Vissa frågor om sekretess med anledning av EU:s dataskyddsreform

Relevanta dokument
Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Så stärker vi den personliga integriteten SOU 2017:52

Datainspektionen lämnar följande synpunkter.

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Hur står det till med den personliga integriteten? (SOU 2016:41)

Svensk författningssamling

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Snabbare lagföring (Ds 2018:9)

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Personuppgiftsansvarig och personuppgiftsbiträde

Betänkandet låt fler forma framtiden! (SOU 2016:5)

SOU 2015:84 Organdonation En livsviktig verksamhet

Svensk författningssamling

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

EU:s dataskyddsförordning

Remiss av SOU 2015:66 En förvaltning som håller ihop

Remissen Läkemedelsverkets förslag till föreskrifter för Nationella medicinska informationssystem

Beslut om förteckning enligt artikel 35.4 i EU:s allmänna dataskyddsförordning 2016/679

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Anmälda personuppgiftsincidenter 2018

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Autentisering av användare som medges åtkomst till personuppgifter i kreditupplysningsregister

Ds 2016:44 Nationell läkemedelslista

Yttrande i Förvaltningsrätten i Stockholms mål

Riktlinjer för dataskydd

Kommittédirektiv. Tilläggsdirektiv till Utredningen om kameraövervakning brottsbekämpning och integritetsskydd (Ju 2015:14) Dir.

Svensk författningssamling

Stockholm den 9 november 2017 R-2017/1875. Till Utrikesdepartementet UD2017/15958/HI

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)

21 kap. 7 offentlighets- och sekretesslagen (2009:400), 9 första stycket a) personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Remittering av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning

Tillsyn enligt personuppgiftslagen (1998:204) registrering av känsliga personuppgifter om anställda

Från: Kent Sangmyr och Charlene Holmström Datum: 9 maj 2012 Angående: Utredning angående regelverket kring vårdens intyg till Försäkringskassan

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Svar på remiss, Så stärker vi den personliga integriteten, (SOU 2017:52)

GDPR NYA DATASKYDDSFÖRORDNINGEN

mellan myndigheter samt mellan myndigheter och företag principer för användning av e-legitimationer och utformning av åtkomstkontroll.

Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m.

Användandet av E-faktura inom den Summariska processen

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Yttrande över promemorian Införande av vissa internationella standarder i penningtvättslagen

Dataskyddsförordningen (GDPR)

Handläggning av personuppgiftsincidenter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Svensk författningssamling

PERSONUPPGIFTSBITRÄDESAVTAL

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Information om behandling av personuppgifter

PUL OCH DATASKYDDSFÖRORDNINGEN

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Användandet av E-faktura inom verksamheten betalningsföreläggande

Vägledning för bolag. Ej gällande. Ansvaret för personuppgifter som hanteras i system för whistleblowing

Policy för behandling av personuppgifter

PERSONUPPGIFTSBITRÄDESAVTAL

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

GDPR- Seminarium 2017

Stockholm den 7 september 2017 R-2017/0906. Till Justitiedepartementet. Ju2017/04264/L6

Rätt information på rätt plats i rätt tid, SOU 2014:23

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Vården och reglerna om dataskydd

Anmälan av personuppgiftsincident

PERSONUPPGIFTSBITRÄDESAVTAL

En anpassning till dataskyddsförordningen kreditupplysningslagen och några andra författningar

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

PERSONUPPGIFTSBITRÄDESAVTAL

Utredningen om genomförande av NIS-direktivet

EU:s dataskyddsförordning

Tillsynsbeslut; omdömen om elever

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst

Remiss från Justitiedepartementet - Betänkande av brottsdatalag (SOU 2017:29)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Remissvar gällande Betänkande SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde - en anpassning till EU:s dataskyddsförordning.

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

Transkript:

Skrivelse Diarienr 1 (10) 2017-07-07 1704-2017 Justitiedepartementet 103 33 Stockholm Vissa frågor om sekretess med anledning av EU:s dataskyddsreform I enlighet med vad som närmare utvecklas i denna skrivelse hemställer Datainspektionen att vissa frågor om sekretess och tystnadsplikt med anknytning till EU:s dataskyddsreform skyndsamt utreds så att nödvändiga bestämmelser finns på plats i maj 2018. Vad Datainspektionen anser behöver utredas avser - stark sekretess hos Datainspektionen för anmälningar om personuppgiftsincidenter och begäran om förhandssamråd, och - lagstadgad tystnadsplikt för personuppgiftsbiträden som behandlar känsliga personuppgifter inom hälso- och sjukvård och social omsorg. Datainspektionen anser även att en lagreglerad generell tystnadsplikt för privata leverantörer av it-tjänster bör utredas. Datainspektionen anser att det i offentlighets- och sekretesslagen ska införas en bestämmelse som innebär att absolut sekretess alternativt sekretess med omvänt skaderekvisit gäller i Datainspektionens verksamhet för anmälningar av personuppgiftsincidenter som görs i enlighet med artikel 33 dataskyddsförordningen och för begäran om förhandssamråd som görs i enlighet med artikel 36. En sådan sekretessbestämmelse bör även omfatta anmälningar av personuppgiftsincidenter som görs i enlighet med 3 kap. 9 förslaget till brottsdatalag samt begäran om förhandssamråd som görs i enlighet med 3 kap. 7 andra stycket samma förslag till lag. Datainspektionen anser att det är angeläget att det skyndsamt utreds om kravet på rättsligt reglerad tystnadsplikt i artikel 9.3 dataskyddsförordningen innebär att ett personuppgiftsbiträde som behandlar känsliga personuppgifter Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00

Datainspektionen 2017-07-07 Diarienr 1704-2017 2 (10) med stöd av undantaget i artikel 9.2.h dataskyddsförordningen behöver omfattas av en lagstadgad tystnadsplikt. Bakgrund Dataskyddsförordningen Från och med den 25 maj 2018 kommer EU:s dataskyddsförordning (EU) 2016/679 att gälla som lag i alla EU-länder. Dataskyddsförordningen ersätter då personuppgiftslagen (1998:204) (PuL). Med dataskyddsförordningen kommer många nya arbetsuppgifter att ligga på Datainspektionen. Datainspektionen ska bland annat ta hand om anmälningar av personuppgiftsincidenter enligt artikel 33 dataskyddsförordningen och begäran om förhandssamråd enligt artikel 36 som inkommer till myndigheten. Anmälan av personuppgiftsincidenter Av artikel 33 dataskyddsförordningen följer en skyldighet för personuppgiftsansvarig att vid en personuppgiftsincident till Datainspektionen anmäla incidenten inom 72 timmar. I anmälan ska den personuppgiftsansvarige bland annat beskriva personuppgiftsincidentens art, de sannolika konsekvenserna av personuppgiftsincidenten, och de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten. Det har ännu inte fastslagits hur pass utförlig en anmälan om en personuppgiftsincident ska vara. Det råder dock ingen tvekan om att många anmälningar av personuppgiftsincidenter kommer att innehålla detaljerad information om tekniska och organisatoriska brister hos företag och myndigheter samt vilka åtgärder den personuppgiftsansvariga vidtagit för att skydda de personuppgifter som behandlas. Det kan handla om uppgifter om behörighetskontroll, inloggning och lösenord, autentisering av mottagare av information, skydd mot skadliga program och kryptering. Det kan även handla om uppgifter om fysisk säkerhet för informationen.

Datainspektionen 2017-07-07 Diarienr 1704-2017 3 (10) Anmälningar om personuppgiftsincidenter kommer att utgöra allmänna handlingar hos Datainspektionen. Det innebär att uppgifter om incidenter ska lämnas ut såvida uppgifterna inte omfattas av sekretess. Sekretess gäller hos Datainspektionen enligt 32 kap. 1 offentlighets- och sekretesslagen (2009:400) (OSL) i ärende om tillstånd eller tillsyn för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider skada eller men om uppgiften röjs. Det rör sig således om ett rakt skaderekvisit med presumtion för offentlighet. Uppgifter om incidentrapportering avseende säkerhetsbrister i it-system till Datainspektionen omfattas av sekretessen i 18 kap. 8 OSL till skydd för säkerhets- och bevakningsåtgärder avseende system för automatiserad behandling av information. Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser bland annat telekommunikation eller system för automatiserad behandling av information och behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling. Det rör sig även i detta fall om ett rakt skaderekvisit med presumtion för offentlighet. Datainspektionen konstaterar att syftet med dataskyddsförordningens bestämmelser om anmälan av personuppgiftsincidenter är att förmå den personuppgiftsansvarige att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de aktuella personuppgifterna. Den incidentrapportering som förutsätts ske kan dock i praktiken innebära en upplysning om att ingivarens it-system är sårbart för attacker. Datainspektionen befarar att risken för angrepp utifrån ökar om det genom incidentrapportering avslöjas att den personuppgiftsansvariges itsystem har brister. Redan en uppgift om hos vem en incident har inträffat kan leda till säkerhetsattacker. Av detta följer att anmälningsskyldigheten av säkerhetsincidenter som syftar till att höja säkerheten för personuppgifterna kan få motsatt verkan om rapporteringen inte omgärdas av tillräcklig konfidentialitet. Datainspektionen befarar även att den omständigheten att uppgifter som lämnas i incidentrapporter omfattas av svag sekretess kommer att påverka den personuppgiftsansvariges vilja att anmäla och/eller beskriva

Datainspektionen 2017-07-07 Diarienr 1704-2017 4 (10) personuppgiftsincidenter i den omfattning som dataskyddsförordningen föreskriver. Risken är stor att den personuppgiftsansvarige underlåter att rapportera incidenter eller rapporterar endast övergripande eller bristfällig information. Till detta kommer att samtliga europeiska länder som omfattas av dataskyddsförordningen inte nödvändigtvis har motsvarande offentlighetsprincip och sekretesslagstiftning som Sverige. I den mån Sverige har ett svagare skydd för känslig företagsinformation kommer företag som står under tillsyn av den svenska dataskyddsmyndigheten att riskera hamna i en sämre situation ur konkurrenssynpunkt än företag som står under tillsyn av annat lands dataskyddsmyndighet. Detta kan få till följd att ett företag som förekommer i personuppgiftsincidentrapporter i Sverige kan förlora såväl befintliga som presumtiva kunder. En konsekvens av detta kan bli att företag som inte vill riskera att personuppgiftsincidenter blir allmänt kända kan komma att förlägga sin verksamhet till ett land med starkare sekretesskydd. Begäran om förhandssamråd Den personuppgiftsansvarige är under vissa omständigheter skyldig att göra en konsekvensbedömning avseende dataskydd enligt artikel 35 dataskyddsförordningen. Om en sådan konsekvensbedömning visar att personuppgiftsbehandlingen skulle leda till hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken ska den personuppgiftsansvarige enligt artikel 36 samråda med tillsynsmyndigheten före behandlingen. Den personuppgiftsansvarige ska till Datainspektionen lämna uppgift om bland annat de åtgärder som vidtas och de garantier som lämnas för att skydda de registrerades rättigheter och friheter enligt dataskyddsförordningen. Datainspektionen är sedan skyldig att inom åtta veckor ge skriftliga råd om den planerade behandlingen skulle strida mot förordningen. Datainspektionen förutsätter att förhandssamråd i många fall kommer att innefatta mycket känslig och ingående information om en viss personuppgiftsansvarigs verksamhet. En konsekvensbedömning, som alltid ska bifogas förhandssamrådet, ska bland annat innehålla information om de åtgärder som planeras för att minska personuppgiftsbehandlingens risker. Sådan information kan antas avslöja viktiga säkerhetsrutiner hos den personuppgiftsansvariga och torde i många fall omfatta företagshemligheter.

Datainspektionen 2017-07-07 Diarienr 1704-2017 5 (10) Datainspektionen ser även i detta fall en risk att personuppgiftsansvariga på grund av oro för att affärskritiska uppgifter ska bli offentliga väljer att utelämna viktiga delar i en konsekvensbedömning, eller helt underlåter att begära förhandssamråd. Tidigare utredningar Datainspektionen är medveten om att frågan om sekretess för uppgifter som hämtas in via incidentrapporter till Myndigheten för samhällsskydd och beredskap (MSB) har behandlats i Betänkandet av Utredningen om genomförande av NIS-direktivet (SOU 2017:36 s. 243 263) och uppgifter som hämtas in via incidentrapporter till Datainspektionen i Betänkande av dataskyddsutredningen (SOU 2017: 39 s. 253-259). Dessa utredningar fann inte anledning att föreslå ett stärkt sekretesskydd för incidentrapporter. NIS-utredningen synes grunda sin uppfattning på att MSB:s inställning att i princip all specifik information i en incidentrapport kan sekretessbeläggas med stöd av den svaga sekretessen i 18 kap. 8 OSL vann gillande i tre domar från Kammarrätten i Göteborg (mål nr 2972-16, 5858-16 och 5032-16 (överklagad till Högsta förvaltningsdomstolen som inte meddelade prövningstillstånd). Sekretess gällde även för namnet på ingivaren. Det saknas dock prejudicerande domar från Högsta förvaltningsdomstolen som slutgiltigt slår fast att den svaga sekretess som gäller enligt 18 kap. 8 faktiskt skyddar i princip all specifik information i en incidentrapport. Kammarrätten i Stockholm har i dom den 20 april 2017 (Mål nr 835-17) beslutat att sekretess enligt 18 kap. 8 inte gäller hos Livsmedelsverket för förekomsten av rapportering av it-incidenter från Livsmedelsverket till MSB. Kammarrättens i Göteborg bedömning av vad som enligt 18 kap. 8 är sekretessbelagt i incidentrapporter hos MSB ger dessutom inte fullt ut vägledning till vad som ska bedömas vara sekretessbelagt i incidentrapporter hos Datainspektionen. Enligt 20 förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap ska incidenter som allvarligt kan påverka säkerheten i den informationsbehandling som myndigheten ansvarar för rapporteras till MSB. När det gäller incidentrapportering enligt dataskyddsförordningens artikel 33 p. 1 ska den personuppgiftsansvarige anmäla personuppgiftsincidenten såvida det inte är osannolikt att personuppgiftsincidenten medför risk för fysiska personers rättigheter och friheter. Av detta följer att incidenter som ska rapporteras till

Datainspektionen 2017-07-07 Diarienr 1704-2017 6 (10) Datainspektionen kan vara av mindre allvarlig natur än incidenter som måste rapporteras till MSB. Det är osäkert i vilken omfattning ett rakt skaderekvisit skyddar information som anmälts i samband med att en mindre allvarlig incident inträffat. Dataskyddsutredningen å sin sida nöjde sig med att konstatera att i ett tidigare lagstiftningsärende (prop. 2003/04:93 Några frågor om sekretess, m.m.) har uppgifter om ingivare av incidentrapportering till Post- och telestyrelsen avseende säkerhetsbrister i it-system, liksom uppgifter om innehållet i rapporterna, ansetts omfattas av sekretessen till skydd för säkerhets- och bevakningsåtgärder i 18 kap. 8 OSL. Utredningen gick inte närmare in på frågan i vad mån sekretessen i 18 kap. 8 ger uppgifter om incidentrapportring hos Datainspektionen tillräckligt skydd eller inte. Datainspektionen anser att den tidigare nämnda Kammarrättens i Stockholm dom rörande Livsmedelsverket innebär att denna tolkning av den svaga sekretessens omfattning inte längre kan tas för given. Med hänsyn till att incidentrapportering och begäran om förhandssamråd enligt dataskyddsförordningen är helt nya företeelser finns det av naturliga skäl inte några exempel på uppgifter 0m incidenter m.m. som skulle innebära skada om de röjs men som i dag inte omfattas av någon sekretessbestämmelse. Särskilt om brottsdatalagen Det nya dataskyddsdirektivet på området för brottsbekämpning, lagföring och straffverkställighet ska enligt förslaget (SOU 2017:29) implementeras i svensk rätt genom den s.k. brottsdatalagen. Skyldigheten att anmäla personuppgiftsincidenter till tillsynsmyndigheten regleras enligt förslaget i 3 kap. 9 brottsdatalagen. Skyldigheten att på förhand begära samråd med tillsynsmyndigheten regleras enligt förslaget i 3 kap. 7 andra stycket samma lag. Datainspektionen konstaterar att det på det brottsbekämpande området i stor utsträckning behandlas integritetskänsliga och känsliga uppgifter. Det föreligger även i regel sekretess kring de uppgifter som behandlas. Enligt Datainspektionen skulle det kunna få svåra konsekvenser för myndigheterna på det brottsbekämpande området om inte uppgifter som förekommer i anmälningar av personuppgiftsincidenter och förhandssamråd omfattas av absolut sekretess alternativt sekretess med omvänt skaderekvisit i

Datainspektionen 2017-07-07 Diarienr 1704-2017 7 (10) Datainspektionens verksamhet. Datainspektionen anser därför att behovet av en sådan sekretessbestämmelse i Datainspektionens verksamhet gör sig starkt gällande även på brottsdatalagens område. Tystnadsplikt inom hälso- och sjukvård och social omsorg I artikel 9.3 dataskyddsförordningen anges följande. Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i punkt 2 h, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ. Punkt 2 h i artikel 9 dataskyddsförordningen anger att känsliga personuppgifter får behandlas om det är nödvändigt av skäl som hör samman med bland annat hälso- och sjukvård och social omsorg under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda. I betänkandet som innehåller den föreslagna lagen med kompletterande bestämmelser till EU:s dataskyddsförordning föreslås en bestämmelse som i princip överensstämmer med lydelsen i artikel 9.2.h (3 kap 5 i den föreslagna kompletteringslagen i SOU 2017:39). Att en generell bestämmelse införs motiveras i betänkandet med att Det är av stor vikt att förutsättningarna för att behandla känsliga personuppgifter för hälso- och sjukvårdsändamål är reglerade på ett så tydligt sätt som möjligt (s. 185). Beträffande kravet på tystnadsplikt anges i betänkandet att Eftersom artikel 9.3 i förordningen är direkt tillämplig får den närmare innebörden av kravet på tystnadsplikt ytterst uttolkas av EU-domstolen. I Sverige regleras tystnadsplikt inom de områden som täcks av artikeln i bland annat 25 och 26 kap. OSL och 6 kap. 12 16 patientsäkerhetslagen (s. 186 ). Kravet på lagreglerad tystnadsplikt är nytt i förhållande till personuppgiftslagen (jfr 18 personuppgiftslagen). Det uppges emellertid bero på en felöversättning av dataskyddsdirektivet och inte på en egentlig

Datainspektionen 2017-07-07 Diarienr 1704-2017 8 (10) förändring av unionsrätten, SOU 2017:39 s. 183, SOU 2006:82 s. 175 och Rynning, Förvaltningsrättslig tidskrift 2003 s. 112. Datainspektionen ifrågasätter det rimliga i att avvakta avgöranden från EUdomstolen för att få en uttolkning av artikel 9.3. Det är dels, såsom det anges i betänkandet SOU 2017:39, av stor vikt att förutsättningarna för att behandla personuppgifter är reglerade så tydligt som möjligt på detta område, dels regleras inte den aktuella tystnadsplikten i unionsrätten utan det ställs i dataskyddsförordningen krav på att det finns en rättsligt reglerad nationell tystnadsplikt. Att det finns en i nationell rätt reglerad tystnadsplikt som uppfyller kravet i artikel 9.3 måste därför vara en fråga för lagstiftaren. Formuleringen i artikel 9.3 att uppgifterna ska behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt skulle kunna tolkas så att det är tillräckligt att den personuppgiftsansvarige omfattas av en lagreglerad tystnadsplikt. Gränsen för personuppgiftsansvaret och ansvaret för sekretessen skiljer sig emellertid åt, vilket bland annat framgår i JO:s beslut från den 9 september 2014, dnr 3032-2011. JO konstaterar i beslutet att utlämnande av journaluppgifter till ett personuppgiftsbiträde eller personal hos biträdet ska prövas på vanligt sätt enligt offentlighets- och sekretesslagen (2009:400). JO:s bedömning i ärendet var att vårdgivaren i det fallet inte hade rättsligt stöd för att lämna ut sekretessbelagda uppgifter om patienter då mottagaren endast omfattades av en avtalsreglerad tystnadsplikt. Efter JO:s beslut uppstod en debatt om myndigheters möjlighet att anlita personuppgiftsbiträde om det innebär att sekretessbelagda uppgifter lämnas ut. Frågan har utretts av Pensionsmyndigheten i regeringsuppdraget Molntjänster i staten En ny generation av outsourcing, avsnitt 11.5 och bilaga 1 Juridisk analys av myndigheters informationshantering i molnet. Pensionsmyndigheten konstaterar i rapporten, på samma sätt som JO, att offentlighets- och sekretesslagens bestämmelser kan hindra myndigheter från att lämna ut vissa typer av sekretessbelagda uppgifter till privata itleverantörer eftersom det saknas straffrättsligt sanktionerade tystnadsplikter för anställda hos sådana aktörer. Det handlar t.ex. om uppgifter av särskilt integritetskänsligt slag som rör enskilda och som inte bedöms kunna lämnas ut ens om leverantören och dess anställda ingår en avtalsrättslig tystnadspliktsförbindelse. Bland Pensionsmyndighetens åtta förslag till regeringen finns förslaget att regeringen låter utreda närmare om det är

Datainspektionen 2017-07-07 Diarienr 1704-2017 9 (10) lämpligt och ändamålsenligt att införa en lagreglerad och straffsanktionerad tystnadsplikt för privata leverantörer av it-tjänster. Datainspektionen delar Pensionsmyndighetens uppfattning att en lagreglerad tystnadsplikt för privata leverantörer av it-tjänster bör utredas. I nuvarande läge är det dock särskilt angeläget att tillse att kravet på lagstadgad tystnadsplikt enligt artikel 9.3 dataskyddsförordningen kommer att vara uppfyllt för alla aktörer som lagstiftaren anser bör kunna behandla känsliga personuppgifter med stöd av undantaget i artikel 9.2.h. Slutsatser Datainspektionen behöver i egenskap av tillsynsmyndighet ha tillgång till den stora mängd känsliga uppgifter som måste lämnas i samband med anmälan av en personuppgiftsincident och begäran om förhandssamråd. Det kan dock innebära stora problem för den personuppgiftsansvarige om uppgifter om dennes säkerhetsbrister och säkerhetsåtgärder blir kända av andra. Redan uppgift om vem som lämnat in en anmälan om en personuppgiftsincident kan vara till skada för det enskilda företaget. Datainspektionen anser därför att det är mycket angeläget att uppgifter i anmälningar av personuppgiftsincidenter och i begäran om förhandssamråd omfattas av absolut sekretess alternativt sekretess med omvänt skaderekvisit. Datainspektionen anser inte att ett införande av absolut sekretess alternativt sekretess med omvänt skaderekvisit för anmälningar av personuppgiftsincidenter eller begäran om samråd skulle innebära någon otillbörlig inskränkning av de syften som offentlighetsprincipen är tänkt att värna. Insynsintresset vid anmälningar av personuppgiftsincidenter är tillgodosett genom att den personuppgiftsansvarige är skyldig att informera den registrerade om personuppgiftsincidenten enligt artikel 34 dataskyddsförordningen. När det gäller insynsintresset vid samråd blir det tillgodosett genom det yttrande som Datainspektionen har att besluta i sådana ärenden. Datainspektionen konstaterar att informationshanteringen är central inom hälso- och sjukvård och social omsorg. Behandling av känsliga personuppgifter är nödvändig för att dessa verksamheter ska fungera. Det är av stor vikt att det skyndsamt utreds huruvida den behandling av personuppgifter som sker idag inom dessa verksamheter, med omfattande

Datainspektionen 2017-07-07 Diarienr 1704-2017 10(10) outsourcing, är förenlig med artikel 9.2.h och 9.3 dataskyddsförordningen, eller om det behöver införas en lagstadgad tystnadsplikt för dessa aktörer. Denna skrivelse har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av avdelningsdirektören Hans Kärnlöf. Vid den slutliga handläggningen har även chefsjuristen Hans-Olof Lindblom och enhetschefen Catharina Fernquist deltagit. Kristina Svahn Starrsjö Hans Kärnlöf

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss