Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Relevanta dokument
Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Datainspektionen lämnar följande synpunkter.

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Snabbare lagföring (Ds 2018:9)

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Hur står det till med den personliga integriteten? (SOU 2016:41)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Tillsynsbeslut; omdömen om elever

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

Tillsyn enligt personuppgiftslagen (1998:204) kontroll av anställda

Tillsyn - äldreomsorg

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

SOU 2015:84 Organdonation En livsviktig verksamhet

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Ansökan om undantag från förbudet i 21 personuppgiftslagen

Tillsyn enligt personuppgiftslagen

Ombud: N.N N.N Danowsky & Partners Advokatbyrå KB Box STOCKHOLM

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Försäkringskassan

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter för kontroll av anställda

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Yttrande över promemorian Införande av vissa internationella standarder i penningtvättslagen

Remiss av SOU 2015:66 En förvaltning som håller ihop

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Betänkandet Allmänna handlingar i elektronisk form offentlighet och integritet (SOU 2010:4)

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Promemorian Vissa frågor om vapenlagen (Ds 2010:6)

Integritetsskydd i arbetslivet (SOU 2009:44)

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn - äldreomsorg

Handlägges.Q"(4.e...

Myndighetsdatalag (SOU 2015:39)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Fitness24Seven

Tillsyn enligt personuppgiftslagen (1998:204) Enköpings kommunstyrelses användning av molntjänsten Dropbox

Tillsyn enligt personuppgiftslagen (1998:204) registrering av känsliga personuppgifter om anställda

Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)

Beslag och husrannsakan ett regelverk för dagens behov (SOU 2017:100)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

mellan myndigheter samt mellan myndigheter och företag principer för användning av e-legitimationer och utformning av åtkomstkontroll.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

Datainspektionen informerar

Yttrande över betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning

Remiss av betänkandet 2014 års utlänningsdatalag (SOU 2015:73)

Tillsyn enligt inkassolagen (1974:182) användande av konkursinstitutet

Remissen Läkemedelsverkets förslag till föreskrifter för Nationella medicinska informationssystem

Dataskyddspolicy för Rotsunda Utbildning AB

Mediegrundlagskommitténs betänkande Ändrade mediegrundlagar (SOU 2016:58)

Remittering av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Tillsyn enligt inkassolagen (1974:182) uppgift om grunden för tele-, TV- och Internetfordringar

Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Tillsyn enligt inkassolagen (1974:182) uppgift om grunden för tele-, TV- och Internetfordringar

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Så behandlar vi dina personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

Yttrande i Förvaltningsrätten i Stockholms mål

Asitis personuppgiftspolicy. Asitis personuppgiftspolicy Syfte Ändamål Riktlinjer Asitis personuppgiftsbehandling...

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt inkassolagen (1974:182) uppgift om grunden för tele-, TV- och Internetfordringar

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Tillsyn enligt kameraövervakningslagen (2013:460) Försäkringskassans användning av webbkameror

Datum Vår referens Sida Dnr: (10)

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Transkript:

Yttrande Diarienr 2010-12-20 1556-2010 Ert diarienr Ju2010/7476/EMA Justitiedepartementet 103 33 Stockholm Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63) Datainspektionen, som har granskat utredningen huvudsakligen utifrån sin uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter, har följande synpunkter att lämna. Sammanfattning Datainspektionen saknar en grundläggande analys och tydliga ställningstaganden av hur arbetsgivarens kontroll- och bevarandeskyldighet förhåller sig till personuppgiftslagens bestämmelser. Datainspektionen ifrågasätter valet av Skatteverket som den myndighet till vilken arbetsgivare ska vara skyldiga att lämna underrättelse. Datainspektionen ser också brister i den föreslagna förändringen av lag (2001:181) om Skatteverkets behandling av personuppgifter i beskattningsverksamheten. Datainspektionen anser inte att Migrationsverket utan att göra någon närmare analys av de sekretess- och dataskyddsbestämmelser som kan bli tillämpliga vid myndigheters utlämnande av uppgifter bör införa en rutin där de på eget initiativ sänder en kopia av beslutet om återkallelse till arbetsgivaren. 5.4 Skyldigheten att kontrollera och bevara handlingar I regeringsformen åläggs lagstiftaren att vara aktiv genom att stifta och vidmakthålla en dataskyddslagstiftning. Nyligen har det också införts en ny bestämmelse i andra kapitlet som utvidgar skyddet mot intrång i den personliga integriteten. Bestämmelsen anger att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten som sker utan samtycke och innebär övervakning eller kartläggning av den enskildes person- Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

liga förhållanden. Den träffar inte åtgärder som en enskild vidtar i förhållande till en annan enskild, men eftersom även det allmänna kan vara arbetsgivare är den ändå relevant. Skyddet mot intrång gäller även för utländska medborgare. Många använder idag elektroniska dokumenthaneringssystem där handlingar skannas in, vilket innebär en elektronisk behandling. Med tanke på hur verkligheten ser ut anser Datainspektionen att lagstiftaren i det här fallet bör ta ett större ansvar genom att noggrannare analysera vilka möjligheter det finns för en sådan behandling. Datainspektionens delar inte utredningens uppfattning att den arbetsgivare som vill förvissa sig om att dennes behandling av känsliga personuppgifter sker i enlighet med personuppgiftslagen enkelt kan göra det genom att inhämta samtycke från den person som anställs. För att ett samtycke ska kunna läggas till grund för en behandling krävs att det är individuellt, frivilligt, särskilt, otvetydigt och informerat. I det här fallet är det tveksamt om kravet på att samtycket ska vara frivilligt är uppfyllt. Att ett samtycke ska vara frivilligt kan sägas innebära att den enskilde i praktiken måste ha ett fritt val att avgöra om hans eller hennes uppgifter ska få behandlas. När det råder en beroendesituation, vilket det till exempel ofta gör mellan arbetsgivare och arbetstagare, begränsas behandling av personuppgifter med stöd av samtycke till sådana situationer där den registrerade har ett verkligt fritt val och senare kan ta tillbaka sitt samtycke utan att det medför några nackdelar för honom eller henne. Även om det i det här fallet blir fråga om samtycke innan någon arbetstagar/arbetsgivarrelation skapats föreligger det en beroendesituation. En tredjelandsmedborgare kan vara i en mycket utsatt position eftersom rätten att få stanna kvar i landet kan vara beroende av om denne har en anställning eller inte. Det är därför tveksamt om det kan anses att den enskilde i praktiken har ett fritt val när uppgifterna enligt lag måste sparas och den enskilde kan ha svårt att hitta anställning hos en arbetsgivare som inte behandlar personuppgifterna elektroniskt. Enligt Datainspektionens mening bör lagstiftaren därför inte ge sken av att en eventuell personuppgiftsbehandling i personuppgiftslagens mening verkligen kan ske med stöd av samtycke i det här fallet. Med anledning av utredningens resonemang vill Datainspektionen också påpeka att konkludent handlande, det vill säga att den registrerade själv lämnar ifrån sig uppgifterna, i normalfallet inte är godtagbart som samtycke till behandling av känsliga personuppgifter, eftersom ett sådant samtycke måste vara uttryckligt. För att ett samtycke ska vara giltigt måste den registrerade också ha fått sådan information att han eller hon kan ta ställning till om personuppgifterna ska få behandlas för det ändamål och på det sätt som planerats. Det är inte uteslutet att behandlingen skulle kunna anses vara en sådan nödvändig behandling som den personuppgiftsansvarige får vidta för att kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, enligt Sida 2 av 5

16 punkten a personuppgiftslagen. Detta är dock osäkert och någon annan tänkbar grund för behandlingen återfinns inte i personuppgiftslagen. Som Datainspektionen ser det är det med andra ord tveksamt om en arbetsgivare i den aktuella situationen kan stödja sig på något av de i personuppgiftslagen nämnda undantagen från förbudet mot behandling av känsliga personuppgifter. Eftersom det är lagstiftarens skyldighet att implementera sanktionsdirektivet i svensk lagstiftning och samtidigt se till att upprätthålla en god dataskyddslagstiftning, bör lagstiftaren göra vad den kan för att tydliggöra vad som gäller. Datainspektionen efterlyser därför ett klart ställningstagande av på vilken grund en arbetsgivares personuppgiftsbehandling kan stödjas. En lösning vore att lagstiftaren tydligt uttrycker att den föreslagna bestämmelsen i utlänningsförordningen 6 kapitlet 13 a är en sådan från personuppgiftslagen avvikande bestämmelse som gäller framför personuppgiftslagen. Vid en framtida bedömning av lagligheten av en sådan behandling vore det då möjligt att gå tillbaka till förarbetena för att söka ledning. Det bör också av den föreslagna bestämmelsen i 6 kapitlet 13 a utlänningsförordningen tydligt framgå att arbetsgivaren inte får begära fler uppgifter än vad som är nödvändigt för att kontrollera att nödvändiga tillstånd finns samt att uppgifterna inte får sparas längre än nödvändigt. Detta följer förvisso redan av de grundläggande bestämmelserna i personuppgiftslagen, men en sådan skrivning skulle stärka integritetsskyddet. Oavsett om arbetsgivaren väljer att hantera uppgifterna på ett sätt som omfattas av personuppgiftslagen eller inte, är det ur ett integritetsskyddsperspektiv viktigt att arbetsgivaren varken kontrollerar eller bevarar fler uppgifter än han behöver för att uppfylla sin kontrollskyldighet. Han får heller inte spara uppgifterna längre än nödvändigt. En arbetsgivare bör aldrig begära att få se eller spara uppgifter om t.ex. grunderna för uppehållstillståndet, eftersom det inte är uteslutet att det där kan förekomma mycket känsliga uppgifter. 5.5 Skyldighet att underrätta behörig myndighet om anställning av tredjelandsmedborgare Datainspektionen har förståelse för att utredningen ser vissa problem med direktivets implementering i denna del, eftersom underrättelseskyligheten är ett krav som medlemstaterna måste införa samtidigt som utredningen kan konstatera att underrättelserna kommer att få mycket begränsad nytta för de myndigheter som har till uppgift att bekämpa anställning av tredjelandsmedborgare som vistas här olagligt. Datainspektionen anser dock att man i det fortsatta beredningsarbetet bör fundera ytterligare över för vilka ändamål underrättelserna ska användas och av vem. I det arbetet bör hänsyn tas, inte bara till ekonomiska och administrativa aspekter, utan också till dataskyddsdirektivets principer. Av skäl 10 i sanktionsdirektivet framgår att underrättelseskyl- Sida 3 av 5

digheten införs huvudsakligen för att göra det möjlighet för medlemsstaterna att kontrollera om handlingar är förfalskade. Med det som utgångspunkt är det förvånande att det är Skatteverket som föreslås som den myndighet som ska ta emot underrättelserna eftersom de, såvitt Datainspektionen förstår, varken har möjlighet eller till uppgift att själva kontrollera om personer som arbetar här verkligen har nödvändiga tillstånd. Det framstår som mer naturligt att ge Migrationsverket uppdraget. 5.5.9 Skatteverkets behandling av personuppgifter Med anledning av oklarheterna kring för vilka ändamål underrättelserna ska användas och vem som ska hantera dem ifrågasätter Datainspektionen de författningsförändringar som föreslås i lag (2001:181) om Skatteverkets behandling av personuppgifter i beskattningsverksamheten. Av ändamålsbestämmelsen i 4 framgår idag att uppgifter får behandlas för tillhandahållande av information som behövs hos Skatteverket för vissa tydligt angivna ändamål såsom fastställande av underlag, bestämmande av pensionsgrundande inkomst och för särskilt angiven handläggning. Datainspektionen anser att den föreslagna ändamålsbestämmelsen i 4, som anger att uppgifter får användas för hantering av underrättelser från, inte är någon ändamålsbestämmelse i egentlig mening eftersom det inte framgår för vilket ändamål behandlingen/hanteringen får ske. Om det inte är Skatteverket som ska utföra de kontroller av handlingar som införandet av underrättelseskyldigheten syftar till, bör en ändamålsbestämmelse eventuellt istället införas i 5 som anger för vilka ändamål uppgifter får behandlas för tillhandahållande av information som behövs för författningsreglerad verksamhet hos någon annan än Skatteverket. Om informationen som ska behandlas innehåller känsliga personuppgifter, kan det också ifrågasättas om lagens 7 ger stöd för den behandling som Skatteverket förväntas utföra. Bestämmelsen tar nämligen endast sikte på uppgifter som lämnats in i ett ärende eller är nödvändiga för handläggningen av det. För det fall Skatteverket själv inte kommer att ha till uppgift att använda de anmälda uppgifterna för att kontrollera om handlingar är förfalskade, utan endast tilldelas en skyldighet att registrera uppgifter som eventuellt kan behövas för handläggning av någon annan myndighets utredningsärenden, kan 7 knappast ge stöd för behandlingen hos Skatteverket. 5.7.3 Skyldighet för Migrationsverket att underrätta arbetsgivare om att AT-UND eller ett arbetstillstånd har upphört att gälla Datainspektionen har ur integritetssynpunkt ingen invändning mot att det inte föreslås någon författningsreglerad uppgiftsskyldighet. Datainspektionen menar dock att utredningens rekommendation om att Migrationsverket trots Sida 4 av 5

detta rutinmässigt bör sända en kopia av beslutet till arbetsgivaren, i de fall de känner till vem denne är, kan ifrågasättas av rättsäkerhetsskäl. Datainspektionen ifrågasätter också att utredningen föreslår en sådan rutinåtgärd utan någon närmare analys av de sekretess- och dataskyddsbestämmelser som kan bli tillämpliga vid myndigheters utlämnande av uppgifter. Råder sekretess för uppgifterna måste det finnas en sekretessbrytande bestämmelse för att uppgiften ska få lämnas ut. Även om det inte skulle finnas några tillämpliga sekretessbestämmelser som hindrar ett utlämnande, måste Migrationsverket också ha stöd för ett utlämnande som sker utan föregående begäran från arbetsgivaren i personuppgiftslagen och förordning (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Det bör inte komma i fråga att rutinmässigt skicka ut kopior av hela beslut, om detta innebär att arbetsgivaren får del av beslutsskälen eller andra personuppgifter som denne inte behöver för att syftet med underrättelsen ska uppnås. Detta yttrande har beslutats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, teamledaren Britt-Marie Wester och juristen Lena Carlsson, föredragande. Göran Gräslund Lena Carlsson Sida 5 av 5

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss