Yttrande Diarienr 2014-03-26 658-2014 Ert diarienr N2014/1095/TE Näringsdepartementet Transportenheten 103 33 STOCKHOLM Remissyttrande över Transportstyrelsens redovisning av regeringsuppdrag att redovisa fördjupade analyser om regelefterlevnaden inom yrkestrafiken på väg: Taxiverksamheten som helhet Datainspektionen har granskat Transportstyrelsens redovisning huvudsakligen utifrån sin uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Inledande synpunkter I det remitterade materialet redovisar Transportstyrelsen ett antal förslag, bedömningar och åtgärder i syfte att komma tillrätta med bristande regelefterlevnad inom taxiverksamheten. Datainspektionen har förståelse för behovet av att på olika sätt öka regelefterlevnaden inom området. Det är dock viktigt att de förslag som lämnas är förenliga med tillämpliga dataskyddsbestämmelser och att de inte leder till otillbörliga integritetsintrång. Det remitterade materialet innehåller inte någon närmare beskrivning av de personuppgiftsbehandlingar som kan komma att aktualiseras. Det saknas också en närmare analys av vilka konsekvenser förslagen kan få för den personliga integriteten och hur de går ihop med personuppgiftslagen och annan relevant lagstiftning såsom lagen (2001:558) om vägtrafikregister och offentlighets- och sekretesslagen (2009:400). Det ska framhållas att Transportstyrelsen inte haft i uppdrag att redovisa en närmare integritetsanalys. Det gör dock inte behovet av en sådan analys mindre. Innan en sådan analys är gjord går det inte att ta ställning till Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
förslagen ur integritetssynpunkt och om det finns behov av ytterligare författningsreglering. I det följande pekar Datainspektionen på specifika delar i Transportstyrelsens redovisning som måste bli föremål för en närmare integritetsanalys. Synpunkter på utvalda delar av Transportstyrelsens redovisning Ekonomisk brottslighet (avsnitt 6.5) Transportstyrelsen bedömer att ett införande av obligatoriska redovisningscentraler kommer att försvåra skattefusk och göra branschen mindre intressant för oseriösa aktörer. Transportstyrelsen hänvisar i detta sammanhang till en departementspromemoria (Redovisningscentraler för Taxi, Ds 2013:66). Datainspektionen har i remissbehandlingen avstyrkt förslagen i den aktuella promemorian. Inspektionen framhöll i sitt remissyttrande att de uppgifter som enligt lagförslaget ska överföras till redovisningscentralerna kommer att innefatta personuppgifter som indirekt identifierar enskilda taxiresenärer, till exempel genom kontokortsnummer. Inspektionen bedömde vidare att de överförda uppgifterna kan användas för att exempelvis kartlägga när och vart en person har färdats. Uppgifterna kan även avslöja om en person har färdtjänst, vilket indirekt kan avslöja att personen i fråga har funktionshinder. En sådan uppgift kan utgöra en uppgift om hälsa som enligt 13 personuppgiftslagen är en känslig personuppgift. För att sådana uppgifter ska samlas in i syfte att tillhandahållas Skatteverket måste konsekvenserna av integritetsriskerna noga utredas. Någon sådan utredning hade promemorian inte presenterat. Det har i två tidigare lagstiftningsärenden (Betänkandet Ekonomisk brottslighet inom taxinäringen, SOU 2004:112 samt ett reviderat förslag till reglering i utkast till lagrådsremiss, N2004/8643/TP, 2006-09-14) föreslagits en reglering av redovisningscentraler med samma inriktning som i nu aktuella promemoria. Datainspektionen har lämnat synpunkter både på betänkandet och utkastet till lagrådsremiss. Datainspektionens remissyttranden bifogas. I remissyttrandena framhöll Datainspektionen bland annat att utgångspunkten måste vara att informationsbehandlingen inte ska omfatta uppgifter om resenärerna, att detta ska framgå uttryckligen av lagen, att uppgifter inte ska bevaras längre än vad som kan motiveras med konkreta behov som anknyter till ändamålet med behandlingen och att det fanns skäl Sida 2 av 5
som talade för att införa en särskild regel om tystnadsplikt hos redovisningscentralerna. Datainspektionen ansåg också att förutsättningarna för att Skatteverket ska få tillgång till uppgifterna hos redovisningscentralerna måste klarläggas och tydligt anges i lagstiftningen. Vidare ansåg inspektionen att det måste klarläggas hur dessa uppgifter ska få användas och av vem. Datainspektionen vidhåller dessa synpunkter. Innan ett system med redovisningscentraler realiseras måste det till en grundläggande analys av dess integritetskonsekvenser med tydligt redovisade proportionalitetsbedömningar och godtagbara författningsförslag. Riskvärderingssystem (avsnitt 6.11) Transportstyrelsen uppger att myndigheten arbetar för att ett riskvärderingssystem för taxi ska införas från och med den 1 januari 2015. Transportstyrelsen framhåller vikten av ett underrättelsebaserat arbetssätt där resultat från ett flertal olika kontrollområden och från olika myndigheter kan värderas och kopplas samman till de företag som verkar inom transportsektorn. Inspektionen har i två tidigare lagstiftningsärenden där det lagts förslag om rättslig reglering av riskvärderingssystem kunnat konstatera att förslagen inneburit en omfattande hantering av personuppgifter. Inspektionen har därför efterlyst en närmare integritetsanalys (se Datainspektionens yttranden över Vägverkets redovisning av regeringsuppdrag att se över kontrollen av köroch vilotider m.m., N2008/3666/TR samt Transportstyrelsens framställan om kontroll av kör och vilotider i företag, N2010/5017/TE). Det är för Datainspektionen oklart vad ett riskvärderingssystem av det slag som Transportstyrelsen nu redovisar faktiskt innebär. Om det i detta fall blir fråga om behandling av personuppgifter ser inspektionen behov av en grundläggande analys av konsekvenserna för den personliga integriteten. Vad en sådan analys kan behöva innehålla framgår av Datainspektionens yttranden i ovan angivna lagstiftningsärenden. Behörighetskontroller (avsnitt 6.12) Transportstyrelsen uppger att det pågår ett arbete med att ta fram en teknisk lösning som ska möjliggöra för taxiföretag att via elektroniska utlämnanden från Transportstyrelsen kontrollera anställda förares behörigheter. Datainspektionen är inte närmare insatt i de tekniska och juridiska överväganden som gjorts i detta fall. Datainspektionen vill i sammanhanget erinra om de synpunkter som inspektionen lämnat i ett samrådsyttrande till Sida 3 av 5
Transportstyrelsen (Datainspektionens diarienummer: 942-2012). Datainspektionens samrådsyttrande bifogas. Underrättelseskyldighet av domar, beslut m.m. (avsnitt 11.6) Transportstyrelsen föreslår att information om bland annat domar och beslut som rör brott som innehavare av taxiförarlegitimation har gjort sig skyldig till ska sammanställas med taxitrafikregistreringen även under den tid som taxiförarens körkort är ogiltigt. Enligt Transportstyrelsen är det olämpligt att ha ett avbrott i informationsflödet under den tid som taxiförarens körkort är ogiltigt eftersom domar och strafförelägganden med mera som meddelas under denna tid kan ha betydelse för bedömningen huruvida en taxiförarlegitimation ska återkallas eller om taxiföraren ska meddelas varning. Det remitterade materialet innehåller en mycket knapphändig beskrivning av behovet och de rättsliga förutsättningarna för Transportstyrelsens insamling och hantering av information av nu angivet slag. Det är inte heller närmare beskrivet hur prövningen av exempelvis återkallelse av taxiförarlegitimationer går till i praktiken. Det går därför inte att bedöma om det aktuella förslaget är acceptabelt ur integritetssynpunkt och vilka eventuella behov av författningsändringar som finns. Det aktuella förslaget innebär att uppgifter hänförliga till brottmålsdomar och annan påtagligt integritetskänslig information om enskilda ska få samlas in och registreras hos Transportstyrelsen för att i framtiden eventuellt kunna ligga till grund för olika slags bedömningar och beslut. Det kan ifrågasättas om detta är förenligt med grundläggande dataskyddsprinciper. Dessa principer, som framgår av EG:s dataskyddsdirektiv och som kommer till uttryck i 9 punkten e och f personuppgiftslagen, innebär att de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen samt att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Det innebär i korthet att en personuppgiftsbehandling inte får gå längre än vad som krävs för att den personuppgiftsansvarige ska kunna uppfylla berättigade ändamål med den. Datainspektionen anser att förslaget måste bli föremål för en närmare integritetsanalys och en tydligt redovisad proportionalitetsbedömning. Vad är den beräknade verksamhetsnyttan med förslaget? Vilka konkreta problem kan uppstå om förslaget inte genomförs och vilka integritetskonsekvenser kan förslaget medföra? Sida 4 av 5
Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av juristen Oskar Öhrström. Vid den slutliga handläggningen har även chefsjuristen Hans-Olof Lindblom och enhetschefen Britt-Marie Wester deltagit. Kristina Svahn Starrsjö Oskar Öhrström Bilagor 1. Datainspektionens remissyttrande över betänkandet Ekonomisk brottslighet inom taxinäringen (SOU 204:102) 2005-03-15, dnr 1954-2004 2. Datainspektionens remissyttrande över utkast till lagrådsremiss Redovisningscentraler inom taxinäringen m.m. 2006-10-31, dnr 1310-2006 3. Datainspektionens samrådsyttrande till Transportstyrelsen avseende utlämnande av uppgifter till taxiföretag, dnr 942-2012 Sida 5 av 5