra sin verksamhet även gäller när myndigheten behandlar känsliga personuppgifter med stöd av den registrerades samtycke. I det fallet behöver det enligt UHR:s mening i den föreslagna lagen införas en uttrycklig bestämmelse med den innebörden. Kapitel 10. Personuppgiftsansvar och säkerhet Särskilt om personuppgiftsbiträden Utredningen konstaterar att personuppgiftsansvaret kan omfatta betydligt fler faktiska behandlingar än den som sker hos den ansvariga myndigheten. Det är fallet om den ansvariga myndigheten anlitar ett personuppgiftsbiträde för att utföra behandlingar för den ansvariga myndighetens räkning. Utredningen konstaterar också att det förekommer att myndigheter fungerar som personuppgiftsbiträden åt andra myndigheter och även åt enskilda. Det förekommer bl.a. att en statlig myndighet anlitar en annan statlig myndighet som personuppgiftsbiträde. Enligt utredningens uppfattning är det knappast en hållbar situation att statliga myndigheter på grund av avtal skulle vara personuppgiftsbiträden Sida 2 (5)

åt andra statliga myndigheter. Utredningen grundar sin uppfattning i det faktum att statliga myndigheter tillhör samma juridiska person (staten) och kan därför inte ingå rättsligt bindande avtal med varandra. Utredningen hänvisar också till artikel 17.3 i dataskyddsdirektivet som föreskriver att ett personuppgiftsbiträdes hantering av personuppgifter ska ske genom ett avtal eller genom en annan rättsligt bindande handling mellan registerförare och den registeransvarige. Utredningen anser att den typ av överenskommelser som kan träffas mellan statliga myndigheter eller mellan kommunala myndigheter i samma kommun inte uppfyller direktivets krav på att vara rättsligt bindande (s. 360-361). Enligt UHR:s mening kan utredningens uppfattning som redovisas ovan tolkas som att statliga myndigheter i fortsättningen inte kan ingå personuppgiftsbiträdesavtal med varandra och inte kan agera som personuppgiftsbiträden åt varandra. Däremot ser utredningen inte någon anledning att föreslå någon förändring när det gäller anlitande av personuppgiftsbiträde mellan myndigheter som hör till olika juridiska personer och mellan myndigheter och enskilda (s. 362). UHR anser att det finns brister i utredningens analys angående statliga myndigheters möjligheter att agera som personuppgiftsbiträden åt andra statliga myndigheter. Det finns fler områden inom den statliga förvaltningen där det har etablerats en praxis om att en eller fler statliga myndigheter tillhandahåller system och behandlar personuppgifter för andra statliga myndigheters räkning. Inom högskoleområdet har UHR enligt förordningen (2012:11) med instruktion för Universitets- och högskolerådet att på uppdrag av universitet och högskolor biträda vid antagning av studenter och ansvara för samordnad antagning samt ge service och råd om studieadministrativ verksamhet. UHR har inom sitt instruktionsenliga uppdrag utvecklat fler system som används av universitet och högskolor. TentaAdmin används för administration av tentamen, VALDA är ett system för validering av lärarkompetens, HP-anmälan är ett system för administrering av anmälningar till högskoleprovet och under utveckling är NAIS, system för administration av studieförmåner för studenter med funktionshinder. Gemensamt för dessa system är att det är UHR som ansvarar för förvaltning och drift av systemen medan universitet och högskolor använder systemen för handläggning av ärenden. UHR:s behandling av personuppgifter består i lagring och förvaring av personuppgifter. UHR utför den behandlingen av personuppgifter i egenskap av personuppgiftsbiträde till universitet och högskolor. När det gäller antagningssystemet NyA som används för samordning av antagning till universitet och högskolor framgår det av förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor att det är UHR som är personuppgiftsansvarigt för systemet. Inom NyA utför både UHR och lärosäten behandling av personuppgifter för handläggning av antagningsärenden. I den delen kan tillämpas utredningens resonemang, redovisat under avsnitt 10.1.4 i betänkandet, om att samtliga behandlande myndigheter är ansvariga för den personuppgiftsbehandling som respektive myndighet utför i systemet. Därutöver är det UHR som på uppdrag av lärosäten utvecklar nya funktionaliteter som t.ex. tjänsten om kontaktuppgifter för samtliga studerande. Det är främst lärosäten som använder sig av den tjänsten och UHR förvaltar tjänsten och lagrar personuppgifter på uppdrag av lärosäten. I den delen agerar UHR som personuppgiftsbiträde åt lärosäten. Sida 3 (5)

UHR biträder även Polisen, Statens skolverk och Myndigheten för samhällsskydd och beredskap med antagning till utbildningar som de myndigheterna anordnar och inom det uppdraget utför UHR behandling av personuppgifter i egenskap av personuppgiftsbiträde åt andra statliga myndigheter. Domstolsväsendet är ett annat område inom den statliga förvaltningen där det i stor utsträckning används konstruktionen med personuppgiftsbiträde mellan statliga myndigheter. Enligt förslaget till domstolsdatalag föreslås att Domstolsverket, som utvecklar och tillhandahåller det verksamhetssystem som alla domstolar arbetar i, ska vara personuppgiftsbiträde åt var och en av domstolarna såsom personuppgiftsansvariga för den behandling av personuppgifter som varje domstol i fråga utför. Förslaget innebär att domstolarna får teckna skriftliga personuppgiftsbiträdesavtal med Domstolsverket. 1 Konstruktionen med personuppgiftsbiträden mellan statliga myndigheter är en följd av den allmänna uppfattningen att det är statliga myndigheter som är personuppgiftsansvariga för den behandling av personuppgifter som respektive myndighet utför trots att det är staten, och inte statliga myndigheter, som är juridisk person med rättskapacitet att bl.a. ingå civilrättsligt bindande avtal. Rent principiellt skulle man kunna ifrågasätta den rådande uppfattningen om statliga myndigheter som personuppgiftsansvariga och i stället betrakta den juridiska personen staten som personuppgiftsansvarig för all behandling av personuppgifter som utförs av statliga myndigheter. Om statliga myndigheter anses som personuppgiftsansvariga är det en förutsättning att statliga myndigheter ska få agera som personuppgiftsbiträden åt varandra för att det ska bli möjligt för statliga myndigheter att samarbeta på det sätt som beskrivs ovan och som gäller inom t.ex. högskoleområdet och domstolväsendet. UHR delar därför inte den uppfattning som betänkandet ger uttryck för och som går ut på att konstruktionen med personuppgiftsbiträden mellan statliga myndigheter inte kan upprätthållas. En sådan ordning skulle enligt UHR:s uppfattning utgöra hinder för effektiviseringen inom den statliga förvaltningen och ha långtgående organisatoriska och verksamhetsmässiga konsekvenser på en rad områden inom den statliga förvaltningen. Inom högskoleområdet skulle det t.ex. kunna betyda att en del serviceuppdrag inte kan utföras av UHR eftersom uppdragen inkluderar behandling av personuppgifter i egenskap av personuppgiftsbiträde åt andra statliga myndigheter. Någon analys av dessa konsekvenser har inte presenterats i betänkandet. UHR:s anser att det finns starka verksamhetsmässiga skäl och effektiviseringsskäl för att statliga myndigheter även i fortsättningen ska kunna anlita andra statliga myndigheter som personuppgiftsbiträden. Det krav på att personuppgiftsbiträdes hantering av personuppgifter ska ske genom ett avtal eller en annan rättsligt bindande handling mellan registerförare och den registeransvarige som framgår av artikel 17.3 i dataskyddsdirektivet bör enligt UHR:s mening ses i ljuset av den omständigheten att konstruktionen med statliga myndigheter som personuppgiftsansvariga är en avvikelse från principen att det är ett rättssubjekt, dvs. fysisk eller juridisk person som kan bära personuppgiftsansvaret. 1 Justitiedepartementets promemoria Domstolsdatalag (Ds 2013:10) s. 75-76 Sida 4 (5)

Kapitel 11. Att lämna ut personuppgifter i elektronisk form UHR anser att de föreslagna ändringarna angående utlämnade av personuppgifter i elektronisk form kommer att underlätta avsevärt för myndigheter att lämna ut och utbyta personuppgifter. UHR vill i det sammanhanget understryka vikten av att det direkt efter avslutat arbete med den lagstiftning som föreslås av utredningen införs det författningsstöd som kommer att krävas för utlämnande via direktåtkomst av sekretessreglerade uppgifter och att det i övrigt genomförs en översyn av nuvarande registerförfattningar. Beslut i detta ärende har fattats av generaldirektör Ulf Melin. Föredragande har varit myndighetsjurist Drazenko Jozic. I den slutgiltiga handläggningen har enhetschef Andreas Strandberg, processledare Gunilla Hammarström, systemförvaltare Anders Mobjörk och systemförvaltare Reijo Soréus deltagit. Sida 5 (5)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss