Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Relevanta dokument
RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Snabbare lagföring (Ds 2018:9)

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Datainspektionen lämnar följande synpunkter.

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Utkast till lagrådsremissen Vägtrafikdatalag

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Personuppgiftsbehandling i forskningsbibliotekens verksamhet

Yttrande i Förvaltningsrätten i Stockholms mål

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Remiss av SOU 2015:66 En förvaltning som håller ihop

Hemlig dataavläsning ett viktigt verktyg i kampen mot allvarlig brottslighet (SOU 2017:89)

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Beslag och husrannsakan ett regelverk för dagens behov (SOU 2017:100)

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Datainspektionen informerar. Vägledningen ska tjäna som verktyg för att bedöma integritetsriskerna med ny eller ändrad lagstiftning.

Hur står det till med den personliga integriteten? (SOU 2016:41)

Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m.

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

Så stärker vi den personliga integriteten SOU 2017:52

Behandling av personuppgifter vid Försvarsmakten och Försvarets radioanstalt (SOU 2018:63)

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Remiss av betänkandet 2014 års utlänningsdatalag (SOU 2015:73)

Remittering av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

Yttrande över slutbetänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Stockholm den 8 augusti 2014

Departementspromemorian Domstolsdatalag (Ds 2013:10)

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Datainspektionens beslut. Arbetsförmedlingen Hälsingegatan Stockholm

Yttrande över promemorian Införande av vissa internationella standarder i penningtvättslagen

Stockholm den 14 september 2017

Regionala etikprövningsnämnden i Uppsala

Ds 2016:44 Nationell läkemedelslista

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Stockholm den 28 april 2015

Stockholm den 25 november 2015 R-2015/2121. Till Justitiedepartementet. Ju2015/08545/L4

Tillsyn enligt personuppgiftslagen (1998:204) VA Syds personuppgiftsbehandling inom avfallshanteringsverksamheten

Datalagring och integritet (SOU 2015:31)

Personuppgiftsansvarig och personuppgiftsbiträde

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Yttrande över betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Remissyttrande över departementspromemorian Behandling av personuppgifter i polisens brottsbekämpande verksamhet (Ds 2007:43)

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

SOU 2015:84 Organdonation En livsviktig verksamhet

Betänkandet Allmänna handlingar i elektronisk form offentlighet och integritet (SOU 2010:4)

Delbetänkande av Jaktlagsutredningen: Vildsvin och viltskador om utfordring, kameraövervakning och arrendatorers jakträtt (SOU 2014:54)

Kompletterande promemoria: Kameraövervakning vid åteljakt efter vildsvin

Remiss av slutbetänkandet Vägen till självkörande fordon (SOU 2018:16)

Kommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42

En omreglerad spelmarknad (SOU 2017:30)

Månadsuppgiftsutredningens betänkande Månadsuppgifter - snabbt och enkelt (SOU 2011:40)

att få ett mer effektivt informationsutbyte vid Nationellt centrum för terrorhotbedömning.

Stockholm den 12 december 2018 R-2018/1679. Till Försvarsdepartementet. Fö2018/00999/RS

Etableringsjobb (Ds 2019:13) (A2019/01215/A)

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde

Överklagande. Prövningstillstånd. Kammarrätten i Jönköping Box Jönköping. Klagande Datainspektionen, Box 8114, Stockholm

En anpassning till dataskyddsförordningen kreditupplysningslagen och några andra författningar

mellan myndigheter samt mellan myndigheter och företag principer för användning av e-legitimationer och utformning av åtkomstkontroll.

Behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys (SOU 2018:52)

Handlägges.Q"(4.e...

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Integritetsskydd - igår, idag, imorgon. Professor Cecilia Magnusson Sjöberg

Beslut om förteckning enligt artikel 35.4 i EU:s allmänna dataskyddsförordning 2016/679

Tillsyn enligt personuppgiftslagen

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Kommittédirektiv. En myndighet med ett samlat ansvar för tillsyn över den personliga integriteten. Dir. 2014:164

Användandet av E-faktura inom verksamheten betalningsföreläggande

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Varför granskar Datainspektionen er verksamhet?

Skatteverkets Promemoria Beskattningsdatabasen, bouppteckning och äktenskapsregister

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

EU:s dataskyddsförordning

Transkript:

Yttrande Diarienr 1(7) 2016-04-222016-04-22 Dnr 386-2016 Ert diarienr Dnr Fi 2016/00407/S3 Finansdepartementet 103 33 Stockholm Promemorian Uppgifter på individnivå i en arbetsgivardeklaration Datainspektionen har granskat promemorian utifrån myndighetens uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Inspektionens yttrande begränsas till de frågor som är av väsentlig betydelse för den enskildes personliga integritet. Sammanfattning Förslaget kan sägas bestå i två delar. I den första delen föreslås att uppgifter som arbetsgivare i nuläget lämnar för enskilda betalningsmottagare i årliga kontrolluppgifter istället ska lämnas månadsvis i arbetsgivardeklarationerna. I den senare delen föreslås omfattande möjligheter till elektroniskt uppgiftsutlämnande från Skatteverket till ett antal myndigheter och till arbetslöshetskassorna. Uppgiftsutlämnande till angivna myndigheter får ske genom direktåtkomst medan det till arbetslöshetskassorna får ske på medium för automatiserad behandling. Förslaget innefattar att den absoluta sekretess för uppgifterna som gäller hos Skatteverket även gäller hos de myndigheter och arbetslöshetskassor som mottar uppgifterna. Datainspektionen anser att förslaget brister vad gäller att klargöra och säkerställa skyddet för personuppgifterna vid föreslagna informationsutbyten. Datainspektionen inga synpunkter på förslaget i övriga delar. Förslaget innebär att flera stora myndigheter och arbetslöshetskassorna får omfattande tillgång till personuppgifter som berör den personliga sfären och som gäller en mycket stor del av befolkningen. Om ett flertal myndigheter kan söka information ur en sådan uppgiftssamling är det mycket viktigt att riskerna för intrång i den personliga integriteten, inklusive obehörig åtkomst, noga utvärderas och minimeras. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00

Datainspektionen 2016-04-22 Diarienr Dnr 386-2016 2 (7) I promemorian anges att det råder en oklarhet gällande vad som avses med begreppen direktåtkomst respektive utlämnande på medium för automatiserad behandling, men dessa begrepp föreslås ändå i författningsförslagen. I promemorian beskrivs inte närmre hur dessa informationsutbyten ska gå till i praktiken. Eftersom det inte är tydligt hur direktåtkomsten ska gå till och riskerna inte beskrivits på ett konkret sätt går det inte att bedöma om behovet överväger riskerna. Datainspektionen anser att i det fortsatta lagstiftningsarbetet måste förslagen konkretiseras och analyseras för att en avvägning ska kunna ske. Förslaget bygger på nuvarande lagstiftning och föreslås träda i kraft den 1 januari 2018. Förslaget till en dataskyddsförordning inom EU antogs den 14 april 2016 och den ska börja tillämpas om drygt två år. Förordningen kommer att vara direkt gällande rätt i Sverige och personuppgiftsbehandlingen måste därför vara i överensstämmelse med förordningen. Det ställs dessutom krav i förordningen på kompletterande nationella regler i vissa fall. Det är därför av största vikt att förordningens regler beaktas i lagstiftningsarbetet. Avsnitt 3.5.5 Normgivningsnivån Inledningsvis konstaterar Datainspektionen att personuppgiftslagen kommer att upphävas i och med att dataskyddsförordningen börjar tillämpas. Oavsett om en behandling idag utförs med stöd av en särskild registerförfattning eller personuppgiftslagen måste dataskyddsförordningen beaktas och analyseras som helhet, dvs. vilken behandling är tillåten med direkt tillämpning av dataskyddsförordningen, i vilka fall finns det enligt dataskyddsförordningen krav på nationell reglering för att viss behandling ska vara tillåten och i vilka fall får kompletterande nationell reglering finnas enligt förordningen. Av detta följer att nya lagstiftningsförslag, i synnerhet om de som i detta fall är tänkta att träda kraft i mycket nära anslutning till att förordningen börjar tillämpas, kan visa sig omöjliga att genomföra om man inte från början har beaktat förordningens bestämmelser. Det är därför Datainspektionens uppfattning att förslaget måste prövas mot förordningens regler. Detta gäller i desto högre grad om det krävs omfattande anpassningar av myndigheternas IT-system. När medlemsstaterna använder sig av sitt handlingsutrymme i lagstiftningen måste 2 kap. 6 andra stycket regeringsformen beaktas. Datainspektionen anser, till skillnad från vad som anförs i promemorian, att det föreslagna informationsutbytet, om det realiseras innebär en så betydande kartläggning

Datainspektionen 2016-04-22 Diarienr Dnr 386-2016 3 (7) av enskildas personliga förhållanden att 2 kap. 6 andra stycket regeringsformen blir tillämplig. Ju känsligare uppgifter det rör sig om desto mer ingripande ska en behandling som avser kartläggning eller övervakning anses vara. Vidare ska ändamålet beaktas såtillvida att exempelvis en hantering som syftar till att utreda brott är mer känslig än t ex en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvalitén i handläggningen. Mängden uppgifter har betydelse och det uttalas även att behovet av lagstiftning är särskilt stort om uppgifterna sprids externt i inte obetydlig omfattning. (Prop 2009/10:80, s. 182 ff). I nu föreslagna informationsutbyten rör det sig om integritetskänsliga uppgifter med ändamålet kontroll för att upptäcka felaktiga utbetalningar och fusk, de avser en omfattande del av befolkningen och det är frågan om en stor spridning. Bestämmelsen i 2 kap. 6 andra stycket regeringsformen innebär att sådana åtgärder som föreslås ska prövas mot grundlagen och regleras i lag. Det är endast tillåtet med lagar som inskränker integritetsskyddet om det intresse som ska tillgodoses är så starkt och integritetsskyddsintresset så förhållandevis svagt att inskränkningen framstår som proportionerlig. Bestämmelsen innebär också att lagstiftaren tydligt måste redovisa vilka avvägningar som gjorts vid proportionalitetsbedömningen. En begränsning av rättigheterna i 2 kap. 6 andra stycket regeringsformen ska för att vara tillåten stadgas i lag och får inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den, se 2 kap. 20 och 21 regeringsformen. I ett konkret lagstiftningsärende innebär det att det intrång som sker i den enskildes personliga integritet måste vara befogat och inte större än nödvändigt. Intrånget ska mötas av integritetshöjande bestämmelser till förmån för den enskilde vars personuppgifter behandlas. Avsnitt 3.5.2 Personlig integritet och elektroniskt informationsutbyte Avsnitt 3.5.4 Direktåtkomst Avsnitten 3.5.6 3.5.10 I de övergripande integritetsbedömningarna (avsnitt 3.5.2) i promemorian anges att elektroniska utlämnanden hos myndigheter kan innebära en risk för den enskildes personliga integritet genom att stora informationsmängder samlas och är enkelt sökbara. Denna, abstrakt uttryckta, risk som angetts för elektroniska utlämnanden och alltså inte specifikt för direktåtkomst, vägs

Datainspektionen 2016-04-22 Diarienr Dnr 386-2016 4 (7) mot att flera myndigheter redan deltar i elektroniska informationsutbyten med Skatteverket. Dessutom uttalas att ett elektroniskt informationsutbyte som är en nödvändig följd av förmånssystemens utformning inte ansetts medföra ett intrång som är att anse som oacceptabelt. Datainspektionen anser inte att det är en tillräcklig analys eller avvägning. Den föreliggande promemorian bygger till stor del på tidigare utredningar, framförallt Månadsuppgiftsutredningens betänkande Månadsuppgifter snabbt och enkelt (SOU 2011:40). Datainspektionen står fast vid den synpunkt som framfördes i remissyttrandet till SOU 2011:40, att det krävs en integritetsanalys som tar hänsyn till helheten. Det är också nödvändigt att en analys av integritetsriskerna anger vilka konkreta risker för integriteten som det föreslagna informationsutbytet innebär och att det prövas i det enskilda fallet om intresset av informationsutbytet väger över riskerna för oacceptabelt intrång. Vad gäller bedömningarna för de olika mottagarna i informationsutbytet finner Datainspektionen det orimligt att först peka på att det är oklart var gränsen går mellan direktåtkomst och annat elektroniskt utlämnande för att sedan använda begreppen i författningsförslag utan att förklara vad som avses. Mot den bakgrunden är det varken möjligt att förstå vilken slags tillgång till personuppgifter myndigheterna och arbetslöshetskassorna får eller bedöma proportionaliteten. Slutsatsen att det för myndigheterna inte räcker med utlämnande på medium för automatiserad behandling blir inte lättare att förstå mot bakgrund av hänvisningen till avsnitt 3.3.3. I detta avsnitt anförs bland annat att det mot bakgrund av Högsta förvaltningsdomstolens avgörande den 29 oktober 2015 i mål nr 1356-14 finns anledning att överväga om de utlämnanden som föreslås i denna promemoria, genom utformningen av de tekniska systemen kan bedömas som utlämnande på medium för automatiserad behandling och att det därför inte skulle finnas behov av direktåtkomst. Det är i och för sig förtjänstfullt att man inte velat tilldela arbetslöshetskassorna större tillgång än vad behovet hos dem motiverar. Det är dock oklart varför myndigheternas behov av direktåtkomst till uppgifterna är större än kassornas behov. Det är också oklart hur det utlämnande som beviljas arbetslöshetskassorna skiljer sig från det utlämnande som beviljas myndigheterna. Utöver att det saknas förklaring till hur utlämnandena ska gå till redogörs inte för vilka konkreta risker som finns med att ge en möjlighet till direktåtkomst.

Datainspektionen 2016-04-22 Diarienr Dnr 386-2016 5 (7) Det går inte att genomföra en korrekt proportionalitetsbedömning utan att ha en specifik behandling inbegripet de säkerhetsåtgärder som föreligger och inbegripet konkreta risker för den enskildes personliga integritet - beskrivet. Eftersom promemorian saknar en djupare analys är det svårt att bedöma vilka konsekvenser det föreslagna informationsutbytet får för den personliga integriteten. Datainspektionen anser att man i det fortsatta lagstiftningsarbetet bör utreda frågorna närmare och redogöra för de bedömningar som gjorts. Det som framförallt saknas är förutsättningarna för att utföra en viktning av behoven, en ingående undersökning av alternativa och mindre ingripande metoder och att det av de föreslagna reglerna går att läsa vari inskränkningen består och hur stor den är. (Jämför Integritetsskyddskommitténs uttalanden i SOU 2007:22, s. 449 ff). Avsnitt 3.5.12 Krav på administrativa och tekniska begränsningar Det föreliggande författningsförslaget innebär att de angivna myndigheterna ges direktåtkomst till ett stort antal uppgifter utan att det säkerställs att relevanta organisatoriska och tekniska begränsningar kommer till stånd. Det kan konstateras att myndigheternas behov av uppgifter enbart gäller begränsade kategorier. Det är därför omotiverat att myndigheterna har en generell direktåtkomst till alla registrerade. De åtgärder som åligger berörda myndigheter, vilka promemorian har redogjort för, enligt bestämmelser i registerförfattningar och personuppgiftslagen kan normalt aldrig till fullo ersätta ett system med inbyggda tekniska hinder. Promemorian snuddar vid frågor om möjligheter att skicka över skiktad information, att direktåtkomst endast ska kunna medges efter en överenskommelse om att direktåtkomst får medges först sedan den utlämnande myndigheten försäkrat sig om att den mottagande myndighetens handläggare bara kan ta del av uppgifter om enskilda som är aktuella i ärenden och att en risk- och sårbarhetsanalys ska göras. Datainspektionen anser att man i det fortsatta lagstiftningsarbetet noga ska överväga att införa bestämmelser som ansluter till de lösningsalternativ som förs fram. I andra sammanhang finns sådana bestämmelser som syftar till att garantera att direktåtkomst inte medges innan behörighets- och säkerhetsfrågorna är lösta, se exempelvis 14 utlänningsdataförordningen (2016:30). Det bör även beaktas att enligt 2 kap. 6 och 20-21

Datainspektionen 2016-04-22 Diarienr Dnr 386-2016 6 (7) regeringsformen krävs integritetshöjande bestämmelser till förmån för den enskilde vars uppgifter behandlas, varför Datainspektionen även i linje med sin uppfattning om grundlagsbestämmelsernas tillämplighet anser att ytterligare bestämmelser behövs. Det är i sammanhanget också en brist i promemorian att respektive myndighets roll vad gäller personuppgiftsansvaret inte har klarlagts. Utan ett sådant klarläggande uppstår stora risker för att de inblandade myndigheterna inte kan uppfylla de krav som ställs på dem i egenskap av personuppgiftsansvariga. Ett sådant klarläggande är också en förutsättning för att kunna ta fram lämpliga skyddsåtgärder i lagstiftningsarbetet. Det måste också vara tydligt för den enskilde vilken myndighet som är personuppgiftsansvarig. Datainspektionen vill slutligen fästa uppmärksamhet på Dataskyddsförordningens bestämmelser om konsekvensbedömning (artikel 35), med tillhörande skäl (skäl 90-93). Om en typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utföra en konsekvensbedömning före behandlingen. Detta bör särskilt vara tillämpligt på storskalig uppgiftsbehandling med syftet att behandla betydande mängder personuppgifter på region, nationell eller övernationell nivå, vilket skulle kunna påverka ett stort antal registrerade och sannolikt kommer att innebära en hög risk. Bedömningen ska, utöver en proportionalitetsbedömning och en systematisk beskrivning av den planerade behandlingen, bland annat innehålla de åtgärder som planeras för att hantera riskerna. När myndigheter avser att skapa en gemensam tillämpnings- eller behandlingsplattform kan en konsekvensbedömning anses nödvändig att genomföra i lagstiftningsarbetet. Om bedömningen redan gjorts i lagstiftningsarbetet behöver den inte göras på nytt om inte medlemsstaten har bestämt att det är nödvändigt. I sådana fall blir förhandssamråd med tillsynsmyndigheten i enlighet med artikel 36 aktuellt om konsekvensbedömningen visar att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken.

Datainspektionen 2016-04-22 Diarienr Dnr 386-2016 7 (7) Detta yttrande har beslutats av enhetschefen Katarina Tullstedt efter föredragning av juristen Elin Hallström. Vid den slutliga handläggningen har även datarådet Agneta Runmarker deltagit. Katarina Tullstedt Elin Hallström

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss