Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)



Relevanta dokument
SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Datainspektionen lämnar följande synpunkter.

Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Remiss av betänkandet 2014 års utlänningsdatalag (SOU 2015:73)

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Remiss av SOU 2015:66 En förvaltning som håller ihop

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

Departementspromemorian Domstolsdatalag (Ds 2013:10)

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

SOU 2015:84 Organdonation En livsviktig verksamhet

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Tillsyn avseende undersökningen Hälsa Stockholm

Snabbare lagföring (Ds 2018:9)

Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Svar på förfrågan om vad som utgör en känslig personuppgift

Tillsyn enligt kameraövervakningslagen (2013:460) Försäkringskassans användning av webbkameror

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) behandling av personnummer

Remiss av SOU 2013:80 Ett minskat och förenklat uppgiftslämnande för företagen

Tillsyn enligt personuppgiftslagen (1998:204) Arbetslöshetskassornas samorganisation (SO)

Remissen Läkemedelsverkets förslag till föreskrifter för Nationella medicinska informationssystem

Hur står det till med den personliga integriteten? (SOU 2016:41)

Tillsyn enligt personuppgiftslagen (1998:204) Elektroniska utlämnanden från Bolagsverkets register

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Yttrande i Förvaltningsrätten i Stockholms mål

Datalagring och integritet (SOU 2015:31)

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX

Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert

Tillsyn enligt personuppgiftslagen (1998:204) registrering av känsliga personuppgifter om anställda

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Yttrande över promemorian Införande av vissa internationella standarder i penningtvättslagen

Beslut om förteckning enligt artikel 35.4 i EU:s allmänna dataskyddsförordning 2016/679

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Beslut efter tillsyn enligt inkassolagen (1974:182) ny uppföljning av uppgift om grunden för fordran

Yttrande över betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Remissyttrande över departementspromemorian Behandling av personuppgifter i polisens brottsbekämpande verksamhet (Ds 2007:43)

Betänkandet Myndighetsdatalag (SOU 2015:39)

Myndighetsdatalag (SOU 2015:39)

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Remissvar Registersforskningsutredningen {SOU 2014:45)

mellan myndigheter samt mellan myndigheter och företag principer för användning av e-legitimationer och utformning av åtkomstkontroll.

REMISSVAR. SOU 2013:80 Ett minskat och förenklat uppgiftslämnande för företagen 1(10) REGERINGSKANSLIET. N äringsdepartementet STOCKHOLM

Handlägges.Q"(4.e...

Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m.

Beslut efter tillsyn enligt inkassolagen (1974:182) ny uppföljning av uppgift om grunden för fordran

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Så stärker vi den personliga integriteten SOU 2017:52

Riktlinjer för hantering av personuppgifter

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Ds 2016:44 Nationell läkemedelslista

Tillsyn enligt personuppgiftslagen (1998:204) Hyresbostäder i Norrköping AB

Beslag och husrannsakan ett regelverk för dagens behov (SOU 2017:100)

Överklagande. Prövningstillstånd. Kammarrätten i Jönköping Box Jönköping. Klagande Datainspektionen, Box 8114, Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

AB Storstockholms lokaltrafik (SL)

UPPGIFTSLÄMNARSERVICE FÖR FÖRETAGEN

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Utkast till lagrådsremissen Vägtrafikdatalag

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsynsbeslut; omdömen om elever

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

Betänkandet Allmänna handlingar i elektronisk form offentlighet och integritet (SOU 2010:4)

Remiss av betänkande (SOU 2015:33) Uppgiftslämnarservice för företagen

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Transkript:

Yttrande Diarienr 1 (5) 2015-10-28 1216-2015 Ert diarienr N2015/3074/FF Näringsdepartementet 103 33 Stockholm Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33) Datainspektionen har granskat betänkandet huvudsakligen utifrån sin uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Enligt 3 författningsförslaget ska det offentliga tillhandahålla ett system. Det offentliga är inte en vedertagen aktör och därför är det ett otydligt begrepp att använda sig av. Det offentliga ska tillhandahålla ett system som innehåller register över uppgiftskrav, automatiserad samordning av grundläggande uppgifter för företagen, en aviseringsfunktion och användarfunktioner. Enligt författningsförslaget ska Tillväxtverket stå för registret över uppgiftskrav, Bolagsverket för den automatiserade samordningen av grundläggande uppgifter och Skatteverket för aviseringsfunktionen Mina Meddelanden. Det framgår inte i författningsförslaget vem i det offentliga som ska tillhandahålla användarfunktionerna. Enligt Datainspektionens uppfattning är det lämpligt att även detta uttrycks i författningsförslaget. Sammansatta bastjänsten Utredningen har uppmärksammat att Sammansatta bastjänsten väcker frågor om personuppgiftsansvar och att personuppgiftsansvaret behöver tydliggöras. Datainspektionen har inget att invända mot att personuppgiftsansvaret författningsregleras på det sätt som föreslås gällande Sammansatta bastjänsten. Som Datainspektionens uppfattat utredningen ska den personuppgiftsbehandling som sker i Sammansatta bastjänsten av grundläggande uppgifter ske på mottagande myndighets personuppgiftsansvar. Bolagsverket ska endast vara personuppgiftsansvarigt för den personuppgiftsbehandling som sker inom ramen för tillhandahållandet av bastjänsten och som inte avser behandling av de Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00

Datainspektionen 2015-10-28 Diarienr 1216-2015 2 (5) grundläggande uppgifterna. Av 19 första stycket i förslaget till förordning kan man få intrycket att mottagande myndighet endast är personuppgiftsansvarig när uppgifterna förmedlats till myndigheten. Av 19 andra stycket kan man få intrycket att Bolagsverket är personuppgiftsansvarigt för de grundläggande uppgifterna i Sammansatta bastjänsten. Enligt Datainspektionens uppfattning är den fördelning av personuppgiftsansvaret som utredningen avser att åstadkomma svår att utläsa i det förslag som lämnats. Av författningsförslaget följer att personuppgiftslagen gäller vid behandling av personuppgifter i systemet. I 3 personuppgiftslagen definieras mottagare som något annat än vad som avses i det presenterade förslaget. Det bör därför förtydligas att det inte är mottagaren enligt den definition som avses i personuppgiftslagens som avses. Utökning av antalet grundläggande uppgifter Enligt utredningen levererades per den 30 mars 2015 21 kategorier av uppgifter från olika myndigheter till den sammansatta bastjänsten. Hittills har det inte rört sig om integritetskänsliga uppgifter, varför behandlingen inte innebär särskilt stora integritetsrisker. Uppgifterna omfattas inte heller av sekretess enligt utredningen. Det framgår dock att ytterligare uppgifter ska kunna levereras på sikt. Det finns i författningsförslaget inga begränsningar av vilka kategorier av uppgifter som ska ingå i tjänsten. Bolagsverket ges visserligen i 14 författningsförslaget rätt att meddela föreskrifter om anslutningen till den automatiserade funktionen för samordning av grundläggande uppgifter och enligt författningskommentaren innebär denna föreskriftsrätt att Bolagsverket har möjlighet att föreskriva vad som är bästa källa. Datainspektionen saknar dock ett klargörande av vem som har rätt att definiera att en uppgift är en grundläggande uppgift som kan förmedlas i tjänsten. Är det utlämnande myndighet, mottagande myndighet (som har ett utpekat personuppgiftsansvar) eller Bolagsverket som är personuppgiftsbiträde med en viss föreskriftsrätt? Direktåtkomst m.m. Av utredningen framgår att det är myndigheternas avsikt att de uppgifter som ska förmedlas genom Sammansatta bastjänsten ska lämnas ut på medium för automatiserad behandling i de fall direktåtkomst inte är tillåten. Om en eventuell utökning av antalet uppgifter som förmedlas via Sammansatta bastjänsten innebär att sekretesskyddade uppgifter behandlas är det viktigt att utreda om det är rättsligt möjligt att lämna ut sådana uppgifter via Sammansatta bastjänsten på medium för automatiserad behandling.

Datainspektionen 2015-10-28 Diarienr 1216-2015 3 (5) Användning av uppgifter för statistiska ändamål I de användningsfall som räknas upp i avsnitt 6.2.4 ingår bl.a. att underlag ska tillhandahållas för statistikbearbetning och att samordningsorganet ska hämta underlag för statistikbearbetning. Det framgår att underlaget för statistiken ska levereras i obearbetad form varför det får förutsättas att det även innehåller personuppgifter. Hur förhåller sig det sistnämnda användarfallet som i praktiken innebär att Bolagsverket inhämtar underlag för statistikbearbetning från Sammansatta bastjänsten till författningstextens 13 där det föreskrivs att Bolagsverket inom ramen för den automatiserade funktionen får hantera de grundläggande uppgifterna endast som ett led i teknisk bearbetning för mottagarens räkning? Personuppgiftsbiträdesavtal m.m. Enligt utredningen är Bolagsverket genom Sammansatta bastjänsten personuppgiftsbiträde till mottagande myndigheter för e-tjänster. Som utredningen har uppmärksammat måste personuppgiftsbiträdesavtal tecknas med Bolagsverket. Personuppgiftsbiträdesavtal måste tecknas även när andra utförare anlitas för att behandla personuppgifter. Bland annat framgår av utredningen att verksamt.se:s autentiseringslösning ska användas. Även i den situationen måste ett personuppgiftsbiträdesavtal tecknas med den som behandlar personuppgifter på uppdrag av mottagande myndighet. Frågor om sekretess Datainspektionen har i tidigare remissyttrande framhållit att det finns behov av sekretessreglering som avser att skydda uppgifter om företags besök hos anslutna e-tjänster. Utredningen gör bedömningen att något behov av särskild sekretessregling inte aktualiseras eftersom det i kravspecifikationen finns uttalat att loggning inte får ske så detaljerat att det går att följa ett företags myndighetskontakter. Datainspektionen ställer sig positiv till att integritetsfrämjande åtgärder byggs in redan i systemet. I detta fall är det avgörande att systemet utformas i enlighet med kravspecifikationen. Om det i efterhand visar sig att funktionaliteten kräver en annan utformning är det av vikt att frågan om behovet av sekretesskydd åter tas upp. Det kan ifrågasättas om det är möjligt att genomföra en sådan utformning av systemet som föreslås eftersom av avsaknaden av möjlighet att logga kan innebära att det inte blir möjligt att följa upp och upptäcka eventuella brister i systemet.

Datainspektionen 2015-10-28 Diarienr 1216-2015 4 (5) Uppgiftskravtjänsten Som Datainspektionen uppfattat utredningen ska uppgiftskravtjänsten inte innehålla några personuppgifter. Datainspektionen vill dock uppmärksamma att formuleringen i 9 i författningsförslaget punkten 3 kan ge intrycket att registret ska innehålla personuppgifter eftersom det av textens ordalydelse i denna punkt framgår att registret ska innehålla uppgifter om grundläggande uppgifter som företaget lämnar. Ett tydligare sätt att formulera detta är innehålla uppgifter om vilka grundläggande uppgifter som företaget ska lämna. Servicefunktion i verksamt.se Företrädare för företag ska i servicefunktionen i verksamt.se kunna se en lista med de grundläggande uppgifter som man kan få fram genom Sammansatta bastjänsten. Enligt utredningen finns idag ingen särreglering för behandling av personuppgifter på verksamt.se och det föreslås inte heller någon sådan reglering. Det är således personuppgiftslagens bestämmelser och dess definition av personuppgiftsansvar som är avgörande för vem som är ansvarar för behandlingen av personuppgifter i verksamt.se. Enligt utredningen är det den myndighet som tillhandahåller en e-tjänst på verksamt.se som är personuppgiftsansvarig för densamma. Det är dock inte utrett vilken myndighet som är personuppgiftsansvarig för användartjänsten som fås fram genom Sammansatta bastjänsten som visas för företagen på verksamt.se. I det här fallet är det fråga om en komplex miljö där uppgifter hämtas från olika myndigheter och där olika personuppgiftsansvariga har ansvar för olika delar av behandlingen av personuppgifter. Under sådana förutsättningar är det viktigt att se till att ansvaret är tydligt fördelat. Datainspektionen anser att de skyldigheter och rättigheter som följer av dataskyddslagstiftningen måste garanteras av någon av aktörerna vid varje givet tillfälle och att det är tydligt för den registrerade vem som är personuppgiftsansvarig för personuppgiftsbehandlingen. Oavsett om uppgifterna förmedlas via verksamt.se eller inte behöver frågan utredas. Här väcks även frågor om vilken roll verksamt.se har och om verksamt.se överhuvudtaget är en aktör som har några befogenheter och därmed någ0t ansvar. En aviseringsfunktion Enligt författningsförslaget ska de myndigheter som räknas upp i bilagan till förordningen meddela sig med företag genom att använda den myndighetsgemensamma infrastrukturen för säkra elektroniska försändelser

Datainspektionen 2015-10-28 Diarienr 1216-2015 5 (5) från myndigheter till enskilda som tillhandahålls av Skatteverket (tjänsten Mina Meddelanden). Utredningen lämnar över de juridiska frågor och rättsliga överväganden som är kopplade till denna aviseringsfunktion till Skatteverkets projekt för Mina meddelanden. Datainspektionen anser att det är nödvändigt att dessa juridiska frågor och rättsliga överväganden är lösta innan anslutningen till Mina Meddelanden görs obligatorisk. Enligt förslaget ska det vara obligatoriskt för uppräknade myndigheter att ansluta sig till tjänsten. Datainspektionen har i en förfrågan från Skatteverket besvarat frågor om personuppgiftsansvaret i den aktuella tjänsten. I svaret till Skatteverket utgick Datainspektionen ifrån att det är frivilligt för myndigheter att ansluta sig till tjänsten. Datainspektionen framhöll följande. Om det framöver inte finns någon frivillighet avseende anslutningen antingen därför att det införs författningskrav om anslutning eller för att kravet på en effektiv e-förvaltning blir så starkt att det i praktiken inte finns någon frivillighet kan det bli nödvändigt att analysera personuppgiftsansvaret och författningsreglera det. (Datainspektionens ärende dnr 111-2014) Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av juristen och Ulrika Bergström. Vid den slutliga handläggningen har även chefsjuristen Hans-Olof Lindblom och enhetschefen Catharina Fernquist deltagit. Kristina Svahn Starrsjö Ulrika Bergström

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss