Dir. 2014:164

En myndighet med ett samlat ansvar för tillsyn över den personliga integriteten

Kommittédirektiv

En myndighet med ett samlat ansvar för tillsyn över den personliga integriteten

Beslut vid regeringssammanträde den 22 december 2014

Sammanfattning

Ansvaret för tillsyn på integritetsområdet ligger i dag på flera olika myndigheter. I syfte att stärka skyddet för den personliga integriteten ska en särskild utredare överväga hur ett i högre grad samlat integritetsskydd kan fungera inom en och samma myndighetsstruktur genom att tillsynen över behandling av personuppgifter samlas hos en myndighet. Utredaren ska kartlägga den tillsyn över behandling av personuppgifter som i dag bedrivs av flera myndigheter. I uppdraget ingår även att lämna förslag som medför att myndigheten är förberedd för att kunna fullgöra de uppgifter som Integritetskommittén (Ju 2014:09) kan komma att föreslå att ett integritetsskyddsråd ska ha. Dessutom ska utredaren lämna de förslag som behövs för att myndigheten ska kunna fullgöra de uppgifter som kan bli resultatet av reformeringen av EU:s dataskyddsreglering.

Uppdraget ska redovisas senast den 31 januari 2016.

Den personliga integriteten

Begreppet personlig integritet används både i grundlag och i vanlig lag – t.ex. 2 kap. 6 § andra stycket regeringsformen (RF) och 5 a § personuppgiftslagen (1998:204) – men någon allmängiltig definition av begreppet har inte slagits fast. I ett försök att ändå beskriva vad som kan anses vara kärnan i rätten till personlig integritet har lagstiftaren uttalat att kränkningar av

den personliga integriteten utgör intrång i den fredade sfär som den enskilde bör vara tillförsäkrad och där ett oönskat intrång bör kunna avvisas (prop. 2005/06:173 s. 15 och prop. 2009/10:80 s. 175). Rätten till personlig integritet kan också beskrivas som en rätt att bli lämnad i fred eller en rätt till självbestämmande och valfrihet.

Grundläggande bestämmelser om personlig integritet finns bl.a. i regeringsformen. Av målsättningsstadgandet i 1 kap. 2 § RF framgår att den offentliga makten ska utövas med respekt för den enskilda människans frihet och värdighet samt att det allmänna ska värna den enskildes privat- och familjeliv. Vidare finns i 2 kap. 6 § RF en bestämmelse som slår fast ett skydd för förtroliga meddelanden och som även i övrigt ger ett skydd gentemot det allmänna mot betydande intrång i den personliga integriteten som sker utan samtycke och innebär kartläggning eller övervakning av den enskildes personliga förhållanden.

Enligt artikel 8 i den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna, som gäller som svensk lag, har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Av 2 kap. 19 § RF följer att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen. En bestämmelse om respekt för privat- och familjelivet finns även i artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna. Av artikel 8 i stadgan följer vidare att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

Rätten till skydd av privatlivet och den personliga integriteten är inte absolut. Rättigheterna kan under vissa förutsättningar således inskränkas.

Pågående utredningsarbete m.m.

Regeringen beslutade i maj 2014 att ge en parlamentariskt sammansatt kommitté – Integritetskommittén (Ju 2014:09) – i uppdrag att utifrån ett individperspektiv kartlägga och analysera sådana företeelser i samhället, inom både privat och offentlig sektor, som kan medföra faktiska eller potentiella risker för den

personliga integriteten och som hänger samman med användningen av modern informationsteknik. Kommittén ska också följa upp effekterna i lagstiftningsarbetet av förstärkningen av grundlagsskyddet för den personliga integriteten som genomfördes 2011. Vidare ska kommittén överväga behovet av att ge en befintlig myndighet eller ett särskilt inrättat integritetsskyddsråd ett brett och samlat uppdrag att följa utvecklingen på området för den personliga integriteten. Uppdraget ska redovisas senast den 1 december 2016.

Informationshanteringsutredningen (Ju 2011:11) har i uppdrag att bl.a. genomföra en översyn av den s.k. registerlagstiftningen, dvs. regleringen av myndigheternas personuppgiftsbehandling. Uppdraget ändrades i maj 2014 för att anpassas till det pågående arbetet inom EU med ett nytt dataskyddsregelverk. Uppdraget ska redovisas senast den 31 mars 2015.

Vidare har Utredningen om ett modernt och starkt straffrättsligt skydd för den personliga integriteten (Ju 2014:10) i uppdrag att göra en bred översyn av det straffrättsliga skyddet för enskildas personliga integritet, särskilt när det gäller hot och andra kränkningar. Utredningen ska redovisa sitt uppdrag senast den 31 januari 2016.

Tillsynen över polisens behandling av personuppgifter utreds av Polisorganisationskommittén (Ju 2010:09) som har i uppdrag att analysera hur tillsynen kan organiseras så att överlappning mellan olika tillsynsmyndigheter i så stor utsträckning som möjligt undviks. Uppdraget är en följd av kommitténs tidigare förslag om en tillsynsmyndighet för polisen. Uppdraget ska redovisas senast den 30 april 2015.

Inom EU pågår en omfattande översyn av regelverket för behandling av personuppgifter. Reformen tar sin utgångspunkt i förslag som Europeiska kommissionen presenterade i januari 2012 (KOM [2012] 10 och KOM [2012] 11). Förslagen innebär bl.a. att Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, som i Sverige har genomförts genom

bl.a. personuppgiftslagen, ska ersättas av en allmän uppgiftsskyddsförordning.

Uppdraget

Regeringen har i budgetpropositionen för 2015 aviserat åtgärder för att stärka skyddet för enskildas integritet, såväl i Sverige som i EU. En av dessa åtgärder är att utreda hur ett i högre grad samlat integritetsskydd kan fungera inom en och samma myndighetsstruktur (prop. 2014/15:1, utgiftsområde 4, s. 23).

Det finns för närvarande en rad myndigheter som har till uppgift att tillvarata enskildas intresse av skydd för den personliga integriteten. Datainspektionen har, enligt personuppgiftslagen, det övergripande ansvaret att värna skyddet för enskildas personliga integritet vid behandling av personuppgifter. Myndigheten har också tillsynsansvar enligt flera andra lagar på integritetsområdet, bl.a. kameraöver-vakningslagen (2013:460). Även länsstyrelserna har ansvar för tillsyn över kameraövervakning, men det ansvaret begränsar sig till övervakning på platser dit allmänheten har tillträde. Till detta kommer den tillsyn som bedrivs av Justitiekanslern och av sektorsspecifika myndigheter som t.ex. Inspektionen för vård och omsorg.

Tillsyn över behandlingen av personuppgifter utövas på vissa områden även av andra myndigheter än Datainspektionen.

Post- och telestyrelsen har i uppdrag att utöva tillsyn vid behandling av uppgifter vid elektronisk kommunikation. Ett annat exempel är Säkerhets- och integritetsskyddsnämnden som utövar tillsyn över polisens personuppgiftsbehandling enligt polisdatalagen (2010:361) och lagen (2010:362) om polisens allmänna spaningsregister.

Ansvaret för tillsynen på integritetsområdet ligger således på flera myndigheter. Det har i olika sammanhang diskuterats om en myndighet bör ges ett bredare uppdrag inom detta område. Exempelvis förordade Integritetsskyddskommittén en utveckling och breddning av Datainspektionens roll. Kommittén ansåg också att det fanns en brist på systemtänkande och helhetssyn i den integritetsskyddsrättsliga lagstiftningen och att

rätten till personlig integritet borde få en mer framskjuten ställning i samhället. Mot bl.a. den bakgrunden bedömde kommittén även att det kunde finnas skäl att i en framtid överväga inrättandet av ett särskilt integritetsskyddsråd med ett brett uppdrag att vaka över integritetsskyddet i dess helhet (SOU 2007:22, del 1, s. 489 f., SOU 2008:3 s. 331 f.). Den frågan tas, som nämnts, om hand av Integritetskommittén. Frågan om att ge en myndighet ett bredare uppdrag har även behandlats i en rad riksdagsmotioner (t.ex. 2011/12:Ju6, 2013/14:Ju32, 2013/14:K202). Vidare har Datainspektionen i en skrivelse till regeringen (Ju2011/8857/Å) bl.a. tagit upp frågan om gränssnitten mellan olika myndigheter.

Regeringen anser att det, mot den angivna bakgrunden, finns skäl att utreda hur skyddet för enskildas personliga integritet kan förstärkas genom att tillsynen över behandling av personuppgifter i högre grad samlas hos en myndighet. En sådan myndighet bör även ha i uppdrag att lämna förslag till regeringen om eventuella behov av åtgärder för att stärka skyddet för den personliga integriteten när det gäller behandling av personuppgifter.

Med anledning av Integritetskommitténs pågående uppdrag, att överväga inrättandet av ett särskilt integritetsskyddsråd, finns det anledning för utredaren att se över och lämna förslag som medför att myndigheten är förberedd för att kunna fullgöra de uppgifter som det kan komma att föreslås att ett integritetsskyddsråd ska ha. Utredaren måste också förhålla sig till den pågående översynen av EU:s dataskyddsreglering och – så långt som möjligt – lämna de förslag som behövs för att myndigheten ska kunna fullgöra de uppgifter som kan bli resultatet av den översynen.

Utredaren ska därför

  • kartlägga den tillsyn över behandling av personuppgifter som i dag bedrivs av flera myndigheter,
  • analysera fördelar och nackdelar med att i högre grad samla tillsynen över behandling av personuppgifter hos en myndighet,
  • lämna förslag på hur tillsynen – helt eller delvis – kan samlas hos en myndighet samt hur myndighetens uppdrag bör vara utformat och vilka befogenheter myndigheten bör ha för att kunna upprätthålla en effektiv tillsynsverksamhet,
  • analysera konsekvenserna för berörda myndigheter när det gäller verksamhet, organisation, resurser och personal,
  • lämna förslag som medför att myndigheten är förberedd för att kunna fullgöra de uppgifter som Integritetskommittén kan komma att föreslå att ett integritetsskyddsråd ska ha,
  • lämna de förslag som behövs för att myndigheten ska kunna fullgöra de uppgifter som kan bli resultatet av reformeringen av EU:s dataskyddsreglering, och
  • föreslå de författningsändringar och andra åtgärder som behövs. Den granskning av behandling av personuppgifter som bedrivs vid Statens inspektion för försvarsunderrättelseverksamheten omfattas inte av uppdraget.

Genomförande och redovisning av uppdraget

Utredaren ska samråda med Integritetskommittén (Ju 2014:09) och Polisorganisationskommittén (Ju 2010:09). Även i övrigt ska utredaren hålla sig informerad om arbete som bedrivs inom Regeringskansliet och utredningsväsendet på det område som uppdraget avser. Samråd ska även ske med Datainspektionen, Post- och telestyrelsen, Säkerhets- och integritetskyddsnämnden och andra berörda myndigheter och organisationer. Utredaren ska också följa den pågående översynen av EU:s dataskyddsreglering.

I uppdraget ingår att, utifrån de överväganden som görs, lämna fullständiga författningsförslag. Förslagen ska utformas på ett sådant sätt att de, så långt som möjligt, är förenliga med den kommande unionsrättsliga dataskyddsregleringen. Vidare ska förslagen vara så kostnadseffektiva som möjligt ur ett statsfinansiellt perspektiv.

Utredaren är oförhindrad att ta upp närliggande frågor som han eller hon anser behöver övervägas för att uppdraget ska kunna genomföras på ett fullgott sätt.

Utredaren ska i enlighet med kommittéförordningen (1998:1474) redovisa konsekvenserna av sina förslag och vid behov föreslå hur dessa ska finansieras.

Uppdraget ska redovisas senast den 31 januari 2016.

(Justitiedepartementet)