Myndighetsdatalag slutbetänkande av Informationshanteringsutredningen (SOU 2015:39)

Relevanta dokument
Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Yttrande över betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Riktlinjer för hantering av personuppgifter

Myndighetsdatalag (SOU 2015:39)

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Palett för ett stärkt civilsamhälle (SOU 2016:13)

Betänkandet SOU 2017:29 Brottsdatalag

Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39)

Finansdepartementet Avdelningen för offentlig förvaltning Föreskriftsrätt för Lantmäteriet enligt förordningen om lägenhetsregister Maj

Ett minskat och förenklat uppgiftslämnande för företagen, SOU 2013:80

YTTRANDE. Yttrande över betänkandet Se barnet! (SOU 2017:6) Justitieombudsmannen Lars Lindström

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Stockholm den 14 september 2017

Datainspektionen informerar

Remiss av SOU 2015:66 En förvaltning som håller ihop

Datainspektionen lämnar följande synpunkter.

Remiss av slutbetänkandet reboot - omstart för den digitala förvaltningen (SOU 2017:114)

Remissyttrande över departementspromemorian Behandling av personuppgifter i polisens brottsbekämpande verksamhet (Ds 2007:43)

Tillsyn avseende undersökningen Hälsa Stockholm

Uppgiftslämnarservice för företag (SOU 2015:33)

Sekretesspolicy

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

Yttrande över betänkandet En ny kamerabevakningslag

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Skapa tilltro Generell tillsyn, enskildas klagomål och det allmänna ombudet inom socialförsäkringen (SOU 2015:46)

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Anders Eka

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Utdrag ur protokoll vid sammanträde

Kommittédirektiv. Tilläggsdirektiv till Utredningen om kameraövervakning brottsbekämpning och integritetsskydd (Ju 2015:14) Dir.

Behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys (SOU 2018:52)

Remissyttrande avseende promemorian Livstidsstraff för mord (Ds 2017:38) Svårigheterna med att skriva en regel utifrån 2014 års riksdagsbeslut

Yttrande i Förvaltningsrätten i Stockholms mål

Yttrande över betänkandet Vägen till självkörande. fordon introduktion (SOU 2018:16).

Utdrag ur protokoll vid sammanträde

En kort sammanfattning av hovrättens synpunkter

Post- och telestyrelsen (PTS) är förvaltningsmyndighet med ett samlat ansvar inom postområdet och området för elektronisk kommunikation.

Remissvar Registersforskningsutredningen {SOU 2014:45)

Remissen Läkemedelsverkets förslag till föreskrifter för Nationella medicinska informationssystem

En kommunallag för framtiden (SOU 2015:24)

Skickat: den 11 januari :55

Yttrande över departementspromemorian Domstolsdatalag (Ds 2013:10)

Remissyttrande över promemorian En omarbetad domstolsdatalag Anpassning till EU:s dataskyddsförordning

Statistiska centralbyrån

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitierådet Bo Svensson, regeringsrådet Nils Dexe och justitierådet Lars Dahllöf.

Yttrande över slutbetänkandet Myndighetsdatalagen (SOU 2015:39)

Betänkandet SOU 2014:39 Så enkelt som möjligt för så många som möjligt Bättre juridiska förutsättningar för samverkan och service

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Stockholm den 17 september 2015

REMISSYTTRANDE 1 (5) AdmD Kulturdepartementet Stockholm

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Delbetänkande Ett minskat och förenklat uppgiftslämnande för företagen (dnr. 2013/4)

Juridik som stöd för förvaltningens digitalisering, SOU 2018:25

Yttrande över Departementspromemorian Domstolsdatalag (DS 2013:10)

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Utdrag ur protokoll vid sammanträde Några aktiebolagsrättsliga frågor. 2. lag om ändring i aktiebolagslagen (2005:551).

Utdrag ur protokoll vid sammanträde

Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82)

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitierådet Dag Victor samt justitieråden Lennart Hamberg och Per Virdesten.

Regionala etikprövningsnämnden i Uppsala

Yttrande över betänkandet Nya regler om faderskap och föräldraskap (SOU 2018:68)

Svar på remiss, Så stärker vi den personliga integriteten, (SOU 2017:52)

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Remissvar över betänkandet SOU 2016:74 Ökad insyn i partiers finansiering ett utbyggt regelverk (Ert Dnr: Ju2016/07989/L6)

Utdrag ur protokoll vid sammanträde Förslaget föranleder följande yttrande av Lagrådet:

Demografisk analys 2011 Innehållsförteckning Administrativa uppgifter... Kvalitetsdeklaration... 4

Utdrag ur protokoll vid sammanträde Vägen till mer effektiva energideklarationer

7. En nationell nämndmyndighet för prövning av oredlighet i forskning

Utdrag ur protokoll vid sammanträde

Anpassning till den allmänna dataskyddsförordningen av lagen (1996:810) om registrering av riksdagsledamöters åtaganden och ekonomiska intressen m.m.

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Stockholm den 10 augusti 2015

REMISSYTTRANDE 1 (6) AdmD S2009/8444/SF. Socialdepartementet Socialförsäkringsenheten Stockholm

Remissvar om departementspromemorian En anpassning av bestämmelser om kontroll i livsmedelskedjan till EU:s nya kontrollförordning

Remissyttrande över promemorian Sekretess i det internationella samarbetet (Ds 2012:34) Dnr Ju2012/5900/L6

En gymnasieutbildning för alla åtgärder för att alla unga ska påbörja och fullfölja en gymnasieutbildning (SOU 2016:77)

21 kap. 7 offentlighets- och sekretesslagen (2009:400), 9 första stycket a) personuppgiftslagen (1998:204)

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Förslagen föranleder följande yttrande av Lagrådet:

Yttrande över delbetänkandet Översyn av Riksrevisionen - grundlagsfrågor (2016/17:URF1)

Betänkandet SOU 2014:89 Elsäkerhet en ledningsfråga. Del 1: Sammanfattning och övergripande synpunkter

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI

Yttrande över betänkande av Agenda delegationen, SOU 2019:13

Remiss från Socialdepartementet SOU 2017:40 För dig och för alla.

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Susanne Billum och Dag Victor samt justitierådet Annika Brickman.

Yttrande över betänkandet Vägen till självkörande fordon - introduktion (SOU 2018:16)

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Eskil Nord och Lena Moore samt justitierådet Dag Mattsson

Transkript:

GD-stab, rättsekretariatet Anna Månsson Nylén 08-506 94 354 YTTRANDE Datum Beteckning Sida 2015-11-10 Dnr 2015/ 910 1 (5) Ert datum Er beteckning 2015-06-02 Ju2015/ 3364/ L6 Regeringskansliet Justitiedepartementet 103 33 STOCKHOLM Myndighetsdatalag slutbetänkande av Informationshanteringsutredningen (SOU 2015:39) 1. Sammanfattning Statistiska centralbyrån (SCB) är positiv till förslaget till ny myndighetsdatalag. Utredningen har hittat en väl fungerande lagteknisk lösning som gör det möjligt att ensa floran av registerlagstiftning och som torde minska behovet av fortsatt särreglering betydligt. SCB resonerar i sitt remissvar kring följande tre områd en: - Personuppgiftsansvar - Myndighetsd atalagen och förhållandet till befintlig registerlagstiftning - Ikraftträdande 2. 10.1 Personuppgiftsansvar angående En myndighet ska vara personuppgiftsansvarig för den behandling som myndigheten utför, sidan 351, samt Särskilt om personuppgiftsbiträden, sidan 359 Utredningen föreslår att en generell regel införs som innebär att en mynd ighet alltid är personuppgiftsansvarig för den behandling som en myndighet utför. Genom detta klargörs det enligt utredningen att det är den faktiska informationshanteringen som sker vid en myndighet som ska vara utgångspunkten för bed ömningen av vad personuppgiftsansvaret ska förläggas. Regeln har enligt utredningen störst betydelse genom att den pekar ut, bl.a. då flera aktörer samarbetar, vem som är ansvarig för varje enskild urskiljbar personuppgiftsbehandling. Enligt utredningen bör personuppgiftsbehandlingen förläggas hos den som har faktisk möjlighet att påverka om och hur behandlingen ska utföras, d.v.s. hos den som utför den. 1 1 SOU 2015:39 s. 352 Postadress Box 24300, 104 51 STOCKHOLM 701 89 ÖREBRO www.scb.se Organisationsnummer: 20 21 00-0837 Besöksadress Telefon Karlavägen 100 08-506 940 00 Klostergatan 23 019-17 60 00 E-post: scb@scb.se Momsregnummer: SE202100083701 Fax 08-661 52 61 019-17 70 80

2 (5) Enligt SCB:s mening är valet av ordet utföra som grund för bedömningen av fördelningen av personuppgiftsansvaret olyckligt och skapar ett oklart rättsläge. Det är inte klart vilken innebörd utredningen lägger i ordet utföra. I avsnittet som återges i stycket ovan verkar det sättas likhetstecken mellan att påverka om och hur behandlingen ska göras och att utföra den. Vid are anges i författningskommentaren att en personuppgiftsansvarig myndighet ska anses utföra en behandling även om den faktiska hanteringen överlämnats till ett personuppgiftsbiträde. En ren läsning av lagtexten utan att ta hänsyn till skrivningarna i betänkandet ger dock intryck av att fokus i bedömningen ligger på själva genomförandet av personuppgiftsbehandlingen snarare än på den som bestämmer änd amålen och medlen med behandlingen. Synonymer till utföra är t.ex. genomföra, realisera, verkställa och ombesörja. SCB måste d ärför ställa sig frågan om införandet av den föreslagna regeln är en förändring av rättsläget för mynd igheterna där fokus i bedömningen av vem som är personuppgiftansvarig inte längre ska vara vem som bestämmer änd amålen och medlen med behand lingen. Uttalanden som en sådan bestämmelse [ ] innebär att de faktiska förhållandena får en större betydelse än vad som hade varit fallet med enbart en hänv isning till personuppgiftslagen eftersom det då inte behöver ske en prövning av huruvida myndigheten i fråga bestämt ändamålen och medlen för behandlingen i fråga 2 antyder att så är fallet. Samtid igt uttalas det på flera ställen, bl.a. i författningskommentaren till den föreslagna paragrafen, att bedömningen måste ske utifrån omständigheterna i det enskild a fallet och att en central fråga är vem som har en faktisk möjlighet att påverka om en viss behandling ska ske och hur den ska gå till, vilket antyder a tt det änd å är vem som bestämmer målen och medlen med behandlingen som ska avgöra. Det verkar som om utredningens utgångspunkt har varit att en myndighet alltid bestämmer både änd amålen och medlen för den personuppgiftsbehandling som sker hos myndigheten. De exempel som lyfts fram när utredningen resonerar kring fördelning av personuppgiftsansvar är fall där myndigheter samverkar kring olika former av e-förvaltningsreglerade projekt. I dessa fall torde myndigheterna alltid vara helt självständiga i förhållande till varandra och i dessa fall kan en fördelning av personuppgiftsansvaret göras utan att behöva särskilja mellan den som bestämmer om och hur en behandling ska ske och vem som utför den faktiska behandlingen. SCB menar att utred ningen inte tagit höjd för de situationer då myndigheter utför personuppgiftsbehandling på uppdrag av en annan myndighet. Utredningen uppmärksammar visserligen att det förekommer att myndigheter behandlar personuppgifter som personuppgiftsbiträden åt andra myndigheter. Enligt utredningen handlar det då inte sällan om utkontraktering av it -drift från en myndighet till en annan mynd ighet som tillhand ahåller it-baserade 2 SOU 2015:39 s. 352, SCB:s kursivering.

3 (5) funktioner. 3 Vad detta skulle innebära för fördelningen av personuppgiftsansvaret fördjupar sig inte utrednin gen i utöver att fastslå att en ord ning som bygger på att statliga myndigheter på grund av avtal är personuppgiftsbiträden åt andra statliga myndigheter knappast är en hållbar konstruktion. 4 Denna slutsats grund ar utredningen på dels hur den svenska förvaltningsmodellen ser ut, med självständ iga myndigheter som inte tar instruktioner från eller låter sig kontrolleras av andra sidoordnade mynd igheter, dels på det faktum att förvaltningsmynd igheter inte är egna juridiska personer utan ska ses som olika enheter inom staten. Detta innebär att mynd igheter inte kan träffa sådana rättsligt bind ande avtal med varandra som avses i artikel 17.3 i dataskyddsdirektivet. Utredningen kommenterar inte detta ytterligare utan går vid are till att resonera kring de konsekven ser det har om en mynd ighet träffar avtal om att vara personuppgiftsbiträde åt enskilda. Det finns dock andra situationer d är statliga mynd igheter utför personuppgiftsbehandling på uppdrag av andra statliga myndigheter utöver den som utredningen hänvisar till. SCB bedriver t.ex. inom ramen för sin verksamhet uppdragsverksamhet med syfte att öka möjligheterna att utnyttja det statistiska materialet och den statistiska kompetensen som finns inom mynd igheten. 5 I första hand är det andra myndigheter som är up pdragsgivarna och en stor andel är andra statistikansvariga myndigheter som uppdragit åt SCB att framställa hela eller delar av den statistik som de ansvarar för enligt lagen (2001:99) och förord ningen (2001:100) om den officiella statistiken. Skolverket har t.ex. gett SCB i uppdrag att samla in uppgifter, hålla dem i register, bearbeta dem samt tillhand ahålla dem till Skolverket och andra av Skolverkets användare. I d en här situationen utför SCB personuppgiftsbehandlingen i sin helhet, men på initiativ av Skolverket och efter instruktioner från den senare mynd igheten. Att placera personuppgiftsansvaret hos utföraren, d.v.s. SCB, skulle strida mot unionsrätten eftersom SCB varken råder över ändamålen eller medlen med behandlingen. Samtid igt framstår det, om man ska följa utredningens resonemang, som svårt att argumentera för att relationen mellan Skolverket och SCB uppfyller de krav som ställs på relationen mellan en personuppgiftsansvarig och dess personuppgiftsbiträde. Enligt utredningen utesluter inte den föreslagna 7 att mynd igheter kan ha ett gemensamt personuppgiftsansvar, något som skulle kunna föras fram som en lösning på den problematik som beskrivs ovan. SCB menar dock att ett gemensamt ansvar inte är en lösning, eftersom det måste åligga en myndighet att sortera upp sitt ansvar och därmed ha möjlighet att ta det. Det måste också vara av vikt för tillsynen och den enskilde att det finns en utpekad ansvarig för varje del av behandlingen. Ett gemensamt ansvar torde endast finnas i en 3 SOU 2015:39 s. 337 4 SOU 2015:39 s. 361 5 Se 4 förordningen (2007:762) med instruktion för Statistiska centralbyrån samt regleringsbrev för budgetåret 2015 avseende Statistiska centralbyrån.

4 (5) situation d är det inte går att urskilja de olika delarna, en situation som i praktiken inte finns. Det som utredningen avser med uttrycket gemensam t personuppgiftsansvar måste vara att det finns flera aktörer som ansvarar för olika delar av en behandling. En annan situation som bör lyftas fram är den där en uppgiftsskyldighet föreligger för mynd igheten. Riksrevisionen har t.ex. enligt lagen (2002:1022) om revision av statlig verksamhet m.m. rätt att kräva att SCB lämnar ut de uppgifter Riksrevisionen behöver för att få tillräckligt underlag i granskningsprocessen. Uppgiftsskyldigheten gäller för alla uppgifter, oavsett om de finns i allmänna handlingar eller ej, och Riksrevisionen har rätt att avgöra hur uppgifterna ska lämnas. Många gånger föranleder det en hel del bearbetningar av registerd ata vid SCB. Enligt SCB är detta en situation d är mynd igheten försätts i en biträdessituation eftersom d en inte i någon del råder över änd amålen med och medlen för behandlingen och det är fråga om en situation d är myndigheten är skyldig att lämna ut personuppgifter. Även andra exempel på liknande situationer finns. Enligt SCB är det otillfredsställande att det råder så pass stora oklarheter p å detta område, i synnerhet mot vikten av tydlighet i förhållande till den registrerade och dennes möjligheter att tillvarata sina rättigheter. Mot bakgrund av att den kommande dataskyddsförordningen kommer att innebära en markant utökning av ansvaret för den personuppgiftsansvarige är detta en fråga som behöver en lösning. 3. Övrigt 3.1 Myndighetsdatalagen och förhållandet till befintlig registerlagstiftning Utredningen lämnar åt lagstiftaren att avgöra hur och i vilken takt befintlig registerlagstiftning ska anpassas till den nya lagen. Eftersom den föreslagna lagen är subsidiär till annan lagstiftning kan den träd a i kraft utan att övrig registerlagstiftning behöver ses över. SCB har id ag tillämpningsproblem i avgränsningen mellan lagen om den officiella statistiken och personuppgiftslagen (1998:204). Dessa kommer att kvarstå om personuppgiftslagen enbart ersätts av den föreslagna mynd ighetsdatalagen. SCB vill därför framhålla att mynd igheten välkomnar den nya regleringen och att man gärna vill bidra i ett arbete att se över och anpassa lagen om den officiella statistiken i syfte att renodla den dataskyddsreglering som gäller vid mynd igheten, gärna i ett så tidigt skede som möjligt. 3.2 Ikraftträdande Det tycks som att arbetet med den nya d ataskyddsförordningen går framåt och att den kommer att beslutas inom en snar framtid. SCB anser d et är önskvärt att

5 (5) ikraftträdandet av den nu föreslagna mynd ighetsdatalagen samord nas med ikraftträdandet av dataskyddsförordningen. Beslut i detta ärende har avgjorts av biträd ande generaldirektör Helen Stoye i närvaro av, chefsjurist Eva Nilsson, avdelningschef Anders Ljungberg samt verksjurist Anna Månsson Nylén, föredragande. STATISTISKA CENTRALBYRÅN Helen Stoye Anna Månsson Nylén

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss