Betänkandet låt fler forma framtiden! (SOU 2016:5)

Relevanta dokument
Datainspektionen lämnar följande synpunkter.

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m.

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Yttrande i Förvaltningsrätten i Stockholms mål

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Snabbare lagföring (Ds 2018:9)

Personuppgiftsansvarig och personuppgiftsbiträde

Remittering av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Policy för hantering av personuppgifter

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

Ds 2016:44 Nationell läkemedelslista

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

Utkast till lagrådsremissen Vägtrafikdatalag

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Vägledning för bolag. Ej gällande. Ansvaret för personuppgifter som hanteras i system för whistleblowing

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Personuppgiftsbiträdesavtal

EU:s dataskyddsförordning

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Hur står det till med den personliga integriteten? (SOU 2016:41)

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Dataskyddsförordningen

Så stärker vi den personliga integriteten SOU 2017:52

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Kanslichef - Tillsvidare

Riktlinjer för hantering av personuppgifter

Allmänna Råd. Datainspektionen informerar Nr 3/2017

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Datainspektionen informerar. Vägledningen ska tjäna som verktyg för att bedöma integritetsriskerna med ny eller ändrad lagstiftning.

Tillsyn enligt personuppgiftslagen (1998:204)- två forskningsprojekt vid Bristol-Myers Squibb AB

Tillsyn enligt personuppgiftslagen (1998:204) En forskningsstudie vid Örebro universitet med känsliga personuppgifter om barn

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Lathund Dataskydd för krögare

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Så behandlar vi dina personuppgifter

Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)

EU:s nya dataskyddsförordning Lotta Wikman Öman

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

PERSONUPPGIFTSBITRÄDESAVTAL

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Regler för behandling av personuppgifter vid Högskolan Dalarna

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Vården och reglerna om dataskydd

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Tillsyn enligt personuppgiftslagen (1998:204) Barn och grundskolenämnden i Täbys behandling av personuppgifter i VKlass

PERSONUPPGIFTSLAGEN (PUL)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Personuppgiftsbehandling i forskning

Dataskyddsförordningen GDPR

EU:s dataskyddsförordning

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

GDPR. Dataskyddsförordningen

Personuppgiftsbiträdesavtal

Datainspektionen informerar

Dataskyddsförordningen (GDPR)

Riktlinjer för personuppgiftshantering

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Svensk författningssamling

GDPR NYA DATASKYDDSFÖRORDNINGEN

PuL och GDPR en översiktlig genomgång

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

MKEF ska säkerställa att personuppgifter ska:

Personuppgiftsbiträdesavtal

Tillsynsbeslut; omdömen om elever

Dataskyddsförordningen

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Behandling av personuppgifter inom Home Care Hemtjänst

Policy för behandling av personuppgifter

GDPR- Seminarium 2017

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Transkript:

Yttrande Diarienr 1 (7) 2016-06-21 536-2016 Ert diarienr Ku2016/00088/D Kulturdepartementet 103 33 Stockholm även via e-post Betänkandet låt fler forma framtiden! (SOU 2016:5) Datainspektionen har granskat betänkandet huvudsakligen utifrån myndighetens uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Sammanfattning Betänkandet innehåller förslag som syftar till att stärka individens möjligheter till inf lytande och att bredda det demokratiska deltagandet i samhället. Datainspektionen ser positivt på att utredningen i detta sammanhang också har identifierat dataskyddsfrågor som förknippas med personuppgiftslagen och EU:s dataskyddsförordning. I det följande lämnar Datainspektionen synpunkter som främst rör rättsligt stöd för behandlingen av personuppgifter, personuppgiftsansvar samt tekniska och organisatoriska säkerhetsåtgärder. I det fortsatta beredningsarbetet är det nödvändigt att dessa dataskyddsfrågor analyseras mer noggrant samt att de it-stöd som införs är förenliga med dataskyddsbestämmelserna. I den fortsatta beredningen måste hänsyn också tas dataskyddsförordningen som EU antog den 14 april 2016 och som ska börja tillämpas den 25 maj 2018. Folkinitiativ och folkmotion Betänkandet utgår från att det ska vara möjligt att behandla personuppgifter med enskildas samtycke inom ramen för folkinitiativ och folkmotioner. Enligt betänkandet ska det gällande folkinitiativ och folkmotioner finnas en Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00

Datainspektionen 2016-06-21 Diarienr 536-2016 2 (7) valmöjlighet genom att en initiativtagare, som inte vill lämna samtycke, har en möjlighet att på egen hand samla underskrifter utanför den nationella webbplatsen, som utredningen föreslår ska inrättas (med Länsstyrelsen i Västra Götalands län som personuppgiftsansvarig). Betänkande har inte tagit upp motsvarande fråga om valmöjlighet för den enskilda person som vill stödja ett folkinitiativ eller en folkmotion utan att behöva använda den nationella webbplatsen. Av väsentlig betydelse för dataskyddet är att den personuppgiftsansvariga klarlägger med vilket rättsligt stöd en behandling av personuppgifter får utföras med utgångspunkt från grunderna för tillåtlighet i 10 personuppgiftslagen. I de fall förslagen i betänkandet leder till personuppgiftsbehandling som avslöjar politisk uppfattning, dvs. ett exempel på en känslig personuppgift enligt 13 personuppgiftslagen, krävs att den personuppgiftsansvariga gör ytterligare ställningstaganden. Skälet är att det är förbjudet att behandla känsliga personuppgifter enligt den nämnda bestämmelsen. Från förbudet finns dock vissa angivna undantag (15-19 personuppgiftslagen). Med samtycke avses enligt 3 personuppgiftslagen varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandlingen av personuppgifter som rör honom eller henne. För det fall det är fråga om exempelvis en behandling av personuppgifter som avslöjar politisk uppfattning, ska ett samtycke dessutom vara uttryckligt enligt 15 personuppgiftslagen. Datainspektionen anser att det kan ifrågasättas om kravet på frivillighet är uppfyllt om myndigheter kräver samtycke till behandling av personuppgifter som en förutsättning för att tillhandahålla samhälleliga tjänster. Om den enskilda personen, dvs. här såväl en enskild initiativtagare som en enskild person som vill stödja ett förslag, inte har någon verklig valmöjlighet att slippa använda den nationella webbplatsen, måste den personuppgiftsansvariga i en sådan situation undersöka om det finns ett annat rättsligt stöd för behandlingen, antingen i personuppgiftslagen eller i annan författning. Eftersom dataskyddsförordningen ska börja tillämpas om knappt två år är det viktigt med en hållbar framåtblickande lösning av frågan om det rättsliga stödet för behandling av personuppgifter om såväl en initiativtagare som en enskild person som vill stödja ett förslag. När det gäller samtycke som ett

Datainspektionen 2016-06-21 Diarienr 536-2016 3 (7) rättsligt stöd för personuppgiftsbehandling vill Datainspektionen därför framhålla skäl 43 i dataskyddsförordningen. Där framgår att samtycke, för att säkerställa att det lämnas frivilligt, inte bör utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Personuppgiftsansvar för laglighet och säkerhetsåtgärder I betänkandet föreslås att regeringen ger i uppdrag till Länsstyrelsen i Västra Götalands län att upprätta och underhålla en webbplats som möjliggör för enskilda att initiera och stödja folkinitiativ i den kommun eller landsting som de är folkbokförda i. Den aktuella länsstyrelsen är i sådant fall personuppgiftsansvarig enligt betänkandet. Vidare föreslås att den nationella webbplatsen också ska kunna användas för insamling av stöd för folkmotioner till fullmäktige och i framtiden för folkmotioner till riksdagen. I dataskyddssammanhang är begreppen personuppgiftsansvarig och personuppgiftsbiträde centrala. Enligt definitionerna i 3 personuppgiftslagen är personuppgiftsansvarig den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter, medan personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvarigas räkning. Begreppet värd som nämns i betänkandet (s. 472) finns inte i personuppgiftslagen och kan därför inte vara utgångspunkt för ett fullgott dataskydd. I vissa fall framgår direkt av en registerförfattning vem som är personuppgiftsansvarig. Ett exempel är 6 lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar (2001:183). Av den bestämmelsen framgår att den centrala valmyndigheten, Sametinget och länsstyrelserna var för sig är personuppgiftsansvariga för den behandling av personuppgifter som respektive myndighet ska utföra enligt den nämnda lagen. Den personuppgiftsansvariga kan välja att anlita ett personuppgiftsbiträde, som då behandlar personuppgifter för den personuppgiftsansvarigas räkning

Datainspektionen 2016-06-21 Diarienr 536-2016 4 (7) enligt de instruktioner som den personuppgiftsansvariga lämnar enligt 30 första stycket personuppgiftslagen. Instruktionerna behöver vara så tydliga att olaglig behandling av personuppgifter inte utförs. Vidare ska det enligt 30 andra stycket personuppgiftslagen finnas ett skriftligt avtal där det föreskrivs att personuppgiftsbiträdet får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige och att biträdet är skyldigt att vidta de åtgärder som avses i 31 första stycket personuppgiftslagen. När det gäller tekniska och organisatoriska säkerhetsåtgärder ska den personuppgiftsansvariga också förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar säkerhetsåtgärderna, vilket framgår av 31 andra stycket personuppgiftslagen. Datainspektionen konstaterar att det inte har presenterats någon utredning om varför de enskilda kommunerna och landstingen inte skulle vara personuppgiftsansvariga för sin egen behandling av personuppgifter som aktualiseras på grund av att folkinitiativ och folkmotioner föreslås vara ett kommunalt åtagande. Sammantaget anser Datainspektionen att frågan om vem som är personuppgiftsansvarig är central och behöver utredas närmare i det fortsatta beredningsarbetet. Det måste i praktiken finnas både förutsättningar och förmåga för den personuppgiftsansvariga som ska se till att personuppgifter behandlas bara om det är lagligt (9 första stycket a personuppgiftslagen) och som också ska tillgodose registrerades rättigheter och ansvara för att vidta säkerhetsåtgärder. Synpunktshantering i kommuner och landsting Utredningen gör bedömningen att synpunktshantering bör införas i kommuner och landsting. Några författningsförslag lämnas inte. Datainspektionen känner till att synpunktshantering förekommer i form av exempelvis kommunala trygghets- och kundtjänster. Eftersom hanteringen i princip alltid leder till behandling av personuppgifter är det viktigt att kommuner och landsting följer dataskyddsbestämmelserna. I korthet innebär det exempelvis följande.

Datainspektionen 2016-06-21 Diarienr 536-2016 5 (7) Det måste finnas ett rättsligt stöd för personuppgiftsbehandlingen. Samtycke, som enkelt kan inhämtas från den som lämnar synpunkter, är dock inte gångbart för att få behandla uppgifter om en annan person, som synpunkten eventuellt refererar till. Det behöver finnas information till registrerade enligt 25 personuppgiftslagen, bland annat om vem som är personuppgiftsansvarig (exempelvis en kommunal nämnd eller styrelse) och om ändamålet med personuppgiftsbehandlingen. Vidare behövs instruktioner till både medborgare och myndighetens egna medarbetare som beskriver vilka personuppgifter som är relevanta att samla in och registrera inom ramen för synpunktshanteringen. Detta beror på de grundläggande kraven i 9 personuppgiftslagen. Den personuppgiftsansvariga ska exempelvis se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålet med behandlingen samt att inte f ler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen. Instruktionerna behöver vara så tydliga att det inte sker olaglig behandling av personuppgifter. Kommuniceras integritetskänsliga personuppgifter (t.ex. personliga förhållanden inom socialtjänsten) ska kommunen krypteringsskydda överföringen på ett sådant sätt att endast kommunen kan ta del av personuppgifterna. Behörigheterna att ta del av personuppgifterna inom kommunen ska begränsas så att endast de medarbetare som har behov av uppgifterna i sitt arbete får tillgång till uppgifterna. Förekommer s.k. skyddade personuppgifter behöver instruktionerna även omfatta hur dessa uppgifter ska hanteras. Det behövs även instruktioner för hur länge personuppgifterna får bevaras och hur gallring av personuppgifter ska gå till. Gällande personuppgiftsbehandling som rör socialtjänstens verksamhetsområde aktualiseras även tillämpning av lagen (2001:454) och förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten. Försöksverksamhet med e-röstning Utredningen anser att det bör genomföras en försöksverksamhet med

Datainspektionen 2016-06-21 Diarienr 536-2016 6 (7) e-röstning i kommunala folkomröstningar. Enligt utredningen kan ett sådant försök utgöra ett underlag vid framtida övervägningar gällande försöksverksamhet med e-röstning i de allmänna valen. Datainspektionen anser att det är positivt att utredningen har identifierat att det behöver skapas system som är tillräckligt säkra. Datainspektionen vill dock framhålla att redan en försöksverksamhet måste föregås av noggranna överväganden och analyser av exempelvis vem som ska vara personuppgiftsansvarig, med vilket rättsligt stöd behandlingen får utföras samt vilka tekniska och organisatoriska säkerhetsåtgärder som ska vidtas. Användning av internet eller andra öppna nät förutsätter exempelvis att säkerhetsåtgärder vidtas så att personuppgifter i samband med e-röstning inte förvanskas eller blir föremål för obehörig åtkomst eller oavsiktlig förlust. Skyddet för den s.k. rösthemligheten medför att särskilda krav gör sig gällande. EU:s dataskyddsförordning Eftersom dataskyddsförordningen ska börja tillämpas om knappt två år, den 25 maj 2018, måste den fortsatta beredningen av betänkandet ta hänsyn till dataskyddsförordningens skäl och bestämmelser, exempelvis vad avser en myndighets möjligheter att använda samtycke som ett rättsligt stöd för personuppgiftsbehandling enligt vad som framgår ovan. Förordningen kommer att vara direkt gällande rätt i Sverige och ersätta personuppgiftslagen, som kommer att upphävas. Behandlingen av personuppgifter måste därför framöver ske i överensstämmelse med förordningen. Det ställs dessutom i vissa fall krav på kompletterande nationella regler och i vissa fall är det möjligt att införa kompletterande nationella regler. Dataskyddsförordningen bygger på ett antal principer för behandling av personuppgifter (artikel 5). Principerna påminner i stort om de grundläggande kraven i 9 personuppgiftslagen, men innehåller också nyheter. En nyhet är ansvarsskyldighet, som innebär att den personuppgiftsansvariga ska ansvara för och kunna visa att personuppgifterna behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Vidare har även dataskyddsförordningen utgångspunkten att

Datainspektionen 2016-06-21 Diarienr 536-2016 7 (7) behandling av personuppgifter som avslöjar politiska åsikter är förbjuden, men från förbudet finns ett antal undantag (se i första hand artikel 9). I det här sammanhanget vill Datainspektionen framhålla ytterligare två väsentliga delar av dataskyddsförordningen. Dataskyddsförordningen innehåller en huvudregel om information till registrerade. Information till den enskilde ska omfatta exempelvis den rättsliga grunden för behandlingen (artikel 13 och 14). Datainspektionen vill också framhålla bestämmelserna om konsekvensbedömning och tillhörande skäl (artikel 35 och skäl 90-93). Om en typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utföra en konsekvensbedömning före behandlingen. Detta bör särskilt vara tillämpligt på storskalig uppgiftsbehandling med syftet att behandla betydande mängder personuppgifter på region, nationell eller övernationell nivå, vilket skulle kunna påverka ett stort antal registrerade och sannolikt kommer att innebära en hög risk. Bedömningen ska, utöver en proportionalitetsbedömning och en systematisk beskrivning av den planerade behandlingen, bland annat innehålla de åtgärder som planeras för att hantera riskerna. När myndigheter avser att skapa en gemensam tillämpnings- eller behandlingsplattform kan en konsekvensbedömning anses nödvändig att genomföra i lagstiftningsarbetet. Om bedömningen redan gjorts i lagstiftningsarbetet behöver den inte göras på nytt om inte medlemsstaten har bestämt att det är nödvändigt. I sådana fall blir förhandssamråd med tillsynsmyndigheten i enlighet med artikel 36 aktuellt om konsekvensbedömningen visar att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken. Detta yttrande har beslutats av enhetschefen Katarina Tullstedt efter föredragning av avdelningsdirektören Suzanne Isberg. Katarina Tullstedt Suzanne Isberg

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss