Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Relevanta dokument
Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Remiss av SOU 2015:66 En förvaltning som håller ihop

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Hur står det till med den personliga integriteten? (SOU 2016:41)

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Datainspektionen lämnar följande synpunkter.

Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Yttrande i Förvaltningsrätten i Stockholms mål

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Så stärker vi den personliga integriteten SOU 2017:52

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Så behandlar vi dina personuppgifter

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Beslut om förteckning enligt artikel 35.4 i EU:s allmänna dataskyddsförordning 2016/679

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

SOU 2015:84 Organdonation En livsviktig verksamhet

Personuppgiftsansvarig och personuppgiftsbiträde

Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m.

Beslag och husrannsakan ett regelverk för dagens behov (SOU 2017:100)

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Vården och reglerna om dataskydd

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Riktlinjer för hantering av personuppgifter

Svar på remiss, Så stärker vi den personliga integriteten, (SOU 2017:52)

Snabbare lagföring (Ds 2018:9)

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Våra frågor Datainspektionen vill att ni svarar på följande frågor:

Tillsyn enligt personuppgiftslagen (1998:204) registrering av känsliga personuppgifter om anställda

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Remiss av betänkandet 2014 års utlänningsdatalag (SOU 2015:73)

Utkast till lagrådsremissen Vägtrafikdatalag

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Remiss av slutbetänkandet reboot - omstart för den digitala förvaltningen (SOU 2017:114)

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Svar på förfrågan om vad som utgör en känslig personuppgift

Ds 2016:44 Nationell läkemedelslista

Remittering av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning

Kommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42

EU:s dataskyddsförordning

Så behandlar vi dina personuppgifter

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Information om behandling av personuppgifter

Yttrande över delbetänkandet Digitalforvaltning.nu (SOU 2017:23)

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Remissen Läkemedelsverkets förslag till föreskrifter för Nationella medicinska informationssystem

GDPR. Ulrika Harnesk 17 oktober 2018

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Promemorian Integritetsskyddsmyndigheten ett nytt namn för Datainspektionen

Remiss: Integritetskommitténs slutbetänkande Så stärker vi den personliga integriteten (SOU 2017:52)

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Datainspektionen informerar. Vägledningen ska tjäna som verktyg för att bedöma integritetsriskerna med ny eller ändrad lagstiftning.

Tillsyn avseende undersökningen Hälsa Stockholm

Dataskyddsförordningen

Dataskyddspolicy för Rotsunda Utbildning AB

Regionala etikprövningsnämnden i Uppsala

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Riktlinjer för dataskydd

Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Policy för integritet vid hantering av personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Personuppgiftsbehandling i forskningsbibliotekens verksamhet

Förteckning enligt artikel 35.4 i Dataskyddsförordningen

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Sammanställning av Datainspektionens möten med verksamheter hösten 2018

Personuppgiftsbiträdesavtal

Tillsyn enligt personuppgiftslagen (1998:204) En forskningsstudie vid Örebro universitet med känsliga personuppgifter om barn

Allmänna Råd. Datainspektionen informerar Nr 3/2017

genom Stadsarkivet behandlar personuppgifter

Denna dag, har följande policy upprättats för Advokatfirman Upsala Juridiska Byrå HB.

Stockholm den 14 september 2017

Datalagring och integritet (SOU 2015:31)

Betänkandet SOU 2017:23 digital forvaltning.nu

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

En anpassning till dataskyddsförordningen kreditupplysningslagen och några andra författningar

Användarvillkor Mina meddelanden

Tillsyn enligt personuppgiftslagen (1998:204) Barn och grundskolenämnden i Täbys behandling av personuppgifter i VKlass

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

Kommittédirektiv. En myndighet med ett samlat ansvar för tillsyn över den personliga integriteten. Dir. 2014:164

Integritetspolicy för X organisation

PERSONUPPGIFTSBITRÄDESAVTAL

Transkript:

Yttrande Diarienr 1 (7) 2016-05-11 376-2016 Ert diarienr N2015/08335/ITP Näringsdepartementet 103 33 Stockholm Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91) Bakgrund Datainspektionen har granskat förslaget utifrån myndighetens uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Inom ramen för Digitaliseringskommissionens övergripande uppgift att verka för det politiska målet att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter, har kommissionen bland annat haft i uppdrag att identifiera strategiska områden som bör beaktas i politiken för digitaliseringen. Betänkandet innehåller ett antal förslag inom dessa strategiska områden, såsom flera förslag till utredningar. Datainspektionen har följande synpunkter på betänkandet. Sammanfattning Datainspektionen har inget att erinra mot Digitaliseringskommissionens förslag. Datainspektionen har däremot, mot bakgrund av betänkandets avsnitt Säkerhet och integritet i en digital tid (4.8), invändningar mot betraktelsesättet att integritet är en fråga som kan behandlas avskilt från andra frågor. En förutsättning för att få behandla personuppgifter är att den som behandlar uppgifterna har ett rättsligt stöd. Det är därför inte möjligt att genomföra en digitalisering som innefattar personuppgifter utan att beakta dataskyddsbestämmelserna. Dataskyddsperspektivet är av särskild betydelse i avsnitten 4.4.1 Genomgång av digitaliseringsförsvårande lagstiftning, 4.6.1 Digital post från myndigheter som förstahandsval och 4.7.2 Ett nationellt kompetenscenter kring stora datamängder. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00

Datainspektionen 2016-05-11 Diarienr 376-2016 2 (7) 4.8 Säkerhet och integritet i en digital tid Integritet har, tillsammans med säkerhet, identifierats som ett sådant strategiskt område som enligt utredningen kommer att ha betydelse för samhällets digitalisering. Utredningen har valt att inte lämna något förslag på detta område med hänvisning till att det för närvarande pågår ett flertal utredningar och andra arbeten inom området. Datainspektionen ser positivt på att integritet och säkerhet lyfts fram i betänkandet, men ser risker med betraktelsesättet att integritet är en fråga som kan behandlas avskilt. I det aktuella avsnittet sammanfattas information som finns tillgänglig på Datainspektionens webbplats och härvid uppges att Datainspektionen har i sitt arbete utformat några grundläggande principer avseende integritetsskydd. Datainspektionen vill understryka att det som det hänvisas till inte är principer utformade av Datainspektionen utan följer direkt av gällande lagstiftning, som måste beaktas när personuppgifter behandlas. I betänkandet nämns vidare att begreppet personlig integritet inte är definierat i lag. Med anledning av det så vill Datainspektionen betona att det faktum att begreppet integritet inte är definierat i lag, inte påverkar den enskildes rätt till privatliv vilken stadgas i Europakonventionen för de mänskliga rättigheterna och de grundläggande friheterna och som enligt artikel 8 i EU:s stadga om de grundläggande rättigheterna infattar en rätt till skydd av de personuppgifter som rör den enskilde. Det nämns i betänkandet att EU:s dataskyddslagstiftning reformeras på EU-nivå. Datainspektionen vill i detta sammanhang betona vikten av att dataskyddsförordningen beaktas i allt digitaliseringsarbete. Den nya dataskyddsförordningen, som kommer att börja tillämpas om två år, blir direkt gällande rätt i Sverige och ersätter därmed personuppgiftslagen. Den nya dataskyddsförordningen får stor betydelse för digitaliseringen då den bland annat innehåller regler som syftar till att förbättra privatpersoners möjlighet att ha kontroll över sina personuppgifter i vårt digitaliserade samhälle med smarta telefoner, sociala medier, internetbanker och gränsöverskridande överföringar av data. Att dataskyddsförordningen ersätter personuppgiftslagen innebär att i alla sammanhang där personuppgifter behandlas, måste det analyseras i vilken mån den aktuella personuppgiftsbehandlingen är tillåten med direkt tillämpning av dataskyddsförordningen, i vilka fall det enligt dataskyddsförordningen finns krav på nationell reglering för att viss behandling ska vara tillåten och i vilka fall kompletterande nationell reglering alls är tillåten enligt förordningen.

Datainspektionen 2016-05-11 Diarienr 376-2016 3 (7) Om Sverige ska klara det politiska målet att bli bäst i världen på att använda digitaliseringens möjligheter, så måste dataskyddsreglerna hanteras som en integrerad del i digitaliseringsprojekten och kan inte betraktas som en särfråga som behandlas vid sidan om. 4.4.1 Genomgång av digitaliseringsförsvårande lagstiftning I betänkandet föreslås att regeringen ska tillsätta en utredning i syfte att göra en kartläggning över digitaliseringsförsvårande lagstiftning i samhället. Utredningen bör enligt förslaget även ha i uppgift att utvärdera och analysera resultatet av kartläggningen i syfte att föreslå lämpliga åtgärder för att bereda frågorna vidare. Under rubrikerna Juridiska förutsättningar behövs för att ta e-förvaltningsarbetet vidare, Digitaliseringen av branscher och konsumtionsbeteenden utmanar lagstiftningen samt Modeller för stöd i tolkningsfrågor kan behöva utvecklas, lyfts i betänkandet exempel på områden där lagstiftningen behöver ses över. Bland annat hänvisas till E-delegationens slutbetänkande som uppmärksammat behovet av att stärka förmågan att driva på nödvändiga författningsändringar och att skapa bättre förutsättningar för e-förvaltningens utveckling. Datainspektionen har i remissvaret till nämnda betänkande (dnr 1618-2015) pekat på det faktum att dataskyddsregleringen gäller oavsett vilket behov av effektiv förvaltning som finns. I remissvaret säger Datainspektionen vidare att det är ett problem att dataskyddsreglerna i många lagstiftningsprocesser antingen inte beaktas alls eller att aktuell behandling av personuppgifter inte analyseras på ett sådant sätt att det är möjligt att göra en seriös avvägning mellan integritetsintrång och uppdrag. Datainspektionen vill framhålla att lagförslag måste genomföras på ett sådant sätt att hänsyn tas till dataskyddsreglerna. Att inte beakta dessa regler, som rör grundläggande rättigheter vilka regleras i både EU-rätten och i grundlag, kan i sig försvåra digitaliseringen. 4.6.1 Digital post från myndigheter som förstahandsval Regeringen bör enligt utredningens förslag under en 3-årsperiod främja en utfasning av traditionell posthantering från de statliga myndigheterna och ge samtliga individer och företag tillgång till en digital postlåda för att hantera post från myndigheterna.

Datainspektionen 2016-05-11 Diarienr 376-2016 4 (7) Datainspektionen saknar här en mer ingående juridisk analys och anser att tidsramen, i avsaknaden av en grundlig juridisk analys, kan ifrågasättas. I betänkandet anges några juridiska frågeställningar som har uppmärksammats i utredningsarbetet och härvid sägs bland annat att frågor kring hantering av personuppgifter kan aktualiseras. Datainspektionen vill med anledning av det framhålla att det förefaller tydligt att enskildas personuppgifter kommer att behandlas inom ramen för den digitala postlåda som förslaget avser. Därmed kan konstateras att frågor kring personuppgiftshantering, inte bara kan aktualiseras utan oundvikligen kommer att aktualiseras. Av betänkandet framgår inte om det är Mina meddelanden som ska utvecklas under Skatteverkets förvaltning och bli den postlåda som alla individer och företag ska ges tillgång till. Oavsett i vilken form tjänsten utformas så är det viktigt att de juridiska förutsättningarna gällande dataskydd, allmänna handlingar, offentlighet och sekretess med mera, konkretiseras i det fortsatta arbetet. En sådan juridisk förutsättning som måste belysas är den nämnda dataskyddsförordningen. Härvid vill Datainspektionen särskilt fästa uppmärksamhet på dataskyddsförordningens bestämmelser om konsekvensbedömning (artikel 35), med tillhörande skäl (skäl 90-93). Om en typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utföra en konsekvensbedömning före behandlingen. Detta bör särskilt vara tillämpligt på storskalig uppgiftsbehandling med syftet att behandla betydande mängder personuppgifter på region, nationell eller övernationell nivå, vilket skulle kunna påverka ett stort antal registrerade och sannolikt kommer att innebära en hög risk. Bedömningen ska, utöver en proportionalitetsbedömning och en systematisk beskrivning av den planerade behandlingen, bland annat innehålla de åtgärder som planeras för att hantera riskerna. Om konsekvensbedömningen visar att behandlingen skulle leda till en hög risk blir förhandssamråd med tillsynsmyndigheten aktuellt, om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken (artikel 36). Datainspektionen vill även uppmärksamma att förordningen, i likhet med vad som gäller enligt personuppgiftslagen, kräver att man kan återfinna ett rättsligt stöd för att en tänkt personuppgiftsbehandling överhuvudtaget ska anses tillåten (artikel 6). Härvid kan nämnas att vad avser personuppgiftsbehandling som är nödvändigt för att fullgöra en rättslig

Datainspektionen 2016-05-11 Diarienr 376-2016 5 (7) förpliktelse som åvilar den personuppgiftsansvarige och vad avser personuppgiftsbehandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, så krävs särskild reglering för att behandlingen ska vara laglig (artikel 6). Liksom vad som stadgas i personuppgiftslagen, så gäller vidare enligt förordningen särskilda regler för behandling av det som i personuppgiftslagen benämns som känsliga personuppgifter (artikel 9). Datainspektionen anser vidare att förslaget, om det realiseras, kan innebära en sådan betydande kartläggning av enskildas personliga förhållanden att 2 kap. 6 andra stycket regeringsformen blir tillämplig. Sådana åtgärder som innebär en inskränkning i de rättigheter som stadgas i bestämmelsen, ska prövas mot grundlagen och regleras i lag. Datainspektionen vill även lyfta fram några juridiska aspekter som inspektionen identifierat i samband med besvarandet av en förfrågan till Datainspektionen från Skatteverket rörande Mina meddelanden (dnr 111-2014). Datainspektionen konstaterar i sitt nämnda svar till Skatteverket att personuppgiftsansvaret inom ramen för Mina meddelanden inte är författningsreglerat. Vad avser det register som Skatteverket för, i enlighet med förordning (2003:770) över dem som anslutit sig till infrastrukturen Mina meddelanden, så innehåller förordningen inget direkt utpekande av Skatteverket som personuppgiftsansvarig för registret eller för de behandlingar som utförs i registret. Däremot pekas Skatteverket indirekt ut eftersom det är Skatteverket som får föra registret. Det är vidare Skatteverket som bestämmer över ändamål och medel med registret. Datainspektionen konstaterar att de faktiska omständigheterna visar att Skatteverket är personuppgiftsansvarig. Vad avser personuppgiftsansvar för de försändelser som skickas inom ramen för Mina meddelanden så säger Datainspektionen i nämnda ärende att avsändande myndighet är ensamt personuppgiftsansvarig för behandling av uppgifterna i meddelandena. Datainspektionen vill framhålla att endast om avsändande myndigheter kan anses styra över behandlingen eller om det i realiteten är frivilligt för myndigheterna att ansluta sig till Mina meddelanden kan avsändande myndighet anses bestämma ändamål och medel med behandlingen av personuppgifterna i avsända meddelanden. Vad avser brevlådeoperatörernas behandling av personuppgifterna för avsändande myndighets räkning, kan konstateras att brevlådeoperatörerna i egenskap av personuppgiftsbiträde har ett avtalsrättligt ansvar för säkerheten gentemot avsändande myndigheter, men

Datainspektionen 2016-05-11 Diarienr 376-2016 6 (7) brevlådeoperatören har inte ett personuppgiftsansvar gentemot de registrerade för uppgifterna i avsända meddelanden. Däremot är brevlådeoperatören personuppgiftsansvarig för behandlingen av de ytterligare personuppgifter som fordras för att meddelandena ska kunna tillgängliggöras i aktuell brevlåda och för behandlingen av kunduppgifter i sitt eget register. Efter det att meddelandet tillgängliggjorts kan även mottagaren i viss mån anses bestämma ändamål och medel med personuppgiftsbehandlingarna som den utför. Det är dock enligt Datainspektionen, med beaktande av de handlingar som Datainspektionen haft tillgång till i ärendet rörande Mina meddelanden, svårt att bedöma när avsändande myndighets ansvar för personuppgifter i avsända meddelanden upphör. I svaret till Skatteverket lyfter Datainspektionen även fram att rättsläget är oklart när det gäller vad som kan anses vara allmänna handlingar inom ramen för Mina meddelanden. Frågor om allmänna handlingar och tillämpningen av tryckfrihetsförordningen ryms inte inom det uppdrag som Datainspektionen har, men frågorna har dock stor betydelse för integriteten varför Datainspektionen vill framhålla att även de måste analyseras. Med anledning av det förevarande förslaget om digital post från myndigheter som förstahandsval och mot bakgrund av de aspekter som lyfts fram ovan, vill Datainspektionen framhålla vikten av att de juridiska förutsättningarna noga analyseras. Blir utredningens förslag verklighet rör det sig om en komplex hantering av potentiellt känslig information om många registrerade, precis som i dagens Mina meddelanden. Med hänsyn till det anser Datainspektionen att det i det kommande arbetet med förslaget måste utredas, mot bakgrund av såväl dataskyddsförordningen som 2 kap. 6 andra stycket regeringsformen, om förslaget kräver kompletterande nationell lagreglering. 4.7.2 Ett nationellt kompetenscenter kring stora datamängder I betänkandet föreslås att regeringen ger Vinnova i uppdrag att inrätta ett nationellt kompetenscenter kring metoder för insamling, analys och nyttiggörande av stora datamängder. Uppdraget bör omfatta 20 miljoner kronor årligen under 2016 2020. Vad gäller ett eventuellt sammansättande av ett kompetenscenter i enlighet med förslaget så vill Datainspektionen framhålla behovet av att, även inom ramen för detta arbete, ta hänsyn till dataskyddsreglerna. Kompetens om dessa regler behöver av naturliga skäl finnas med i framtagande av metoder

Datainspektionen 2016-05-11 Diarienr 376-2016 7 (7) för att nyttja stora datamängder och potentiellt sett stora mängder personuppgifter som också kan vara av integritetskänslig karaktär. Datainspektionen vill betona vikten av att staten inte finansierar projekt vars slutresultat riskerar att stå i strid med grundläggande dataskyddsregler. Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av Nidia Nordenström. Vid den slutliga handläggningen har även enhetschefen Katarina Tullstedt deltagit. Kristina Svahn Starrsjö Nidia Nordenström

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss