Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Relevanta dokument
Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Yttrande i Förvaltningsrätten i Stockholms mål

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn - äldreomsorg

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Tillsyn enligt personuppgiftslagen (1998:204) registrering av känsliga personuppgifter om anställda

Remissen Läkemedelsverkets förslag till föreskrifter för Nationella medicinska informationssystem

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Remiss av SOU 2015:66 En förvaltning som håller ihop

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Hur står det till med den personliga integriteten? (SOU 2016:41)

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

Överenskommelse om myndighetssamverkan

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Tillsyn - äldreomsorg

Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Datainspektionen lämnar följande synpunkter.

SOU 2015:84 Organdonation En livsviktig verksamhet

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Information till personuppgiftsansvarig om dataskyddsombud

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Tillsyn enligt personuppgiftslagen (1998:204) Arbetslöshetskassornas samorganisation (SO)

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Svar på förfrågan om vad som utgör en känslig personuppgift

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Snabbare lagföring (Ds 2018:9)

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) LifeGene - direktåtkomst, säkerhet för känsliga personuppgifter samt samtycke och information

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Beslut om förteckning enligt artikel 35.4 i EU:s allmänna dataskyddsförordning 2016/679

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204)

Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Vägledning för bolag. Ej gällande. Ansvaret för personuppgifter som hanteras i system för whistleblowing

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204) Enköpings kommunstyrelses användning av molntjänsten Dropbox

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Tillsyn enligt personuppgiftslagen (1998:204) - Samordningsförbundet Östra Östergötland

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

LAGEN.NU. Lag (2003:763) om behandling av personuppgifter inom socialförsäkrin... administration. Nyheter Lagar Domar Begrepp

Komplettering av överklagande

Tillsyn enligt personuppgiftslagen (1998:204) kontroll av anställda

Tillsyn enligt personuppgiftslagen (1998:204) Autentisering av användare som medges åtkomst till personuppgifter i kreditupplysningsregister

Promemorian Integritetsskyddsmyndigheten ett nytt namn för Datainspektionen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av särskilt boende

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204) Elektroniska utlämnanden från Bolagsverkets register

Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Remiss av betänkandet 2014 års utlänningsdatalag (SOU 2015:73)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn avseende undersökningen Hälsa Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Ds 2016:44 Nationell läkemedelslista

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Försäkringskassan

Transkript:

Datum Diarienr 2014-03-18 195-2014 Centrala studiestödsnämnden - CSN 851 82 Sundsvall Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning Bakgrund Inom ramen för E-delegationsprojektet Effektiv informationsförsörjning samverkar myndigheter, arbetslöshetskassor och intresseorganisationer i syfte att skapa en sammansatt bastjänst. Den sammansatta bastjänsten skapas för att underlätta, effektivisera och samordna socialnämndernas inhämtande av uppgifter i ärenden om ekonomiskt bistånd enligt 4 kapitlet socialtjänstlagen (2001:453). Vidare syftar tjänsten till att förenkla för de uppgiftslämnande myndigheterna att fullgöra sin uppgiftsskyldighet gentemot socialnämnderna. Projektets deltagare har enats om en fördelning av personuppgiftsansvaret och har nu, genom Centrala studiestödsnämnden, efterfrågat Datainspektionens synpunkter på den bedömning som projektet gjort. Frågan till Datainspektionen Frågan som ställts till Datainspektionen är om Datainspektionen godtar den fördelning av personuppgiftsansvaret som redovisats vad avser a) behandling av personuppgifter i den sammansatta bastjänsten, och b) behandling av personuppgifter under befordran mellan dels en socialnämnd och den sammansatta bastjänsten och dels mellan den sammansatta bastjänsten och de uppgiftslämnande myndigheterna och arbetslöshetskassorna. I den mån Datainspektionen inte godtar den redovisade fördelningen av personuppgiftsansvaret önskas att Datainspektionen redovisar vilka brister myndigheten anser finns och om möjligt anvisar lämpliga åtgärder för att undanröja dessa brister. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

Inget förhandsbesked Datainspektionen vill inledningsvis understryka att inspektionen inte har någon laglig möjlighet att lämna något bindande förhandsbesked beträffande personuppgiftslagens tolkning och tillämplighet i enskilda fall. I detta svar ger Datainspektionen endast vägledning avseende personuppgiftsansvarets fördelning utifrån de uppgifter som lämnats i samrådsförfrågan. Personuppgiftsansvarets fördelning Projektets beskrivning av personuppgiftsansvarets fördelning I det underlag som skickats till Datainspektionen beskrivs personuppgiftsansvaret i huvudsak på följande sätt. Socialnämnderna är personuppgiftsansvariga för den behandling av personuppgifter som sker i den sammansatta bastjänsten inom ramen för denna tjänst. Socialnämndernas personuppgiftsansvar omfattar all behandling av personuppgifter som sker i den sammansatta bastjänsten till följd av socialnämndens anslutning till tjänsten. Den frågande socialnämndens personuppgiftsansvar bedöms även omfatta personuppgifter som behandlas till följd av socialnämndens anslutning till tjänsten under befordran mellan socialnämnden och den sammansatta bastjänsten. De uppgiftslämnande myndigheterna och arbetslöshetskassorna ansvarar var och en för sin förbindelse med den sammansatta bastjänsten och därmed för de personuppgifter som befordras genom användningen av denna förbindelse till dess de når den sammansatta bastjänsten. Vad säger personuppgiftslagen och hur kan den tolkas? Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamål och medel med behandlingen av personuppgifter. Det följer av 3 personuppgiftslagen. Personuppgiftslagen grundar sig på ett EG-direktiv, 95/46/EG. I enlighet med direktivets artikel 29 finns det en arbetsgrupp bestående av representanter från EU-ländernas dataskyddsmyndigheter (Article 29 Working Party on Data Protection). Den så kallade artikel 29-gruppen är rådgivande och oberoende och ska se till att direktivet tillämpas enhetligt i medlemsstaterna. För det syftet antar artikel 29-gruppen rådgivande yttranden där olika dataskyddsfrågor behandlas. I ett av sina yttranden, Yttrande 1/2010 om begreppen registeransvarig och registerförare, WP 169, har artikel 29-gruppen formulerat följande. Parter som agerar tillsammans har en viss flexibilitet när det gäller att fördela skyldigheter och ansvar sinsemellan, så länge de garanterar en fullständig efterlevnad. Regler för hur det gemensamma ansvaret ska utövas bör i princip fastställas av de registeransvariga. Men Sida 2 av 5

hänsyn bör också tas till de faktiska omständigheterna och det bör bedömas om arrangemanget avspeglar verkligheten i den bakomliggande uppgiftsbehandlingen. (s. 23, WP 169). I yttrandet framförs också att, i komplexa behandlingsmiljöer där olika registeransvariga har del i behandlingen av personuppgifter, är det viktigaste att se till att efterlevnaden av dataskyddsbestämmelserna och ansvaret för eventuella brott mot de bestämmelserna är tydligt fördelade. Komplexiteten får inte medföra att skyddet av personuppgifter minskar eller att det uppstår negativa behörighetskonflikter och kryphål som leder till att de skyldigheter och rättigheter som följer av direktivet inte garanteras av någon av parterna. Det framförs att det i komplexa miljöer därför är viktigare än någonsin att registrerade får tydlig information som förklarar de olika steg och aktörer som ingår i behandlingen. Vidare framförs att det tydligt bör framgå om varje registeransvarig har befogenhet att tillgodose alla rättigheter för registrerade, eller vilken registeransvarig som är behörig för vilken rättighet (s. 22, WP 169). Datainspektionens synpunkter Datainspektionen bedömer, utifrån de uppgifter som lämnats i samrådsförfrågan, att den ansvarsfördelning som projektet enats om framstår som rimlig och ändamålsenlig. Den bedömningen gör Datainspektionen under förutsättning att det för varje informationsutbyte och i alla skeden är någon av aktörerna som tar, och har faktisk möjlighet att ta, ansvar för personuppgiftsbehandlingen. De skyldigheter och rättigheter som följer av dataskyddslagstiftningen måste med andra ord garanteras av någon av aktörerna vid varje givet tillfälle. Med begreppet aktörer avser Datainspektionen de socialnämnder, myndigheter och arbetslöshetskassor som hämtar eller lämnar uppgifter genom den sammansatta bastjänsten. Bedömningen förutsätter också att samtliga aktörer, med den valda lösningen och ansvarsfördelningen, kan uppfylla alla sina respektive rättsliga skyldigheter. Med rättsliga skyldigheter avses inte bara skyldigheter enligt dataskyddslagstiftningen utan också skyldigheter som åligger aktörerna enligt bland annat tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400). Datainspektionen förutsätter vidare att det är frivilligt för socialnämnderna att använda sig av den sammansatta bastjänsten. Om en enskild socialnämnd bedömer att den inte kan uppfylla sina rättsliga skyldigheter vid användande av den sammansatta bastjänsten måste socialnämnden ges alternativet att inte använda tjänsten. Sida 3 av 5

Det är i sammanhanget värt att poängtera vad den föreslagna fördelningen av personuppgiftsansvaret ställer för krav på aktörerna. Varje socialnämnd ansvarar för att den behandlar personuppgifter på ett lagligt sätt. Försäkringskassan får i egenskap av personuppgiftsbiträde endast behandla personuppgifter för socialnämndernas räkning i den sammansatta bastjänsten. Bestämmelserna i 30-31 personuppgiftslagen innebär att inom den sammansatta bastjänsten får Försäkringskassan endast behandla personuppgifter enligt socialnämndernas instruktioner och aldrig för egna ändamål. Vidare måste socialnämnderna kunna förvissa sig om att Försäkringskassan verkligen vidtar de säkerhetsåtgärder som, enligt socialnämndernas bedömning, måste vidtas för att kravet på lämpliga säkerhetsåtgärder ska vara uppfyllt. Datainspektionen anser att det är en absolut förutsättning att den registrerade ges tydlig information om hur ansvaret ser ut och vart hon eller han kan vända sig för att kunna ta tillvara sina rättigheter. Den enskilde får inte på något sätt bli lidande på grund av den fördelning av personuppgiftsansvaret som projektet bedömt ska gälla. Datainspektionen anser vidare att användningen av den sammansatta bastjänsten förutsätter att det verkligen finns tekniska begränsningar som gör att handläggare på socialnämnderna endast kan ta del av uppgifter om personer i pågående ärenden hos den egna nämnden. Om det, vid användningen av den sammansatta bastjänsten, saknas sådana tekniska begränsningar ges socialnämndernas handläggare nämligen inte bara teknisk tillgång till uppgifter om invånare i hela landet. De ges också möjlighet att få en samlad bild över varje individs ekonomiska ställning baserad på uppgifter från flera olika myndigheter och arbetslöshetskassor. Vid användningen av den sammansatta bastjänsten är integritetsintrånget och integritetsriskerna därför ännu större än vid det informationsutbyte som idag sker genom direktåtkomst (jfr prop. 2007/08:160 s. 148 f.). Samtliga tekniska lösningar och säkerhetsåtgärder som används för informationsutbytet måste givetvis vara sådana att det inte förekommer risker för att någon aktör får del av uppgifter som den inte har rätt att ta del av. Det får bland annat inte bli fråga om att den tekniska lösningen medför att uppgifterna i den sammansatta bastjänsten kan betraktas som allmänna handlingar hos annan än den socialnämnd för vilka personuppgifterna är avsedda, det vill säga varken hos andra socialnämnder eller hos personuppgiftsombudet Försäkringskassan. Sida 4 av 5

Datainspektionen vill också särskilt understryka att kraven på loggar och verkningsfulla loggkontroller hos respektive aktör givetvis kvarstår om den sammansatta bastjänsten tas i bruk. Utlämnande myndigheter och arbetslöshetskassor ansvarar för att på socialnämndsnivå utföra loggkontroller av socialnämndernas åtkomst till personuppgifter (Datainspektionens tillsynsbeslut med diarienummer 1735-2010). Socialnämnderna ansvarar för att utföra loggkontroller av sina anställdas åtkomst till personuppgifter genom den sammansatta bastjänsten (Datainspektionens tillsynsbeslut med diarienummer 1578-2010). Slutligen förutsätter Datainspektionen också att det, i Försäkringskassans uppdrag, inte finns några hinder för Försäkringskassan att agera som personuppgiftsbiträde åt socialnämnderna. Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av juristen Lena Carlsson. Vid den slutliga handläggningen har även chefsjuristen Hans-Olof Lindblom, enhetschefen Britt-Marie Wester och IT-säkerhetsspecialisten Magnus Bergström deltagit. Kristina Svahn Starrsjö Lena Carlsson Sida 5 av 5

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss