Yttrande i Förvaltningsrätten i Stockholms mål

Relevanta dokument
Tillsyn enligt personuppgiftslagen (1998:204) - E-Hälsomyndighetens tjänst Hälsa För Mig

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

DOM Meddelad i Stockholm

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Datainspektionen lämnar följande synpunkter.

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Tillsyn enligt personuppgiftslagen (1998:204) En forskningsstudie vid Örebro universitet med känsliga personuppgifter om barn

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

PERSONUPPGIFTSBITRÄDESAVTAL

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Tillsyn avseende undersökningen Hälsa Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) Barn och grundskolenämnden i Täbys behandling av personuppgifter i VKlass

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Mål nr ; E-hälsomyndigheten./. Datainspektionen

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Tillsyn enligt personuppgiftslagen (1998:204) hjälpmedelshanteringssystemet Sesam

Tillsyn enligt personuppgiftslagen (1998:204) VA Syds personuppgiftsbehandling inom avfallshanteringsverksamheten

Remiss av SOU 2015:66 En förvaltning som håller ihop

Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m.

Tillsyn enligt personuppgiftslagen (1998:204) registrering av känsliga personuppgifter om anställda

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Så behandlar vi dina personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

Ds 2016:44 Nationell läkemedelslista

Personuppgiftsbehandling i forskning

Riktlinjer för hantering av personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst

Vägledning för bolag. Ej gällande. Ansvaret för personuppgifter som hanteras i system för whistleblowing

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Policy för hantering av personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) två forskningsprojekt vid Roche AB

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Datainspektionens beslut. Arbetsförmedlingen Hälsingegatan Stockholm

Tillsyn - äldreomsorg

Tillsyn enligt personuppgiftslagen (1998:204) forskningsprojektet SWEGHO vid Pfizer AB

Tillsyn enligt personuppgiftslagen (1998:204)- två forskningsprojekt vid Novartis Sverige AB

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Tillsyn enligt personuppgiftslagen (1998:204)- två forskningsprojekt vid Bristol-Myers Squibb AB

Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert

Dataskyddsförordningen

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Handlägges.Q"(4.e...

Våra frågor Datainspektionen vill att ni svarar på följande frågor:

Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Personuppgiftsbiträdesavtal

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Riktlinjer för dataskydd

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Personuppgiftsbiträdesavtal

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

1.2. Advokatfirman Carler är personuppgiftsansvarig för den behandling som utförs av Advokatfirman Carler i enlighet med denna personuppgiftspolicy.

Personuppgiftsansvarig och personuppgiftsbiträde

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

2 kap. 3 och 5 kap. 4 patientdatalagen (2008:355) Högsta förvaltningsdomstolen meddelade den 4 december 2017 följande dom (mål nr ).

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Tillsyn enligt personuppgiftslagen (1998:204) Autentisering av användare som medges åtkomst till personuppgifter i kreditupplysningsregister

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Integritetspolicy leverantör

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar

Dataskyddspolicy för Rotsunda Utbildning AB

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Transkript:

Yttrande Diarienr 1 (8) 2017-09-29 1078-2017 Ert diarienr Mål 11458-17 Avdelning 32 Förvaltningsrätten i Stockholm 115 76 Stockholm forvaltningsrattenistockholm@dom.se Yttrande i Förvaltningsrätten i Stockholms mål 11458-17 Datainspektionen har getts möjlighet att yttra sig över E-hälsomyndighetens yttrande av den 1 september 2017. Datainspektionens inställning Vad E-hälsomyndigheten nu anför och åberopar leder inte till att Datainspektionen gör någon annan bedömning än den som inspektionen gjort i det överklagade beslutet. Inspektionen vidhåller sitt beslut och yrkar att överklagandet ska avslås. För förvaltningsrättens bedömning hänvisar Datainspektionen i första hand till de skäl som inspektionen anger i det överklagade beslutet och till vad inspektionen tidigare framfört i målet. Med hänsyn till den ytterligare argumentering som E-hälsomyndigheten nu åberopar till stöd för sin talan vill Datainspektionen tillägga följande i syfte att underlätta förvaltningsrättens prövning av målet. Inledning Datainspektionen har beskrivit, i tillsynsbeslutet den 21 april 2017 och svarsskrivelsen från den 7 juli 2017, dataskyddsreglerna i förhållande till E- hälsomyndighetens tjänst Hälsa för mig. Datainspektionen har också angett inspektionens uppfattning avseende beslutets utformning och Datainspektionens behörighet. Datainspektionen upprepar inte här vad som sagts tidigare, förutom att inspektionen ger en kompletterande kommentar Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00

Datainspektionen 2017-09-29 Diarienr 1078-2017 2 (8) gällande personuppgiftsansvaret. Att Datainspektionen inte bemöter eller kommenterar E-hälsomyndighetens påståenden innebär inte att Datainspektionen vitsordar vad som anförs. Det avser även när E- hälsomyndigheten ger sin tolkning av Datainspektionens uppfattning. Datainspektionen kan konstatera att vad E-hälsomyndigheten anfört om tjänstens utformning stämmer väl överens med den beskrivning Datainspektionen fått tidigare. E-hälsomyndigheten har gjort en del ändringar efter det att myndigheten besvarade tillsynsskrivelsen. Beträffande tjänstens utformning har exempelvis möjligheten till offline access 1 och möjligheten att ge en annan Användare fullt ägandeskap 2 tagits bort. Datainspektionen är positiv till dessa ändringar, men bedömer att de inte förändrar de grundläggande rättsliga förutsättningarna som tillsynen omfattat. En annan förändring avser personuppgiftsansvaret. E-hälsomyndigheten uppgav inledningsvis att myndigheten var personuppgiftsansvarig för tjänsten. 3 I överklagandet angav E-hälsomyndigheten istället att Användaren är personuppgiftsansvarig 4 och att E-Hälsomyndighetens ansvar endast avser administration och övergripande frågor om organisatoriska och tekniska säkerhetsåtgärder. 5 E-hälsomyndigheten har även i yttrandet från den 1 september 2017 ståndpunkten att personuppgiftsansvaret för behandlingen av uppgifterna på kontot åligger den enskilde Användaren och anger att det var kontakten med Datainspektionen som fick E-hälsomyndigheten att uppge något annat inledningsvis. 6 Personuppgiftsansvar Frågan om personuppgiftsansvarets placering och omfattning är central för reglerna gällande dataskydd. Att personuppgiftsansvaret uppfattas korrekt av en verksamhetsutövare är avgörande för att skyddet för den enskildes integritet i form av dataskyddsreglerna ska fungera. Datainspektionen vill 1 E-hälsomyndighetens svar i tillsynsärendet s. 16 jämfört med E-hälsomyndighetens yttrande 2017-09-01 punkt 120 2 E-hälsomyndighetens svar i tillsynsärendet s. 5 jämfört med E-hälsomyndighetens överklagande punkt 97 3 E-hälsomyndighetens svar i tillsynsärendet s. 10 f 4 E-hälsomyndighetens överklagande punkt 33 5 E-hälsomyndighetens överklagande punkt 34 6 E-hälsomyndighetens yttrande bl.a. avsnitt 2 och 3.2

Datainspektionen 2017-09-29 Diarienr 1078-2017 3 (8) därför återigen belysa inspektionens syn på personuppgiftsansvaret för tjänsten Hälsa för mig. E-hälsomyndigheten anger att myndigheten inte har insyn i, tillgång till eller kännedom om vilken information Användaren lagrar på sitt konto 7 och att det endast är några få medarbetare hos underleverantören som faktiskt tar del av uppgifterna. Att ha insyn i, tillgång till eller kännedom om är inte förutsättningar som krävs för att det ska vara frågan om behandling av personuppgifter. Behandling är varje åtgärd som vidtas beträffande personuppgifter, artikel 2 b dataskyddsdirektivet, 3 personuppgiftslagen, artikel 4.1 dataskyddsförordningen. Det är E-hälsomyndigheten som lagrar, bearbetar, inhämtar, sprider, tillhandahåller m.m. som behandlar dessa personuppgifter dvs. de hälsouppgifter som kommer att finnas i hälsokontona. E-hälsomyndigheten måste således ha ett stöd för dessa behandlingar. E-hälsomyndighetens behandling av uppgifterna kan ske antingen i egenskap av personuppgiftsansvarig eller, om det sker på uppdrag av någon annan, som personuppgiftsbiträde. E-hälsomyndigheten har i sin instruktion fått uppdraget att skapa en tjänst för enskildas hälsokonton. E-hälsomyndigheten har utformat tjänsten i syfte att uppfylla det uppdraget. E-hälsomyndigheten tillhandahåller plattformen via ett personuppgiftsbiträde. Det är E-hälsomyndigheter som ingår avtal med Användarna av tjänsten. Det är E-hälsomyndigheten som avtalar med Applikationsleverantörerna om möjligheten att erbjuda applikationer och få tillgång till uppgifter i tjänsten. E-hälsomyndigheten bekostar tjänsten och erhåller betalning från applikationsleverantörerna. Det är E- hälsomyndigheten som tillhandahåller de tekniska förutsättningarna för att få tillgång till uppgifterna som finns på hälsokontona. Det är enbart E- hälsomyndigheten och myndighetens biträde som behandlar uppgiftssamlingen som helhet. Av detta följer att det är E-hälsomyndigheten som bestämmer ändamål och medel för Hälsa för mig och som därför har personuppgiftsansvaret för de behandlingar som utförs i tjänsten. E-hälsomyndigheten har anfört att myndighetens ansvar påverkas av att den enskilde Användaren har så stort inflytande över behandlingen. Att de 7 E-hälsomyndighetens yttrande 153.4

Datainspektionen 2017-09-29 Diarienr 1078-2017 4 (8) registrerade ges ett väsentligt inflytande är positivt ur ett integritetsperspektiv, men innebär inte att den personuppgiftsansvariges ansvar upphör eller begränsas. E-hälsomyndigheten har hänvisat till bankkunders stora möjlighet att hantera sin ekonomi via internetbanker. Datainspektionen tycker att det är en bra jämförelse, där den enskildes möjligheter inte förändrar bankernas ansvar. E-hälsomyndigheten anger att myndigheten vidtagit de åtgärder som krävs för ett eventuellt mer omfattande personuppgiftsansvar m.m. 8 Datainspektionen delar inte den bedömningen. Datainspektionen kan konstatera att personuppgiftsansvaret ska vara tydligt för de registrerade. Eftersom E-hälsomyndigheten inte anser sig vara personuppgiftsansvarig är det inte möjligt att skapa den tydligheten. Den personuppgiftsansvarige måste, förutom att ha en rättslig grund såsom exempelvis samtycke, också följa de grundläggande principerna. De grundläggande principerna framgår av 9 personuppgiftslagen, artikel 6 i dataskyddsdirektivet och artikel i 5 dataskyddsförordningen. Dessa principer anger bland annat att personuppgifterna bara får samlas in för särskilda, uttryckligt angivna ändamål och att senare behandling inte får ske på ett sätt som är oförenligt med dessa ändamål. E-hälsomyndigheten har uttryckt att myndigheten inte har några egna ändamål för att behandla uppgifterna som ska lagras i hälsokontona. 9 Det skulle innebära att E-hälsomyndigheten inte alls får behandla uppgifterna ifråga. Datainspektionen är av uppfattningen att E-hälsomyndighetens ändamål framgår av myndighetens instruktion, dvs. att tillhandahålla en tjänst där enskilda kan behandla uppgifter om sin hälsa och uppgifterna får enbart behandlas i form av teknisk lagring för enskilds räkning och för att ge tredje part möjlighet att ansluta tillämpningar och tjänster till den elektroniska tjänsten. Denna instruktion, som är en tydlig hänvisning till 2 kap. 10 första stycket tryckfrihetsförordningen, tolkar E-hälsomyndigheten som att den i sig inskränker personuppgiftsansvaret. Det är i och för sig möjligt för lagstiftaren 8 E-hälsomyndighetens yttrande avsnitt 3.3 9 E-hälsomyndighetens yttrande punkt 15

Datainspektionen 2017-09-29 Diarienr 1078-2017 5 (8) att, under vissa förutsättningar, reglera personuppgiftsansvaret, men vare sig instruktionen eller tryckfrihetsförordningen innehåller någon sådan reglering. Tryckfrihetsförordningen anger något förenklat att om vissa förhållanden föreligger, så gäller inte bestämmelserna om allmänna handlingar. Såsom bestämmelsen är utformad är den överhuvudtaget inte konkurrerande till dataskyddsreglerna. Tvärtom är den väl överensstämmande med dataskyddsreglerna när den tillämpas i en situation där en myndighet är värdmyndighet (personuppgiftsbiträde) för en annan myndighets uppgiftssamlingar (personuppgiftsansvarig). Bestämmelsen i 2 kap. 10 tryckfrihetsförordningen är inte heller en bestämmelse om tryckeller yttrandefrihet som enligt 7 första stycket personuppgiftslagen ska ha företräde framför personuppgiftslagen, jfr artikel 85 dataskyddsförordningen. För att kunna reglera personuppgiftsansvaret behöver lagstiftaren idag följa dataskyddsdirektivet och framöver artikel 4.7 i dataskyddsförordningen som anger att om ändamål och medlen för behandlingen bestäms i nationell rätt kan det också föreskrivas vem som är personuppgiftsansvarige eller utifrån vilka kriterier denna ska utses. Det s.k. egna utrymmet har skapats för att undvika att vissa handlingar blir allmänna. Om denna strävan kolliderar med dataskyddsreglerna så är det endast lagstiftaren som, utifrån det utrymme som finns enligt grundlag och unionsrätten, som kan reglera personuppgiftsansvaret och begränsningar av rättigheter eller reglera bestämmelserna om sekretess. Dataskyddsreglerna är vare sig dispositiva eller sekundära, varför det inte är möjligt att välja bort dem för att de påverkar karaktären av det s.k. egna utrymmet. Att det i E-hälsomyndighetens instruktion anges att uppgifterna enbart får behandlas för teknisk lagring för enskilds räkning innebär en stark begränsning av ändamålet. Det är endast för att tillgodose Användarens behov som E-hälsomyndigheten har ett berättigat ändamål för att behandla uppgifterna. Datainspektionen kan konstatera att E-hälsomyndigheten i huvudavtalet avseende anslutning av applikation till Hälsa för mig i punkt 2.1 anger att syftet med Hälsa för mig är att möjliggöra ett effektivt stöd för enskilda individer för att samla, lagra och dela hälso- och sjukvårdsrelaterad information. Datainspektionen anser inte att det i instruktionen anges att E- hälsomyndigheten ska dela hälso- och sjukvårdsuppgifterna. Tvärtom anges det att lagringen enbart ska vara till för den enskilde. Ett utrymme som

Datainspektionen 2017-09-29 Diarienr 1078-2017 6 (8) dessutom omfattas av absolut sekretess, för den som erbjuder lagringen dvs. E-hälsomyndigheten. De Applikationsleverantörer som bjuds in kan således erbjuda tjänster, men inte för egna syften få del av information. Datainspektionen vill i sammanhanget poängtera att om en Användare samtycker till att dennes hälsouppgifter behandlas för exempelvis marknadsföring, är det inte detsamma som att marknadsföring är ett ändamål för Användaren. Att ändamålen med tjänsten följs är också viktigt utifrån vårdgivarnas perspektiv. Det är naturligtvis stor skillnad på att överföra sjukjournaler till en tjänst där enbart patienten kan ta del av uppgifterna, eller en tjänst som är till för att tillhandahålla andra intressenter uppgifterna. Det är den personuppgiftsansvarige som ska tillse att uppgifterna behandlas bara för de för tjänsten berättigade ändamålen och att de personuppgifter som behandlas är adekvata och relevanta och inte omfattar mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de samlades in och för vilka de senare behandlas. E-hälsomyndigheten kan inte överlåta till respektive Användare att ta ansvar för vad de genom samtycke ger Applikationsleverantörerna åtkomst till. Det är E-hälsomyndigheten i egenskap av personuppgiftsansvarig som ansvarar för att den behandling som sker är korrekt och laglig och att det finns berättigade ändamål som är särskilda och uttryckligt angivna och att behandlingen inte omfattar mer uppgifter än nödvändigt. Förutom att följa de grundläggande principerna och se till att det finns en rättslig grund för behandlingen, måste den personuppgiftsansvarige också se till att något av undantagen från förbudet att behandla känsliga personuppgifter är tillämpligt när behandlingen avser känsliga personuppgifter. Den registrerades rättigheter ska uppfyllas av den personuppgiftsansvarige i den mån de inte har begränsats i reglering gällande personuppgiftsbehandling. Den personuppgiftsansvarige ska också uppfylla övriga krav avseende sina skyldigheter. Dessa kommer framöver utökas och vara tydligare när dataskyddsförordningen börjar tillämpas i maj 2018, se kapitel IV dataskyddsförordningen. Den personuppgiftsansvarige har också ansvar för att överföringen av personuppgifter till tredje land inte sker utan att det finns ett rättsligt stöd för överföringen.

Datainspektionen 2017-09-29 Diarienr 1078-2017 7 (8) Att såsom E-hälsomyndigheten anför, se de separata hälsokontona som individuella behandlingar, är inte i överensstämmelse med verkligheten. 10 Det är den stora samlingen av hälsouppgifter som möjliggör att prenumerationstjänster kan skapas och att Applikationsleverantörerna kan skapa applikationer för tjänsten och att de dessutom är beredda att betala E- hälsomyndigheten för att få möjligheten att erbjuda applikationer. E- hälsomyndigheten har i sitt överklagande uppgett att en förutsättning för Applikationsleverantörernas intresse är att de erhåller något av värde för dem. 11 Intresset av informationen hör givetvis samman med mängden information och informationens karaktär. Även riskerna med tjänsten hör samman med såväl mängden som uppgifternas karaktär. Ansvaret för tjänsten kan därför inte heller ur detta perspektiv, bli en fråga för den enskilde Användaren, det är enbart E-hälsomyndigheten som kan ansvara för helheten. Användarna är registrerade och har på samma sätt som de andra registrerade - vårdpersonal och andra som omnämns i exempelvis sjukjournaler - rätt till skydd för sina personuppgifter. E-hälsomyndighetens bedömning att det är Användaren som är ansvarig för behandlingen av hälsouppgifterna, skulle om den var korrekt, innebära att myndigheten skulle kunna ha en uppgiftssamling med potentiellt sett hela Sveriges befolknings sjukjournaler, läkemedelsuppgifter och andra hälsouppgifter, utan att någon skulle vara att anse som personuppgiftsansvarig för informationssamlingen och utan att någon skulle ha ansvar för att gällande dataskyddsregler följs. Bevisning De bevis som åberopas av E-hälsomyndigheten är två dokument som E- hälsomyndigheten utformat. Datainspektionen bestrider inte dessa. Datainspektionen åberopar inte någon bevisning eftersom målet avser grundläggande rättsliga förutsättningar för tjänsten Hälsa för mig. 10 E-hälsomyndighetens yttrande punkt 10 11 E-hälsomyndighetens överklagande punkt 122

Datainspektionen 2017-09-29 Diarienr 1078-2017 8 (8) Detta yttrande har beslutats av ställföreträdande generaldirektören Hans-Olof Lindblom efter föredragning av enhetschefen Katarina Tullstedt. Hans-Olof Lindblom Katarina Tullstedt

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss