Yttrande Diarienr 1 (5) 2014-12-17 2291-2014 Ert diarienr N2014/2810/TE Näringsdepartementet 103 33 Stockholm Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister. N2014/2810/TE Sammanfattning Datainspektionen har granskat framställan utifrån uppgiften att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Datainspektionen har inget att invända mot förslaget i den del som möjliggör direktåtkomst för enskilda till uppgifter om dem själva, under förutsättning att Transportstyrelsen vidtar tillräckliga säkerhetsåtgärder för att säkerställa att åtkomsten endast omfattar den registrerades egna uppgifter. Datainspektionen avstyrker övriga formuleringar i den föreslagna ändamålsbestämmelsen, dvs. att personuppgifter får behandlas genom att lämnas ut till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller föreskrifter meddelade med stöd av lag, till andra. Datainspektionen lämnar följande synpunkter på förslaget i den delen. Datainspektionens synpunkter på förslaget För att eliminera[s] problemet med att Transportstyrelsen inte kan bedöma för vilka ändamål personuppgifter efterfrågas i servicetjänsterna (s. 28) föreslås införandet av en ny ändamålsbestämmelse i 5 andra stycket lagen (2001:558) om vägtrafikregister (LVTR). Det föreslås att personuppgifter som behandlas enligt ändamålen i 5 första stycket LVTR får behandlas även genom att Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00
Datainspektionen 2014-12-17 Diarienr 2291-2014 2 (5) lämnas ut till den registrerade själv, riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller föreskrifter meddelade med stöd av lag, till andra. Vid sådan behandling föreslås direktåtkomst till personuppgifter vara tillåten i enlighet med föreskrifter som meddelas av regeringen. Det föreslås också ett antal bestämmelser om direktåtkomst i förordningen (2001:650) om vägtrafikregister (FVTR). Datainspektionen har inget att invända mot förslaget i den del som möjliggör direktåtkomst för enskilda till uppgifter om dem själva. Det förutsätter givetvis att Transportstyrelsen vidtar tillräckliga säkerhetsåtgärder för att säkerställa att åtkomsten endast omfattar den registrerades egna uppgifter. Därför krävs ett tillräckligt säkert inloggningsförfarande. Vilken metod för autentisering som krävs beror bland annat på hur känsliga personuppgifterna är som hanteras och vilka tänkbara risker som finns med behandlingen. Behandling av känsliga personuppgifter kräver säkra metoder för autentisering, såsom e-legitimation, engångslösenord eller motsvarande. Uppgifter som omfattas av sekretess samt uppgifter om lagöverträdelser bör likställas med känsliga personuppgifter när det gäller säkerhet. Tydlighet och förutsägbarhet är grundläggande förutsättningar för ett gott integritetsskydd. Datainspektionen är därför kritisk till formuleringen i ändamålsbestämmelsen som anger att personuppgifter får behandlas i den utsträckning skyldighet att lämna uppgifter följer av lag eller föreskrifter meddelade med stöd av lag, till andra. Den dataskyddslagstiftning som finns till skydd för den personliga integriteten medför att det för behandlingen av personuppgifter måste finnas särskilda uttryckligt angivna och berättigade ändamål. För att på bästa sätt tillvarata integritetsskyddet bör tillåtna ändamål regleras tydligt i registerförfattning. Den föreslagna formuleringen medför att registerförfattningen inte är tydlig i fråga om tillåtna ändamål, istället kan vad som är tillåtet återfinnas i ett okänt antal lagar eller förordningar. Datainspektionen avstyrker därför förslaget i denna del. Datainspektionen är även kritisk till idén att reglera den allmänna uppgiftsskyldigheten i 6 kap. 4-5 offentlighet- och sekretesslagen (2009:400) (OSL) i en ändamålsbestämmelse. Vid tillkomsten av tullbrottsdatalagen uttalade Lagrådet att planering, uppföljning och utvärdering av verksamhet är en integrerad del av själva verksamheten och inte någon från denna fristående aktivitet. Lagrådet ansåg att det framstår som så självklart att det inte behöver sägas att uppgifter som får användas i
Datainspektionen 2014-12-17 Diarienr 2291-2014 3 (5) verksamheten också får användas för planering m.m. (prop. 2004/05:164 s. 179). Datainspektionen anser att behandlingar som utförs för att uppfylla den allmänna uppgiftsskyldigheten i 6 kap. 4-5 OSL, som är grundläggande för hela den offentliga förvaltningen, inte heller bör anses utgöra självständiga ändamål som är fristående från myndighetens verksamhet. Det framgår inte av framställan varför det finns ett behov av att uttryckligen ange i ändamålsbestämmelsen att personuppgifter får behandlas för att lämnas ut till riksdag och regering. Datainspektionen ifrågasätter därför, och mot bakgrund av det som sagts ovan, den föreslagna formuleringen i ändamålsbestämmelsen. Det är tydligt att de föreslagna ändringarna syftar till att möjliggöra för Transportstyrelsen att lämna ut personuppgifter utan att längre behöva pröva mottagarens ändamål mot ändamålen i den befintliga ändamålsbestämmelsen. En ändamålsbestämmelse som tillåter behandling av uppgifter för att möjliggöra elektroniska utlämnanden för vilket ändamål som helst till vem som helst torde dock knappast vara förenligt med det grundläggande dataskyddskravet att personuppgifter endast får behandlas för preciserade och berättigade ändamål. Förslaget innebär att regleringen går från att innehålla uttömmande ändamålsbestämmelser, som utgår ifrån vad mottagaren ska ha uppgifterna till, till att tillåta utlämnanden utan någon som helst hänsyn till mottagaren. Hänsyn måste dock alltid tas till den så kallade finalitetsprinciprincipen som kommer till uttryck i dataskyddsdirektivet 95/46/EG artikel 6.1 b. Principen innebär att uppgifter inte får behandlas för ändamål som är oförenliga med de särskilda, uttryckligt angivna och berättigade ändamål för vilka uppgifterna samlades in. Utgångspunkten i framställan tycks vara en annan än vad lagstiftaren haft vid tillkomsten av LVFR. Utgångspunkten i framställan är att det inte kan anses att registrerade fordonsägares integritet kränks om uppgifter om deras fordon, eller dem själva i egenskap av fordonsägare, lämnas ut till allmänheten, oavsett på vilket sätt uppgifterna lämnas ut, och oavsett för vilket ändamål uppgifterna efterfrågas. (s. 32). Datainspektionen delar inte den uppfattningen. Visserligen är många av uppgifterna i registret inte särkilt integritetskänsliga i sig. Men möjligheten för var och en att snabbt och lätt få uppgift om t.ex. vem som är ägare till en bil med visst registreringsnummer innebär att det är enkelt att identifiera vem som befinner sig på en viss plats
Datainspektionen 2014-12-17 Diarienr 2291-2014 4 (5) vid ett visst tillfälle. Det är information som givetvis kan uppfattas som mycket integritetskränkande. Även information om t.ex. obetalda skatter och avgifter kan givetvis uppfattas som integritetskänsliga. Vid bedömningen av känsligheten hos personuppgifterna är bl.a. mängden av uppgifter om varje person av betydelse eftersom den är avgörande för hur detaljerad bild som kan erhållas (Säkerhet för personuppgifter - Datainspektionens allmänna råd, s. 17). Datainspektionen emotsäger inte att det kan finnas ett stort behov för allmänheten att ta del av vissa uppgifter i registren, men huruvida behovet kan anses som berättigat eller inte och hur tungt behovet kan anses väga beror givetvis på vad den som tar del av uppgifterna faktiskt använder uppgifterna till. Även sättet på vilket uppgifterna lämnas ut har betydelse för integriteten. Ju lättåtkomligare informationen är desto större är risken för att informationen inhämtas av t.ex. nyfikenhetsskäl. Det är också oftast enklare att sprida elektronisk information vidare än vad det är med annan information. Vad gäller de föreslagna bestämmelserna om direktåtkomst vill Datainspektionen framhålla följande. Om registerförfattningarna ska ändras för att möjliggöra utlämnanden i servicetjänster utan hänsyn till mottagarens ändamål är det en absolut förutsättning att det bara kan bli fråga om direktåtkomst till enstaka personuppgifter. Detta för att omöjliggöra massökningar och för att minska möjligheterna till kartläggning av enskilda. De uppgifter som lämnas ut måste också begränsas till ett minimum med utgångspunkt från de berättigade ändamål som föranlett förändringarna. Datainspektionen kan inte utifrån redogörelsen i framställan konstatera att så är fallet i de föreslagna förändringarna. Av framställan framgår inte heller tydligt att de uppgifter som enligt förslaget ska få lämnas ut genom direktåtkomst inte omfattas av sekretess. Alla elektroniska utlämnanden, genom direktåtkomst eller på annat sätt, måste givetvis vara förenliga med inte bara ändamålsbestämmelserna utan också med bl.a. sekretessbestämmelser och dataskyddsbestämmelser om säkerhet. Transportstyrelsen har själv i framställan uppmärksammat att prövningar måste göras enligt 22 kap. 1 offentlighet- och sekretesslagen innan uppgifter som innehåller en sekretessmarkering i registret kan lämnas ut. Vid direktåtkomst går det inte att göra en sekretessprövning i det enskilda fallet. Därför krävs det att man har klart för sig att det inte finns uppgifter som omfattas av sekretess.
Datainspektionen 2014-12-17 Diarienr 2291-2014 5 (5) Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av juristen Lena Carlsson. Vid den slutliga handläggningen har även enhetschefen Katarina Tullstedt deltagit. Kristina Svahn Starrsjö Lena Carlsson