Ds 2017:33
Anpassningar till dataskyddsförordningen av registerförfattningar inom Arbetsmarknadsdepartementets ansvarsområde
1
Innehåll
1 Författningsförslag ..................................................... 11
1.1 Förslag till lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador ............................................................................ 11 1.2 Förslag till lag om ändring i lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten ................................. 15 1.3 Förslag till lag om ändring i lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen ....................................................... 23 1.4 Förslag till lag om ändring i lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering .......... 31
2 Bakgrund .................................................................. 37
3 Nuvarande regelverk om dataskydd.............................. 39
3.1 Inledning.................................................................................. 39 3.2 Nuvarande ordning ................................................................. 39 3.2.1 Personuppgiftslagen ................................................ 39 3.2.2 Registerförfattningar ............................................... 40 3.3 EU:s dataskyddsförordning ................................................... 41
Innehåll Ds 2017:33
2
3.3.1 Skillnader i förhållande till gällande ordning ......... 44
4 Utgångspunkter för det nya regelverket − allmänna överväganden och ställningstaganden .......................... 47
4.1 Inledning ................................................................................. 47 4.1.1 Allmänna överväganden .......................................... 49 4.1.2 Integritetsaspekter .................................................. 50 4.2 Grundläggande rättsliga förutsättningar m.m. ..................... 50 4.2.1 Rättslig grund .......................................................... 50 4.2.2 Möjligheter till begränsningar av de registrerades rättigheter .......................................... 54 4.2.3 Automatiserat individuellt beslutsfattande ........... 56
5 Personuppgiftsbehandling i verksamheter som inte omfattas av gällande registerförfattningar ..................... 59
5.1 Inledning ................................................................................. 59 5.2 Rättsligt stöd för behandling av personuppgifter − utgångspunkter ....................................................................... 60 5.3 Arbetsdomstolen .................................................................... 62 5.3.1 Uppdrag och personuppgiftsbehandling ............... 62 5.3.2 Rättsligt stöd för personuppgiftsbehandling vid Arbetsdomstolen............................................... 63 5.4 Medlingsinstitutet .................................................................. 65 5.4.1 Uppdrag och personuppgiftsbehandling ............... 65 5.4.2 Rättsligt stöd för personuppgiftsbehandling vid Medlingsinstitutet ............................................. 65 5.5 Svenska ILO-kommittéen...................................................... 67 5.5.1 Uppdrag och personuppgiftsbehandling ............... 67 5.5.2 Rättsligt stöd för personuppgiftsbehandling vid Svenska ILO-kommittén .................................. 67 5.6 Nämnden för styrelserepresentationsfrågor ......................... 68 5.6.1 Uppdrag och personuppgiftsbehandling ............... 68 5.6.2 Rättsligt stöd för personuppgiftbehandling vid Nämnden för styrelserepresentationsfrågor ......... 69
3
5.7 Rådet för Europeiska socialfonden i Sverige ......................... 70 5.7.1 Uppdrag och personuppgiftsbehandling................ 70 5.7.2 Rättsligt stöd för personuppgiftbehandling vid Svenska ESF-rådet ................................................... 71 5.8 Statens nämnd för arbetstagares uppfinningar ...................... 72 5.8.1 Uppdrag och personuppgiftsbehandling................ 72 5.8.2 Rättsligt stöd för personuppgiftbehandling vid Statens nämnd för arbetstagares uppfinningar ...... 73 5.9 Arbetslöshetskassorna ............................................................ 73 5.9.1 Uppdrag och personuppgiftsbehandling................ 73 5.9.2 Rättsligt stöd för personuppgiftsbehandling vid arbetslöshetskassorna ........................................ 75 5.10 Övriga enstaka bestämmelser i författningar som hör till Arbetsmarknadsdepartementets ansvarsområde ............. 77 5.10.1 Inledning .................................................................. 77 5.10.2 Övriga lagbestämmelser om behandling av
personuppgifter ....................................................... 78
6 Ny lag med kompletterande dataskyddsbestämmelser för Arbetsmiljöverkets informationssystem om arbetsskador ............................................................. 81
6.1 Inledning.................................................................................. 81 6.2 Uppdrag och rättslig grund för behandling av personuppgifter ....................................................................... 81 6.2.1 Personuppgiftsbehandling vid Arbetsmiljöverket .................................................... 83 6.2.2 Informationssystem om arbetsskador .................... 84 6.2.3 Nuvarande registerförfattning ................................ 85 6.3 En ny lag .................................................................................. 86 6.3.1 Inledning .................................................................. 86 6.3.2 En ny lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador ............................................................. 86 6.3.3 Tillämpningsområde – automatiserad och icke automatiserad behandling ....................................... 89
Innehåll Ds 2017:33
4
6.4 Rätten att göra invändningar ................................................. 90 6.5 Förhållandet till annan författning ........................................ 92 6.5.1 Förhållandet till EU:s dataskyddsförordning ....... 92 6.5.2 Förhållandet till dataskyddslagen ........................... 92 6.5.3 Förhållandet till lagen om officiell statistik ........... 93 6.6 Personuppgiftsansvar ............................................................. 94 6.7 Ändamål .................................................................................. 95 6.7.1 Primära ändamål ...................................................... 95 6.7.2 Utlämnande av uppgifter ........................................ 97 6.7.3 Finalitetsprincipen .................................................. 97 6.8 Känsliga personuppgifter m.m. .............................................. 99 6.9 Tillgång till personuppgifter inom Arbetsmiljöverket ....... 101 6.10 Sökbegrepp............................................................................ 102 6.11 Överklagande ........................................................................ 105
7 Behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten ...................... 107
7.1 Inledning ............................................................................... 107 7.2 Arbetsförmedlingens uppdrag och verksamhet .................. 107 7.2.1 Personuppgiftsbehandling vid Arbetsförmedlingen .............................................. 108 7.3 Lagens tillämpningsområde ................................................. 109 7.4 Rätten att göra invändningar ............................................... 111 7.5 Förhållandet till annan författning ...................................... 113 7.5.1 Hänvisningar till personuppgiftslagen ................. 113 7.5.2 Förhållandet till dataskyddsförordningen ........... 113 7.5.3 Förhållandet till dataskyddslagen m.m. ............... 114 7.6 Personuppgiftsansvar ........................................................... 115 7.7 Ändamål ................................................................................ 116 7.7.1 Primära ändamål .................................................... 116 7.7.2 Sekundära ändamål ................................................ 117 7.7.3 Finalitetsprincipen och ändamålsbegränsning .... 118
5
7.8 Databaser ............................................................................... 120 7.9 Känsliga personuppgifter ...................................................... 121 7.10 Personuppgifter om lagöverträdelser m.m. ......................... 124 7.11 Personuppgifter om sociala förhållanden m.m. .................. 125 7.12 Åtkomst till personuppgifter ............................................... 127 7.13 Direktåtkomst ....................................................................... 128 7.14 Utlämnande på medium för automatiserad behandling ..... 129 7.15 Rättelse och skadestånd ........................................................ 130 7.16 Gallring .................................................................................. 131 7.16.1 Gallring av uppgifter som avskilts för
statistiska ändamål ................................................. 133
7.17 Bemyndiganden och upplysningsbestämmelser .................. 135 7.18 Överklagande ........................................................................ 135
8 Behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen ......................................... 137
8.1 Inledning................................................................................ 137 8.2 Inspektionen för arbetslöshetsförsäkringens uppdrag och verksamhet ..................................................................... 137 8.3 Lagens tillämpningsområde .................................................. 139 8.4 Rätten att göra invändningar ................................................ 140 8.5 Förhållandet till annan författning ...................................... 142 8.5.1 Hänvisningar till personuppgiftslagen ................. 142 8.5.2 Förhållandet till dataskyddsförordningen ........... 142 8.5.3 Förhållandet till dataskyddslagen ......................... 143 8.6 Personuppgiftsansvar ............................................................ 144 8.7 Ändamål ................................................................................. 145 8.7.1 Primära ändamål .................................................... 145 8.7.2 Sekundära ändamål ................................................ 146
Innehåll Ds 2017:33
6
8.7.3 En ny bestämmelse om finalitetsprincipen och ändamålsbegränsning ............................................ 147 8.8 Statistik- och tillsynsdatabas ................................................ 148 8.9 Känsliga personuppgifter ..................................................... 150 8.10 Personuppgifter om lagöverträdelser m.m. ......................... 152 8.11 Personuppgifter om sociala förhållanden m.m. .................. 154 8.12 Tillgång till personuppgifter inom IAF .............................. 155 8.13 Direktåtkomst ...................................................................... 156 8.14 Utlämnande till enskilda på medium för automatiserad behandling ............................................................................. 157 8.15 Rättelse och skadestånd ....................................................... 158 8.16 Gallring .................................................................................. 159 8.16.1 Statistiska och vetenskapliga ändamål.................. 160 8.17 Bemyndiganden .................................................................... 161 8.18 Överklagande ........................................................................ 162
9 Behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ... 163
9.1 Inledning ............................................................................... 163 9.2 IFAU ..................................................................................... 164 9.2.1 Uppdrag och verksamhet...................................... 164 9.2.2 Personuppgiftsbehandling vid IFAU .................. 166 9.3 Lagens tillämpningsområde ................................................. 167 9.4 Förhållandet till annan författning ...................................... 168 9.4.1 Hänvisningar till personuppgiftslagen ................. 168 9.4.2 Förhållandet till dataskyddsförordningen ........... 169 9.4.3 Förhållandet till dataskyddslagen och annan författning ............................................................. 169 9.5 Rätten att göra invändningar ............................................... 171 9.5.1 Behandling som den registrerade motsätter sig .. 171 9.5.2 Samtycke i vissa fall ............................................... 173
7
9.6 Personuppgiftsansvar ............................................................ 174 9.7 Ändamål m.m. ....................................................................... 176 9.7.1 Primära ändamål .................................................... 176 9.7.2 Sekundära ändamål och finalitetsprincipen .......... 178 9.8 Känsliga personuppgifter ...................................................... 180 9.8.1 Uppgifter som ska etikprövas ............................... 184 9.9 Samlingar av personuppgifter ............................................... 185 9.9.1 Samlingar av personuppgifter som inte direkt kan hänföras till en person .................................... 185 9.9.2 Samlingar av personuppgifter i övrigt .................. 188 9.10 Begränsningar i behandlingen av personuppgifter .............. 189 9.11 Information ........................................................................... 190 9.12 Tillgång till personuppgifter ................................................. 192 9.13 Rättelse och skadestånd ........................................................ 193 9.14 Gallring .................................................................................. 193 9.15 Överklagande ........................................................................ 195
11.1 Inledning................................................................................ 199 11.2 Konsekvenser av att genomföra förslagen ........................... 199 11.3 Alternativa lösningar eller inte reglera alls .......................... 200 11.4 Ekonomiska konsekvenser ................................................... 200 11.5 Konsekvenser för jämställdhet, miljö och små företag ...... 201 11.6 Övriga konsekvenser ............................................................ 201
12.1 Förslag till lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador .......................................................................... 203
Innehåll Ds 2017:33
8
12.2 Förslag till lag om ändring i lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten .............................. 209 12.3 Förslag till lag om ändring i lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen .................................................... 215 12.4 Förslag till lag om ändring i lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ....... 223
9
Sammanfattning
I april 2016 antogs EU:s allmänna dataskyddsförordning. Genom förordningen införs enhetliga, generella krav på behandling av personuppgifter avseende fysiska personer. Förordningen ersätter dataskyddsdirektivet som i Sverige har genomförts huvudsakligen genom personuppgiftslagen (1998:204).
I denna promemoria övervägs och föreslås författningsändringar inom Arbetsmarknadsdepartementets ansvarsområde med anledning av dataskyddsförordningen.
De tre registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering som finns i dag bedöms, efter vissa justeringar, kunna behållas. Det föreslås dock att Arbetsmiljöverkets registerförordning ska ersättas av en lag, med samma tillämpningsområde som den nu gällande registerförordningen.
De myndigheter inom Arbetsmarknadsdepartementets ansvarsområde som i dag saknar egna registerförfattningar bedöms kunna fortsätta sin behandling av personuppgifter när dataskyddsförordningen börjar tillämpas, men då med stöd av dataskyddsförordningen och den generella, nationellt tillämpliga kompletteringslag som föreslås i Dataskyddsutredningens betänkande (SOU 2017:39).
Vidare finns det vissa enskilda dataskyddsbestämmelser i författningar inom departementets ansvarsområde. Även dessa bedöms kunna kvarstå.
Författningsändringarna föreslås träda i kraft den 25 maj 2018, vilket är samma dag som dataskyddsförordningen ska börja tillämpas.
11
1 Författningsförslag
1.1 Förslag till lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador
Härigenom föreskrivs följande.
Lagens tillämpningsområde
1 § Denna lag tillämpas vid behandling av personuppgifter i
Arbetsmiljöverkets informationssystem om arbetsskador.
Lagen tillämpas endast på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
2 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade invänder mot behandlingen.
Förhållandet till annan författning
3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
4 § Lagen (2018:000) med kompletterande bestämmelser till
EU:s dataskyddsförordning gäller vid behandling av personuppgifter inom Arbetsmiljöverkets informationssystem om
Författningsförslag Ds 2017:33
12
arbetsskador, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till denna lag.
5 § I lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken finns bestämmelser om behandling av personuppgifter.
Personuppgiftsansvar
6 § Arbetsmiljöverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför enligt denna lag.
Ändamål
7 § Arbetsmiljöverket får behandla personuppgifter i informationssystemet om arbetsskador om det är nödvändigt för att ge underlag för arbetet med att förebygga arbetsskador. Detta innefattar registrering av arbetsskador och bearbetning av sådana uppgifter, tillsynsverksamhet, skadeutredningar, forskning och undervisning, framställning av statistik samt planering, uppföljning och utvärdering av förebyggande arbete mot arbetsskador.
Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.
8 § Personuppgifter som behandlas för de ändamål som anges i 7 § får också behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning.
9 § Personuppgifter som behandlas i informationssystemet om arbetsskador för ändamål som anges i 7 och 8 §§ får behandlas även för andra ändamål, under förutsättning att dessa inte är oförenliga med de ändamål för vilka uppgifterna samlades in.
Ds 2017:33 Författningsförslag
13
Behandling av känsliga personuppgifter
10 § Inga andra särskilda kategorier av personuppgifter som anges i artikel 9.1 Europaparlamentets och rådets förordning (EU) 2016/679 (känsliga personuppgifter) än sådana som rör hälsa får behandlas för de ändamål som anges i 7−9 §§.
Tillgång till personuppgifter
11 § Tillgång till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Överklagande
12 § Bestämmelser om överklagande finns i 8 kap. lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Denna lag träder i kraft den 25 maj 2018.
15
1.2 Förslag till lag om ändring i lagen ( 2002:546 ) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten
Härigenom föreskrivs i fråga om lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten
dels att 15 § ska upphävas,
dels att rubriken närmast före 15 § ska utgå,
dels att 1, 1 a, 2, 4, 5, 8, 9, 14, 16 och 18 §§ ska ha följande
lydelse,
dels att rubriken närmast före 2 § ska ha följande lydelse
”Förhållandet till annan författning”,
dels att en ny paragraf 5 a § ska införas med följande lydelse,
dels att det närmast före 1 § ska införas en ny rubrik som ska
lyda ”Lagens tillämpningsområde”.
Lydelse enligt bet. 2016/17:AU15 Föreslagen lydelse
1 §
1
Denna lag tillämpas vid behandling av personuppgifter i Arbetsförmedlingens arbetsmarknadspolitiska verksamhet.
Lagen ska inte tillämpas i den del av den arbetsmarknadspolitiska verksamheten som även utgör hälso- och sjukvård enligt hälso- och sjukvårdslagen (2017:30). I den delen av verksamheten tillämpas i stället patientdatalagen (2008:355).
Lagen gäller endast om
behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Lagen tillämpas endast på
sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
1 Senaste lydelse 2017:51.
Författningsförslag Ds 2017:33
16
Nuvarande lydelse Föreslagen lydelse
1 a §
2
Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen.
Regeringen, eller den myndighet som regeringen bestämmer,
meddelar
föreskrifter om undantag från första stycket.
Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade invänder
mot behandlingen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8
kap. 7 § regeringsformen meddela
föreskrifter om undantag från första stycket.
2 §
Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom den arbetsmarknadspolitiska verksamheten, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller annars av 2 § personuppgiftslagen .
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter inom den arbetsmarknadspolitiska verksamheten, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till denna lag.
2 Senaste lydelse 2010:2029.
Ds 2017:33 Författningsförslag
17
4 §
3
Arbetsförmedlingen får behandla personuppgifter inom den arbetsmarknadspolitiska verksamheten bara om det
behövs för
Arbetsförmedlingen får behandla personuppgifter inom den arbetsmarknadspolitiska verksamheten bara om det är
nödvändigt för
1. handläggning av ärenden,
2. publicering av platsinformation, information om kompletterande aktörer och ansökningar om anställning,
3. planering, metodutveckling, tillsyn, uppföljning, resultatredovisning och utvärdering av verksamheten,
4. framställning av avidentifierad statistik, och
5. samarbete på det arbetsmarknadspolitiska området inom Europeiska unionen och Europeiska ekonomiska samarbetsområdet samt enligt överenskommelsen den 6 mars 1982 om en gemensam nordisk arbetsmarknad
Lydelse enligt bet. 2016/17:AU15 Föreslagen lydelse
5 §
4
Arbetsförmedlingen får behandla personuppgifter för tillhandahållande av information som behövs inom
1. Försäkringskassans, Centrala studiestödsnämndens eller arbetslöshetskassornas verksamhet som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd,
2. Skatteverkets verksamhet som underlag för beslut om och kontroll av skatt,
3. Inspektionen för arbetslöshetsförsäkringens verksamhet som avser tillsyn och uppföljning samt utfärdande av intyg enligt 48 § lagen (1997:238) om arbetslöshetsförsäkring,
4. Kronofogdemyndighetens verksamhet som underlag för bedömning enligt 4 kap. utsökningsbalken av i vilken utsträckning en gäldenär har utmätningsbar egendom,
5. socialnämndernas verksamhet som underlag för beslut om och kontroll av ekonomiskt bistånd enligt 4 kap. socialtjänstlagen (2001:453),
3 Senaste lydelse 2010:2029. 4 Senaste lydelse 2010:2029.
Författningsförslag Ds 2017:33
18
6. Migrationsverkets verksamhet som underlag för beslut om bistånd enligt lagen (1994:137) om mottagande av asylsökande m.fl., samt
7. kompletterande aktörers verksamhet enligt uppdrag från Arbetsförmedlingen.
Arbetsförmedlingen får även behandla personuppgifter för att tillhandahålla information till riksdagen eller regeringen eller till annan för att fullgöra uppgiftslämnande i enlighet med lag eller förordning. I
övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204) .
Arbetsförmedlingen får även behandla personuppgifter för att tillhandahålla information till riksdagen eller regeringen eller till någon annan för att fullgöra uppgiftslämnande i enlighet med lag eller förordning.
Nuvarande lydelse Föreslagen lydelse
5 a §
Personuppgifter som behandlas för de ändamål som anges i 4 och 5 §§ får även behandlas för andra ändamål, under förutsättning att dessa inte är oförenliga med de ändamål för vilka uppgifterna samlades in.
8 §
5
Arbetsförmedlingen får behandla känsliga personuppgifter
som avses i 13 § personuppgiftslagen (1998:204) och personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag
om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Arbetsförmedlingen får behandla sådana särskilda kate-
gorier av personuppgifter som anges i artikel 9.1 Europaparlamentets och rådets förordning (EU) 2016/679 (känsliga personuppgifter) endast
om
uppgifterna har lämnats i ett ärende eller är nödvändiga för
5 Senaste lydelse 2007:410.
Ds 2017:33 Författningsförslag
19
handläggningen av det.
Myndigheten får behandla personuppgifter som rör uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
9 §
6
Känsliga personuppgifter
som avses i 13 §
får behandlas i en databas endast om de har lämnats i ett ärende. Känsliga personuppgifter som avslöjar etniskt ursprung eller rör hälsa får dessutom behandlas i en databas om de är nödvändiga för handläggningen av ett ärende.
Känsliga personuppgifter får behandlas i en databas endast om de har lämnats i ett ärende. Känsliga personuppgifter som avslöjar etniskt ursprung eller rör hälsa får dessutom behandlas i en databas om de är nödvändiga för handläggningen av ett ärende.
Personuppgifter om sociala förhållanden och omdömen, slutsatser eller andra värderande upplysningar om en enskild får behandlas i en databas endast om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Detsamma gäller sådana personuppgifter som avses i 21 §
Personuppgifter om sociala förhållanden och omdömen, slutsatser eller andra värderande upplysningar om en enskild får behandlas i en databas endast om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Detsamma gäller sådana personuppgifter som rör uppgifter om
lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller
6 Senaste lydelse 2013:154.
Författningsförslag Ds 2017:33
20
administrativa frihetsberövanden.
14 §
7
Sådana känsliga person-
uppgifter som avses i 13 §
personuppgiftslagen (1998:204) samt sådana ömtåliga person-
uppgifter som avses i 9 § andra stycket eller 10 § får inte användas som sökbegrepp.
Känsliga personuppgifter och sådana ömtåliga personuppgifter som avses i 9 § andra stycket eller 10 § får inte användas som sökbegrepp.
Med undantag från förbudet i första stycket får dock kod för hälsotillstånd eller för sådan funktionsnedsättning som medför nedsatt arbetsförmåga användas som sökbegrepp för planering av insatser och förmedling av arbete.
Kod för hälsotillstånd eller för sådan funktionsnedsättning som medför nedsatt arbetsförmåga, kod för arbetsmarknadspolitiskt program eller insats samt kod för sökandekategori eller anvisningsgrund får även användas som sökbegrepp för tillsyn, uppföljning, utvärdering och framställning av avidentifierad statistik.
Regeringen eller den myndighet som regeringen bestämmer
meddelar
föreskrifter om begränsningar i övrigt av de sökbegrepp som får användas.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8
kap. 7 § regeringsformen meddela
föreskrifter om begränsningar i övrigt av de sökbegrepp som får användas.
16 §
Uppgifter om arbetssökande i en arbetsmarknadspolitisk databas skall gallras två år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos den
handläggande myndigheten.
Uppgifter om arbetssökande i en arbetsmarknadspolitisk databas ska gallras tre år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos
Arbetsförmedlingen.
Uppgifter som har avskiljts Uppgifter som har avskilts
7 Senaste lydelse 2011:545.
Ds 2017:33 Författningsförslag
21
för statistikändamål skall gallras tio år efter avskiljandet.
för statistikändamål ska gallras tio år efter avskiljandet.
Regeringen, eller den myndighet som regeringen bestämmer, får meddela föreskrifter om undantag från dessa gallringstider när det gäller bevarande av material för
forskningens behov.
Sådant
material skall lämnas över till en arkivmyndighet.
Regeringen, eller den myndighet som regeringen bestämmer, får meddela föreskrifter om undantag från dessa gallringstider när det gäller bevarande av material för
vetenskapliga eller historiska forskningsändamål.
Sådant
material ska lämnas över till en arkivmyndighet.
18 §
En myndighets beslut om rättelse eller om avslag på ansökan om information enligt
26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Bestämmelser om överklagande finns i 8 kap. lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Denna lag träder i kraft den 25 maj 2018.
23
1.3 Förslag till lag om ändring i lagen ( 2006:469 ) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen
Härigenom föreskrivs i fråga om lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen
dels att 1, 2, 4, 5, 8−10 och 13−16 §§ ska ha följande lydelse,
dels att rubriken närmast före 2 § ska lyda ”Förhållandet till
annan författning”, och att rubriken närmast före 14 § ska lyda ”Tillgång till personuppgifter”,
dels att det ska införas en ny paragraf, 5 a §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 §
1
Denna lag tillämpas vid behandling av personuppgifter i sådan verksamhet vid Inspektionen för arbetslöshetsförsäkringen som gäller tillsyn, uppföljning, registrering av uppgifter om arbetslöshetskassor, utfärdande av intyg, framtagande av statistik samt rapportering av vissa uppgifter till Arbetsförmedlingen.
Lagen gäller endast för sådan
behandling av personuppgifter som helt eller delvis är automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Behandling av personuppgifter som är tillåten enligt denna lag får utföras även
Lagen tillämpas endast på
sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
Behandling av personuppgifter som är tillåten enligt denna lag får utföras även
1 Senaste lydelse 2007:412.
Författningsförslag Ds 2017:33
24
om den registrerade motsätter sig behandlingen.
om den registrerade invänder
mot behandlingen.
2 §
Bestämmelserna i personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom verksamhet vid Inspektionen för arbetslöshetsförsäkringen, i den utsträckning som denna lag eller föreskrifter som har meddelats med stöd av denna lag inte innehåller föreskrifter som avviker från personuppgiftslagens motsvarande bestämmelser.
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter inom verksamhet vid Inspektionen för arbetslöshetsförsäkringen, om inget annat följer av denna lag eller föreskrifter som har meddelats i anslutning till denna lag.
Lydelse enligt bet. 2016/17:AU15 Föreslagen lydelse
4 §
2
Inspektionen för arbetslöshetsförsäkringen får behandla personuppgifter, om det behövs
Inspektionen för arbetslöshetsförsäkringen får behandla personuppgifter, om det är
nödvändigt
1. för tillsyn över arbetslöshetskassorna och uppföljning av arbetslöshetsförsäkringen enligt 89 § första stycket lagen
2 Senaste lydelse 2014:1589.
Ds 2017:33 Författningsförslag
25
(1997:239) om arbetslöshetskassor,
2. för tillsyn över handläggning av och rutiner för handläggning av sådana ärenden hos Arbetsförmedlingen som har samband med arbetslöshetsförsäkringen eller som rör återkallande av anvisningar till arbetsmarknadspolitiska program,
3. för tillsyn över handläggning av och rutiner för handläggning av sådana ärenden hos Arbetsförmedlingen och Försäkringskassan som rör åtgärder inom aktivitetsstöd, utvecklingsersättning och etableringsersättning eller för uppföljning av sådana åtgärder,
4. för registrering av uppgifter enligt lagen om arbetslöshetskassor, eller
5. som underlag och för kontroll vid utfärdande av intyg enligt 48 § lagen (1997:238) om arbetslöshetsförsäkring.
Personuppgifter som behandlas enligt första stycket får också behandlas, om det behövs för statistiska och vetenskapliga ändamål.
Nuvarande lydelse Föreslagen lydelse
5 §
3
Inspektionen för arbetslöshetsförsäkringen får behandla personuppgifter för att tillhandahålla information som behövs inom Arbetsförmedlingens verksamhet som underlag i uppföljnings-, analys- och utvärderingsarbete.
Inspektionen för arbetslöshetsförsäkringen får vidare behandla personuppgifter för att tillhandahålla information till riksdagen eller regeringen eller till annan för att fullgöra uppgiftslämnande i enlighet med lag eller förordning. I
övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204) .
Inspektionen för arbetslöshetsförsäkringen får vidare behandla personuppgifter för att tillhandahålla information till riksdagen eller regeringen eller till någon annan för att fullgöra uppgiftslämnande i enlighet med lag eller förordning.
3 Senaste lydelse 2011:546.
Författningsförslag Ds 2017:33
26
5 a §
Personuppgifter som behandlas för de ändamål som anges i 4 och 5 §§ får även behandlas för andra ändamål, under förutsättning att dessa inte är oförenliga med de ändamål för vilka uppgifterna samlades in.
8 §
Inspektionen för arbetslöshetsförsäkringen får behandla sådana
känsliga
personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och sådana personuppgifter som avses i 21 § samma lag, om
uppgifterna har lämnats i ett ärende eller annars är nödvändiga för handläggningen av ett ärende.
Inspektionen för arbetslöshetsförsäkringen får behandla sådana
särskilda
kategorier av personuppgifter som anges i artikel 9.1 Europaparlamentets och rådets förordning (EU) 2016/679 (känsliga personuppgifter) endast
om
uppgifterna har lämnats i ett ärende eller annars är nödvändiga för handläggningen av ett ärende.
Myndigheten får behandla personuppgifter som rör uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
9 §
I statistik- och tillsynsdatabasen får inga andra känsliga personuppgifter som avses i 13 §
I statistik- och tillsynsdatabasen får inga andra känsliga personuppgifter behandlas än sådana som avslöjar etniskt
Ds 2017:33 Författningsförslag
27
behandlas än sådana som avslöjar etniskt ursprung eller rör hälsa.
ursprung eller rör hälsa.
Känsliga personuppgifter som avslöjar etniskt ursprung eller rör hälsa, personuppgifter om sociala förhållanden samt omdömen, slutsatser eller andra värderande upplysningar om en enskild, får behandlas i statistik- och tillsynsdatabasen endast om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
10 §
Sådana personuppgifter som
avses i 21 § personuppgiftslagen (1998:204) samt uppgifter om att den enskilde har vårdats med stöd av socialtjänstlagen (2001:453) eller varit föremål för åtgärd enligt utlänningslagen (2005:716)får inte behandlas i
statistik- och tillsynsdatabasen.
Sådana personuppgifter som
rör uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får inte be-
handlas i statistik- och tillsynsdatabasen.
Detsamma gäller uppgifter om att den enskilde har vårdats med stöd av socialtjänstlagen (2001:453) eller varit föremål för åtgärd enligt utlänningslagen (2005:716) .
13 §
4
Sådana känsliga person-
uppgifter som avses i 13 §
personuppgiftslagen (1998:204) samt sådana personuppgifter
som avses i 9 § andra stycket och 10 § denna lag får inte användas som sökbegrepp.
Känsliga personuppgifter och sådana personuppgifter som avses i 9 § andra stycket och 10 § denna lag får inte användas som sökbegrepp.
Med undantag från förbudet i första stycket får dock kod för hälsotillstånd eller för sådan funktionsnedsättning som medför nedsatt arbetsförmåga, kod för arbetsmarknadspolitiskt program
4 Senaste lydelse 2011:546.
Författningsförslag Ds 2017:33
28
eller insats samt kod för sökandekategori eller anvisningsgrund användas som sökbegrepp för tillsyn, uppföljning, utvärdering och framställning av avidentifierad statistik.
Regeringen får meddela föreskrifter om begränsningar i övrigt av de sökbegrepp som får användas.
14 §
Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till denna lag.
Tillgång till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Lydelse enligt bet. 2016/17:AU15 Föreslagen lydelse
15 §
Personuppgifter som behandlas för ändamål som anges i 4 § första stycket 1, 2, 3 och 5 ska gallras två år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos den handläggande myndigheten.
Om personuppgifter enligt första stycket behövs för
statistiska eller vetenskapliga ändamål skall de gallras tio år
efter det att uppgifterna avskildes för dessa ändamål.
Om personuppgifter enligt första stycket är nödvändiga för
vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i Europaparlamentets och rådets förordning (EU) 2016/679 ska de gallras tio år
efter det att uppgifterna avskildes för dessa ändamål.
Regeringen, eller den myndighet som regeringen bestämmer, får meddela föreskrifter om undantag från föreskrifterna i första och andra styckena, om detta behövs för
forskningens behov. Material
Regeringen, eller den myndighet som regeringen bestämmer, får meddela föreskrifter om undantag från föreskrifterna i första och andra styckena, om detta
är
nödvändigt för historiska eller
Ds 2017:33 Författningsförslag
29
med personuppgifter, som omfattas av en sådan föreskrift,
skall lämnas över till en
arkivmyndighet.
vetenskapliga forskningsändamål.
Material med personuppgifter, som omfattas av en sådan föreskrift, ska lämnas över till en arkivmyndighet.
Nuvarande lydelse Föreslagen lydelse
16 §
Beslut av Inspektionen för arbetslöshetsförsäkringen om rättelse eller om avslag på ansökan om information enligt
26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.
Bestämmelser om överklagande finns i 8 kap. lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Denna lag träder i kraft den 25 maj 2018.
31
1.4 Förslag till lag om ändring i lagen ( 2012:741 ) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering
Härigenom föreskrivs i fråga om lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering
dels att 1−3, 5−9, och 13−15 §§ ska ha följande lydelse,
dels att rubriken närmast före 3 § ska lyda ”Förhållandet till
annan författning” och att rubriken närmast före 15 § ska lyda ”Överklagande”,
dels att det ska införas en ny paragraf, 6 a §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 §
Denna lag gäller vid behandling av personuppgifter i sådan verksamhet hos Institutet för arbetsmarknads- och utbildningspolitisk utvärdering som avser att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar.
Lagen gäller inte behandling av personuppgifter vid tilldelning av forskningsbidrag.
Lagen gäller endast om
behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Lagen tillämpas endast på
sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
2 §
Behandling av personuppgifter som är tillåten enligt denna lag får utföras även
Behandling av personuppgifter som är tillåten enligt denna lag får utföras även
Författningsförslag
2017:33
32
om den registrerade motsätter sig behandlingen.
Första stycket gäller dock inte när personuppgifterna samlas in direkt från den enskilde. I sådant fall får personuppgifter behandlas endast om han eller hon har lämnat sitt uttryckliga samtycke till behandlingen. För återkallelse av
ett lämnat samtycke tillämpas
om den registrerade invänder
mot behandlingen.
Första stycket gäller dock inte när personuppgifterna samlas in direkt från den enskilde. I sådant fall får personuppgifter behandlas endast om han eller hon har lämnat sitt uttryckliga samtycke till behandlingen.
3 §
Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter, om inte annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till denna lag.
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter inom Institutet för arbetsmarknads- och utbildningspolitisk verksamhet, om inget annat följer av denna lag eller föreskrifter som har meddelats i anslutning till denna lag.
5 §
Personuppgifter får endast behandlas om det behövs för att
Personuppgifter får endast behandlas om det är nödvändigt
2017:33 Författningsförslag
33
fullgöra institutets uppdrag att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar.
för att fullgöra institutets uppdrag att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar.
6 §
Personuppgifter som behandlas för de ändamål som anges i 5 § får också behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första
stycket d och andra stycket personuppgiftslagen (1998:204) .
Personuppgifter som behandlas för de ändamål som anges i 5 § får också behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning.
6 a §
Personuppgifter som behandlas för de ändamål som anges i 5 och 6 §§ får även behandlas för andra ändamål, under förutsättning att dessa inte är oförenliga med de ändamål för vilka uppgifterna samlades in.
7 §
Andra
känsliga
personuppgifter enligt 13 §
än sådana som avslöjar etniskt ursprung eller medlemskap i fackförening eller som rör hälsa får inte behandlas för de ändamål som anges i 5 §.
Inga
andra
särskilda
kategorier av personuppgifter som anges i artikel 9.1 Europaparlamentets och rådets förordning (EU) 2016/679 (känsliga personuppgifter) än
sådana som avslöjar etniskt ursprung, medlemskap i fackförening eller som rör hälsa
eller en persons sexuella läggning
får behandlas för de ändamål som anges i 5 §.
Författningsförslag
2017:33
34
Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av
känsliga
personuppgifter
enligt 13 §
personuppgiftslagen eller sådana uppgifter som avses i 21 § samma lag måste etikprövas.
Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter måste etikprövas.
8 §
Om det behövs för de ändamål som anges i 5 §, får det hos institutet finnas samlingar av personuppgifter som behandlas automatiserat, under förutsättning att uppgifterna inte direkt kan hänföras till en person. Uppgifterna får dock vara försedda med en beteckning som den myndighet uppgifterna kommer från kan hänföra till ett personnummer eller motsvarande identitetsbeteckning.
Om det är nödvändigt för de ändamål som anges i 5 §, får det hos institutet finnas samlingar av personuppgifter som behandlas automatiserat, under förutsättning att uppgifterna inte direkt kan hänföras till en person. Uppgifterna får dock vara försedda med en beteckning som den myndighet uppgifterna kommer från kan hänföra till ett personnummer eller motsvarande identitetsbeteckning.
9 §
Om det behövs för de ändamål som anges i 5 §, får det hos institutet även finnas samlingar av personuppgifter som behandlas automatiserat som inte är sådana personuppgifter som avses i 8 §, om uppgifterna är nödvändiga för en viss avgränsad studie, uppföljning eller utvärdering.
Om det är nödvändigt för de ändamål som anges i 5 §, får det hos institutet även finnas samlingar av personuppgifter som behandlas automatiserat som inte är sådana personuppgifter som avses i 8 §, om uppgifterna är nödvändiga för en viss avgränsad studie, uppföljning eller utvärdering.
13 §
2017:33 Författningsförslag
35
Bestämmelserna i 26 § personuppgiftslagen (1998:204) om information efter ansökan gäller
inte i fråga om personuppgifter som inte direkt kan hänföras till en person.
Rätten till information enligt artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 gäller inte i fråga om
personuppgifter som inte direkt kan hänföras till en person.
14 §
Personuppgifter ska gallras så snart uppgifterna inte längre behövs för det ändamål som de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska
eller vetenskapliga ändamål.
Personuppgifter ska gallras så snart uppgifterna inte längre behövs för det ändamål som de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för arkivändamål av
allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
15 §
Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller för behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till denna lag.
Bestämmelser om överklagande finns i 8 kap. lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Denna lag träder i kraft den 25 maj 2018.
37
2 Bakgrund
Europaparlamentet och rådet antog den 27 april 2016 förordningen (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i fortsättningen kallad dataskyddsförordningen. Dataskyddsförordningen utgör en ny generell reglering av personuppgiftsbehandling avseende fysiska personer inom EU och innehåller detaljerade regler om bland annat de registrerades rättigheter och personuppgiftsansvarigas skyldigheter. Förordningens syfte är dels att säkerställa en enhetlig och hög skyddsnivå för fysiska personer över hela unionen avseende behandling av personuppgifter, dels att underlätta rörligheten av personuppgifter inom EU:s inre marknad (se artikel 1, samt skäl 10 och 13). Med dataskyddsförordningen upphävs och ersätts dataskyddsdirektivet.
1
Dataskyddsförordningen, som börjar tillämpas den 25 maj 2018, är till alla delar bindande och direkt tillämplig i alla medlemsstater.
2
Den har företräde framför nationell lagstiftning inom sitt tillämpningsområde.
Dataskyddsutredningen (JU 2016:04) har haft i uppdrag att lämna förslag om upphävande av personuppgiftslagen (1998:204) och personuppgiftsförordningen (1998:1191), samt lämna förslag till författningsbestämmelser som på ett generellt plan kompletterar dataskyddsförordningen. I betänkandet Ny dataskyddslag (SOU 2017:39) lämnade Dataskyddsutredningen den 12 maj 2017 ett förslag till en svensk generell lag med
1 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23/11/1995). 2 Se artikel 99 i dataskyddsförordningen.
Bakgrund
2017:33
38
kompletterande bestämmelser till EU:s dataskyddsförordning (2018:000), i fortsättningen kallad dataskyddslagen.
Därutöver har Forskningsdatautredningen (U 2016:04) fått i uppdrag att undersöka vilken nationell reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den generella reglering som Dataskyddsutredningen föreslår.
Vid sidan om ovan nämnda utredningar har en rad andra utredningar tillsatts för att se över och föreslå nödvändiga och lämpliga ändringar i berörda författningar.
3
Med anledning av att dataskyddsförordningen börjar tillämpas den 25 maj 2018 behöver registerförfattningar och dataskyddsbestämmelser som hör till Arbetsmarknadsdepartementets ansvarsområde ses över. I denna promemoria presenteras bedömningar och förslag till sådana ändringar.
3 Exempel på sådana utredningar är bland annat Socialdataskyddsutredningen (S 2016:05), Utredningen om personuppgiftsbehandling inom utbildningsområdet (U 2016:03) och Utredningen om kameraövervakningslagen – brottsbekämpning och integritetsskydd (Ju 2016:18).
39
3 Nuvarande regelverk om dataskydd
3.1 Inledning
Dataskyddsförordningen har trätt i kraft och ska börja tillämpas den 25 maj 2018. På grund av detta måste regelverket rörande behandling av personuppgifter − dataskydd − förändras.
I detta kapitel finns inledningsvis en kortfattad beskrivning av den nuvarande ordningen för dataskydd med personuppgiftslagen (1998:204) och de sektorsspecifika registerförfattningar som Arbetsmarknadsdepartementet ansvarar för. Därefter följer en översiktlig redogörelse för dataskyddsförordningens disposition och bestämmelser. Slutligen redogörs för vissa skillnader som dataskyddsförordningen kommer att medföra i förhållande till nu gällande rätt.
3.2 Nuvarande ordning
3.2.1 Personuppgiftslagen
De grundläggande bestämmelserna om behandling av personuppgifter finns i personuppgiftslagen, kompletterad av personuppgiftsförordningen (1998:1191). Personuppgiftslagen utgör det generella, nationella regelverk genom vilket dataskyddsdirektivet genomförts i svensk rätt.
Personuppgiftslagen syftar till att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen är generellt tillämplig och gäller både för myndigheter och enskilda som behandlar personuppgifter. Lagen är teknikneutral och tillämpas på helt eller delvis automatiserad behandling
Nuvarande regelverk Ds 2017:33
40
av personuppgifter och på manuell behandling av personuppgifter, om uppgifterna ingår i, eller är avsedda att ingå i, en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Personuppgifter i personuppgiftslagens mening är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Begreppet behandling av personuppgifter omfattar i stort sett allt man kan göra med personuppgifter, till exempel att samla in, bearbeta, lagra, sammanställa och förstöra personuppgifter. Personuppgiftslagen är subsidiär vilket innebär att om det i en annan lag eller förordning har meddelats avvikande bestämmelser gäller de bestämmelserna.
Personuppgiftslagen innehåller bland annat bestämmelser om grundläggande krav för behandling av personuppgifter, hantering av känsliga personuppgifter, krav på information till de registrerade samt bestämmelser om rättelse, skadestånd och överklagande. Personuppgiftslagen innehåller även bestämmelser om förhållandet till tryck- och yttrandefriheten, om förhållandet till offentlighetsprincipen, liksom bestämmelser om tillsyn, straff, automatiserade beslut och överföring av personuppgifter till tredje land.
3.2.2 Registerförfattningar
Personuppgiftslagen kompletteras i dag av ett antal sektorsspecifika författningar, så kallade registerförfattningar, som reglerar specifika myndigheters behandling av personuppgifter. Registerförfattningar finns såväl i form av lagar som i form av förordningar. Författningarna reglerar myndigheternas behandling av personuppgifter och är tänkta att ge ett anpassat integritetsskydd vid myndigheternas hantering av personuppgifter när det finns ett behov av att avvika från eller komplettera personuppgiftslagens bestämmelser.
15
Under Arbetsmarknadsdepartementet finns i dag registerlagar för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildnings-
15 Se bland annat Myndighetsdatalag – Slutbetänkande av Informationshanteringsutredningen, SOU 2015:39 s. 71.
Ds 2017:33 Nuvarande regelverk
41
politisk utvärdering. Det är lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen och lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Dessa lagar har även varsin tillhörande förordning.
Därutöver finns förordningen (2001:706) om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador. Arbetsmiljöverkets förordning innehåller dataskyddsbestämmelser som i hög grad motsvarar de tre ovan nämnda registerlagarna, såväl strukturellt som innehållsmässigt.
De registerförfattningar som är aktuella i denna översyn är uppbyggda på ett sådant sätt att de endast innehåller bestämmelser som kompletterar eller avviker från personuppgiftslagen. De myndigheter som har en egen registerförfattning, till exempel Arbetsförmedlingen, tillämpar således såväl den egna registerförfattningen som personuppgiftslagen.
De myndigheter och organ som hör till Arbetsmarknadsdepartementets ansvarsområde och som saknar registerförfattning eller specifika dataskyddsbestämmelser tillämpar i dag endast personuppgiftslagen med tillhörande personuppgiftsförordning vid sin behandling av personuppgifter.
3.3 EU:s dataskyddsförordning
EU:s dataskyddsförordning syftar till att säkra en enhetlig och hög skyddsnivå för fysiska personer och till att undanröja hindren för flödena av personuppgifter inom unionen.
16
I dataskyddsförordningens kapitel I finns allmänna bestämmelser om förordningens syfte, tillämpningsområde och definitioner.
Kapitel II innehåller principerna för behandling av personuppgifter. Varje behandling av personuppgifter ska vila på en rättslig grund, vilket är ett centralt begrepp i dataskyddsförordningen. Dessa rättsliga grunder räknas upp i artikel 6.1. Behandling av personuppgifter är således endast tillåten om och i den mån
16 Se skäl 10 och 13 samt artikel 1 i dataskyddsförordningen.
Nuvarande regelverk Ds 2017:33
42
åtminstone ett av villkoren i artikel 6.1 är uppfyllda. Artikel 6.1 motsvarar i stort artikel 7 i dataskyddsdirektivet, som har genomförts i svensk rätt genom 10 § personuppgiftslagen. Enligt artikel 6.2 i dataskyddsförordningen får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som är nödvändig för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsanvariges myndighetsutövning (artikel 6.1 c och 6.1 e dataskyddsförordningen). Denna typ av mer specifika bestämmelser förekommer ofta i svenska registerförfattningar.
Att en behandling är laglig enligt artikel 6 innebär dock inte att den är tillåten. I artikel 5 fastställs principerna för hur behandling av personuppgifter får ske. Artiklarna 5 och 6 i dataskyddsförordningen är grundläggande och kumulativa. Det är alltid den personuppgiftsansvarige som ansvarar för, och ska kunna visa att, principerna i artikel 5 följs (artikel 5.2).
Utöver artiklarna 5 och 6 i förordningen finns vissa ytterligare krav på personuppgiftsbehandling i förordningens kapitel II, till exempel i fråga om så kallade särskilda kategorier av personuppgifter (känsliga personuppgifter) som regleras i artikel 9, och krav rörande behandling av personuppgifter som rör fällande domar i brottmål med mera, enligt artikel 10 i dataskyddsförordningen.
I Kapitel III i dataskyddsförordningen finns bestämmelser om de registrerades rättigheter (artiklarna 12−23). Det gäller bland annat rätten till klar och tydlig information, krav på när och hur information ska lämnas, den registrerades rätt till bekräftelse på om personuppgifter om honom eller henne behandlats (rätt till tillgång), rätt till rättelse och rätt till radering (”rätten att bli bortglömd”). Vidare regleras i kapitlet rätten till begränsning av behandling, rätten till dataportabilitet, rätten att göra invändningar och rätten att inte bli föremål för beslut som enbart grundar sig på automatiserad behandling, inbegripet profilering. I artikel 23 ges medlemsstaterna befogenhet att för vissa särskilt uppräknade ändamål inskränka vissa av rättigheterna och skyldigheterna i förordningen genom nationell lagstiftning. En förutsättning för att få införa sådana inskränkningar är dock att inskränkningarna är nödvändiga och proportionerliga i förhållande till det eftersträvade
Ds 2017:33 Nuvarande regelverk
43
ändamålet. Därtill krävs att de nationella bestämmelserna ska motsvara rättigheterna som föreskrivs i artiklarna 12−22 i dataskyddsförordningen. Bestämmelsen motsvarar i huvudsak artikel 13 i dataskyddsdirektivet.
Kapitel IV i dataskyddsförordningen (artiklarna 24−43) innehåller bestämmelser om personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter och ansvar, däribland krav på register (artikel 30) och ansvar för att vidta lämpliga säkerhetsåtgärder (artikel 32). I kapitlet finns även bestämmelser om dataskyddsombud (tidigare benämnda personuppgiftsombud), liksom bestämmelser om uppförandekod och certifiering.
I kapitel V regleras under vilka förutsättningar personuppgifter får överföras till tredjeländer eller internationella organisationer. I kapitel VI finns bestämmelser om den nationella tillsynsmyndigheten. Bestämmelserna i kapitel VII handlar om samarbete och enhetlighet mellan bland annat tillsynsmyndigheterna över nationsgränserna.
Kapitel VIII handlar om rättsmedel, ansvar och sanktioner. I kapitlet slås bland annat fast att enskilda ska ha rätt att klaga hos en nationell tillsynsmyndighet om de anser att behandlingen av deras personuppgifter inte följt regleringen i dataskyddsförordningen (artikel 77). Den enskilde ska dessutom ha rätt till ett effektivt rättsmedel för att kunna få tillsynsmyndigheten att agera utifrån ett klagomål som framförts till myndigheten (artikel 78). I likhet med vad som i dag gäller ska de registrerade även ha rätt att väcka talan vid domstol mot en personuppgiftsansvarig. En nyhet är att den rättigheten även gäller gentemot ett personuppgiftsbiträde (artikel 79). Genom artikel 80 ges den registrerade också rätt att ge mandat till vissa organ, organisationer och sammanslutningar utan vinstintresse att företräda honom eller henne och processa i domstol. Om en enskild har drabbats av en skada på grund av en otillåten behandling av personuppgifter, ska denne ha rätt till skadestånd från den som är ansvarig för behandlingen, den personuppgiftsansvarige eller personuppgiftsbiträdet (artikel 82).
En nyhet är att de nationella tillsynsmyndigheterna är skyldiga att besluta om administrativa sanktionsavgifter vid vissa överträdelser av förordningen (artikel 83). I övrigt är det medlemsstaterna som ska fastställa de sanktioner som ska komma i fråga vid över-
Nuvarande regelverk Ds 2017:33
44
trädelser av förordningens bestämmelser. Sanktionerna måste dock vara effektiva, proportionerliga och avskräckande (artikel 84).
I kapitel IX i förordningen finns bestämmelser om behandling av personuppgifter för vissa särskilda ändamål. För att skapa en balans mellan skyddet för personuppgifter och yttrandefriheten anges exempelvis att medlemsstaterna ska lagstifta om undantag från vissa av förordningens bestämmelser för sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller för konstnärligt eller litterärt skapande (artikel 85). Det finns även särskilda bestämmelser som närmare reglerar behandling av nationella identifikationsnummer (artikel 87) samt viss behandling för arkivändamål av allmänt intresse, historiska eller vetenskapliga forskningsändamål eller statistiska ändamål (artikel 89). Medlemsstaterna får även lagstifta om sådan behandling av enskildas personuppgifter som har samband med anställning (artikel 88).
Bestämmelserna i kapitel X handlar om kommissionens rätt att utfärda delegerade akter och genomförandeakter. Kapitel XI innehåller förordningens avslutande bestämmelser.
3.3.1 Skillnader i förhållande till gällande ordning
Dataskyddsförordningen innebär vissa skillnader i förhållande till gällande rätt. Genom förordningen införs exempelvis rätten att bli bortglömd (artikel 17), rätt till dataportabilitet (artikel 20) och en skyldighet att anmäla personuppgiftsincidenter till tillsynsmyndigheten (artikel 33). Dessutom införs administrativa sanktionsavgifter som omfattar betydande belopp (se artikel 83 i förordningen och 7 kap. i den föreslagna dataskyddslagen).
I avsnitt 4.2 redogörs för en annan nyhet i och med dataskyddsförordningen, nämligen att det inte är tillräckligt att en behandling är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c) respektive nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e), utan att det därutöver krävs att den rättsliga grunden är fastställd i enlighet med unionsrätten eller nationell rätt.
En annan förändring i förhållande till dataskyddsdirektivet är att känsliga personuppgifter, så kallade särskilda kategorier av person-
Ds 2017:33 Nuvarande regelverk
45
uppgifter, utvidgas med tre nya kategorier av personuppgifter, bland annat uppgifter om sexuell läggning. Detta innebär att sådana personuppgifter, enligt huvudregeln i artikel 9.1 i dataskyddsförordningen, i fortsättningen inte får behandlas om det inte finns ett undantag från huvudregeln.
Två andra centrala nyheter i dataskyddsförordningen är att sådan personuppgiftsbehandling som nu görs med stöd av 5 a § personuppgiftslagen (den så kallade missbruksregeln) och myndigheters möjlighet att grunda sin behandling på intresseavvägning när de fullgör sina uppgifter (10 f § personuppgiftslagen) inte längre kommer att vara möjliga när dataskyddsförordningen börjar tillämpas. Dessa förändringar kan komma att påverka samtliga myndigheter som behandlar personuppgifter.
47
4 Utgångspunkter för det nya regelverket − allmänna överväganden och ställningstaganden
4.1 Inledning
EU-förordningar är till alla delar bindande och direkt tillämpliga i alla medlemsstater. Detta framgår av artikel 288 i EUF-fördraget (som före Lissabonfördragets ikraftträdande motsvarades av artikel 249 andra stycket i EG-fördraget). EU-förordningar ska därför direkt tillämpas av domstolar och myndigheter i medlemsstaterna som gällande rätt och kan således åberopas av enskilda. En EU-förordning får inte införlivas eller transformeras till nationell rätt. Befintligheten av en EU-förordning inom ett visst område markerar i regel att medlemsstaterna ska undvika egen lagstiftning inom området med hänsyn till principen om unionsrättens företräde och spärrverkan. De nationella bestämmelser som hanterar frågor som regleras i en EU-förordning bör därmed upphävas.
Merparten av de regler som finns i personuppgiftslagen kommer framöver att framgå av direkt tillämpliga bestämmelser i dataskyddsförordningen. Bestämmelser som upprepar innehållet i förordningen, eller strider mot innehållet i förordningen, ska således som utgångspunkt upphävas eller ändras.
Dataskyddsförordningen är emellertid direktivliknande till sin karaktär. Den innehåller ett antal bestämmelser som förutsätter, respektive möjliggör, genomförande genom nationella regler. I Dataskyddsutredningens betänkande (SOU 2017:39) föreslås sådana generella, nationella kompletteringar i dataskyddslagen.
Allmänna överväganden Ds 2017:33
48
Eftersom merparten av de materiella bestämmelserna om personuppgiftsbehandling kommer att finnas i dataskyddsförordningen blir inte den föreslagna dataskyddslagen en komplett och sammanhållen lagstiftning på det sätt som personuppgiftslagen är. I stället kommer lagen att vara begränsad dels till nödvändiga preciseringar och kompletteringar till förordningen, dels till sådana generella inskränkningar och specificeringar till förordningen som bedöms lagenliga och lämpliga.
Vid sidan av den föreslagna dataskyddslagen kommer det, i enlighet med dataskyddsförordningens krav på (och möjligheter till) nationella bestämmelser, att fortsätta finnas sektorsspecifika registerförfattningar som innehåller preciseringar och begränsningar av myndigheters behandling av personuppgifter inom viss verksamhet.
Av skäl 8 i dataskyddsförordningen framgår att det finns ett utrymme för att införliva delar av förordningen i nationell rätt i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som bestämmelserna tillämpas på. I skäl 10 anges vidare bland annat att förordningen ger medlemsstaterna handlingsutrymme att specificera sina bestämmelser, även för behandling av känsliga personuppgifter, och att förordningen inte utesluter att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där uppgifter behandlas.
I detta kapitel finns en redogörelse för de grundläggande rättsliga förutsättningarna för personuppgiftsbehandling enligt dataskyddsförordningen och överväganden i fråga om de rättsliga utgångspunkter som ska vara vägledande vid anpassning av det nya regelverket. Kapitlet innehåller även ett avsnitt om behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål och statistiska ändamål.
I efterföljande kapitel finns de förslag till lagändringar som bedömts nödvändiga för att anpassa Arbetsmarknadsdepartementets författningar till dataskyddsförordningen.
Ds 2017:33 Allmänna överväganden
49
4.1.1 Allmänna överväganden
Bedömning: En utgångspunkt för denna översyn är att de
befintliga förutsättningarna för en ändamålsenlig personuppgiftsbehandling ska bevaras så långt det är möjligt och att de avvägningar och bedömningar som har legat till grund för bestämmelserna i nuvarande författningar som huvudprincip bör godtas.
Skälen för bedömningen: Syftet med denna översyn är att anpassa
det nuvarande regelverket som hör till Arbetsmarknadsdepartementets ansvarsområde till dataskyddsförordningen. Skälet för översynen är således inte att nuvarande författningsreglering i sig bedöms vara bristfällig, ofullkomlig eller på annat sätt icke ändamålsenlig. Eftersom fokus är anpassning är en utgångspunkt att den befintliga lagstiftningen bör bevaras i den mån som dataskyddsförordningen medger det.
Dataskyddsförordningen innebär ett ändrat rättsläge, men innehållet i regelverket är förhållandevis likt regelverket i dataskyddsdirektivet som har genomförts i svensk rätt genom bland annat personuppgiftslagen och registerförfattningar. En viktig skillnad jämfört med direktivet är emellertid att de registrerades rättigheter har förstärkts och att kraven på de personuppgiftsansvariga har ökat.
De avvägningar och bedömningar som legat till grund för bestämmelserna i nuvarande registerlagar har gjorts efter ingående analyser vad gäller integritetsskyddet och har varit föremål för remiss- och riksdagsbehandling och granskning av Lagrådet. Dessa avvägningar bör därför, som huvudprincip, godtas i den mån som dataskyddsförordningen ger utrymme för det.
Den befintliga regleringen får även anses väl inarbetad och känd hos tillämpande myndigheter och därför bedöms det som mest användarvänligt och ändamålsenligt att behålla så mycket som möjligt av denna. Utifrån detta är bedömningen att omdisponeringar och förändringar i lagtexten endast bör göras i den mån det är motiverat utifrån dataskyddsförordningens krav.
Utgångspunkten för anpassningarna till dataskyddsförordningen är därför sammanfattningsvis att de befintliga förutsättningarna för en ändamålsenlig behandling ska bevaras så långt det är möjligt.
Allmänna överväganden Ds 2017:33
50
4.1.2 Integritetsaspekter
Enligt artikel 8 i Europiska konventionen om skydd för de mänskliga rättigheterna (Europakonventionen), Europarådets konvention 108 av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter, (Europarådets dataskyddskonvention) och artiklarna 7 och 8 i EU:s stadga om de grundläggande friheterna (2010/C 83/02) har var och en rätt till skydd för sitt privatliv och skydd av de personuppgifter som rör honom eller henne.
Även i 2 kap. 6 § regeringsformen finns ett skydd för den personliga integriteten. Enligt andra stycket är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet enligt bestämmelsen kan endast begränsas i den särskilda ordning som föreskrivs i 2 kap. 20−22 §§regeringsformen. Även om skyddet för privatlivet inte är absolut, utan kan inskränkas med hänsyn till andra, motstående intressen, måste sådana inskränkningar stå i rimlig proportion till de fördelar som personuppgiftsbehandlingen bidrar med till det motstående intresset. I dessa fall måste det göras en intresseavvägning inom ramen för en proportionalitetsbedömning, det vill säga en prövning av om personuppgiftsbehandlingen är nödvändig för att uppnå det avsedda ändamålet och om det finns andra, mindre integritetskänsliga alternativ. I den mån nya bestämmelser föreslås ska det därmed göras en sådan intresseavvägning. Se vidare förslagen till lagändringar i respektive kapitel.
4.2 Grundläggande rättsliga förutsättningar m.m.
4.2.1 Rättslig grund
Bedömning:
Det finns rättsliga grunder i
dataskyddsförordningens mening för den behandling av personuppgifter som sker vid de myndigheter som hör till Arbetsmarknadsdepartementets ansvarsområde. De rättsliga
Ds 2017:33 Allmänna överväganden
51
grunderna är fastställda på det sätt som dataskyddsförordningen kräver.
Skälen för bedömningen: De grundläggande förutsättningarna för
att behandling av personuppgifter ska vara laglig och tillåten finns i artikel 6 i dataskyddsförordningen. Personuppgifter får endast behandlas om minst ett av de villkor som anges i artikel 6.1 a−f i dataskyddsförordningen är uppfyllt.
17
Av särskilt intresse för myn-
digheters verksamhet är artikel 6.1 c när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige och artikel 6.1 e när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden samtycke i artikel 6.1 a bör, som framgår av skäl 43 i dataskyddsförordningen, användas med försiktighet eftersom det finns en inbyggd ojämlikhet mellan de registrerade och de personuppgiftsansvariga myndigheterna.
18
Personuppgifts-
behandling inom arbetslöshetskassorna, vilka är fristående föreningar som har tilldelats visst myndighetsansvar, bör kunna ha samtycke som rättslig grund för åtminstone delar av sin behandling av personuppgifter, se vidare avsnitt 5.9.
Oavsett vilken rättslig grund enligt artikel 6.1 som är tillämplig är ett grundläggande krav att behandlingen ska vara ”nödvändig”. Ordet nödvändig har här, enligt Dataskyddsutredningen, motsvarande betydelse som i EU-rätten, det vill säga det innebär inte ett krav på att det ska vara helt omöjligt att utföra uppgiften utan att behandlingsåtgärden vidtas.
19
I dataskyddsdirektivet och
personuppgiftslagen används beteckningen ”nödvändig”. Begreppet ”nödvändig” används genomgående som kriterium i dataskyddsförordningen, i exempelvis artikel 6 om laglig behandling av personuppgifter och artikel 9 om behandling av känsliga personuppgifter. I registerlagar är det däremot inte ovanligt att det anges att personuppgifter endast får behandlas ”om det behövs”. I förarbetena till t.ex. registerlagen för Institutet för
17 Detta krav är nödvändigt men inte tillräckligt. Även principerna i artikel 5.1 måste vara uppfyllda för att en behandling ska kunna vara tillåten. Därtill finns ytterligare krav i fråga om exempelvis känsliga personuppgifter. 18 Se vidare skäl 42 och 43 i dataskyddsförordningen. 19SOU 2017:39 s. 105.
Allmänna överväganden Ds 2017:33
52
arbetsmarknads- och utbildningspolitisk utvärdering anges att de båda uttryckssätten är synonyma.
20
Bedömningen är att det i samband med övergången till dataskyddsförordningen är lämpligt att anpassa terminologin i detta hänseende. Användandet av ett annat begrepp i registerlagarna, nämligen ”behövs”, kan leda till oklarheter. I syfte att undvika tolkningsproblem, och med beaktande av att dataskyddsförordningen är direkt tillämplig och överordnad nationell rätt, bör samma begrepp som används i förordningen användas i registerlagarna. Bedömningen är således att begreppet ”nödvändig” är synonymt med ”behövs” i dataskyddsregleringen. I den mån det i registerlagarna anges att behandling av personuppgifter får ske när det ”behövs” föreslås därför i denna översyn att bestämmelsen terminologiskt ska anpassas till dataskyddsförordningen genom att begreppet ”nödvändig” ska användas, se förslag till ändringar i kapitel 7−9 i promemorian.
Vad gäller grunden rättslig förpliktelse gör Dataskyddsutredningen bedömningen att begreppet bör tolkas och tillämpas på samma sätt som enligt dataskyddsdirektivet. Rättsliga förpliktelser enligt artikel 6.1 c ska ha sin grund i lag. Detta innebär att de kan regleras direkt i lag eller i föreskrifter som har meddelats med stöd av lag, men även att rättsliga förpliktelser kan anges i domar eller myndighetsbeslut som i sin tur har meddelats med stöd av lag. Som en följd av den svenska arbetsmarknadsmodellen kan även rättsliga förpliktelser följa av kollektivavtal.
21
En myndighets
uppdrag enligt dess myndighetsinstruktion eller regleringsbrev kan i vissa fall utgöra en i enlighet med nationell rätt fastställd rättslig förpliktelse i dataskyddsförordningens mening, till exempel om myndigheten ges i uppdrag att föra ett visst personuppgiftsregister.
När det gäller behandling som är ett led i den personansvariges myndighetsutövning enligt artikel 6.1 e kan konstateras att även om termen myndighetsutövning saknar legaldefinition kan myndighetsutövning inte ske i Sverige utan stöd i gällande rätt. Befogenheten till myndighetsutövning måste således vara grundad på lag eller annan författning eller på något annat sätt kunna härledas ur bemyndiganden från de högsta statsorganen.
Ds 2017:33 Allmänna överväganden
53
Myndighetsutövning karaktäriseras av beslut eller andra ensidiga åtgärder som ytterst är uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Myndighetsutövning som medför skyldigheter för den enskilde eller i övrigt avser ingrepp i den enskildes personliga eller ekonomiska förhållanden måste härröra från lag, se 8 kap. 2 § 2 och 8 kap. 3 § regeringsformen.
De registerlagar som är aktuella i denna översyn har som övergripande syfte att arbetsmarknaden och de sociala trygghetssystemen ska fungera. I avsaknad av vägledande domar från EUdomstolen förefaller det med hänsyn till svensk förvaltningstradition rimligt att anta att de uppgifter som utförs av dessa statliga myndigheter, i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering, är av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen, det vill säga att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse, som bör kunna tillämpas av myndigheterna. Sådana uppgifter som utförs i syfte att utföra ett uttryckligt uppdrag eller till följd av en skyldighet bör anses vara av allmänt intresse oavsett om de faktiskt utförs i myndighetens egen regi, av egna anställda med hjälp av egen utrustning, eller om de genom utkontraktering utförs av någon annan.
22
Även om det i registerlagarna inte uttryckligen anges om det rättsliga stödet för bestämmelserna är allmänt intresse, myndighetsutövning eller rättslig förpliktelse bör det kunna förutsättas att bestämmelserna har stöd i dessa rättsliga grunder. Här beaktas även att dataskyddsdirektivets rättsliga grunder i dessa delar har en motsvarighet i dataskyddsförordningen.
Vidare ställs i dataskyddsförordningen krav på att ovan nämnda rättsliga grunder för behandlingen av personuppgifter ska vara fastställda i enlighet med unionsrätten eller den nationella rätten, se artikel 6.3 första stycket. Något motsvarande krav på att grunden för behandlingen ska vara fastställd finns inte i dataskyddsdirektivet. Det nya kravet innebär att rättsliga förpliktelser, uppgifter av allmänt intresse och myndighetsutövning ska ha rättsligt stöd i unionsrätten eller i den nationella rätten. Det innebär däre-
Allmänna överväganden Ds 2017:33
54
mot inte att det krävs en särskild reglering med anledning av att dataskyddsförordningens har trätt i kraft och ska börja tillämpas.
23
Uppgiften att behandla personuppgifter måste inte vara uttryckt i lag eller förordning utan kan också anges i en annan föreskrift, förutsatt att föreskriften har meddelats med stöd av lag eller förordning. Uppgiften kan också ha tilldelats en statlig myndighet eller ett statligt bolag med särskilt samhällsintresse genom regeringsbeslut.
Med beaktande av detta är utgångspunkten i denna översyn att när den rättsliga grunden för behandling av personuppgifter bedöms vara att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, och dessa krav fastställs i enlighet med nationell rätt i myndigheters instruktioner, regleringsbrev eller dylikt, är kraven på laglig personuppgiftsbehandling i artikel 6 i dataskyddsförordningen uppfyllda.
Utifrån detta görs bedömningen att dataskyddsförordningens krav på att grunden för behandlingen ska vara fastställd inte medför något behov av författningsändringar på de områden som denna översyn omfattar. I detta sammanhang bör dock lyftas fram att även dataskyddsförordningens övriga krav måste vara uppfyllda för att en behandling av personuppgifter ska vara tillåten.
I kommande avsnitt redogörs för bedömningar och förslag för de enskilda bestämmelserna i registerlagarna.
4.2.2 Möjligheter till begränsningar av de registrerades rättigheter
Bedömning: Utrymmet för att införa och behålla begränsningar
av de registrerades rättigheter bör utnyttjas restriktivt och endast i de fall sådana undantag är nödvändiga och proportionerliga.
Skälen för bedömningen: Dataskyddsförordningen innebär en
förstärkning av de registrerades rättigheter jämfört med data-
Ds 2017:33 Allmänna överväganden
55
skyddsdirektivet. Förordningens bestämmelser om de registrerades rättigheter är direkt tillämpliga och ger de registrerade en utökad rätt till insyn och information jämfört med nu gällande regelverk. På samma sätt innebär dataskyddsförordningen utökade skyldigheter för personuppgiftsansvariga. När det gäller personuppgiftsbehandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, innehåller dock dataskyddsförordningen vissa särregler som ger möjlighet till begränsningar av de registrerades rättigheter.
Enligt artikel 23.1 i dataskyddsförordningen ska det vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt införa lagstiftningsåtgärder som begränsar de rättigheter och skyldigheter som föreskrivs i bland annat artiklarna 12−22. En sådan begränsning måste dock ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgöra en nödvändig och proportionerlig åtgärd i syfte att säkerställa exempelvis en medlemsstats viktiga mål av generellt allmänt intresse (artikel 23.1 e). Vidare innehåller artikel 23 ett krav på att lagstiftningsåtgärden ska motsvara de rättigheter och skyldigheter som fastställs i artiklarna 12−22 i dataskyddsförordningen.
Möjligheterna att genom generella bestämmelser exempelvis begränsa rätten till rättelse bedöms således ha minskat genom dataskyddsförordningen. De rättigheter som tillkommer de registrerade enligt förordningen bedöms inte generellt förhindra den behandling som får ske enligt registerförfattningarna. Däremot uppställs nya administrativa krav på de personuppgiftsansvariga. Kraven, som framgår direkt av förordningen, kan inte anses så betungande att det med fog kan sägas vara nödvändigt och proportionerligt att begränsa dem.
Utgångspunkten är därmed att det varken är nödvändigt eller lämpligt att införa begränsningar i registerförfattningarna som innebär att de registrerade inte får de rättigheter som förordningen ger dem. Vad gäller exempelvis rätten att invända mot behandling enligt artikel 21 föreslås dock ett fortsatt undantag, se förslagen i respektive avsnitt.
Allmänna överväganden Ds 2017:33
56
4.2.3 Automatiserat individuellt beslutsfattande
Bedömning: Genom dataskyddsförordningen får de registre-
rade ett utökat skydd vid så kallat individuellt automatiserat beslutsfattande, inbegripet profilering. Det bedöms dock inte förekomma sådant beslutsfattande vid de myndigheter som hör till Arbetsmarknadsdepartementets ansvarsområde. Även om myndigheterna i framtiden sannolikt kommer att använda sig av automatiserat beslutsfattande finns det inom ramen för detta anpassningsarbete inte anledning att införa regler för att möta eventuella framtida behov av skydd vid individuellt automatiserat beslutsfattande.
Skälen för bedömningen: Genom dataskyddsförordningen får de
registrerade utökade rättigheter att slippa bli föremål för så kallat individuellt automatiserat beslutsfattande, inbegripet profilering. I artikel 22.1 i dataskyddsförordningen anges att den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar denne.
Profilering definieras i artikel 4.4 i dataskyddsförordningen som varje form av automatisk behandling av personuppgifter som består i att personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.
Enligt skäl 71 bör den registrerade ha rätt att inte bli föremål för ett beslut, vilket enbart grundas på automatiserad behandling. Beslutsfattande grundat på sådan behandling, inbegripet profilering, bör dock, enligt skäl 71, tillåtas när det uttryckligen beviljas genom unionsrätten eller medlemsstaternas nationella rätt, bland annat för att sörja för tillförlitlighet hos en tjänst som tillhandahålls av den personuppgiftsansvarige. Denna form av uppgiftsbehandling bör under alla omständigheter omfattas av lämpliga skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, rätt att framföra sina
Ds 2017:33 Allmänna överväganden
57
synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och rätt att överklaga beslutet.
Möjlighet till undantag från huvudregeln i artikel 22.1 finns i artikel 22.2. En förutsättning för undantag enligt artikel 22.2. är att den personuppgiftsansvarige genomför lämpliga åtgärder för att säkerställa den registrerades rättigheter, friheter och intressen (artikel 22.3). Särskilda kategorier av personuppgifter (känsliga personuppgifter) får endast i undantagsfall finnas med som grund i sådana beslut (artikel 22.4).
I artikel 15 i dataskyddsdirektivet finns motsvarande bestämmelser om automatiserade beslut, där kallade databehandlade beslut. Automatiserade beslut regleras i 29 § personuppgiftslagen där det anges att den som berörs av beslutet har möjlighet att på begäran få beslutet omprövat av någon. Den enskilde har även rätt att på ansökan få information från den personuppgiftsansvarige om vad som har styrt den automatiserade behandling som har lett fram till beslutet.
Bedömningen är att det inte inom de myndigheter som faller inom Arbetsmarknadsdepartementets ansvarsområde förekommer de slags automatiserade beslut som avses i artikel 22 i dataskyddsförordningen.
Även om det kan förväntas att behovet av myndigheters användning av automatiserat beslutsfattande inbegripet profilering kommer att öka eftersom det skulle kunna innebära en effektivisering bedöms det inte i dag finnas någon sådan behandling som faller inom förordningens bestämmelser. Då denna promemoria syftar till att anpassa befintlig reglering till dataskyddsförordningens krav saknas utrymme för att föreslå reglering i syfte att möjliggöra en utveckling mot utökad användning av automatiserade beslut med profilering.
59
5 Personuppgiftsbehandling i verksamheter som inte omfattas av gällande registerförfattningar
5.1 Inledning
Det finns flera myndigheter som hör till Arbetsmarknadsdepartementets ansvarsområde som saknar särskilda registerförfattningar. Sådana myndigheter behandlar i dag personuppgifter med stöd av personuppgiftslagen (1998:204) och personuppgiftsförordningen (1998:1191). I vissa enskilda författningar finns bestämmelser om uppgiftsskyldighet och register som utgör dataskyddsbestämmelser.
Dataskyddsförordningen kommer, enligt Dataskyddsutredningens förslag, att kompletteras med den generella dataskyddslagen. Därutöver bedöms det finnas ett utrymme för särskilda registerförfattningar. För de myndigheter som i dag saknar särskilda registerförfattningar uppkommer därmed frågan om dataskyddsförordningen och den föreslagna dataskyddslagen utgör ett tillräckligt rättsligt stöd för att behandling av personuppgifter ska kunna fortsätta. I översynen ingår därför att utreda och överväga om det är nödvändigt att införa särskilda dataskyddsbestämmelser för att dessa myndigheter ska kunna sköta de uppgifter som de ansvarar för, och i sådana fall föreslå sådana bestämmelser.
Detta kapitel innehåller en redogörelse för de myndigheter som hör till Arbetsmarknadsdepartementets ansvarsområde och som i dag saknar egna registerförfattningar, med fokus på den personuppgiftsbehandling som dessa gör och det nuvarande rättsliga stödet för sådan behandling. Varje avsnitt avslutas med en bedömning av hur dessa myndigheter påverkas när dataskydds-
Myndigheter som saknar registerförfattningar Ds 2017:33
60
förordningen börjar tillämpas. Kapitlet innehåller även ett avsnitt om personuppgiftsbehandlingen vid arbetslöshetskassorna och överväganden om den behandlingen kan fortsätta utan stöd i en särskild registerförfattning.
I kapitlet finns också överväganden och bedömningar i fråga om de enskilda dataskyddsbestämmelser om utlämnande av uppgifter, uppgiftsskyldighet och skyldighet att föra register som finns i författningar inom departementets ansvarsområde.
5.2 Rättsligt stöd för behandling av personuppgifter
− utgångspunkter
I avsnitt 4.2.1 redogörs för det första, absoluta grundkravet för att en behandling av personuppgifter ska vara tillåten enligt dataskyddsförordningen, nämligen att kraven på rättslig grund enligt artikel 6 i dataskyddsförordningen måste vara uppfyllda. Av avsnittet framgår vidare att de myndigheter som hör till Arbetsmarknadsdepartementets ansvarsområde som huvudregel bedöms ha rättslig grund för att fortsätta med sin personuppgiftsbehandling när dataskyddsförordningen börjar tillämpas. I normalfallet torde myndigheters uppdrag i första hand utgöra en rättslig grund för behandling av personuppgifter med stöd av artikel 6.1 e i dataskyddsförordningen, det vill säga på grundval av att behandlingen bedöms vara nödvändig för att utföra en uppgift av allmänt intresse. Även de rättsliga grunderna i artikel 6.1 e andra ledet, det vill säga att behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning och artikel 6.1 c, det vill säga att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, kan vara relevanta. Grunderna utesluter inte heller varandra utan kan vara överlappande. Däremot införs genom dataskyddsförordningen en begränsning för myndigheter att använda sig av den rättsliga grunden intresseavvägning vid behandling för att fullgöra sina uppgifter, artikel 6.1 f och 6.1 andra stycket. Någon motsvarande begränsning finns inte i dataskyddsdirektivet (se artikel 7 f i dataskyddsdirektivet).
Som redogjorts för i avsnitt 2.2 är syftet med denna översyn att göra nödvändiga och lämpliga anpassningar till dataskydds-
Ds 2017:33 Myndigheter som saknar registerförfattningar
61
förordningen i det nu gällande regelverket. I detta sammanhang bör lyftas fram att syftet med dataskyddsbestämmelser rent generellt är att säkerställa en lämplig avvägning mellan behovet av en ändamålsenlig behandling av personuppgifter och skyddet för den personliga integriteten.
Det finns flera skäl som talar emot att göra förändringar i det nationella regelverket, om inte dessa bedöms som nödvändiga för att uppfylla dataskyddsförordningens krav. För det första kan framhållas att personuppgiftsbehandling i sådana verksamheter inom departementets ansvarsområde som inte redan täcks av en registerförfattning i dag sker med stöd av ett generellt regelverk i form av personuppgiftslagen och personuppgiftsförordningen. Vid utformningen av det regelverket har bestämmelserna bedömts som tillräckliga och inte alltför långtgående ur integritetssynpunkt. Med hänsyn till det stärkta integritetsskydd som dataskyddsförordningen medför får detta anses ha sin fortsatta giltighet.
Vidare bör det lyftas fram att den föreslagna dataskyddslagen ska komplettera dataskyddsförordningen och gälla för personuppgiftsbehandling hos alla personuppgiftsansvariga, däribland de myndigheter som hör till Arbetsmarknadsdepartementets ansvarsområde och som i dag saknar registerförfattningar. Detta medför att behovet hos myndigheter att kunna behandla personuppgifter på ett lagligt sätt säkerställs samtidigt som integritetsskyddet stärks genom dataskyddsförordningens utökade skydd för den enskilde. Den föreslagna kompletterande nationella regleringen får därmed anses som både tillräcklig och tillfredsställande från såväl myndigheters perspektiv som ur integritetssynpunkt.
Ett ytterligare skäl som talar för att iaktta viss försiktighet vad gäller ny, kompletterande reglering är den osäkerhet som den kommande tillämpningen av dataskyddsförordningen trots allt får anses medföra. Rättsområdet är omfattande och komplext och konsekvenser och följder av kommande tillämpning är svåra att helt överblicka.
Sammanfattningsvis kommer integritetsskyddet för individen att stärkas med dataskyddsförordningen. Det generella rättsliga stödet för behandling av personuppgifter säkerställs genom förordningen och den föreslagna dataskyddslagen. Med hänsyn härtill och den relativa osäkerhet som det omfattande nya regelverket väntas
Myndigheter som saknar registerförfattningar Ds 2017:33
62
medföra talar övervägande skäl mot att införa nya, specifika dataskyddsbestämmelser för de myndigheter under departementet som i dag stödjer sin behandling av personuppgifter på personuppgiftslagen. Samma bedömning görs för arbetslöshetskassorna.
Nedan redogörs närmare för de respektive myndigheterna och arbetslöshetskassorna samt hur var och en av dessa bedöms påverkas av att dataskyddsförordningen börjar tillämpas.
5.3 Arbetsdomstolen
5.3.1 Uppdrag och personuppgiftsbehandling
Arbetsdomstolen är en specialdomstol med uppgift att pröva arbetsrättsliga tvister.
Arbetsdomstolens nuvarande målhanteringssystem är uppbyggt kring målnummer, men till exempel parter är sökbara. Där finns också en kalender med uppgifter om utsatta förhandlingar, inklusive parter, ledamöter och sekreterare. Vid handläggningen av målen behandlas personuppgifter om bland annat parter, ombud, ställföreträdare, förhörspersoner, sakkunniga, tolkar, ledamöter och sekreterare samt domstolshandläggare. I fråga om dagbok över inkomna mål och aktbildning i tillämpliga delar gäller vad som är föreskrivet för tingsrätt.
24
För att i målen bedöma om Arbetsdomstolen har behörighet och om det finns ett rättsligt anspråk behövs regelmässigt uppgifter om fackföreningsmedlemskap. I målen kan dock alla typer av känsliga personuppgifter förekomma.
Handlingarna i målen skannas inte rutinmässigt. De dokument som Arbetsdomstolen upprättar sparas på en gemensam hårddisk i mappar efter målnummer, utan koppling till systemet. Meddelade avgöranden överförs elektroniskt till Domstolsverket för publicering. Avgörandena publiceras i avidentifierat skick på domstolens webbplats, där parter och förhörspersoner betecknas med initialer. På webbplatsen finns också domstolens årsredovisning och uppgifter om domstolens ordinarie ledamöter
Ds 2017:33 Myndigheter som saknar registerförfattningar
63
och uppgifter om utsatta förhandlingar med målnummer och parter, dock är fysiska parters namn ersatta med initialer. I e-postsystemet finns en databas med kontaktuppgifter.
Arbetsdomstolen upphandlar för närvarande ett nytt målhanteringssystem som ska bygga på inskannade handlingar och databaser med olika aktörer i målen. Det nya systemet ska i större utsträckning bygga på databaser uppbyggda kring bland annat personuppgifter.
5.3.2 Rättsligt stöd för personuppgiftsbehandling vid Arbetsdomstolen
Bedömning: När dataskyddsförordningen börjar tillämpas
kommer den, kompletterad av den föreslagna dataskyddslagen, att utgöra ett tillräckligt regelverk för Arbetsdomstolens personuppgiftsbehandling. Det bör inte införas några särbestämmelser om personuppgiftsbehandling för Arbetsdomstolen.
Skälen för bedömningen: I dag finns det ingen specialförfattning
som reglerar Arbetsdomstolens behandling av personuppgifter.
25
För verksamheten gäller lagen (1974:371) om rättegången i arbetstvister och förordningen (1988:1137) med instruktion för Arbetsdomstolen. Dessutom tillämpas personuppgiftslagen, 8 § personuppgiftsförordningen och 10 § förordningen (2003:234) om tiden för tillhandahållande av domar och beslut m.m.
Vid Arbetsdomstolen förekommer behandling av personuppgifter, däribland känsliga personuppgifter. När dataskyddsdirektivet upphävs kommer inte längre personuppgiftsbehandling kunna ske med stöd av personuppgiftslagen och personuppgiftsförordningen.
Domstolens uppdrag bedöms vara av allmänt intresse och behandling av personuppgifter bedöms vara nödvändigt för att domstolen ska kunna fullgöra en rättslig förpliktelse (artikel 6.1 c i
25Domstolsdatalagen (2015:728) som reglerar personuppgiftsbehandling i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas rättskipande och rättsvårdande verksamhet gäller inte för Arbetsdomstolen.
Myndigheter som saknar registerförfattningar Ds 2017:33
64
dataskyddsförordningen) respektive för att utföra en uppgift av allmänt intresse (artikel 6.1 e).
Den rättsliga grunden för domstolens behandling av personuppgifter i enlighet med sitt uppdrag är fastställd i enlighet med nationell rätt, bland annat i domstolens instruktionsförordning och lagen om rättegången i arbetstvister (artikel 6.3). Vidare är behandling av känsliga personuppgifter vid domstolen nödvändigt för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolarnas dömande verksamhet enligt artikel 9.2 f i dataskyddsförordningen.
Det bör framhållas att dataskyddsförordningen inte ger utrymme för Arbetsdomstolen att använda sig av intresseavvägning som rättslig grund (se artikel 6.1 f och 6.1 andra stycket i dataskyddsförordningen). När dataskyddsförordningen börjar tillämpas saknas vidare möjlighet att vid personuppgiftsbehandling använda sig av den så kallade missbruksregeln som i dag finns i 5 a § personuppgiftslagen. I den mån behandling av personuppgifter enbart stöder sig på intresseavvägning eller missbruksregeln kommer sådan behandling av personuppgifter inte längre kunna ske.
Dataskyddsförordningen bedöms inte medföra sådana förändringar av domstolens möjlighet till behandling av personuppgifter som motiverar införandet av sektorsspecifik reglering. Den behandling som i dag sker med stöd av personuppgiftslagen och personuppgiftsförordningen bedöms kunna fortsätta med stöd av dataskyddsförordningen, kompletterad av den föreslagna dataskyddslagen. I sammanhanget kan framhållas att införandet av sektorsspecifik registerlagstiftning vanligen motiveras av att en myndighet har en omfattande personuppgiftshantering med ett stort antal registrerade. Så är inte fallet vid Arbetsdomstolen.
Sammantaget är det varken motiverat eller lämpligt att i nuläget införa en särskild registerförfattning för Arbetsdomstolens personuppgiftsbehandling.
Ds 2017:33 Myndigheter som saknar registerförfattningar
65
5.4 Medlingsinstitutet
5.4.1 Uppdrag och personuppgiftsbehandling
Medlingsinstitutet är en statlig förvaltningsmyndighet som hör till Arbetsmarknadsdepartementets ansvarsområde. Den inrättades genom beslut av riksdagen år 2000 och ersatte Statens förlikningsmannaexpedition. Medlingsinstitutet har tre huvuduppgifter: att verka för en väl fungerande lönebildning, att medla i arbetstvister och att ansvara för den officiella lönestatistiken.
Myndigheten hanterar framför allt personuppgifter inom ramen för dess ansvar för den officiella lönestatistiken. Dessutom finns viss personuppgiftshantering inom ramen för intern administration och dylikt.
När det gäller lönestatistiken sköts produktion av statistik på Medlingsinstitutets uppdrag av Statistiska centralbyrån, SCB. Materialet bearbetas, analyseras och publiceras sedan av Medlingsinstitutet. Det finns ett personuppgiftsbiträdesavtal mellan Medlingsinstitutet och SCB.
Lönestatistiken kan indelas i tre grenar:
1. Den månadsvisa konjunkturlönestatistiken som mäter löneökningstakten för ekonomin, men också uppdelad i sektorer och branscher,
2. Den årsvisa lönestrukturstatistiken som bland annat ligger till grund för analyser av löneskillnader mellan kvinnor och män, och
3. EU-undersökningen Structural Earnings Survey, SES, (en individbaserad undersökning vart fjärde år, som bygger på lönestrukturstatistiken). Därtill görs en årlig bonusundersökning för att komplettera dels SES, dels Labour Cost Index, LCI (en EUundersökning av arbetskraftskostnader på aggregerad nivå).
5.4.2 Rättsligt stöd för personuppgiftsbehandling vid Medlingsinstitutet
Bedömning: När dataskyddsförordningen börjar tillämpas
kommer den, kompletterad av den föreslagna dataskyddslagen, att utgöra ett tillräckligt regelverk för Medlingsinstitutets per-
Myndigheter som saknar registerförfattningar Ds 2017:33
66
sonuppgiftsbehandling. Det bör inte införas särbestämmelser om personuppgiftsbehandling för Medlingsinstitutet.
Skälen för bedömningen: Medlingsinstitutet har ingen egen
registerförfattning utan tillämpar personuppgiftslagens och personuppgiftsförordningens bestämmelser. Stöd för myndighetens behandling av personuppgifter finns även i lagen (2001:99) om den officiella statistiken och dess tillhörande förordning (2001:100) om den officiella statistiken, som faller inom Kulturdepartementets ansvarsområde.
Medlingsinstitutets verksamhet bedöms vara av allmänt intresse och personuppgiftsbehandling bedöms vara nödvändigt för att myndigheten ska kunna fullgöra sitt uppdrag på ett effektivt och ändamålsenligt sätt.
En betydande del av Medlingsinstitutets verksamhet är framtagande av statistik. Dataskyddsförordningen innehåller ett antal bestämmelser om behandling av personuppgifter för statistiska ändamål. Dataskyddsförordningen kompletteras enligt Dataskyddsutredningens förslag av den nationella, generellt tillämpliga dataskyddslagen.
Bedömningen är att regelverket enligt dataskyddsförordningen inte motiverar införandet av registerförfattning eller särskilda dataskyddsbestämmelser för Medlingsinstitutet. Här beaktas även att behandlingen av personuppgifter vid myndigheten endast i begränsad omfattning rör identifierade fysiska personer. För Medlingsinstitutets arbete med den officiella lönestatistiken medges inte heller behandling av känsliga personuppgifter.
26
Att
möjligheterna att använda sig av missbruksregeln respektive intresseavvägning försvinner (se avsnitt 3.3.1) ändrar inte denna bedömning.
26 Se bilagan till förordningen (2001:100) om den officiella statistiken.
Ds 2017:33 Myndigheter som saknar registerförfattningar
67
5.5 Svenska ILO-kommittéen
5.5.1 Uppdrag och personuppgiftsbehandling
Internationella arbetsorganisationen (ILO) är FN:s fackorgan för arbetslivsfrågor. ILO har som grundläggande mål att bekämpa fattigdom och främja social rättvisa. I uppgifterna ligger att främja sysselsättning och bättre arbetsvillkor i hela världen samt att värna om föreningsfrihet, organisationsrätt och kollektiv förhandlingsrätt. Sverige blev medlem av ILO 1920 genom sin anslutning till Nationernas Förbund. Trepartismen är ILO:s särdrag. Regeringar och arbetsgivar- och arbetstagarorganisationer deltar i ILO:s beslutande och verkställande organ. Alla tre parter har oberoende status med full rösträtt.
Den svenska ILO-kommittén är en självständig, trepartiskt sammansatt myndighet som hör till Arbetsmarknadsdepartementets ansvarsområde. Myndigheten är regeringens beredningsorgan i ILO-frågor, bland annat vid utarbetandet och godkännandet av nya konventioner samt tillämpningen av de ILOkonventioner som Sverige ratificerat.
5.5.2 Rättsligt stöd för personuppgiftsbehandling vid Svenska ILO-kommittén
Bedömning: Den personuppgiftsbehandling som förekommer
inom Svenska ILO-kommitténs verksamhet är begränsad och kommer att ha tillräckligt stöd i dataskyddsförordningen och den föreslagna dataskyddslagen. Det bör inte införas särskilda dataskyddsbestämmelser för myndigheten.
Skälen för bedömningen: Svenska ILO-kommitténs uppgifter
regleras i förordningen (1977:987) med instruktion för ILOkommittén.
I den mån myndigheten får frågor från allmänheten anges ingivaren i ett diarium, vilket innebär en personuppgiftsbehandling. I övrigt hanteras som regel inte personuppgifter inom myndighetsuppdraget utan enbart för intern administration. De flesta av
Myndigheter som saknar registerförfattningar Ds 2017:33
68
kommitténs ärenden är remisser från ILO eller departementen och innehåller inte personuppgifter.
Dataskyddsförordningen antas inte medföra sådana förändringar av myndighetens möjlighet till behandling av personuppgifter som motiverar införande av några särregler.
I detta sammanhang kan dock framhållas att möjlighet till intresseavvägning och den så kallade missbruksregeln inte kommer att kunna användas när dataskyddsförordningen börjar tillämpas. Detta behöver myndigheten ta i beaktande vid utformning av sin verksamhet och sina rutiner.
5.6 Nämnden för styrelserepresentationsfrågor
5.6.1 Uppdrag och personuppgiftsbehandling
Nämnden för styrelserepresentationsfrågor prövar frågor om tillstånd enligt lagen (1987:1245) om styrelserepresentation för de privatanställda och frågor om undantag enligt samma lag. Lagen om styrelserepresentation för de privatanställda syftar till att genom styrelserepresentation ge anställda insyn i och inflytande över företagets verksamhet. Enligt lagen har de anställda i ett företag med minst 25 arbetstagare i Sverige rätt till styrelserepresentation, det vill säga rätt till ledamöter i styrelsen (arbetstagarledamöter). Med företag avses i lagen aktiebolag, banker, hypoteksinstitut, försäkringsbolag och ekonomiska föreningar samt vissa europakooperativ.
I förordningen (2007:909) med instruktion för Nämnden för styrelserepresentationsfrågor anges bland annat nämndens uppgifter.
Inom ramen för myndighetens verksamhet förekommer viss personuppgiftsbehandling rörande enskilda individer. Parter i ärendena är typiskt sett juridiska personer, nämligen företag och arbetstagarorganisationer. Antalet ärenden brukar uppgå till några enstaka per år. Handläggningen av ärendena görs manuellt utan koppling till ett särskilt ärendehanteringssystem. Akterna hanteras i pappersform och arkiveras i ett särskilt enskilt arkiv. I en pärm finns ett register där ärendenummer, parter och nämndens åtgärd antecknas. I registret över ärendena finns dock inga personuppgifter.
Ds 2017:33 Myndigheter som saknar registerförfattningar
69
I själva ärendena kan det förekomma personuppgifter, till exempel namnuppgift på utsedd representant.
5.6.2 Rättsligt stöd för personuppgiftbehandling vid Nämnden för styrelserepresentationsfrågor
Bedömning: Den begränsade personuppgiftsbehandling som
förekommer vid Nämnden för styrelserepresentationsfrågor motiverar inte införande av specifika dataskyddsbestämmelser. Tillräckligt rättsligt stöd för personuppgiftsbehandling kommer fortsättningsvis att finnas genom dataskyddsförordningen och den föreslagna dataskyddslagen.
Skälen för bedömningen:
Nämnden för
styrelserepresentationsfrågor är en myndighet och därmed är utgångspunkten att dess verksamhet tjänar ett allmänt intresse. Grunden för personuppgiftsbehandling slås fast i myndighetens instruktionsförordning och i lagen om styrelserepresentation för de privatanställda. Som framgår av avsnitt 5.6.1 är parterna i nämndens ärenden i de allra flesta fall juridiska personer, det vill säga uppgifterna om dessa är inte personuppgifter i dataskyddsförordningens mening.
Med beaktande av ovanstående, och att antalet ärenden per år är mycket begränsat, bedöms det inte vara nödvändigt eller lämpligt att införa dataskyddsbestämmelser specifikt för denna myndighet. Den behandling av personuppgifter som faktiskt förekommer bedöms kunna ske med stöd av dataskyddsförordningen och den föreslagna dataskyddslagen. Detta gäller även arkivering av nämndens ärenden. Det kan dock även i detta sammanhang lyftas fram att personuppgiftsbehandling enligt dataskyddsförordningen inte ger utrymme för behandling utifrån intresseavvägning eller missbruksregeln. Därför kan inte personuppgiftbehandling som endast har sin grund i sådana bestämmelser fortsätta från och med den 25 maj 2018.
Myndigheter som saknar registerförfattningar Ds 2017:33
70
5.7 Rådet för Europeiska socialfonden i Sverige
5.7.1 Uppdrag och personuppgiftsbehandling
Rådet för Europeiska socialfonden i Sverige (Svenska ESF-rådet) har funnits som myndighet sedan år 2000 och arbetar på uppdrag av Arbetsmarknadsdepartementet och Socialdepartementen. Verksamheten spänner över flera politikområden, främst arbetsmarknads-, social-, utbildnings-, närings- och integrationspolitik.
Svenska ESF-rådet har till uppgift att förvalta program inom Europeiska socialfonden och Fonden för dem som har det sämst ställt (FEAD). Socialfondsprogrammet syftar bland annat till att öka övergångarna till arbete för dem som står långt från arbetsmarknaden, stimulera kompetensutveckling för sysselsatta och underlätta ungas etablering i arbetslivet och deltagande i utbildning. FEAD-programmet syftar till vissa insatser för socialt och ekonomiskt utsatta EU/EES-medborgare som vistas tillfälligt i Sverige. Svenska ESF-rådet utlyser projektmedel inom programmen och följer upp projektverksamheten.
Svenska ESF-rådet får in ansökningar där juridiska personer ansöker om pengar för att bedriva ett projekt inom Socialfonden. I ansökan finns uppgifter om den juridiska person som ska bedriva projektet och en beskrivning av hur projektet ska genomföras. I den mån det finns uppgifter om fysiska personer rör det sig om kontaktuppgifter till företrädare för den juridiska personen.
Projekten rapporterar in deltagarnas personnummer till Statistiska centralbyrån (SCB) som med hjälp av dessa hämtar uppgifter ur olika register. Uppgifterna kan användas för att ta fram statistik om, och resultat av, socialfondsprojekten. Efter avslutad bearbetning hos SCB avlägsnas alla identitetsuppgifter innan materialet överlämnas i form av tabeller till Svenska ESFrådet för fortsatt bearbetning och analys. Det sker alltså ingen behandling av personuppgifter hos myndigheten utan allt skickas till SCB. Det finns ett elektroniskt ärendehanteringssystem (EBS) men där finns bara kontaktuppgifter till företrädare för den juridiska personen.
Myndigheten kan dock begära in intyg om en sammanställning av de individer som har deltagit i ett projekt. I en sådan sammanställning kan namn och personnummer framgå. Sammanställningen
Ds 2017:33 Myndigheter som saknar registerförfattningar
71
sparas som Pdf-fil i myndighetens diarium. Det går inte att söka på personnummer i diariet utan filen blir ett dokument som hör till själva projektet, vilket har ett eget diarienummer.
Det kan även förekomma behandling av personuppgifter när myndigheten vill granska vissa specifika poster och genomföra en djupare analys (en så kallad ”på platsen-kontroll”). Då kan myndigheten ta in underlag som sedan diarieförs. Sådana dokument från kontrollerna är icke-sökbara uppgifter om deltagare, det vill säga de är varken digitaliserade eller hanterade i register.
5.7.2 Rättsligt stöd för personuppgiftbehandling vid Svenska ESF-rådet
Bedömning: Den begränsade personuppgiftsbehandling som
förekommer vid Svenska ESF-rådet motiverar inte införande av specifika dataskyddsbestämmelser. Tillräckligt rättsligt stöd för personuppgiftsbehandling kommer fortsättningsvis att finnas genom dataskyddsförordningen och den föreslagna dataskyddslagen.
Skälen för bedömningen: Svenska ESF-rådet är en myndighet och
utgångspunkten är därmed att dess verksamhet är av allmänt intresse enligt dataskyddsförordningen. Den rättsliga grunden för myndighetens behandling av personuppgifter i enlighet med sitt uppdrag är fastställd i enlighet med nationell rätt genom förordningen (2007:907) med instruktion för Rådet för Europeiska socialfonden i Sverige (artikel 6.1 e och 6.3).
Behandling av personuppgifter i dataskyddsförordningens mening förekommer endast i mycket begränsad omfattning inom Svenska ESF-rådets verksamhet. I den mån behandling av personuppgifter alls förekommer berörs inte känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen. Behandling av personuppgifter har hitintills gjorts med stöd av personuppgiftslagen. Den 25 maj 2018 upphävs personuppgiftslagen. Därmed försvinner utrymmet för behandling utifrån intresseavvägning eller missbruksregeln.
Med hänsyn till den begränsade personuppgiftshanteringen inom myndigheten är bedömningen är att det varken är nödvändigt
Myndigheter som saknar registerförfattningar Ds 2017:33
72
eller lämpligt att komplettera bestämmelserna i dataskyddsförordningen och den föreslagna dataskyddslagen med några särbestämmelser som reglerar Svenska ESF-rådets personuppgiftsbehandling.
5.8 Statens nämnd för arbetstagares uppfinningar
5.8.1 Uppdrag och personuppgiftsbehandling
Statens nämnd för arbetstagares uppfinningar är en statlig förvaltningsmyndighet som hör till Arbetsmarknadsdepartementets ansvarsområde som hanterar uppkomma tvister mellan en arbetstagare och dennes arbetsgivare om vem som har rätt till en uppfinning.
Enligt förordningen (2007:908) med instruktion för Statens nämnd för arbetstagares uppfinningar har myndigheten till uppgift att avge utlåtanden enligt lagen (1949:345) om rätten till arbetstagares uppfinningar. Myndigheten leds av en nämnd. Vardera parten har rätt att inhämta ett utlåtande från nämnden i frågor som rör tillämpningen av lagen om rätten till arbetstagares uppfinningar. Antalet ärenden i nämnden uppgår i allmänhet till ett eller två om året. I ärendena kan förekomma uppgift om medlemskap i arbetstagarorganisation.
Hos Statens nämnd för arbetstagares uppfinningar hanteras endast sådana personuppgifter (namn, adress, personnummer) som lämnas i inkomna skrivelser i ärendena. Inkomna skrivelser i varje ärende sammanförs i en akt. Uppgifter om parter och hörda personer redovisas i nämndens avgöranden. Personuppgifter avseende parter och ombud tas in i diarier över anhängiggjorda ärenden. Vid arkivering sammanförs dessa i särskilda volymer. Uppgifterna sprids eller tillhandahålls inte på annat sätt än som följer av gällande bestämmelser om allmänna handlingars offentlighet. Behandling av personuppgifter på annat sätt än de nämnda förekommer inte.
Ds 2017:33 Myndigheter som saknar registerförfattningar
73
5.8.2 Rättsligt stöd för personuppgiftbehandling vid Statens nämnd för arbetstagares uppfinningar
Bedömning: Den begränsade personuppgiftsbehandling som
förekommer vid Statens nämnd för arbetstagares uppfinningar motiverar inte införande av specifika dataskyddsbestämmelser. Tillräckligt rättsligt stöd för personuppgiftsbehandling kommer fortsättningsvis att finnas genom dataskyddsförordningen och den föreslagna dataskyddslagen.
Skälen för bedömningen: Den begränsade personuppgifts-
behandling som görs vid Statens nämnd för arbetstagares uppfinningar sker i dag med stöd av personuppgiftslagen. Den rättsliga grunden för myndighetens behandling av personuppgifter i enlighet med sitt uppdrag är fastställd i enlighet med nationell rätt genom instruktionsförordningen och lagen om rätten till arbetstagares uppfinningar (artikel 6.1 e och 6.3).
Den behandling som i dag sker med stöd av personuppgiftslagen och personuppgiftsförordningen bedöms kunna fortsätta med stöd av dataskyddsförordningen, kompletterad av den föreslagna dataskyddslagen. Med beaktande av att myndigheten endast har ett fåtal ärenden per år, att personuppgifter i dessa ärenden endast förekommer i begränsad omfattning och att det vanligen inte förekommer känsliga personuppgifter i ärendena bedöms det vara obehövligt att införa särskilda dataskyddsbestämmelser för myndigheten. I den mån personuppgiftsbehandling förekommer bör denna kunna ske med stöd av dataskyddsförordningen och den föreslagna dataskyddslagen. Liksom i fråga om övriga myndigheter kan erinras om att varken missbruksregeln eller möjligheten till intresseavvägning kan användas från och med den 25 maj 2018.
5.9 Arbetslöshetskassorna
5.9.1 Uppdrag och personuppgiftsbehandling
Arbetslöshetskassornas huvuduppdrag är att administrera arbetslöshetsförsäkringen gentemot sina medlemmar. Arbetslöshetskassorna fyller även en viktig samhällsfunktion vad
Myndigheter som saknar registerförfattningar Ds 2017:33
74
gäller uppgiftsutbyte med bland annat Arbetsförmedlingen och Försäkringskassan. För närvarande finns det 27 arbetslöshetskassor i Sverige. Dessa är inte statliga myndigheter utan enskilda rättssubjekt i form av föreningar.
De uppgifter som ligger till grund för den enskildes ansökan om medlemskap och uppgifter om den enskildes medlemsavgifter samlas i respektive arbetslöshetskassas medlemssystem. Ansökan om medlemskap kan i de flesta fall göras såväl med blanketter som digitalt. Handlingar skannas in och skapar därmed digitala handlingar. Medlemssystemet skiljer sig åt mellan arbetslöshetskassorna. Det system som omfattar flest arbetslöshetskassor är Melos. För den som använder sig av webapplikationen Mina Sidor förs uppgifterna in i digital form redan från början.
Den absolut största andelen av de uppgifter som arbetslöshetskassorna behandlar utgörs av de uppgifter som den enskilde själv lämnar in för att få rätt till arbetslöshetsersättning. De underlag som arbetslöshetskassorna begär in innehåller oftast, och i huvudsak, uppgifter om arbeten eller andra sysselsättningar, inkomster, studier, företagande, sjukdom, pension och den enskildes möjligheter att arbeta i framtiden. Arbetsgivaren har möjlighet att lämna in ett arbetsgivarintyg elektroniskt via tjänsten Arbetsgivarportalen. Vilka uppgifter som behandlas beror på hur den enskildes situation har sett ut och vad denne lämnat in för uppgifter till stöd för sin ansökan.
När den enskilde ansöker om arbetslöshetsersättning förs delar av uppgifterna över från medlemssystemet till det system som hanterar ersättningsärenden. Uppgifterna i ett ersättningsärende hanteras främst i ärendehanteringssystemet ÄGA och behandlas och beräknas i utbetalningssystemet OAS. Beslut om återkrav, beräkningar och motsvarande sker i systemen ÄGA och OAS men hanteringen av de efterkommande skulderna sker i arbetslöshetskassornas skuldhanteringssystem Collect.
I ärenden om arbetslöshetsersättning ingår ofta känsliga personuppgifter såsom uppgifter om den enskildes hälsa och uppgifter om facklig tillhörighet. I övrigt behandlar arbetslöshetskassorna alla uppgifter som den enskilde via brev eller annan kommunikation lämnar in i ett ärende om arbetslöshetsersättning, vilket kan inkludera alla kategorier av känsliga personuppgifter.
Ds 2017:33 Myndigheter som saknar registerförfattningar
75
Arbetslöshetskassorna får delar av underlaget för ärendehandläggningen genom elektroniskt informationsutbyte med andra myndigheter, till exempel från Försäkringskassan, Arbetsförmedlingen och Centrala studiestödsnämnden. Grunden för utbytet finns i bestämmelser om uppgiftsskyldighet mellan arbetslöshetskassorna och myndigheterna i fråga.
Det finns en mängd olika personuppgiftsbiträdesavtal vid de olika arbetslöshetskassorna, exempelvis förhållandet till driftsleverantörer och tillhandahållande av e-legitimationstjänst.
Inspektionen för arbetslöshetsförsäkringen (IAF) har tillsynsansvar över arbetslöshetskassorna som i sin tur har en omfattande rapporteringsskyldighet till IAF.
5.9.2 Rättsligt stöd för personuppgiftsbehandling vid arbetslöshetskassorna
Bedömning: Den personuppgiftsbehandling som förekommer
vid arbetslöshetskassorna kommer att ha tillräckligt stöd i dataskyddsförordningen och den föreslagna dataskyddslagen. Det är varken nödvändigt eller lämpligt att införa särskilda dataskyddsbestämmelser för arbetslöshetskassorna.
Skälen för bedömningen: En stor del av den personuppgifts-
behandling som arbetslöshetskassorna utför sker som ett led i den myndighetsutövande verksamheten, med utgångspunkt från den kärnverksamhet som framgår av lagen (1997:238) om arbetslöshetsförsäkring med tillhörande förordning
27
och lagen (1997:239)
om arbetslöshetskassor. I dessa delar är det således den rättsliga grunden enligt artikel 6.1. e i dataskyddsförordningen som primärt är aktuell, det vill säga personuppgiftsbehandling bedöms vara nödvändig för att arbetslöshetskassan ska kunna utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. I vissa delar utgör också rättslig skyldighet grund för behandlingen (artikel 6.1 c), framför allt sådant som avser arbetslöshetskassans skyldigheter utanför ramen för myndighetsutövningen.
27 Förordningen (1997:835) om arbetslöshetsförsäkring.
Myndigheter som saknar registerförfattningar Ds 2017:33
76
I de delar av verksamheten som ligger utanför den myndighetsutövande delen använder sig arbetslöshetskassor av samtycke som rättslig grund för behandling av personuppgifter, artikel 6.1 a i dataskyddsförordningen.
Arbetslöshetskassorna, som inte är myndigheter och därmed saknar sektorsspecifik registerförfattning, stödjer sin personuppgiftsbehandling i första hand på personuppgiftslagen och personuppgiftsförordningen. När dataskyddsförordningen börjar tillämpas och den föreslagna dataskyddslagen träder i kraft kommer arbetslöshetskassorna att tillämpa dessa vid behandling av personuppgifter. Det nya regelverket säkerställer att personuppgiftsbehandlingen vid arbetslöshetskassorna kan fortgå och medför därutöver ett ökat integritetsskydd för den enskilde, se avsnitt 5.2.
När det gäller uppgiftsutlämnande och rätten till uppgifter från andra myndigheter finns dock ett flertal specifika bestämmelser om uppgiftsskyldighet som rör arbetslöshetskassorna, framför allt genom 48 a−i §§ lagen om arbetslöshetsförsäkring och 20–25 b §§ förordningen om arbetslöshetsförsäkring. Därutöver finns en dataskyddsbestämmelse i form av en bestämmelse om uppgiftsskyldighet i 94 g § lagen om arbetslöshetskassor och korresponderande precisering i 7 a § förordningen (1997:836) om arbetslöshetskassor. Dessa bestämmelser tar sikte på utbyte av information med andra myndigheter såsom Arbetsförmedlingen, Försäkringskassan, Pensionsmyndigheten, Centrala studiestödsnämnden, Migrationsverket, Skatteverket, Kronofogdemyndigheten och Statistiska centralbyrån, men även med andra arbetslöshetskassor.
Bedömningen är att ovan nämnda bestämmelser utgör dataskyddsbestämmelser, det vill säga regler som rör behandling av personuppgifter enligt dataskyddsförordningens definition. Dessa dataskyddsbestämmelser föreskriver att en viss behandling, exempelvis utlämnande av uppgift eller en fastslagen uppgiftsskyldighet, ska göras under vissa förutsättningar respektive för vissa ändamål. Bestämmelser om övriga villkor för sådan behandling av personuppgifter som föreskrivs i dataskyddsbestämmelserna finns i dag i personuppgiftslagen. När dataskyddsförordningen börjar tillämpas är det framför allt i denna som de närmare villkoren för behandling av personuppgifter kommer att finnas, exempelvis principer för tillåten behandling i artikel 5, särskilt
Ds 2017:33 Myndigheter som saknar registerförfattningar
77
skydd för vissa uppgifter i artikel 9 och artikel 10, bestämmelser om de registrerades rätt till information och när uppgifter ska gallras. Enligt Dataskyddsutredningens förslag kommer dataskyddsförordningen att kompletteras av den generella dataskyddslagen som bland annat innehåller närmare bestämmelser om överklagande, behandling av känsliga personuppgifter och behandling för statistiska ändamål. Bedömningen är därmed att dessa dataskyddsbestämmelser om uppgiftskyldighet för arbetslöshetskassorna, som kompletteras av ovan angivna säkerhets- och skyddsbestämmelser i bland annat dataskyddsförordningen, varken bör eller behöver ändras.
Det kan avslutningsvis tilläggas att det finns fler författningar som innehåller dataskyddsbestämmelser som är relevanta för arbetslöshetskassorna men som inte omfattas av Arbetsmarknadsdepartementets ansvarsområde. Exempel på sådana författningar är socialtjänstlagen (2001:453), arkivlagen (1990:782),
28
bokförings-
lagen (1999:1078), årsredovisningslagen (1995:1554) och lagen (2003:389) om elektronisk kommunikation. Sådana bestämmelser omfattas dock inte av denna översyn.
5.10 Övriga enstaka bestämmelser i författningar som hör till Arbetsmarknadsdepartementets ansvarsområde
5.10.1 Inledning
I detta kapitel har närmare redogjorts för de myndigheter med flera under Arbetsmarknadsdepartementets ansvarsområde som saknar egna registerförfattningar och med vilket rättsligt stöd dessa behandlar, och kommer att kunna fortsätta behandla, personuppgifter. I kapitel 6−9 presenteras förslag rörande fyra myndigheters registerförfattningar. Därutöver finns emellertid ytterligare bestämmelser om behandling av personuppgifter i vissa författningar under departementets ansvarsområde.
28 I de delar av verksamheten som består av allmänna handlingar, vilket regleras i bilagan till offentlighets- och sekretesslagen (2009:400).
Myndigheter som saknar registerförfattningar Ds 2017:33
78
Såväl myndigheter som privata aktörer, exempelvis företag, arbetsgivare, arbetstagarorganisationer, arbetslöshetskassor och andra föreningar har ett behov av att behandla personuppgifter i sin verksamhet. Reglering som i någon bemärkelse rör personuppgiftsbehandling finns därmed exempelvis i föräldraledighetslagen (1995:584), lönegarantilagen (1992:497), lagen (1982:80) om anställningsskydd och i lagen (1974:13) om vissa anställningsfrämjande åtgärder och lagen (1982:1004) om skyldighet för näringsidkare, arbetsmarknadsorganisationer m.fl. att delta i totalförsvarsplaneringen.
I detta avsnitt redogörs för det rättsliga stödet för sådan övrig personuppgiftsbehandling enligt författningar som hör till Arbetsmarknadsdepartementets ansvarsområde.
5.10.2 Övriga lagbestämmelser om behandling av personuppgifter
Bedömning: Bestämmelser i övriga lagar som hör till Arbets-
marknadsdepartementets ansvarsområde och som rör behandling av personuppgifter behöver inte ändras med anledning av dataskyddsförordningen.
Skälen för bedömningen: Vid ett utlämnande av personuppgifter
till följd av en uppgiftsskyldighet i lag eller förordning kommer de grundläggande principerna för behandling av personuppgifter enligt dataskyddsförordningen att gälla. Under Arbetsmarknadsdepartementets ansvarsområde finns det författningar som slår fast vilka personuppgifter som ska eller får lämnas ut till en myndighet eller annan aktör. I sådana bestämmelser slås den rättsliga grunden
− för en viss typ av behandling (utlämnande) i ett visst syfte (ändamål och medel) av en viss typ av personuppgifter − fast.
Sådan behandling av personuppgifter som handlar om registrering eller utlämnande av uppgifter, och där de närmare villkoren och förutsättningarna för personuppgiftsbehandlingen framgår av personuppgiftslagen, kommer från och med den 25 maj 2018 att behöva ha stöd i dataskyddsförordningen, i tillämpliga fall kompletterad av nationella regler genom den föreslagna dataskyddslagen.
Ds 2017:33 Myndigheter som saknar registerförfattningar
79
Det förekommer även dataskyddsbestämmelser som på annat sätt slår fast att en personansvarig (myndighet, arbetstagarorgansiation, företag eller liknande) på olika sätt ska behandla (exempelvis bearbeta, lagra, lämna ut, sprida, sammanställa, registrera eller tillhandahålla) personuppgifter (uppgifter som avser en identifierad eller identifierbar, levande fysisk person). Även i fråga om dessa bestämmelser bedöms den rättsliga grunden för behandling finnas och vara fastslagen i enlighet med nationell rätt. Närmare bestämmelser om villkoren för sådan behandling kommer att finnas i dataskyddsförordningen, kompletterad av den föreslagna dataskyddslagen.
Någon lagändring i enskilda dataskyddsbestämmelser som hör till Arbetsmarknadsdepartementets ansvarsområde bedöms därmed inte vara nödvändigt utifrån dataskyddsförordningens krav.
81
6 Ny lag med kompletterande dataskyddsbestämmelser för Arbetsmiljöverkets informationssystem om arbetsskador
6.1 Inledning
Arbetsmiljöverkets behandling av personuppgifter sker i dag dels med stöd av personuppgiftslagen (1998:204), dels med stöd av förordningen (2001:706) om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador, nedan kallad registerförordningen. Därtill finns vissa bestämmelser om behandling av personuppgifter (dataskyddsbestämmelser) i exempelvis arbetsmiljölagen (1977:1160).
I kapitlet beskrivs inledningsvis Arbetsmiljöverkets uppdrag och verksamhet. Därefter finns bedömningar och förslag till en ny lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador som är anpassad till dataskyddsförordningens krav.
6.2 Uppdrag och rättslig grund för behandling av personuppgifter
Arbetsmiljöverket är ansvarig förvaltningsmyndighet för arbetsmiljö- och arbetstidsfrågor.
29
Myndighetens uppdrag preciseras i förordningen (2007:913) med instruktion för Arbetsmiljöverket. Av denna framgår bland
Arbetsmiljöverket Ds 2017:33
82
annat att Arbetsmiljöverket särskilt har till uppgift att ha tillsyn över att arbetsmiljö- och arbetstidslagstiftningen följs, att ansvara för officiell statistik enligt förordningen (2001:100) om den officiella statistiken, att ansvara för ett informationssystem om arbetsskador där skillnader i arbetsskador mellan kvinnor och män särskilt ska belysas, samt att följa utvecklingen på arbetsmiljöområdet och ta de initiativ som denna ger upphov till (2 §). Vidare anges i 7 § att myndigheten särskilt ska samverka med Försäkringskassan, Arbetsförmedlingen och Socialstyrelsen för att uppnå en effektivare användning av tillgängliga resurser inom rehabiliteringsområdet. Arbetsmiljöverkets uppdrag och verksamhet bedöms vara av allmänt intresse i dataskyddsförordningens mening.
Den rättsliga grunden för myndighetens behandling av personuppgifter enligt dataskyddsförordningen bedöms till viss del vara att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar myndigheten (artikel 6.1 c). Exempel på detta är bestämmelsen i förordningen med instruktion för Arbetsmiljöverket om att myndigheten ska ansvara för officiell statistik enligt förordningen om den officiella statistiken, bestämmelsen i 4 kap. 3 § 2 i arbetsmiljölagen om att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att arbetsgivare ska föra register över arbetstagare som utsätts för exposition som kan medföra ohälsa och bestämmelsen i 3 kap. 3 a § arbetsmiljölagen där det framgår att arbetsgivare utan dröjsmål ska underrätta Arbetsmiljöverket om dödsfall eller svårare personskada som inträffat i samband med arbetets utförande.
I andra fall torde den rättsliga grunden för behandling av personuppgifter vara att sådan behandling bedöms vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetens myndighetsutövning enligt artikel 6.1 e i dataskyddsförordningen.
Den rättsliga grunden är fastställd i enlighet med nationell rätt i och med att den slås fast i bland annat myndighetens instruktion och enskilda dataskyddbestämmelser i andra författningar.
30
30 Jfr SOU 2017:39 s. 129.
Ds 2017:33 Arbetsmiljöverket
83
6.2.1 Personuppgiftsbehandling vid Arbetsmiljöverket
I sin verksamhet behandlar Arbetsmiljöverket ett betydande antal personuppgifter. Det ligger i uppdragets natur att myndigheten behöver behandla sådana känsliga personuppgifter som rör hälsa, men i myndighetens ärenden kan även andra kategorier av känsliga personuppgifter aktualiseras, exempelvis i ärenden om trakasserier på grund av etnicitet, religiös åsikt eller sexuell läggning.
Arbetsmiljöverket använder sig av ärendehanteringssystemet Public 360. I detta system hanteras årligen cirka 20 000−25 000 inspektionsärenden och ungefär 5 000 övriga ärenden.
Arbetsmiljöverket är även ansvarigt för Utstationeringsregistret där arbetsgivare ska anmäla varje individ som utstationeras för att arbeta i Sverige. Dessa ärenden uppgår till cirka 2 000−3 000 per år. Personuppgifter om individer förekommer dock inte i de delar av registret som är åtkomligt för allmänheten.
Myndigheten har vidare sedan 1990-talet haft ansvar för officiell statistik inom sitt verksamhetsområde. I det uppdraget ingår även att analysera och utveckla statistik.
Enligt 3 kap. 3 a § arbetsmiljölagen är alla arbetsgivare enligt lag skyldiga att skyndsamt anmäla allvarliga olyckor och tillbud till Arbetsmiljöverket. Detta görs i huvudsak i en webbportal med så kallad tvåstegsanmälan, där steg två är att anmälan går vidare och blir ett ärende inom Försäkringskassan.
I 4 kap. 3 § första stycket 2 arbetsmiljölagen bemyndigas regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om att arbetsgivare ska föra register över arbetstagare som utsätts för exposition som kan medföra ohälsa och att arbetsgivare ska lämna uppgifter ur registret till läkare. I andra stycket ges arbetstagare möjlighet att ta del av sådana uppgifter i registret som rör honom eller henne.
Vidare bemyndigas regeringen, eller den myndighet regeringen bestämmer, i 4 kap. 7 § arbetsmiljölagen att meddela föreskrifter om register vid läkarundersökning. Även i 5 kap. 4 § arbetsmiljölagen finns bestämmelser som rör register vid läkarundersökning. Ovan nämnda bestämmelser är exempel på dataskyddsbestämmelser där kravet på behandling av personuppgifter slås fast i själva lagen, medan hur behandlingen ska ske
Arbetsmiljöverket Ds 2017:33
84
regleras i den generella personuppgiftslagen och dess tillhörande förordning.
Behandling av personuppgifter inom ramen för Arbetsmiljöverkets informationssystem om arbetsskador är den enda personuppgiftsbehandling vid myndigheten som har en egen registerförfattning, se avsnitt 6.2.2 och 6.2.3.
6.2.2 Informationssystem om arbetsskador
Arbetsmiljöverket ska enligt förordning hålla ett register som kallas för informationssystem om arbetsskador, ISA. Detta system hålls åtskilt från Arbetsmiljöverkets övriga verksamhet. Antalet ärenden i ISA uppgår till cirka 120 000 per år.
Arbetsskador är olyckor som händer på arbetet eller sjukdomar som beror på arbetet. Arbetsgivaren har ett ansvar att anmäla arbetsskador till Arbetsmiljöverket. Uppgifterna om arbetsskadorna används för att förebygga framtida skador och för arbetsskadestatistik. Statistiken används i det förebyggande arbetsmiljöarbetet och utgör underlag för inriktningen av Arbetsmiljöverkets tillsyn.
Av 42 kap. 10 § socialförsäkringsbalken framgår att arbetsgivaren ska göra en anmälan till Försäkringskassan av arbetsskador. Anmälan görs antingen på blankett som tillhandahålls av Försäkringskassan som i sin tur skannar in blanketten och skickar till Arbetsmiljöverket där anmälan blir underlag för statistik i ISA. Från och med 2012 finns ett system med anmälan via webben. Då fylls uppgifterna istället i direkt i ISA och skickas efterhand till Försäkringskassan.
Anmälan om arbetsskada ska innehålla information om aktuell arbetsplats, var, när och hur olyckan inträffade, uppgift om vilka personer som var involverade och anmälarens kontaktuppgifter. Det skrivs även in ett händelseförlopp. Motsvarande anmälan görs även vid dödsfall på grund av arbetsolycka.
Utifrån anmälningarna skapar Arbetsmiljöverket statistik som syftar till att förebygga arbetsskador. Informationssystemet utgör därmed inte i första hand ett ärenderegister utan är till för främst statistik och förebyggande arbete som saknar koppling till enskilda individer.
Ds 2017:33 Arbetsmiljöverket
85
Personuppgifterna i ISA behandlas för olika ändamål, nämligen för registrering av arbetsskador, bearbetning av uppgifter om registrerade arbetsskador, framställning av statistik, skadeutredningar, tillsynsverksamhet, forskning och undervisning, planering, uppföljning och utvärdering av förebyggande arbete mot arbetsskador. Behandling av personuppgifter sker även med syftet att fullgöra underrättelseskyldighet som följer av lag eller annan författning.
6.2.3 Nuvarande registerförfattning
Arbetsmiljöverket har en registerförfattning, förordningen om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador. Förordningen, som är Arbetsmarknadsdepartementets äldsta registerförfattning, innehåller sammanlagt åtta paragrafer.
I 1 § avgränsas förordningen till att gälla behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador som är helt eller delvis automatiserad. Enligt 2 § gäller personuppgiftslagen vid behandling av personuppgifter i informationssystemet, i den mån inte annat följer av registerförordningen. Paragrafen innehåller även en hänvisning till bland annat lagen om den officiella statistiken och en bestämmelse om att en registrerad inte har rätt att motsätta sig sådan behandling som är tillåten enligt registerförordningen. I 3 § slås fast att Arbetsmiljöverket är personuppgiftsansvarigt för behandlingen av personuppgifter i informationssystemet. I 4 § finns en bestämmelse om att ändamålet med behandlingen i informationssystemet är att ge underlag för arbetet med att förebygga arbetsskador. I 5 § anges vilka personuppgifter som får behandlas och 6 § innehåller bestämmelser om behandling av känsliga personuppgifter. I 7 § regleras rättelse och skadestånd genom hänvisning till personuppgiftslagens bestämmelser. Den sista bestämmelsen, 8 §, är en överklagandebestämmelse som innehåller en hänvisning till 22 a § förvaltningslagen
(1986:223)
och en upplysning om att endast
beslut om rättelse enligt 7 § och om avslag på ansökan om information enligt 26 § personuppgiftslagen får överklagas.
Arbetsmiljöverket Ds 2017:33
86
6.3 En ny lag
6.3.1 Inledning
Informationsteknikens utveckling och den ökande användningen av denna teknik för behandling av personuppgifter medför ett särskilt behov av skydd mot sådan användning av individrelaterad information som kan anses utgöra ett otillbörligt intrång i den personliga integriteten. Regleringen för sådan behandling av information har utarbetats såväl i internationella sammanhang som i nationell lagstiftning.
I översynen ingår att överväga om nödvändiga bestämmelser i registerförfattningar ska regleras i lag eller förordning.
Första frågan är vilka bestämmelser som ur ett normgivningsperspektiv måste meddelas genom lag eller som kan meddelas i förordning av regeringen. Nästa fråga är om bestämmelser som rent formellt kan meddelas på lägre nivå än lag också ska göra det. I detta avsnitt finns en redogörelse över förutsättningarna och lämpligheten att meddela befintliga bestämmelser i Arbetsmiljöverkets registerförordning på lagnivå.
6.3.2 En ny lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador
Förslag: En ny lag om behandling av personuppgifter i
Arbetsmiljöverkets informationssystem om arbetsskador ska införas.
Lagen ska innehålla en bestämmelse om att lagen tillämpas på automatisk behandling av personuppgifter och annan behandling än automatisk behandling av personuppgifter som ingår i eller kommer att ingå i ett register
Bedömning: Det är varken nödvändigt eller lämpligt att
föreslå en utvidgning av registerförfattningens tillämpningsområde inom ramen för denna översyn.
Skälen för förslaget och bedömningen: I Arbetsmiljöverkets
verksamhet förekommer en omfattande behandling av personuppgifter, vilket även innefattar behandling av känsliga
Ds 2017:33 Arbetsmiljöverket
87
personuppgifter. I dag sker en stor del av sådan behandling endast med stöd av personuppgiftslagen och personuppgiftsförordningen.
En fråga är om Arbetsmiljöverkets registerförordning ska ersättas av en lag och om en sådan lag bör ha ett vidare tillämpningsområde än registerförordningen.
I svensk rätt har det länge varit en ambition att särskilt integritetskänslig registerföring ska regleras i lag, främst därför att en sådan normgivningsnivå säkerställer att det görs en grundlig utredning och en ingående avvägning mellan integritetsintresset och de intressen som talar för registerföringen.
31
Lagreglering
bidrar även till stabilitet och långsiktig förutsebarhet. Ett skäl som brukar anföras för att införa särskilda registerlagar är att man på så sätt åstadkommer en heltäckande, tydlig och uttömmande reglering av vad som ska gälla i fråga om personuppgiftsbehandling hos en viss myndighet eller inom en viss samhällssektor.
32
Ett ytterligare
skäl för att införa särskilda registerlagar eller dataskyddsbestämmelser har varit att dessa anses innebära en bättre garanti för utformningen av integritetsskyddet i särskilt känsliga register. Det finns principiella ställningstaganden att myndighetsregister med ett stort antal registrerade personer och ett integritetskänsligt innehåll bör vara reglerade i registerlag.
33
Den behandling av personuppgifter som Arbetsmiljöverket har behov av att utföra i ISA kan inte i sig anses innebära ett sådant betydande intrång i den personliga integriteten att det av den anledningen krävs att behandlingen regleras i lag. Det förekommer dock ett mycket stort antal ärenden i ISA. Vidare innehåller alla dessa ärenden känsliga personuppgifter eftersom de handlar om arbetsskador, det vill säga personuppgifter om hälsa. Dessa faktorer talar för att registerförordningen bör ersättas med en lag. Här kan även noteras att registerförordningen i stort innehåller liknande bestämmelser som Arbetsförmedlingens, Inspektionen för arbetslöshetsförsäkringens och Institutet för arbetsmarknads- och utbildningspolitisk utvärderings registerlagar.
Att ha samtliga nödvändiga föreskrifter på lagnivå skulle emellertid medföra uppenbara olägenheter för utvecklingen av en
31SOU 2015:39 s. 94. 32SOU 2015:39 s. 176. 33 Se bland annat prop. 2001/02:144 s. 16.
Arbetsmiljöverket Ds 2017:33
88
effektiv förvaltning. En reglering som i alltför hög grad detaljstyr myndighetens behandling av personuppgifter på lagnivå riskerar att hämma reformarbeten, effektiviseringar och förbättringar av bestämmelser som inte i något avseende innebär ett intrång i de registrerades integritet.
34
På områden där det kan förväntas att
föreskrifterna kommer att ändras ofta kan det vara en fördel om de kan ändras så enkelt och smidigt som möjligt.
I avsnitt 6.2.1 om Arbetsmiljöverkets personuppgiftsbehandling framgår att behandling av personuppgifter är centralt hos myndigheten även i fråga om andra ärenden än dem som hanteras i ISA. Det framgår även att dessa övriga ärenden är relativt många till antalet och att de kan innehålla känsliga personuppgifter. Det finns därför skäl för att överväga en lag med ett vidare tillämpningsområde än den nuvarande registerförordningen, som är begränsad till personuppgiftbehandling inom ISA.
Det kan i det sammanhanget konstateras att ett av de huvudsakliga syftena med dataskyddsförordningen är just att stärka skyddet för individen och att merparten av de i framtiden gällande materiella bestämmelserna kommer att finnas i förordningen. Vidare innehåller den föreslagna dataskyddslagen de generella nationella kompletteringar och undantag som Dataskyddsutredningen bedömer är möjligt och lämpliga. Det kommer således även från och med den 25 maj 2018 att finnas ett regelverk som, för Arbetsmiljöverkets del, möjliggör fortsatt personuppgiftsbehandling för hela verksamheten och som i sig medför ett förstärkt skydd för den enskilde. Det är således inte nödvändigt att föreslå en utvidgning av tillämpningsområdet inom ramen för denna översyn.
Det är också tydligt att det finns klara nackdelar förenade med regleringsmodellen med sektorsspecifika registerförfattningar. Regelverket är svåröverblickbart och fragmentariskt vilket medfört tillämpningsproblem i olika avseenden, inte minst vid uppgiftsutbyte mellan myndigheter.
35
Ett ytterligare skäl som talar för att iaktta viss försiktighet vad gäller ny, kompletterande reglering är den osäkerhet som den kommande tillämpningen av dataskyddsförordningen trots allt får
34 Jfr SOU 2015:39 s. 204. 35SOU 2015:39 s. 177.
Ds 2017:33 Arbetsmiljöverket
89
anses medföra. Rättsområdet är omfattande och komplext och konsekvenser och följder av kommande tillämpning är svåra att helt överblicka. En utvidgning av tillämpningsområdet skulle även medföra ett behov av att göra en ingående analys av tekniska funktioner, uppgifternas omfattning och användningsområde och inte minst en innehållsmässig integritetsanalys. En sådan översyn av Arbetsmiljöverkets verksamhet varken ryms eller lämpar sig att göra inom detta uppdrag.
Med hänsyn till detta talar övervägande skäl mot att införa nya, specifika dataskyddsbestämmelser för den personuppgiftsbehandling som Arbetsmiljöverket i dag gör med stöd av personuppgiftslagen.
Sammanfattningsvis bör centrala bestämmelser om behandling av personuppgifter i Arbetsmiljöverkets informationssystem för arbetsskador regleras i lag, som där det är lämpligt kompletteras med föreskrifter på förordningsnivå. Övrig personuppgiftsbehandling inom Arbetsmiljöverket bör även fortsättningsvis hämta rättsligt stöd från det generella regelverket om hantering av personuppgifter.
6.3.3 Tillämpningsområde – automatiserad och icke automatiserad behandling
Den nuvarande registerförordningen reglerar sådan behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador som är helt eller delvis automatiserad. Dataskyddsförordningens materiella tillämpningsområde omfattar dock, enligt artikel 2.1, även annan behandling än automatisk behandling av personuppgifter som ingår i eller kommer att ingå i ett register. I syfte att harmonisera Arbetsmiljöverkets registerförfattning till dataskyddsförordningen bör den föreslagna lagens tillämpningsområde vara detsamma som dataskyddsförordningens tillämpningsområde. Det bör alltså innefatta annan behandling än automatisk behandling av personuppgifter som ingår i eller kommer att ingå i ett register.
Arbetsmiljöverket Ds 2017:33
90
6.4 Rätten att göra invändningar
Förslag: Lagen ska innehålla en bestämmelse om att behandling
enligt lagen får utföras även om den registrerade invänder mot behandlingen.
Skälen för förslaget: En bestämmelse om att behandling av
personuppgifter som är tillåten enligt registerlagen får utföras även om den registrerade invänder mot behandlingen innebär en inskränkning av den registrerades rätt att när som helst göra invändning mot behandling av personuppgifter enligt artikel 21.1 i dataskyddsförordningen. Av artikeln, som är tillämplig på sådan personuppgiftsbehandling som utgör en uppgift av allmänt intresse, framgår att den personuppgiftsansvarige, för att få fortsätta behandla uppgifterna i en sådan situation, måste kunna visa på tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter.
I avsnitt 4.2.2 redogörs för att den registrerades rättigheter kan begränsas under vissa förutsättningar. Kraven för en sådan begränsning framgår av artikel 23 i dataskyddsförordningen. Ett krav är att en sådan begränsning utgör en nödvändig och proportionerlig åtgärd i syfte att säkerställa vissa angivna intressen.
Arbetsmiljöverkets informationssystem om arbetsskador syftar till att kartlägga och förebygga arbetsskador, vilket torde vara ett viktigt mål av generellt allmänt intresse enligt artikel 23.1 e i dataskyddsförordningen. Den behandling av personuppgifter som föreslås kunna göras i enlighet med registerlagen bedöms vidare vila på rättslig grund enligt artikel 6.1 e i förordningen och är fastställd i enlighet med nationell rätt.
Behandlingen av personuppgifter enligt den föreslagna registerlagen sker i de registrerades, och i förlängningen samhällets intresse. En rätt att invända mot behandling av personuppgifter som är tillåten enligt lagen skulle påverka Arbetsmiljöverkets möjlighet att utföra de uppgifter som myndigheten är skyldig enligt lag att hantera. Därför bedöms det som både nödvändigt och proportionerligt att begränsa den registrerades möjlighet att invända mot behandling av personuppgifter i registerlagen med stöd av artikel 23.1 i dataskyddsförordningen.
Ds 2017:33 Arbetsmiljöverket
91
I artikel 23.2 i dataskyddsförordningen anges bland annat att alla begränsande lagstiftningsåtgärder som görs med stöd av artikel 23.1 ska innehålla specifika bestämmelser åtminstone, när så är relevant, avseende ändamålen med behandlingen, kategorierna av personuppgifter, omfattningen av de införda begränsningarna, skyddsåtgärder, specificering av den personuppgiftsansvarige, lagringstid, riskerna för de registrerades rättigheter och friheter samt de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.
I förslaget till Arbetsmiljöverkets registerlag finns bland annat specificering av vem som är personuppgiftsansvarig (3 §), preciserade ändamålsbestämmelser (4 och 5 §§) samt bestämmelse om tillgång till personuppgifter (11 §). Regleringen är sådan att den bedöms uppfylla de krav som ställs på en begränsande lagstiftningsåtgärd enligt artikel 23.2 i dataskyddsförordningen.
Bestämmelsen om att behandling av personuppgifter enligt registerlagen får ske även om den registrerade invänder mot detta bedöms sammanfattningsvis vara en sådan begränsning av den registrerades rättigheter som uppfyller kraven i artikel 23.1 och 23.2 i dataskyddsförordningen. Registerlagen bör därför innehålla en sådan bestämmelse.
De olika rättsliga grunderna i artikel 6.1 är sinsemellan överlappande. I sammanhanget finns det även anledning att erinra om att det i 2 § 2 förordningen med instruktion för Arbetsmiljöverket anges att Arbetsmiljöverket särskilt har till uppgift att ansvara för ett informationssystem om arbetsskador där skillnader i arbetsskador mellan kvinnor och män särskilt ska belysas. Eftersom Arbetsmiljöverket har en skyldighet att ansvara för informationssystemet om arbetsskador kan myndighetens behandling av personuppgifter i dessa delar ses som en nödvändig personuppgiftsbehandling för att fullgöra en rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen. I det fallet gäller inte rätten till invändningar enligt artikel 21. En bestämmelse om att den registrerade inte har rätt att motsätta sig sådan behandling som är tillåten enligt registerlagen strider därmed inte emot artikel 21 i dataskyddsförordningen. Eftersom bestämmelsen bedöms både som nödvändig och proportionerlig och syftar till att myndigheten ska kunna fullgöra denna del av sitt uppdrag på ett effektivt och ändamålsenligt sätt kan bestämmelsen införas i lagen även med full-
Arbetsmiljöverket Ds 2017:33
92
görande av rättslig förpliktelse enligt artikel 6.1 c som rättslig grund.
6.5 Förhållandet till annan författning
6.5.1 Förhållandet till EU:s dataskyddsförordning
Förslag: Den nya lagen ska innehålla en bestämmelse där det
tydliggörs att lagen kompletterar dataskyddsförordningen.
Skälen för förslaget: Merparten av de materiella bestämmelser som
ska tillämpas vid behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador finns i dataskyddsförordningen. För att tydliggöra detta föreslås att det i lagen införs en bestämmelse som anger att lagen kompletterar dataskyddsförordningen. Genom en sådan bestämmelse klargörs dels normhierarkin, dels att registerlagen inte utgör en uttömmande reglering. Bestämmelsen syftar till att göra registerlagen och dess sammanhang begripligt både för dem som tillämpar lagen och de registrerade.
6.5.2 Förhållandet till dataskyddslagen
Förslag: Den nya lagen ska innehålla en bestämmelse som anger
att den föreslagna dataskyddslagen gäller vid behandling av personuppgifter inom Arbetsmiljöverkets informationssystem om arbetsskador, om inte annat följer av registerlagen eller föreskrifter som har meddelats i anslutning till registerlagen.
Skälen för förslaget: När dataskyddsförordningen träder i data-
skyddsdirektivets ställe och personuppgiftslagen upphävs kommer de flesta materiella bestämmelser om dataskydd som Arbetsmiljöverket ska tillämpa att finnas i dataskyddsförordningen.
Därutöver kommer det enligt Dataskyddsutredningens förslag att finnas generella bestämmelser i den föreslagna dataskyddslagen som utgör tillåtna specificeringar och undantag till dataskyddsförordningen.
Ds 2017:33 Arbetsmiljöverket
93
Den föreslagna dataskyddslagen är subsidiär till annan registerlagstiftning och dess bestämmelser kommer därmed att gälla för Arbetsmiljöverket i den mån inte registerlagen eller annan författning föreskriver annat. Det är således inte en rättslig nödvändighet att införa en hänvisningsbestämmelse i registerlagen till dataskyddslagen. Att införa en upplysningsbestämmelse som klargör att registerlagen inte utgör en uttömmande nationell reglering under dataskyddsförordningen fyller dock ett pedagogiskt syfte som underlättar för tillämparen och för enskilda att hitta relevanta lagrum. Därför föreslås att det införs en upplysningsbestämmelse som anger att dataskyddslagen gäller om inte annat följer av registerlagen eller föreskrifter som har meddelats i anslutning till densamma.
6.5.3 Förhållandet till lagen om officiell statistik
Förslag: Den nya lagen ska innehålla en bestämmelse som hän-
visar till lagen om den officiella statistiken och förordningen om den officiella statistiken.
Skälen för förslaget: Förutom dataskyddsförordningen och den
föreslagna dataskyddslagen finns det andra lagar som kommer att vara tillämpliga för behandling som sker enligt den nya registerlagen. En sådan lag är exempelvis lagen (2001:99) om den officiella statistiken. Arbetsmiljöverket har ett särskilt uppdrag att ansvara för officiell statistik. Lagen om den officiella statistiken ligger under Finansdepartementets ansvarsområde. Arbetsmiljöverkets nuvarande registerförordning innehåller en upplysningsbestämmelse där det anges att det i den lagen och i den tillhörande förordningen (2001:100) om den officiella statistiken finns bestämmelser om behandling av personuppgifter.
Det har inte framkommit att dataskyddsförordningen kommer att innebära en förändring av gällande rätt i dessa delar. Det är därför, inte minst ur pedagogisk synpunkt, lämpligt att Arbetsmiljöverkets registerlag i likhet med den nu gällande förordningen erinrar om att lagen om den officiella statistiken och förordningen om den officiella statistiken är tillämpliga.
Arbetsmiljöverket Ds 2017:33
94
6.6 Personuppgiftsansvar
Förslag: Den nya lagen ska innehålla en bestämmelse om att
Arbetsmiljöverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför enligt lagen.
Skälen för förslaget: Dataskyddsförordningen innebär ett långt-
gående ansvar för den personuppgiftsansvarige att se till att all behandling av personuppgifter som denne ansvarar för sker i överensstämmelse med förordningen.
I artikel 4.7 första ledet i dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Bedömningen av vem som är personuppgiftsansvarig för en viss behandling ska därmed enligt huvudregeln göras utifrån dataskyddsförordningen och med utgångspunkt i de faktiska omständigheterna i varje enskilt fall.
I de fall ändamålen och medlen för behandlingen bestäms av medlemsstaternas nationella rätt finns, enligt andra ledet i artikel 4.7 i dataskyddsförordningen, en möjlighet att ange vem som är personuppgiftsansvarig i den nationella rätten.
Att införa en bestämmelse där det fastställs att Arbetsmiljöverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför enligt lagen är såväl möjligt som lämpligt. Den yttersta ramen för vilka behandlingar enligt lagen som är tillåtna framgår av lagens tillämpningsområde (1 §) och ändamålsbestämmelser (4 och 5 §§). Det är den personuppgiftsansvarige, det vill säga Arbetsmiljöverket, som i varje enskild situation ska ta ställning till vilken behandling av uppgifter som ska och bör ske. Medlen för behandlingen framgår av registerlagen, det vill säga att en viss typ av behandling av personuppgifter som görs av en viss myndighet för vissa ändamål på angivet sätt är tillåten. Därmed bestäms såväl ändamål som medel för behandlingen i nationell rätt.
Ett utpekande av personuppgiftsansvarig i lagen ligger vidare i linje med principerna om laglighet, korrekthet och öppenhet (artikel 5.1 a i förordningen) och bidrar till att tydliggöra för de regist-
Ds 2017:33 Arbetsmiljöverket
95
rerade vem de ska hålla ansvarig för behandlingen av personuppgifter. Även från integritetssynpunkt är det lämpligt att på ett tydligt sätt peka ut vem som är personuppgiftsansvarig för personuppgiftsbehandling enligt lagen.
36
Sammanfattningsvis kan och bör lagen innehålla en bestämmelse om personuppgiftsansvarig.
6.7 Ändamål
6.7.1 Primära ändamål
Förslag: I den nya lagen ska ändamålen med behandlingen av
personuppgifter i informationssystemet anges.
Det ska införas en upplysningsbestämmelse som anger att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.
Skälen för förslaget: För att det ska vara möjligt att bedöma om en
viss personuppgiftsbehandling är tillåten är det nödvändigt att beskriva och specificera ändamålet med behandlingen, det vill säga varför behandlingen ska utföras och på vilket sätt personuppgiftsbehandlingen bidrar till dessa ändamål. De fördelar som den föreslagna personuppgiftsbehandlingen bidrar med till det angivna ändamålet måste kunna vägas mot de integritetsrisker som förslaget medför. Ändamålsbeskrivningen bör även vara så utförlig att det går att bedöma vilka personuppgifter som är nödvändiga att behandla. Genom preciserade ändamålsbestämmelser på lagnivå minskas riskerna för ett intrång i den personliga integriteten. Tydliga ändamålsbestämmelser minskar även risken för att personuppgifterna sprids till fler än vad som är nödvändigt med hänsyn till handlingen.
Det är vanligt att ändamålsbestämmelser finns på lagnivå. Skälet till detta torde vara att det, mot bakgrund av ändamålsbestämmelsernas centrala roll för persondataskyddet, sedan länge har
36 Jfr SOU 2015:39 s. 345.
Arbetsmiljöverket Ds 2017:33
96
ansetts som principiellt viktigt att riksdagen beslutar ändamål för stora och integritetskänsliga personregister.
Det övergripande målet med behandlingen av personuppgifter i informationssystemet är att ge underlag för Arbetsmiljöverkets arbete med att förebygga arbetsskador. För att myndigheten ska kunna fullgöra sitt uppdrag på ett ändamålsenligt och effektivt sätt behöver Arbetsmiljöverket ha tillgång till och behandla personuppgifter som många gånger är av integritetskänslig natur.
Genom ändamålsbestämmelser fastslås ramarna för personuppgiftsbehandling inom Arbetsmiljöverkets informationssystem om arbetsskador. En sådan reglering medverkar till att tillförsäkra att personuppgiftshanteringen sker på ett korrekt, lagligt och öppet sätt i förhållande till de registrerade (artikel 5.1 a i dataskyddsförordningen). På samma sätt sätts ramarna i fråga om vilka särskilda, uttryckligt angivna och berättigade ändamål som personuppgifter får samlas in för (artikel 5.1 b). En preciserad ändamålsbestämmelse underlättar även för tillämparen att bedöma och visa vilka uppgifter som är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas enligt principen om uppgiftsminimering (artikel 5.1 c i dataskyddsförordningen).
Med anledning av detta är det lämpligt att i registerlagen precisera att Arbetsmiljöverket får behandla personuppgifter i informationssystemet om det är nödvändigt för att ge underlag för arbetet med att förebygga arbetsskador, vilket innefattar nödvändig registrering av arbetsskador och bearbetning av sådana uppgifter, tillsynverksamhet, skadeutredningar, forskning och undervisning liksom framställning av statistik. I lagen bör även anges att Arbetsmiljöverket får behandla de personuppgifter som behövs för planering, uppföljning och utvärdering av förebyggande arbete mot arbetsskador.
Mer detaljerade bestämmelser om vilka personuppgifter som får behandlas bör regleras på förordningsnivå. Därför bör det i paragrafen upplysas om att regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter om begränsningar av ändamålen och begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.
Ds 2017:33 Arbetsmiljöverket
97
6.7.2 Utlämnande av uppgifter
Förslag: Den nya lagen ska innehålla en bestämmelse om att
personuppgifter får behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning.
Skälen för förslaget: Förutom de primära ändamålen kan det i
vissa fall uppstå ett behov av att lämna ut personuppgifter till annan myndighet eller aktör i enlighet med annan författning. Exempel på detta är när uppgifter inom informationssystemet behöver lämnas ut för att myndigheten ska uppfylla krav i offentlighets- och sekretesslagen respektive andra författningar som tillåter utlämnande av uppgifter. Motsvarande bestämmelse, men i en mindre modern lydelse finns i den nu gällande registerförordningen. Bestämmelsen innehåller inte några materiella regler som påverkas av dataskyddsförordningen. Prövningen av om en behandling ska vara tillåten görs utifrån den i den aktuella situationen relevanta författningen. Bestämmelsen bör tydliggöra att Arbetsmiljöverket kan behöva behandla personuppgifter för att fullgöra en underrättelse- eller utlämnandeskyldighet som följer av annan författning. En avvägning mellan integritetsintrånget och behovet av upplysning får förutsättas ha gjorts i samband med införandet av bestämmelser om uppgiftsutlämnande.
6.7.3 Finalitetsprincipen
Förslag: Det ska i den nya lagen införas en bestämmelse av
vilken det framgår att personuppgifter som har samlats in för de uppräknade ändamålen även får behandlas för andra ändamål under förutsättning att dessa inte är oförenliga med de ändamål för vilka uppgifterna samlades in.
Skälen för förslaget: Enligt artikel 5.1 b i dataskyddsförordningen
ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1
Arbetsmiljöverket Ds 2017:33
98
ska inte anses vara oförenlig med de ursprungliga ändamålen. I artikel 6.4 i förordningen beskrivs vad den personuppgiftsansvarige bör beakta för att fastställa om behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in.
Att uppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in brukar kallas finalitetsprincipen. Principen kommer i dag till uttryck i 9 § första stycket d personuppgiftslagen som genomför artikel 6.1 b i dataskyddsdirektivet. Det har dock inte införts någon bestämmelse i Arbetsmiljöverkets registerförordning som upplyser om att finalitetsprincipen i personuppgifteslagen och dataskyddsdirektivet gäller även inom registerförordningens tillämpningsområde.
Det bör i den nya registerlagen framgå att personuppgifter även får behandlas för andra ändamål än de som uttryckligen anges i lagen under förutsättning att dessa inte är oförenliga med de ändamål för vilka uppgifterna samlades in. Det huvudsakliga skälet till att finalitetsprincipen bör framgå är att ändamålen finns angivna i registerlagen och det kan, om inte finalitetsprincipen uttrycks, framstå som att ändamålsbestämmelserna är uttömmande.
37
Eftersom det finns en möjlighet att i nationell rätt ha ett vidare eller snävare tillämpningsområde än dataskyddsförordningen kan det uppstå en oklarhet om artikel 5.1 b ska tillämpas för behandling enligt registerförfattningen eller om tillämpningsområdet med avsikt är begränsat till att exkludera sådan behandling. Det bedöms därför som nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga att införliva artikel 5.1 b i registerlagen. Enligt skäl 8 i dataskyddsförordningen kan krav på samstämmighet och begriplighet utgöra skäl för att införliva delar av dataskyddsförordningen i nationell rätt. Den föreslagna bestämmelsen är en sådan specificering enligt artikel 6.2 och 6.3 i dataskyddsförordningen som är tillåten. Det kan även påpekas att motsvarande bestämmelse föreslås i registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering.
37 Jfr prop. 2002/03:135 s. 56.
Ds 2017:33 Arbetsmiljöverket
99
6.8 Känsliga personuppgifter m.m.
Förslag: I den nya lagen ska det finnas en bestämmelse om att
inga andra känsliga personuppgifter än sådana som rör hälsa får behandlas för de ändamål som anges i lagen.
Skälen för förslaget: Enligt Arbetsmiljöverkets registerförordning
får endast sådana känsliga uppgifter som rör hälsa behandlas och i dessa fall krävs att behandlingen är nödvändig för de ändamål som listas i registerförordningen. Därtill får uppgifter om språktillhörighet behandlas.
Dataskyddsförordningen förbjuder i artikel 9.1 behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och behandling av genetiska uppgifter, biometeriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Genetiska uppgifter, biometriska uppgifter och uppgifter om sexuell läggning är nya kategorier som har lagts till i dataskyddsförordningen.
Samtliga dessa uppgifter benämns i förordningen som särskilda kategorier av personuppgifter − i personuppgiftslagen och i registerförfattningar används däremot begreppet ”känsliga personuppgifter”. Dataskyddsutredningen anser att begreppet känsliga personuppgifter är tydligare än ”särskilda kategorier av uppgifter” och anför att det är inarbetat även på EU-nivå. I enlighet med Dataskyddsutredningens förslag bör således även fortsättningsvis begreppet känsliga personuppgifter användas i Arbetsmiljöverkets registerlag.
38
Förbudet i artikel 9.1 i dataskyddsförordningen mot att behandla känsliga personuppgifter är i sig direkt tillämpligt och behöver inte införas i nationell rätt. Dataskyddsförordningen hindrar emellertid inte en relativt detaljerad reglering av myndigheters behandling av känsliga personuppgifter i sektorspecifika författningar.
38 Se SOU 2017:39 s. 162.
Arbetsmiljöverket Ds 2017:33
100
I artikel 9.2 i dataskyddsförordningen preciseras vissa uttryckliga och uttömmande undantag från förbudet i artikel 9.1, till exempel om behandlingen är nödvändig på grund av hänsyn till ett viktigt allmänt intresse (9.2 g). I artikel 9.2 j finns en bestämmelse om behandling av känsliga personuppgifter för bland annat statistik- och forskningsändamål. Artikeln hänvisar till artikel 89.1 och ställer krav på att behandlingen även ska innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. När behandling av känsliga personuppgifter görs med stöd av denna bestämmelse i fråga om forskning och statistik, finns således ytterligare krav på säkerhet och skyddsåtgärder enligt dataskyddsförordningen. Vad gäller innebörden av begreppet nödvändig, se avsnitt 4.2.1.
I skäl 10 till dataskyddsförordningen anges bland annat att förordningen ger medlemsstaterna handlingsutrymme att specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter (känsliga uppgifter), och att förordningen inte utesluter att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där uppgifter behandlas. I skäl 52 anges bland annat att undantag från förbudet att behandla särskilda kategorier av personuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter. En förutsättning för sådana undantag är till exempel när allmänintresset motiverar detta.
Som framgår av avsnitten 6.2.1 och 6.2.2 har Arbetsmiljöverket enligt lag i uppdrag att hålla i ett register över arbetsskador. De uppgifter som ska hanteras i registret är kopplade till individers hälsa. Möjligheten att behandla personuppgifter om hälsa i Arbetsmiljöverkets informationssystem om arbetsskador bedöms vara en förutsättning för att myndigheten ska kunna sköta den delen av verksamheten på ett ändamålsenligt sätt. Såvitt framkommit är det endast den kategorin av känsliga personuppgifter – hälsa - som Arbetsmiljöverket kan komma att hantera i registret.
Eftersom huvudregeln i dataskyddsförordningen är ett förbud mot behandling av känsliga personuppgifter och undantag från denna huvudregel är omgärdade av specifika krav, bedöms det som
Ds 2017:33 Arbetsmiljöverket
101
nödvändigt och proportionerligt med hänsyn till integritetsskyddet att i den föreslagna lagen ställa upp preciserade krav för när, för vilka ändamål samt vilka kategorier av känsliga personuppgifter som får behandlas.
I fråga om Arbetsmiljöverket bör det därför framgå av den föreslagna lagen att endast sådana känsliga personuppgifter som berör hälsa får behandlas i informationssystemet om arbetsskador (ISA). Bestämmelsen är en proportionerlig och nödvändig förutsättning för att Arbetsmiljöverket ska kunna genomföra sitt uppdrag i denna del. I bedömningen har även beaktats att ISA utgör en specifik och avgränsad verksamhetsgren och att behandling av personuppgifter om hälsa endast är tillåtet i den mån det är nödvändigt och då endast för de i den föreslagna lagen angivna ändamålen. I sammanhanget kan framhållas att ISA inte heller primärt är ett ärendehanteringsregister. I lagen föreslås även en skyddsbestämmelse som anger att tillgång till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter (11 §). Sammantaget bedöms det som såväl nödvändigt som proportionerligt att Arbetsmiljöverket ges fortsatt möjlighet att behandla uppgifter om hälsa.
I detta sammanhang kan erinras om att Arbetsmiljöverket är en myndighet som enskilda i stor utsträckning vänder sig till för att anmäla missförhållanden. Anmälningarna kan innehålla uppgifter av känslig natur och myndigheten kan naturligtvis inte påverka vilka uppgifter som de enskilda på eget initiativ lämnar in till myndigheten. Varken Arbetsmiljöverket eller andra myndigheter har någon möjlighet att förhindra att en enskild inkommer med känsliga personuppgifter till myndigheten. Därför måste myndigheter i dessa fall ha möjlighet att behandla de känsliga personuppgifterna, det vill säga i förekommande fall lagra, gallra och på annat sätt hantera uppgifterna.
6.9 Tillgång till personuppgifter inom Arbetsmiljöverket
Förslag: Tillgång till personuppgifter ska begränsas till vad var
och en behöver för att kunna fullgöra sina arbetsuppgifter.
Arbetsmiljöverket Ds 2017:33
102
Skälen för förslaget: Enligt artikel 29 i dataskyddsförordningen
gäller att personuppgiftsbiträden och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast får behandla dessa på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt. Enligt artikel 32.4 ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.
Spridning av personuppgifter har av naturliga skäl stor betydelse för integritetsriskerna med behandlingen. En ökad spridning av personuppgifter innebär en ökad risk för att uppgifterna kommer att användas på ett otillbörligt och icke avsett sätt. Utgångspunkten är därför att personuppgifter inte ska spridas till fler än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. I sammanhanget saknas i princip betydelse hur många som faktiskt tar del av personuppgifterna. Integritetsriskerna är desamma i de fall spridningen innebär att mottagarna har möjlighet att ta del av dem, det vill säga har tillgång till personuppgifterna.
En bestämmelse om att tillgång till personuppgifter ska vara begränsad till vad var och en behöver för att kunna fullgöra sina uppgifter är i linje med artikel 32.4 i dataskyddsförordningen och minskar risken för otillåten behandling av personuppgifter. Det är även fråga om en bestämmelse om lämpliga och särskilda åtgärder för att säkerställa den registrerades intressen som ska införas i fråga om behandling av känsliga personuppgifter enligt artikel 9.1 g i dataskyddsförordningen. En sådan bestämmelse bör därför införas i lagen.
6.10 Sökbegrepp
Bedömning: Den nya lagen ska inte innehålla några begräns-
ningar av tillåtna sökbegrepp.
Ds 2017:33 Arbetsmiljöverket
103
Skälen för bedömningen: Dataskyddsförordningen saknar
bestämmelser om sökning eller användning av sökbegrepp. Sökning och sammanställning av uppgifter som sker elektroniskt är dock behandling av personuppgifter och omfattas därför av dataskyddsförordningens regler. På grund av detta måste en sökning vara laglig enligt artikel 6 och uppfylla kraven i bland annat artikel 5 i dataskyddsförordningen för att vara tillåten. Såväl Arbetsförmedlingen och Inspektionen för arbetslöshetsförsäkringen har bestämmelser om sökbegränsningar i sina registerlagar, medan Institutet för arbetsmarknads- och utbildningspolitisk utvärdering inte har sådan begränsning.
Av artikel 9.2 g i dataskyddsförordningen framgår att behandling av känsliga personuppgifter får ske om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Behandlingen ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga eller särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
I Arbetsmiljöverkets verksamhet finns ett behov av att kunna använda sig av den information som myndigheten har tillgång till på ett så effektivt sätt som möjligt. Elektroniskt framställd information utgör ett kraftfullt verktyg för att uppnå effektivitet och utgör ett värdefullt hjälpmedel för att uppnå hög kvalitet i verksamheten. Samtidigt kan en sådan effektiv informationshantering innebära särskilda risker för skyddet av personuppgifter.
I en databas eller annan textmassa som har lagrats på medium för automatiserad behandling är det möjligt att genom att ange ett så kallade sökbegrepp i en sökmotor söka igenom den lagrade informationen och hitta de poster där begreppet förekommer. På detta sätt är det möjligt att snabbt göra en sammanställning av personuppgifter i en databas och utifrån detta skapa statistik. Statistiken i sig innehåller inte personuppgifter, men för att skapa den är behandling av personuppgifter nödvändigt. Något generellt förbud mot sökning i en databas är dock normalt sett inte motiverat. Ofta kan en sökmotor vara ett värdefullt redskap i myndighetens verksamhet, utan att det för den sakens skull måste innebära risker för den personliga integriteten. De integritetsrisker
Arbetsmiljöverket Ds 2017:33
104
som följer med användningen av ny informationsteknik är nära kopplade till informationsteknikens egenskaper att söka och sammanställa stora mängder av uppgifter. Sök- och sammanställningsmöjligheter kan medföra att uppgifter lättare kan knytas till en fysisk person. De kan även medföra att personuppgifter som annars uppfattas som relativt harmlösa får en mer integritetskänslig karaktär till exempel genom omfattande registrering. Myndigheternas sökmöjligheter har även betydelse för vad som utgör allmän handling enligt 2 kap. 3 § andra stycket tryckfrihetsförordningen.
Vid bedömningen av vilka sökbegrepp som bör vara tillåtna måste en avvägning göras mellan intresset av effektivitet i en myndighets verksamhet och risken för integritetsintrång. Regler om begränsning av tillåtna sökbegrepp bör således ta sikte direkt på sådana typer av sökning som typiskt sett medför särskilda integritetsrisker. I vissa sådana fall måste integriteten ges företräde framför andra intressen, även om goda skäl i och för sig talar för att en viss typ av sökning eller behandling bör vara tillåten.
Arbetsmiljöverket har ett behov av att söka på uppgifter som rör hälsa för att kunna skapa ett underlag för arbetet med att förebygga arbetsskador. I detta arbete ingår framställning av statistik, liksom behandling av personuppgifter för forskning och tillsynsverksamhet.
I den nu gällande registerförordningen finns ingen begränsning i fråga om att använda uppgifter som rör hälsa som sökbegrepp. I Inspektionen för arbetslöshetsförsäkringens och Arbetsförmedlingens registerlagar är det dock förbjudet att använda känsliga personuppgifter som sökbegrepp. I lagarna föreskrivs emellertid ett undantag på så sätt att bland annat kod för hälsotillstånd får användas som sökbegrepp. Denna lösning är emellertid mindre lämplig för Arbetsmiljöverket. De EU-klassificeringar, det vill säga koder för olika hälsobegrepp, som finns framtagna på EU-nivå är inte tillräckligt precisa och anpassade till arbetsskador. Vidare förekommer ofta uppgifter om hälsa i fältet i Arbetsmiljöverkets webbformulär där anmälaren skriver in ett händelseförlopp, vilket innebär att det inte finns någon koppling till kod för dessa uppgifter. Ett ytterligare argument mot användning av koder är att det ständigt pågår en utveckling av olika hälsobegrepp, vilket gör det svårt att se vilka begrepp som kommer
Ds 2017:33 Arbetsmiljöverket
105
användas framöver. Samtidigt står det klart att Arbetsmiljöverket måste ha möjlighet att använda uppgifter som rör hälsa som sökbegrepp, bland annat för att kunna fullfölja sitt uppdrag vad gäller framställande av statistik. Det bör i detta sammanhang beaktas att informationssystemet är separerat från myndighetens övriga verksamhet och att det i lagen föreslås en bestämmelse där tillgången till personuppgifter begränsas vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Utifrån dessa avvägningar görs bedömningen att det inte ska införas någon begränsning vad gäller sökbegrepp i den nya lagen.
6.11 Överklagande
Förslag: Den nya lagen ska innehålla en hänvisning till
överklagandebestämmelserna i den föreslagna dataskyddslagen.
Skälen för förslaget: En registrerad ska enligt artikel 79 i data-
skyddsförordningen ha rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde. Någon närmare beskrivning av innebörden av begreppet effektivt rättsmedel finns inte i förordningen.
Frågan om överklagande är inte sektorsspecifik utan de processuella regler som kompletterar dataskyddsförordningen kommer enligt Dataskyddsutredningens förslag att återfinnas i 8 kap. dataskyddslagen.
I dataskyddslagen föreslås två bestämmelser om överklagande som i sak motsvarar 52 och 53 §§personuppgiftslagen. Eftersom dataskyddslagen ska gälla i den mån inte annat föreskrivs i den nya lagen är det inte nödvändigt att i en särskild bestämmelse hänvisa till dataskyddslagen.
Rätten att överklaga rymmer emellertid grundläggande rättssäkerhetsaspekter. Av hänsyn härtill och av pedagogiska skäl bör det införas en bestämmelse som hänvisar till dataskyddslagens överklagandebestämmelser. Härvid beaktas även att ett syfte med dataskyddsförordningen är att stärka de registrerades rättigheter, varför frånvaro av en överklagandehänvisning skulle kunna medföra missuppfattningen att möjligheter till överklagande försämrats genom dataskyddsförordningen.
107
7 Behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten
7.1 Inledning
I detta kapitel redogörs för vilka författningsändringar som bedöms nödvändiga och lämpliga för att anpassa bestämmelserna i lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten (nedan kallad Arbetsförmedlingens registerlag) till dataskyddsförordningen.
Inledningsvis beskrivs Arbetsförmedlingens uppdrag och verksamhet. Därefter följer bedömningar och förslag till ändringar i registerlagen. Strukturen i kapitlet motsvarar i stort registerlagens disposition, som i sin tur stämmer relativt väl ihop med strukturen i dataskyddsförordningen.
Såsom framgår av avsnitt 4.1.1 är utgångspunkten för översynen att den nuvarande lagstiftningen ska bevaras så långt det är möjligt och att de avvägningar och bedömningar som har legat till grund för bestämmelserna i lagen som huvudprincip bör godtas.
7.2 Arbetsförmedlingens uppdrag och verksamhet
Arbetsförmedlingen ansvarar för den offentliga arbetsförmedlingen och olika arbetsmarknadspolitiska åtgärder. Arbetsmarknadspolitiken rymmer tillsammans med socialförsäkringssystemet stora offentliga utgiftsposter. Från samhällets synpunkt är det väsentligt att den arbetsmarknadspolitiska verksamheten fungerar så friktionsfritt som möjligt och att Arbetsförmedlingen ges förut-
Arbetsförmedlingen Ds 2017:33
108
sättningar att sköta de uppdrag myndigheten är ålagd att göra på ett effektivt och ändamålsenligt sätt.
Myndighetens uppdrag, liksom utgångspunkterna för hur Arbetsförmedlingen ska bedriva sin verksamhet, finns i förordningen (2007:1030) med instruktion för Arbetsförmedlingen. Där framgår bland annat att Arbetsförmedlingen ska verka för att förbättra arbetsmarknadens funktionssätt genom att effektivt sammanföra dem som söker arbete med dem som söker arbetskraft. Verksamheten ska utformas så att den bedrivs på ett effektivt, enhetligt och rättssäkert sätt. Myndigheten har även en viktig funktion vad gäller information till och från andra myndigheter och organ såsom Försäkringskassan, arbetslöshetskassorna och Inspektionen för arbetslöshetsförsäkringen (IAF).
Formerna för den arbetsmarknadspolitiska verksamheten är platsförmedling, vägledning, arbetsmarknadspolitiska program, arbetslivsinriktad rehabilitering, arbetslivstjänster och vissa anställningsfrämjande åtgärder. Arbetsförmedlingens verksamhet bedöms sammanfattningsvis vara av allmänt intresse.
7.2.1 Personuppgiftsbehandling vid Arbetsförmedlingen
Personuppgiftsbehandling är en nödvändig och central förutsättning för Arbetsförmedlingens uppdrag. Inom ramen för den arbetsmarknadspolitiska verksamheten handlägger myndigheten ett mycket stort antal ärenden som i sin tur innehåller ett flertal personuppgifter. Många gånger kan ärendena innehålla känsliga personuppgifter. Arbetsförmedlingen har flera system som behandlar personuppgifter men ärenden behandlas huvudsakligen i databasen (systemet) AIS.
ELIN är ett system där dokument som används i handläggning av ärenden skannas in, eftersom detta inte kan göras i AIS. Uppgifter som förekommer i ELIN kan bland annat vara uppgifter som avslöjar hälsa såsom läkarintyg, medicinska undersökningar och journalkopior som lämnas in av de arbetssökande.
Varken AIS eller ELIN är byggda för att hantera ärenden. Detta innebär att handläggare som har fått behörighet till ett visst personnummer har tillgång till alla uppgifter utan styrning på ärendegränser.
Ds 2017:33 Arbetsförmedlingen
109
Som anförts i avsnitt 4.2.1 gör Dataskyddsutredningen bedömningen att statliga myndigheters verksamhet i allt väsentligt är av allmänt intresse och att det därmed är den rättsliga grunden i artikel 6.1.e dataskyddsförordningen som vanligen bör tillämpas för myndigheter.
Sammanfattningsvis är personuppgiftsbehandling av yttersta vikt för myndigheten. Arbetsförmedlingens verksamhet syftar till en välfungerande arbetsmarknad. Den behandling av personuppgifter som görs i enlighet med registerlagen bedöms vila på rättslig grund enligt artikel 6.1 e i dataskyddsförordningen och vara fastställd i enlighet med nationell rätt.
7.3 Lagens tillämpningsområde
Bedömning: Dataskyddsförordningen innebär inte att de
verksamhetsområden som lagen tillämpas inom behöver ändras.
Förslag: För att anpassa tillämpningsområdet för lagen till
dataskyddsförordningen ska bestämmelsen om helt eller delvis automatiserad behandling m.m. formuleras på samma sätt som motsvarande bestämmelse i dataskyddsförordningen.
Skälen för bedömningen och förslaget: I 1 § första stycket
registerlagen slås fast att lagen gäller vid behandling av personuppgifter vid Arbetsförmedlingens arbetsmarknadspolitiska verksamhet. Vad som utgör arbetsmarknadspolitisk verksamhet framgår av förordningen (2000:628) om den arbetsmarknadspolitiska verksamheten. Regeringen beslutade den 6 april 2017 propositionen Ett nytt regelverk för nyanlända invandrares etablering i arbets- och samhällslivet (prop. 2016/17:175, bet. 2016/17:AU15). I propositionen föreslås bland annat att det nuvarande andra stycket om att lagen också ska tillämpas vid ärenden om ersättning enligt lagen (2010:197) om etableringsinsatser för vissa nyanlända invandrare, ska upphävas. Ändringarna föreslås träda i kraft den 1 januari 2018, varför denna översyn utgår från bestämmelserna som de är utformade enligt förslaget i propositionen.
Från lagens tillämpningsområde undantas i 1 § andra stycket de insatser som även utgör hälso- och sjukvård. På den delen av
Arbetsförmedlingen Ds 2017:33
110
myndighetens verksamhet är istället patientdatalagen (2008:355) tillämplig.
Intern administration, såsom uppgifter om personal eller uppgifter om vem som handlägger ett visst ärende, faller utanför lagens tillämpningsområde eftersom sådan behandling i princip är likställd den som sker hos enskilda personuppgiftsansvariga i rollen som till exempel arbetsgivare.
39
Sådan behandling av personuppgifter
kommer framöver att regleras i dataskyddsförordningen, kompletterad av den föreslagna dataskyddslagen.
Dataskyddsförordningens syfte och tillämpningsområde anges i artiklarna 1−3 och motsvaras i sak av dataskyddsdirektivets bestämmelser. Eftersom dataskyddsförordningen inte innebär någon nyhet vad gäller tillämpningsområdet i förhållande till direktivet och direktivet är genomfört i svensk rätt kan således bestämmelsen i 1 § första och andra stycket registerlagen kvarstå oförändrade.
I 1 § tredje stycket registerlagen anges att lagen endast gäller om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Innehållet i bestämmelsen motsvarar innehållet i artikel 2.1 i dataskyddsförordningen.
I syfte att harmonisera Arbetsförmedlingens registerlag till dataskyddsförordningen bör den föreslagna lagens tillämpningsområde vara detsamma som dataskyddsförordningens tillämpningsområde. Det bör alltså innefatta annan behandling än automatisk behandling av personuppgifter som ingår i eller kommer att ingå i ett register.
39 Se prop. 2001/02:144 s. 18 och SOU 2015:39 s. 224 f.
Ds 2017:33 Arbetsförmedlingen
111
7.4 Rätten att göra invändningar
Bedömning: Bestämmelsen om att behandling får utföras även
om den registrerade motsätter sig behandlingen kan och bör behållas.
Förslag: För att anpassa lagens terminologi till
dataskyddsförordningen ska dock motsätter sig ändras till
invänder mot.
Skälen för bedömningen och förslaget: I 1 a § första stycket
Arbetsförmedlingens registerlag anges att behandling av personuppgifter som är tillåten enligt lagen får utföras även om den registrerade motsätter sig behandlingen. I andra stycket ges regeringen, eller den myndighet som regeringen bestämmer, möjlighet att meddela föreskrifter om undantag från första stycket.
Bestämmelsen i första stycket innebär en inskränkning av den registrerades rätt att, enligt artikel 21.1 dataskyddsförordningen, när som helst göra invändning mot behandling av personuppgifter. Av artikeln, som är tillämplig på sådan personuppgiftsbehandling som utgör en uppgift av allmänt intresse, framgår att den personuppgiftsansvarige, för att få fortsätta behandla uppgifterna i en sådan situation, måste kunna visa på tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter.
I avsnitt 4.2.2 redogörs för att den registrerades rättigheter kan begränsas under vissa förutsättningar. Kraven för en sådan begränsning framgår av artikel 23 i dataskyddsförordningen. Ett krav är att en sådan begränsning utgör en nödvändig och proportionerlig åtgärd i syfte att säkerställa vissa angivna intressen.
Frågan om en registrerad ska ha rätt att invända mot behandling av personuppgifter som avser denne har övervägts vid flera tillfällen och de argument som då förts fram är fortfarande övertygande.
40
I
sammanhanget kan framhållas att behandlingen av personuppgifter enligt registerlagen får anses ske i de registrerades eget intresse. En rätt att invända mot behandling av personuppgifter som är tillåten enligt lagen skulle påverka Arbetsförmedlingens möjlighet att ut-
40 Se SOU 2015:39 s. 291 ff.
Arbetsförmedlingen Ds 2017:33
112
föra de uppgifter som myndigheten är ålagd enligt lag att hantera. Det skulle även kunna leda till att andra myndigheter, såsom Försäkringskassan och Skatteverket, skulle få ett bristfälligt underlag i sin ärendehantering. En sådan rätt skulle även kunna få oförutsedda och oönskade effekter för de registrerade. Därför bedöms det som både nödvändigt och proportionerligt att begränsa de registrerades möjlighet att invända mot behandling av personuppgifter i registerlagen med stöd av artikel 23.1 i dataskyddsförordningen.
I artikel 23.2 i dataskyddsförordningen anges bland annat att alla begränsande lagstiftningsåtgärder som görs med stöd av artikel 23.1 ska innehålla specifika bestämmelser åtminstone, när så är relevant, avseende ändamålen med behandlingen, kategorierna av personuppgifter, omfattningen av de införda begränsningarna, skyddsåtgärder, specificering av den personuppgiftsansvarige, lagringstid, riskerna för de registrerades rättigheter och friheter samt de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.
I Arbetsförmedlingens registerlag finns bland annat specificering av vem som är personuppgiftsansvarig (3 §), preciserade ändamålsbestämmelser (4 och 5 §§), bestämmelser om gallring (16 §) samt skyddsåtgärder i exempelvis form av begränsning av tillgång till uppgifter och förbud mot att använda vissa sökbegrepp (11 och 14 §§). Verksamheten är således väl reglerad och regleringen är sådan att den bedöms uppfylla de krav som ställs på en begränsande lagstiftningsåtgärd enligt artikel 23.2 i dataskyddsförordningen.
Bestämmelsen om att behandling av personuppgifter enligt registerlagen får ske även om den registrerade motsätter sig detta bedöms sammanfattningsvis vara en sådan begränsning av de registrerades rättigheter som uppfyller kraven i artikel 23.1 och 23.2 i dataskyddsförordningen. Bestämmelsen kan och bör därför behållas. Dock bör bestämmelsen språkligt anpassas till dataskyddsförordningen på så sätt att motsätter sig ersätts av
invänder mot.
Ds 2017:33 Arbetsförmedlingen
113
7.5 Förhållandet till annan författning
7.5.1 Hänvisningar till personuppgiftslagen
Förslag: Hänvisningarna till personuppgiftslagen ska tas bort.
Skälen för förslaget: Med anledning av att personuppgiftslagen
(1998:204) kommer att behöva upphävas bör alla hänvisningar till den lagen som görs i Arbetsförmedlingens registerlag utgå. Detta innebär för det första att den allmänna hänvisningen till personuppgiftslagen i 2 § registerlagen bör tas bort.
Vissa bestämmelser i registerlagen innehåller hänvisningar till specifika bestämmelser i personuppgiftslagen och även dessa bör upphävas. Detta gäller hänvisningen till 9 § första stycket d och andra stycket personuppgiftslagen som bland annat handlar om finalitetsprincipen (5 § andra stycket i registerlagen), hänvisningar till 13 § personuppgiftslagen om känsliga personuppgifter och 21 § personuppgiftslagen om personuppgifter om lagöverträdelser m.m. (8, 9 och 14 §§ registerlagen) och personuppgiftslagens bestämmelser om rättelse och skadestånd (15 § registerlagen) samt 26 § personuppgiftslagen om överklagande (18 § registerlagen).
7.5.2 Förhållandet till dataskyddsförordningen
Förslag: Det ska införas en bestämmelse där det tydliggörs att
lagen kompletterar dataskyddsförordningen.
Skälen för förslaget: Merparten av de materiella bestämmelser som
ska tillämpas vid behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten finns i dataskyddsförordningen. För att tydliggöra detta föreslås att det i lagen införs en bestämmelse som anger att bestämmelser om behandling av personuppgifter finns i dataskyddsförordningen och att registerlagen innehåller kompletterande bestämmelser till dataskyddsförordningen. Genom en sådan bestämmelse klargörs dels normhierarkin, dels att registerlagen inte utgör en uttömmande reglering. Bestämmelsen syftar till att göra lagtexten och dess sammanhang begripligt både för dem som tillämpar lagen och de registrerade.
Arbetsförmedlingen Ds 2017:33
114
7.5.3 Förhållandet till dataskyddslagen m.m.
Förslag: Lagen ska innehålla en bestämmelse som anger att
dataskyddslagen gäller vid behandling av personuppgifter inom den arbetsmarknadspolitiska verksamheten om inte annat följer av registerlagen eller föreskrifter som har meddelats i anslutning till registerlagen.
Skälen för förslaget: Arbetsförmedlingens registerlag bygger på
personuppgiftslagen och ska, enligt uttalanden i förarbetena, endast innehålla de särbestämmelser och förtydliganden som är nödvändiga för den arbetsmarknadspolitiska verksamheten.
41
När data-
skyddsförordningen träder i direktivets ställe och personuppgiftslagen upphävs kommer de flesta materiella bestämmelser om dataskydd som Arbetsförmedlingen ska tillämpa att finnas i dataskyddsförordningen. Därutöver kommer det, enligt Dataskyddsutredningens förslag, att finnas generella bestämmelser som utgör tillåtna specificeringar och undantag till dataskyddsförordningen i den nationella dataskyddslagen.
Dataskyddslagen är enligt förslaget subsidiär vilket innebär att om det i en annan lag eller förordning har meddelats avvikande bestämmelser gäller de bestämmelserna. Dataskyddslagens bestämmelser kommer därmed att gälla för Arbetsförmedlingen i den mån inte registerlagen eller annan författning föreskriver annat. Det är således inte nödvändigt att införa en hänvisningsbestämmelse till dataskyddslagen i registerlagen. Att införa en bestämmelse som klargör att registerlagen inte utgör en uttömmande nationell reglering under dataskyddsförordningen fyller dock ett pedagogiskt syfte som underlättar för tillämparen och för enskilda att hitta relevanta lagrum. Därför föreslås att det införs en upplysningsbestämmelse som anger att dataskyddslagen gäller om inte annat följer av registerlagen eller föreskrifter som har meddelats i anslutning till registerlagen.
Ds 2017:33 Arbetsförmedlingen
115
7.6 Personuppgiftsansvar
Bedömning: Bestämmelsen om att Arbetsförmedlingen är
personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför kan och bör behållas.
Skälen för bedömningen: Dataskyddsförordningen innebär ett
långtgående ansvar för den personuppgiftsansvarige att se till att all behandling av personuppgifter som denne ansvarar för sker i överensstämmelse med förordningen.
I artikel 4.7 första ledet i dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Bedömningen av vem som är personuppgiftsansvarig för en viss behandling ska därmed enligt huvudregeln göras utifrån dataskyddsförordningen och med utgångspunkt i de faktiska omständigheterna i varje enskilt fall.
I de fall ändamålen och medlen för behandlingen bestäms av medlemsstaternas nationella rätt finns en möjlighet enligt andra ledet i artikel 4.7 att ange vem som är personuppgiftsansvarig i den nationella rätten.
I 3 § Arbetsförmedlingens registerlag fastställs att Arbetsförmedlingen är personuppgiftsanvarig för den behandling av personuppgifter som myndigheten utför. Att behålla bestämmelsen bedöms både möjligt och lämpligt. För det första finns det genom registerlagens tillämpningsområde och ändamålsbestämmelserna en yttersta ram för vilka behandlingar som är tillåtna enligt lagen. Det är den personuppgiftsansvarige, det vill säga Arbetsförmedlingen, som i varje enskild situation ska ta ställning till vilken behandling av uppgifter som ska och bör ske. För det andra bestäms medlen för behandlingen i registerlagen och dess registerförordning, det vill säga i författningarna fastställs att en viss typ av behandling av personuppgifter som görs av en viss myndighet (Arbetsförmedlingen) för vissa ändamål på angivet sätt är tillåten. Därmed bestäms såväl ändamål som medel för behandlingen i nationell rätt.
Slutligen ligger ett utpekande av personuppgiftsansvarig i lagen i linje med principerna om laglighet, korrekthet och öppenhet (artikel 5.1 a i förordningen) och bidrar till att tydliggöra för de
Arbetsförmedlingen Ds 2017:33
116
registrerade vem de ska hålla ansvarig för behandlingen av personuppgifter som görs enligt lagen. Även från integritetssynpunkt är det lämpligt att på ett tydligt sätt peka ut vem som är personuppgiftsansvarig för personuppgiftsbehandling enligt lagen.
42
Sammanfattningsvis kan och bör bestämmelsen om personuppgiftsansvarig kvarstå.
7.7 Ändamål
I artikel 5 i dataskyddsförordningen anges de grundläggande principer som vid sidan av den rättsliga grunden i artikel 6.1 i dataskyddsförordningen måste vara uppfyllda vid behandling av personuppgifter.
All personuppgiftsbehandling ska direkt eller indirekt vara kopplad till ett ändamål. Med ändamålet avses syftet och förutsättningarna som styr vilken personuppgiftsbehandling som får ske.
7.7.1 Primära ändamål
Bedömning: Det är, utifrån bestämmelserna i dataskydds-
förordningen, inte nödvändigt att ändra de primära ändamålen i lagen.
Förslag: Kriteriet för behandling ska språkligt justeras till
dataskyddsförordningens terminologi genom att ordet behövs ersätts med är nödvändigt.
Skälen för bedömningen och förslaget: Ändamålsbestämmelser
delas vanligen in i så kallade primära och sekundära ändamål. Primära ändamålsbestämmelser syftar till att tillgodose de behov som finns att behandla personuppgifter i myndighetens egen verksamhet.
I Arbetsförmedlingens registerlag framgår de primära ändamålen i 4 §. Dessa ändamål är bland annat handläggning av ärenden,
42 Jfr SOU 2015:39 s. 345.
Ds 2017:33 Arbetsförmedlingen
117
publicering av platsinformation, planering, uppföljning och framställning av avidentifierad statistik.
Genom ändamålsbestämmelsen fastslås ramarna för personuppgiftsbehandling inom den arbetsmarknadspolitiska verksamheten. En sådan reglering medverkar till att tillförsäkra att personuppgiftshanteringen inom Arbetsförmedlingen sker på ett korrekt, lagligt och öppet sätt i förhållande till den registrerade (artikel 5.1 a i dataskyddsförordningen). På samma sätt sätts ramarna i fråga om vilka särskilda, uttryckligt angivna och berättigade ändamål som personuppgifter får samlas in för (artikel 5.1 b). En preciserad ändamålsbestämmelse underlättar för tillämparen att bedöma och visa vilka uppgifter som är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas enligt principen om uppgiftsminimering (artikel 5.1 c).
Den befintliga ändamålsbestämmelsen i Arbetsförmedlingens registerlag bedöms således vara utformad på ett sådant sätt som stämmer överens med ovan nämnda principer i dataskyddsförordningen. I avsnitt 4.2.1 redogörs för varför begreppet ”behövs” i registerlagarna bör justeras i enlighet med dataskyddsförordningens terminolog och ersättas med termen ”är nödvändigt”. En sådan justering bör göras i den aktuella bestämmelsen.
7.7.2 Sekundära ändamål
Bedömning: Det är, utifrån bestämmelserna i dataskydds-
förordningen, inte nödvändigt att ändra de sekundära ändamålen i lagen.
Skälen för bedömningen: Utöver de primära ändamålen kan det
finnas allmänna intressen som motiverar att en myndighet även ska få behandla personuppgifter för andra ändamål än dem som primärt ligger inom ramen för myndighetens egen verksamhet. Det kan exempelvis handla om att behandla personuppgifter för att lämna ut uppgifter till en annan myndighet för att den i sin tur ska kunna fullgöra sitt uppdrag. Sådana ändamål brukar kallas sekundära ändamål. Som nämns i avsnitt 7.2 ska Arbetsförmedlingen bistå
Arbetsförmedlingen Ds 2017:33
118
myndigheter och andra som bedriver uppföljning och utvärdering inom Arbetsförmedlingens verksamhetsområde.
43
I 5 § Arbetsförmedlingens registerlag regleras de sekundära ändamålen. Av bestämmelsen framgår att Arbetsförmedlingen får behandla personuppgifter för tillhandahållande av information som behövs inom vissa uppräknade myndigheter och organ, bland annat Försäkringskassan, Skatteverket och arbetslöshetskassorna. Sådan information utgör ett nödvändigt underlag för dessa myndigheters beslut och kontroll.
Bestämmelsen om de sekundära ändamålen utgör därmed en reglering av den behandling som bedöms som nödvändig för att de berörda myndigheterna ska kunna utföra sina arbetsuppgifter på ett effektivt och ändamålsenligt sätt, vilket bedöms vara av allmänt intresse. Genom att de sekundära ändamålen fastställs i bestämmelsen uppfylls dels principen i artikel 5.1 b i dataskyddsförordningen om uttryckliga och berättigade ändamålsbestämmelser, dels i artikel 5.1 c om att bestämmelserna ska vara adekvata, relevanta och inte för omfattande (uppgiftsminimering). Utifrån detta görs bedömningen att det första stycket i bestämmelsen inte behöver ändras.
Enligt 5 § andra stycket registerlagen får Arbetsförmedlingen också behandla personuppgifter för att tillhandahålla information till riksdagen eller regeringen. Behandling av personuppgifter är vidare tillåten för fullgörande av uppgiftslämnande till annan i enlighet med lag eller förordning. Genom bestämmelsen garanteras exempelvis att lagens reglering av de sekundära ändamålen stämmer överens med regleringen i offentlighets- och sekretesslagen.
44
Bestämmelsen bedöms även i dessa delar vara utformad på ett sådant sätt som stämmer överens med ovan nämnda krav i dataskyddsförordningen.
7.7.3 Finalitetsprincipen och ändamålsbegränsning
Förslag: Det ska införas en ny paragraf av vilken det framgår att
personuppgifter som har samlats in för de primära och sekun-
43 Se 4 § 6 förordningen (2007:1030) med instruktion för Arbetsförmedlingen. 44 Jfr prop. 2010/11:1, utg.omr. 14, s. 86.
Ds 2017:33 Arbetsförmedlingen
119
dära ändamålen även får behandlas för andra ändamål under förutsättning att dessa inte är oförenliga med de ändamål för vilka de samlades in.
Skälen för förslaget: Enligt artikel 5.1 b i dataskyddsförordningen
ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål, den så kallade finalitetsprincipen. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska dock inte anses vara oförenlig med de ursprungliga ändamålen.
I artikel 6.4 i dataskyddsförordningen beskrivs vad den personuppgiftsansvarige bör beakta för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in.
Regleringen i artikel 5.1 b i dataskyddsförordningen motsvarar den som finns i artikel 6.1 b i dataskyddsdirektivet som i sin tur är genomförd i 9 § d och andra stycket personuppgiftslagen. I 5 § andra stycket Arbetsförmedlingens registerlag finns en direkt hänvisning till den bestämmelsen i personuppgiftslagen.
Bestämmelserna i artikel 5.1 b och artikel 6.4 i dataskyddsförordningen om finalitetsprincipen är direkt tillämpliga och det är den personuppgiftsansvarige som ansvarar för att kraven för behandlingen är uppfyllda. Det kan därför argumenteras för att den enda nödvändiga förändringen i Arbetsförmedlingens registerlag är att hänvisningen till personuppgiftslagen tas bort. Det finns emellertid flera skäl som talar för att registerlagen även i fortsättningen ska innehålla en bestämmelse som klargör att de ändamål som uppräknas i 4−6 §§ i lagen inte är uttömmande.
Syftet med den nuvarande bestämmelsen som hänvisar till regleringen av finalitetsprincipen i personuppgiftslagen är att klargöra att finalitetsprincipen gäller i Arbetsförmedlingens verksamhet.
45
Lagstiftaren har således dels bedömt att finalitetsprincipen
ska gälla, dels att det är motiverat med en särskild bestämmelse som tydliggör detta. Denna bedömning är fortfarande riktig.
45Prop. 2010/11:1, utg.omr. 14, s. 79.
Arbetsförmedlingen Ds 2017:33
120
Ett ytterligare skäl som talar för att införa en uttrycklig bestämmelse om finalitetsprincipen i Arbetsförmedlingens registerlag är att lagen innehåller bestämmelser som preciserar och kompletterar bestämmelserna i dataskyddsförordningen. I och med att ändamålen finns angivna i registerlagen kan det för de som tillämpar lagen och tredje man verka som att ändamålsbestämmelserna som räknas upp i registerlagen är uttömmande.
46
Därmed finns en risk för att
lagen blir mindre tydlig och transparent. Det bedöms därför som nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer lagen tillämpas på att införliva artikel 5.1 b i registerlagen.
Sammanfattningsvis bör det i registerlagen införas en ny paragraf, 5 a §, som anger att personuppgifter som har samlats in för de primära och sekundära ändamålen även får behandlas för andra ändamål under förutsättning att dessa inte är oförenliga med de ändamål för vilka de samlades in.
7.8 Databaser
Bedömning: Bestämmelsen om att det i den arbetsmarknads-
politiska verksamheten får finnas en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de ändamål som avses i 4−6 §§ (arbetsmarknadspolitisk databas) behöver inte ändras med anledning av dataskyddsförordningen.
Skälen för bedömningen: Med databas i den arbetsmarknadspoliti-
ska verksamheten förstås en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de ändamål som föreskrivs i lagen. Detta framgår av 7 § Arbetsförmedlingens registerlag.
Varken dataskyddsdirektivet, personuppgiftslagen eller dataskyddsförordningen innehåller särskilda definitioner eller begrepp för att beteckna databaser eller olika samlingar av personuppgifter. Det görs som huvudregel ingen skillnad mellan olika former av
46 Jfr prop. 2002/03:135 s. 56.
Ds 2017:33 Arbetsförmedlingen
121
behandling av personuppgifter som helt eller delvis företas på automatisk väg.
47
Lagstiftaren har sedan tidigare bedömt att stora uppgiftssamlingar som hanteras av myndigheter och som ger möjligheter till sammanställningar av en rad olika uppgifter om enskilda personer av integritetsskäl bör omgärdas av särskilda skyddsregler.
48
Med
beaktande av detta, och att ett syfte med dataskyddsförordningen är att stärka de registrerades rättigheter, bör särskilda bestämmelser även fortsättningsvis gälla för behandlling av personuppgifter i databaser i den arbetsmarknadspolitiska verksamheten. Sådana bestämmelser inkluderar bland annat befintliga regler om vilka uppgifter som får behandlas i databasen och för vilka ändamål (1 och 4–6 §§), vilken åtkomst till uppgifter som personal vid Arbetsförmedlingen ska ha (11 §), bestämmelser om sökbegränsningar (14 §) och vad som gäller vid bevarande och gallring (16 §).
En bestämmelse om att det får finnas databaser inom den arbetsmarknadspolitiska verksamheten för vissa angivna ändamål är ett förtydligande och en tillämpning av vad som gäller enligt bland annat den grundläggande principen om uppgiftsminimering i dataskyddsförordningen. Det kan noteras att även de ändamål som listas i den föreslagna nya paragrafen (5 a §) omfattas av bestämmelsen. Databasbestämmelsen kan och bör sammanfattningsvis behållas med stöd av artikel 6.2 och artikel 6.3 i dataskyddsförordningen.
7.9 Känsliga personuppgifter
Bedömning: Det finns inga hinder i dataskyddsförordningen att
behålla nuvarande bestämmelse om känsliga personuppgifter.
Förslag: Det ska dock finnas en hänvisning till
dataskyddsförordningens bestämmelser om särskilda kategorier av personuppgifter (känsliga personuppgifter).
47 Se definitionen av behandling i artikel 4.2 i dataskyddsförordningen och artikel 2.1 om förordningens materiella tillämpningsområde. 48Prop. 2001/02:144 s. 28.
Arbetsförmedlingen Ds 2017:33
122
Skälen för bedömningen och förslaget: Dataskyddsförordningen
förbjuder i artikel 9.1 behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och behandling av genetiska uppgifter, biometeriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Genetiska uppgifter, biometriska uppgifter och uppgifter om sexuell läggning är nya kategorier som har lagts till i dataskyddsförordningen.
Samtliga dessa uppgifter benämns i förordningen som särskilda kategorier av personuppgifter − i personuppgiftslagen och i registerförfattningar används däremot begreppet ”känsliga personuppgifter”. Dataskyddsutredningen anser att begreppet känsliga personuppgifter är tydligare än ”särskilda kategorier av uppgifter” och anför att begreppet är inarbetat även på EU-nivå.
49
I enlighet
med Dataskyddsutredningens förslag bör således även fortsättningsvis begreppet känsliga personuppgifter användas i Arbetsförmedlingens registerlag.
Förbudet i artikel 9.1 i dataskyddsförordningen mot att behandla känsliga personuppgifter är i sig direkt tillämpligt och behöver inte införas i nationell rätt. Dataskyddsförordningen hindrar emellertid inte en relativt detaljerad reglering av myndigheters behandling av känsliga personuppgifter i sektorspecifika författningar.
50
I artikel 9.2 i dataskyddsförordningen preciseras vissa uttryckliga och uttömmande undantag från förbudet i artikel 9.1, till exempel om behandlingen är nödvändig på grund av hänsyn till ett viktigt allmänt intresse (9.2 g).
I skäl 10 till dataskyddsförordningen anges att förordningen ger medlemsstaterna handlingsutrymme att specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter, och att förordningen inte utesluter att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där uppgifter behandlas. I skäl 52 anges bland annat att undantag från förbudet att behandla särskilda kategorier av personuppgifter bör tillåtas om de föreskrivs i unionsrätten eller
49SOU 2017:39 s. 162. 50SOU 2019:39 s. 180 ff.
Ds 2017:33 Arbetsförmedlingen
123
i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter. En förutsättning för sådana undantag är till exempel när allmänintresset motiverar detta.
I dataskyddslagen föreslås det att införas ett generellt undantag från förbudet mot behandling av känsliga personuppgifter. Av 3 kap. 3 § i den föreslagna dataskyddslagen framgår att känsliga personuppgifter får behandlas av en myndighet om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. I 8 § registerlagen slås fast att Arbetsförmedlingen får behandla känsliga personuppgifter om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Av 9 § framgår när behandling av känsliga personuppgifter får ske i en databas och att de får behandlas endast om de har lämnats i ett ärende. Sådana känsliga personuppgifter som avslöjar etniskt ursprung eller rör hälsa får dessutom behandlas i en databas om de är nödvändiga för handläggningen av ett ärende.
I 14 § registerlagen anges att känsliga personuppgifter inte får användas som sökbegrepp. Undantag från sökförbudet finns i vissa fall vad gäller kod för hälsotillstånd eller för sådan funktionsnedsättning som medför nedsatt arbetsförmåga.
Möjligheten att behandla känsliga personuppgifter i den arbetsmarknadspolitiska verksamheten bedöms vara en förutsättning för att myndigheten ska kunna sköta sin verksamhet på ett ändamålsenligt sätt. Ofta sker sådan behandling även i den registrerades eget intresse. Bestämmelserna i registerlagen som tillåter viss behandling av känsliga personuppgifter och de skydd som stadgas i lagen grundar sig således på en avvägning där hänsyn har tagits till integritetsaspekterna.
51
De bedöms vara sådana bestämmelser om
lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen som föreskrivs i artikel 9.1 g, det vill säga innehålla säkerhets- och skyddsåtgärder som ligger i linje med dataskyddsförordningens syfte om skydd för de enskilda. Bestämmelserna är även i linje med artikel 5.1 f i dataskyddsförordningen där det anges att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna.
Arbetsförmedlingen Ds 2017:33
124
Sammantaget innebär regleringen kring hantering av känsliga personuppgifter i registerlagen en sådan avvägning mellan integritetsaspekter och myndighetens behov av att utföra sitt uppdrag, som uppfyller kraven i dataskyddsförordningen.
I stället för att i paragraferna räkna upp de kategorier som anges i artikel 9.1 bör det finnas en hänvisning till artikel 9.1 i dataskyddsförordningen.
52
7.10 Personuppgifter om lagöverträdelser m.m.
Bedömning: Det finns inga hinder i dataskyddsförordningen att
behålla den nuvarande skyddsbestämmelsen om uppgifter om lagöverträdelser m.m.
Förslag: Istället för en hänvisning till personuppgiftslagens
bestämmelser om lagöverträdelser m.m. ska lagen innehålla en uppräkning av de typer av uppgifter om lagöverträdelser m.m. som Arbetsförmedlingen får behandla.
Skälen för bedömningen och förslaget: I artikel 10 i dataskydds-
förordningen anges bland annat att behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kontroll av myndighet eller där behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Bestämmelsen är direkt tillämplig.
Motsvarande reglering i dataskyddsdirektivet omfattar fler uppgifter, nämligen även uppgifter om friande brottsmålsdomar, uppgifter om administrativa sanktioner och avgöranden av tvistemål. Dataskyddsdirektivet har genomförts genom 21 § personuppgiftslagen och Arbetsförmedlingens registerlag innehåller hänvisningar till den bestämmelsen.
Med beaktande av att ett förstärkt skydd för de registrerade är ett av dataskyddsförordningens huvudsyften, framstår det som olämpligt att friande brottmålsdomar, straffprocessuella tvångs-
52 Se till exempel 3 kap. 1 § i den föreslagna dataskyddslagen (SOU 2017:39).
Ds 2017:33 Arbetsförmedlingen
125
medel och administrativa frihetsberövanden som i dag omfattas av särskilda skyddsregler skulle få behandlas utan motsvarande skydd endast för att de faller utanför definitionen i artikel 10 i dataskyddsförordningen. Dataskyddsförordningen hindrar inte heller att medlemsstaterna behåller eller inför mer restriktiva bestämmelser i nationell rätt vad gäller de egna myndigheternas behandling av sådana personuppgifter.
53
Därför bör de uppgifter som räknas upp i den nuvarande 21 § personuppgiftslagen, och på grund av detta omfattas av vissa säkerhets- och skyddsregler, även i fortsättningen ha motsvarande skydd i lag. Detta gäller bestämmelserna om att uppgifterna får behandlas om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det enligt 8 §, bestämmelsen enligt 9 § om behandling i databas och bestämmelsen i 14 § om vilka sökbegrepp som inte ska vara tillåtna. Istället för en hänvisning till personuppgiftslagens bestämmelser om lagöverträdelser m.m. bör dock lagen innehålla en uppräkning av de typer av uppgifter om lagöverträdelser m.m. som Arbetsförmedlingen får behandla.
Sammanfattningsvis är bedömningen att regleringen i registerlagen som berör domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder samt straffprocessuella tvångsmedel och administrativa frihetsberövanden, kan och bör behållas enligt artikel 6.2, 6.3 och artikel 10 i dataskyddsförordningen.
7.11 Personuppgifter om sociala förhållanden m.m.
Bedömning: Bestämmelserna som reglerar när personuppgifter
om sociala förhållanden och omdömen, slutsatser eller andra värderande upplysningar får behandlas i en databas, och förbudet mot att använda sådana uppgifter som sökbegrepp, behöver inte ändras med anledning av dataskyddsförordningen.
Detsamma gäller bestämmelser om behandling av uppgifter om att en enskild har vårdats med stöd av socialtjänstlagen eller har varit föremål för åtgärd enligt utlänningslagen.
53 Se till exempel skäl 8 och 10 samt artiklarna 6.2 och 6.3 i dataskyddsförordningen.
Arbetsförmedlingen Ds 2017:33
126
Skälen för bedömningen: Artikel 6.2 i dataskyddsförordningen
innehåller en möjlighet för medlemsstaterna att behålla specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen, med hänsyn till behandling för att efterleva punkt 1 c och e, genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling.
Arbetsförmedlingens registerlag innehåller i dag vissa skyddsregler för personuppgifter som faller utanför dataskyddsförordningens förstärkta krav i artikel 9 och 10. Bestämmelserna innehåller begränsningar i fråga om behandling av personuppgifter i databas och förbud mot vissa sökbegrepp. Det är personuppgifter om sociala förhållanden och omdömen, slutsatser eller andra värderande upplysningar om en enskild som enligt 9 § andra stycket i registerlagen endast får behandlas i databas om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Samma krav gäller, enligt 10 § i lagen, uppgifter om att den enskilde har vårdats med stöd av socialtjänstlagen eller varit föremål för åtgärd enligt utlänningslagen. Av 14 § i lagen framgår att ovan nämnda uppgifter inte får användas som sökbegrepp.
Dataskyddsförordningen innehåller inga särskilda bestämmelser rörande ovan nämnda kategorier av personuppgifter. De allmänna grundkraven om laglig behandling, tillåten behandling och säkerhetsåtgärder ska självklart vara uppfyllda för att behandling av dessa uppgifter ska få ske – oavsett om det är fråga om att uppgifterna finns i databas eller förbjuds som sökbegrepp.
Med beaktande dels av de överväganden som gjorts inför bestämmelsen i 10 §
54
, dels av att varken uppgift om att den enskilde
har vårdats med stöd av socialtjänstlagen eller varit föremål för en åtgärd enligt utlänningslagen utgör särskilda kategorier av personuppgifter i dataskyddsförordningens mening, bedöms bestämmelsen vara av karaktären skydds- eller säkerhetsbestämmelse som bör kunna behållas enligt artikel 6.2 och 6.3 i dataskyddsförordningen.
54 Se till exempel prop. 2001/02:144 s. 32 ff och prop. 2013/14:1, utg.omr. 14, s. 58.
Ds 2017:33 Arbetsförmedlingen
127
7.12 Åtkomst till personuppgifter
Bedömning: Bestämmelsen om åtkomst till personuppgifter
inom myndigheten behöver inte ändras med anledning av dataskyddsförordningen.
Skälen för bedömningen: Enligt artikel 29 i dataskydds-
förordningen gäller att personuppgiftsbiträden och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast får behandla dessa på instruktion från den personuppgiftsansvarige såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt. Enligt artikel 32.4 i dataskyddsförordningen ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.
Enligt 11 § första stycket Arbetsförmedlingens registerlag ska åtkomst till personuppgifter vara förbehållen de personalkategorier inom Arbetsförmedlingen som på grund av sina arbetsuppgifter behöver ha tillgång till uppgifterna.
Genom att begränsa tillgången till personuppgifter inom myndigheten kan risken för otillåten behandling av personuppgifter minskas. En bestämmelse om en sådan begränsning är därmed i linje med artikel 32.4 i dataskyddsförordningen.
Närmare bestämmelser om vilka som får hantera olika personuppgifter införs lämpligen på förordnings- och föreskriftsnivå. Själva bedömningen av vilka personuppgifter som en anställd behöver tillgång till för att utföra sina arbetsuppgifter är en fråga för den personuppgiftsansvarige.
Bestämmelsen innehåller inte i sig något materiellt innehåll som bedöms riskera att strida mot dataskyddsförordningen varför den kan och bör kvarstå.
Arbetsförmedlingen Ds 2017:33
128
7.13 Direktåtkomst
Bedömning: Bestämmelsen om direktåtkomst behöver inte
ändras med anledning av dataskyddsförordningen.
Skälen för bedömningen: Begreppet direktåtkomst har ingen
legaldefinition. Direktåtkomst innebär att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka information, dock utan att kunna påverka innehållet i registret eller databasen.
55
Direktåtkomst kan däremot ge användaren en
möjlighet att hämta hem informationen till sitt eget system och bearbeta den där.
56
I begreppet ligger också att den som är person-
uppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av. Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar därmed inte några enskilda beslut om utlämnande av de uppgifter som den som har direktåtkomst tar del av.
57
Utlämnande genom direktåtkomst utgör en form av behandling av personuppgifter. Varken dataskyddsdirektivet, personuppgiftslagen eller dataskyddsförordningen reglerar särskilt direktåtkomst. Det är i stället de allmänna bestämmelserna om personuppgiftsbehandling som är tillämpliga. För att direktåtkomst ska vara tillåtet krävs således som vid all personuppgiftsbehandling att kraven i dataskyddsförordningen är uppfyllda.
I 12 § Arbetsförmedlingens registerlag anges vilka myndigheter som får ha direktåtkomst till personuppgifter som behandlas i de aktuella databaserna och för vilka ändamål sådan direktåtkomst får ske. En närmare precisering av vilka personuppgifter som myndigheterna med direktåtkomst ska få tillgång till finns förordningen (2002:623) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. Skälen för införande av möjlighet till direktåtkomst är att sådan tillgång till personuppgifter i Arbetsförmedlingens databas bedömts vara en förutsättning för att de angivna myndigheterna ska kunna bedriva sin verksamhet på ett effektivt och ändamålsenligt sätt.
55Prop. 2009/10:85 s. 168. 56 Se till exempel prop. 2005/06:152 s 34. 57SOU 2015:39 s. 121.
Ds 2017:33 Arbetsförmedlingen
129
Behandlingen är alltså nödvändig för att myndigheterna ska utföra uppgift som bedöms vara av allmänt intresse. Registerlagen innehåller bland annat ändamålsbestämmelser, bestämmelser om sökbegränsningar och villkor för behandling av känsliga personuppgifter. Någon ändring i registerlagens reglering av direktåtkomst med anledning av dataskyddsförordningen bedöms därmed inte vara nödvändig. Sammantaget bör det även fortsättningsvis anges i bestämmelsen vilka myndigheter som ska ha tillgång till vissa specifika uppgifter och under vilka omständigheter detta får ske.
7.14 Utlämnande på medium för automatiserad behandling
Bedömning: Den bestämmelse som ger regeringen möjlighet att
besluta om föreskrifter om utlämnande av uppgifter till enskild på medium för automatiserad behandling kan behållas.
Skälen för bedömningen: Utlämnande av uppgifter till enskild på
medium för automatiserad behandling är en typ av behandling av personuppgifter som faller inom dataskyddsförordningens tillämpningsområde. Därmed måste sådan behandling ha stöd i en rättslig grund enligt artikel 6 och uppfylla principerna i artikel 5 i dataskyddsförordningen samt övriga krav som ställs i förordningen.
Enligt 13 § första stycket Arbetsförmedlingens registerlag är det endast möjligt att lämna ut uppgifter i databasen till en enskild om regeringen har föreskrivit detta. Motiveringen till bestämmelsen är att det med hänsyn till de integritetsrisker som kan följa med utlämnande av personuppgifter till enskilda på medium för automatiserad behandling bör vara tillåtet med sådant utlämnande endast när det efter särskild prövning bedömts lämpligt.
58
Att det i lagen finns en begränsning för enskildas möjlighet att ta del av personuppgifter på medium för automatiserad behandling torde utgöra en sådan bestämmelse som kan behållas i nationell rätt
Arbetsförmedlingen Ds 2017:33
130
enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Därtill är det en bestämmelse som syftar till att tillförsäkra de registrerade en hög skyddsnivå i enlighet med förordningen syfte.
7.15 Rättelse och skadestånd
Förslag: Bestämmelsen om rättelse eller skadestånd ska tas bort.
Skälen för förslaget: Den registrerades rätt till rättelse behandlas i
artikel 16 i dataskyddsförordningen. I artikel 17 regleras de registrerades rätt till radering (”rätten att bli bortglömd”) medan artikel 18 handlar om rätt till begränsning av behandling. Dessa bestämmelser, liksom rätten till dataportabilitet (artikel 20) och rätten att göra invändningar (artikel 21), är direkt tillämpliga. I den föreslagna dataskyddslagen finns i 5 kap. vissa bestämmelser om begränsningar av vissa rättigheter och skyldigheter. Någon specifik hänvisningsbestämmelse till dataskyddslagen är inte nödvändig (se avsnitt 7.5.3).
Även bestämmelsen om skadestånd i artikel 82 i dataskyddsförordningen är direkt tillämplig. I den föreslagna dataskyddslagen finns en bestämmelse, 8 kap. 1 §, som upplyser om att rätten till ersättning enligt artikel 82 i dataskyddsförordningen även gäller vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen.
Sammanfattningsvis bedöms det varken behövligt eller lämpligt att registerlagen innehåller specifika bestämmelser eller hänvisningar till dataskyddsförordningen eller dataskyddslagen i fråga om rättelse, eller skadestånd respektive sanktioner i övrigt.
Ds 2017:33 Arbetsförmedlingen
131
7.16 Gallring
Bedömning: Bestämmelsen i registerlagen som anger vissa
gallringstider utgör en sådan specifikationsbestämmelse som är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen.
Förslag: Gallringsfristen förlängs från två år till tre år.
Bestämmelserna om tidsfrister bedöms i övrigt vara väl avvägda och uppfylla dataskyddsförordningens krav.
Benämningen handläggande myndighet i lagen ska bytas mot
Arbetsförmedlingen.
Benämningen forskningens behov ska ersättas av vetenskapliga
eller historiska behov.
Skälen för bedömningen och förslaget: Lagring av person-
uppgifter är enligt dataskyddsförordningens definition en behand-
ling av personuppgifter. Huvudregeln i artikel 5.1 e är att person-
uppgifter inte får förvaras i en form som möjliggör identifiering under längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. Samma bestämmelse återfinns i 6.1 e i dataskyddsdirektivet, vilket innebär att huvudregeln som sådan inte har förändrats genom dataskyddsförordningen. Det är den personuppgiftsansvarige som ansvarar för att personuppgifter inte lagras på fel sätt eller för lång tid.
I artikel 6.2 och 6.3 i dataskyddsförordningen föreskrivs en möjlighet för medlemsstater att i nationell rätt fastställa mer specifika krav, däribland särskilda bestämmelser om lagringstid.
I 16 § första stycket Arbetsförmedlingens registerlag anges att personuppgifter om en arbetssökande i en databas ska gallras två år efter utgången av året då behandlingen av uppgifterna har avslutats i ett ärende hos den handläggande myndigheten. Uttrycket ”handläggande myndighet” tar sikte på den tidigare organisationen med olika myndigheter inom Arbetsmarknadsverket.
59
Eftersom
Arbetsförmedlingen numera är den enda myndighet som avses i detta sammanhang bör beteckningen handläggande myndighet bytas ut till Arbetsförmedlingen.
Arbetsförmedlingen Ds 2017:33
132
Bestämmelsen om två års gallringstid fanns redan i den tidigare lagen (1994:459) om arbetsförmedlingsregister. I förarbetena till den bestämmelsen vägdes behoven av bevarande mot integritetsaspekten. Tidsfristen om två år bedömdes som en relativt kort men nödvändig gallringstid för uppgift om arbetssökande i en arbetsmarknadspolitisk databas, medan tio år bedömdes nödvändigt för statistikregister.
60
I fråga om gallringstid måste det göras en avvägning där uppgifter inte bevaras längre tid än vad som är nödvändigt för ändamålet eftersom detta innebär ett intrång i den personliga integriteten. Samtidigt måste Arbetsförmedlingen ha ett rättsligt stöd för att kunna lagra de uppgifter som myndigheten behöver för sin verksamhet tillräckligt lång tid. Det har framkommit att Arbetsförmedlingen har ett behov av att bevara uppgifter om arbetssökande längre tid än två år för att kunna fullgöra sitt uppdrag i fråga om jobb- och utvecklingsgarantin.
Enligt 14 § andra stycket förordningen (2007:414) om jobb- och utvecklingsgarantin har den som skrivits ut för att påbörja en utbildning inom skolväsendet eller motsvarande utbildning vid en folkhögskola möjlighet att återinträda i jobb- och utvecklingsgarantin under förutsättning att avbrottet har varat i högst tre år. Eftersom Arbetsförmedlingen enligt registerlagens nuvarande lydelse ska gallra personuppgifter efter två år, blir den praktiska konsekvensen av gallringsfristen att Arbetsförmedlingen inte kan överblicka hela den tidsperiod om tre år, från inträdet till uträdet i programmet, som rätten till återinträde avser. Det går inte heller att återuppta ett sådant ärende eftersom uppgifterna har överlämnats till Riksarkivet för arkivering. Det är den enskilde som själv måste begära ut uppgifterna från Riksarkivet. Tvåårsfristen innebär därmed att Arbetsförmedlingen inte på ett ändamålsenligt och effektivt sätt kan fullgöra sitt uppdrag.
En generell förlängning av gallringsfristen från två till tre år innebär ett visst ingrepp i den personliga integriteten hos många personer som är inskrivna vid Arbetsförmedlingen och som inte berörs av ovan nämnda bestämmelse i jobb- och utvecklingsgarantin. Att införa olika gallringstider för olika program i registerlagen skulle dock sannolikt innebära ett frekvent behov av
Ds 2017:33 Arbetsförmedlingen
133
ändringar i lagens gallringsfrister. Vidare är det svårt att vid inskrivningen förutse vilka program som kan komma att bli aktuella för en arbetssökande på sikt. Integritetsaspekterna måste sålunda vägas mot behovet av ett robust och förutsägbart regelverk. Sammantaget bedöms det inte som ändamåsenligt att införa olika gallringsfrister för olika typer av uppgifter. Den generella tidsfristen för gallring i registerlagen föreslås således förlängas från två år till tre år.
Lagring av de aktuella personuppgifterna bedöms vara nödvändig för att Arbetsförmedlingen ska utföra en uppgift av allmänt intresse. Bestämmelsen om gallring är en specifikationsbestämmelse enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Det bedöms lämpligt och möjligt att förlänga tidsfristen från två till tre år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos den handläggande myndigheten.
7.16.1 Gallring av uppgifter som avskilts för statistiska ändamål
Enligt artikel 5.1 b i dataskyddsförordningen ska ytterligare behandling för bland annat vetenskapliga eller historiska forskningsändamål eller statistiska ändamål inte anses vara oförenlig med de ursprungliga ändamål för vilka personuppgifter samlats in.
Av artikel 5.1 e framgår även att personuppgifter får lagras under längre perioder i den mån de endast behandlas för sådana ändamål, under förutsättning att de lämpliga organisatoriska och tekniska åtgärder som krävs enligt dataskyddsförordningen för att säkerställa den registrerades rättigheter och friheter genomförs. Både artikel 5.1 d och e är direkt tillämpliga, och båda artiklarna innehåller en koppling till artikel 89.1 i förordningen.
I artikel 89.1 i dataskyddsförordningen anges bland annat att behandling för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder. Sådana skyddsåtgärder ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas (det vill säga att personuppgifterna är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för
Arbetsförmedlingen Ds 2017:33
134
vilka de behandlas). Vidare framgår av samma artikel att personuppgifter ska anonymiseras i den mån det är möjligt.
Samma bestämmelse återfinns i 6.1 e dataskyddsdirektivet, vilket innebär att huvudregeln som sådan inte har förändrats genom dataskyddsförordningen. Formuleringen i artikel 5.1 e i dataskyddsförordningen utgör en mindre ändring jämfört med dataskyddsdirektivet och personuppgiftslagen där det istället talas om ”historiska, statistiska eller vetenskapliga ändamål”. Bedömningen är dock att omformuleringen inte innebär någon skillnad i sak.
När det gäller känsliga personuppgifter ställs ytterligare krav i artikel 9.2 j i dataskyddsförordningen. Ett sådant krav är att undantaget ska göras på grundval av unionsrätten eller medlemsstaternas nationella rätt, och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Även i denna artikel finns en koppling till artikel 89.1 i dataskyddsförordningen om lämpliga skyddsåtgärder. I artikel 6.2 och 6.3 i dataskyddsförordningen föreskrivs en möjlighet för medlemsstater att i nationell rätt fastställa mer specifika bestämmelser, däribland särskilda bestämmelser om lagringstid.
Av 16 § andra stycket Arbetsförmedlingens registerlag framgår att personuppgifter får gallras tio år efter att de avskilts om uppgifterna behövs för statistiska ändamål. Enligt bestämmelsens tredje stycke bemyndigas regeringen, eller den myndighet regeringen bestämmer, att meddela föreskrifter om undantag från gallringsfristerna, om det behövs för forskningens behov.
I samband med införandet av gallringsfristerna gjordes bedömningen att det kan finnas behov att bevara personuppgifter för statistiska ändamål. I sådana fall får uppgifterna bevaras i tio år innan de gallras. Därutöver kan det i vissa fall finnas behov av att för forskningens behov bevara personuppgifter längre än tio år.
61
De tider för gallring som föreskrivs i lagen bedöms vara väl avvägda i fråga om Arbetsförmedlingens behov av uppgifterna och hänsyn till de enskildas integritet. Någon ändring i sak är därför inte nödvändig. Däremot bör bestämmelsens andra stycke justeras
Ds 2017:33 Arbetsförmedlingen
135
så att forskningens behov ersätts av vetenskapliga eller historiska
ändamål.
7.17 Bemyndiganden och upplysningsbestämmelser
Bedömning: Bestämmelser med bemyndiganden och
upplysningsbestämmelser i lagen påverkas inte av att dataskyddsförordningen börjar tillämpas.
Skälen för bedömningen: I Arbetsförmedlingens registerlag finns
bestämmelser med bemyndiganden och upplysningsbestämmelser. Till den första kategorin hör bestämmelser som möjliggör för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om undantag från eller begränsningar av lagen. Till den andra kategorin hör bestämmelser som upplyser om att regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter.
Gemensamt för bemyndigandena och upplysningsbestämmelserna är att de inte i sig innehåller några materiella bestämmelser. Under förutsättning att de materiella bestämmelserna i lagen är lagliga och tillåtna enligt dataskyddsförordningen, vilket det i ovan relevanta avsnitt har bedömts att de är, bedöms bestämmelser med bemyndiganden och upplysningsbestämmelser kunna lämnas oförändrade.
7.18 Överklagande
Förslag: Överklagandebestämmelsen ska ändras på så sätt att
den hänvisar till den föreslagna dataskyddslagen.
Skälen för förslaget: Av 18 § registerlagen framgår att rätten att
överklaga är begränsad till två typer av beslut, nämligen Arbetsförmedlingens beslut om rättelse respektive avslag på ansökan om information enligt 26 § personuppgiftslagen.
En registrerad ska enligt artikel 79 i dataskyddsförordningen ha rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller
Arbetsförmedlingen Ds 2017:33
136
ett personuppgiftsbiträde. Någon närmare beskrivning av innebörden av begreppet effektivt rättsmedel finns inte i förordningen. Frågan om överklagande är inte sektorsspecifik utan de processuella regler som kompletterar dataskyddsförordningen kommer, enligt Dataskyddsutredningens betänkande, att återfinnas i dataskyddslagen. Eftersom den föreslagna dataskyddslagen ska gälla i den mån inte annat föreskrivs i den nya lagen är det inte nödvändigt att i en särskild bestämmelse hänvisa till dataskyddslagen. Av pedagogiska skäl, och med beaktande av att registerlagen i dag innehåller en överklagandebestämmelse, bedöms det dock lämpligt att ersätta överklagandebestämmelsen med en upplysningsbestämmelse som hänvisar till dataskyddslagen.
137
8 Behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen
8.1 Inledning
I detta kapitel redogörs för vilka författningsändringar som bedöms nödvändiga och lämpliga för att anpassa bestämmelserna i lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen (nedan kallad IAF:s registerlag) till dataskyddsförordningen.
I kapitlet beskrivs inledningsvis Inspektionen för arbetslöshetsförsäkringens uppdrag och verksamhet. Därefter följer bedömningar och förslag till ändringar i registerlagen. Såsom framgår av avsnitt 4.1.1 är utgångspunkten för översynen att den nuvarande lagstiftningen ska bevaras så långt det är möjligt och att de avvägningar och bedömningar som har legat till grund för bestämmelserna i lagen som huvudprincip bör godtas.
Strukturen i kapitlet motsvarar i huvudsak dispositionen i registerlagen, som i sin tur stämmer relativt väl ihop med strukturen i dataskyddsförordningen.
8.2 Inspektionen för arbetslöshetsförsäkringens uppdrag och verksamhet
Inspektionen för arbetslöshetsförsäkringen (IAF) är en statlig förvaltningsmyndighet som hör till Arbetsmarknadsdepartementet. Bestämmelser om hur IAF ska bedriva sin verksamhet finns i förordningen (2007:906) med instruktion för Inspektionen för arbetslöshetsförsäkringen. Av denna framgår att IAF ansvarar för
IAF Ds 2017:33
138
tillsyn över bland annat arbetslöshetsförsäkringen, arbetslöshetskassorna och Arbetsförmedlingens handläggning av ärenden som har samband med arbetslöshetsförsäkringen. Myndigheten ansvarar även för tillsyn av och rutiner för handläggning av ärenden hos Arbetsförmedlingen och Försäkringskassan som rör åtgärder inom aktivitetsstöd och utvecklingsersättning. Därutöver ska IAF granska Arbetsförmedlingens utbetalning av statsbidrag till arbetslöshetskassorna, verka för att säkerställa att arbetslöshetsersättning betalas ut endast till dem som är berättigade till sådan ersättning, och följa utvecklingen på arbetslöshetsförsäkringens område, samt ta de initiativ till åtgärder som uppföljningen ger anledning till. Myndigheten sammanställer vidare statistik inom dess område och utreder frågor inom tillsynsområdena på regeringens uppdrag.
För att IAF ska kunna fullgöra sina uppdrag behöver myndigheten behandla en stor mängd personuppgifter och en betydande del av dessa är integritetskänsliga. Behandling av personuppgifter är nödvändigt för att såväl ärendehanteringen som tillsynen ska kunna ske på ett korrekt sätt. Tillsynsärendena används senare vid IAF:s uppföljning av arbetslöshetsförsäkringen som syftar till att kartlägga olika konsekvenser av regelverket och dess tillämpning.
62
Som exempel kan nämnas att IAF behöver tillgång till personuppgifter i den arbetsmarknadspolitiska databasen för uppföljning av att arbetslöshetskassorna tillämpar lagarna inom arbetslöshetsförsäkringens område på ett rättssäkert och likformigt sätt och för att kunna kontrollera att statsbidrag utges i enlighet med lagstiftningen och med ett korrekt belopp.
Det bedöms vara ett viktigt samhällsintresse att IAF kan fortsätta att bedriva en effektiv och ändamålsenlig tillsynsverksamhet och den rättsliga grunden för personuppgiftshanteringen som sker inom myndighetsuppdraget bör därmed falla in under artikel 6.1 e dataskyddsförordningen, uppgift av allmänt intresse.
IAF
139
8.3 Lagens tillämpningsområde
Bedömning: Dataskyddsförordningen innebär inte att de
verksamhetsområden som lagen tillämpas inom behöver ändras.
Förslag: För att anpassa tillämpningsområdet för lagen till
dataskyddsförordningen ska bestämmelsen om helt eller delvis automatiserad behandling m.m. formuleras på samma sätt som motsvarande bestämmelse i dataskyddsförordningen.
Skälen för bedömningen och förslaget: IAF:s registerlag bygger
på personuppgiftslagen och innehåller de särregler som anses nödvändiga för IAF:s verksamhet. Enligt 1 § första stycket registerlagen är lagen tillämplig vid behandling av personuppgifter i sådan verksamhet vid IAF som gäller tillsyn, uppföljning, registrering av uppgifter om arbetslöshetskassor, utfärdande av intyg, framtagande av statistik samt rapportering av vissa uppgifter till Arbetsförmedlingen. IAF:s interna, administrativa verksamhet, såsom interna personalärenden faller dock utanför lagens tillämpningsområde.
63
Dataskyddsförordningens syfte och tillämpningsområde anges i artiklarna 1−3 och motsvaras i sak av dataskyddsdirektivets bestämmelser. Eftersom dataskyddsförordningen inte innebär någon nyhet vad gäller tillämpningsområdet i förhållande till dataskyddsdirektivet som är genomfört i svensk rätt kan bestämmelsen i 1 § första stycket i registerlagen kvarstå oförändrad.
När det gäller 1 § andra stycket motsvarar dess innehåll artikel 2.1 i dataskyddsförordningen. Av artikeln framgår att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. I syfte att harmonisera IAF:s registerlag till dataskyddsförordningen bör den föreslagna lagens tillämpningsområde vara detsamma som dataskyddsförordningens tillämpningsområde. Det bör alltså innefatta annan behandling än automatisk behandling av personuppgifter som ingår i eller kommer att ingå i ett register.
IAF Ds 2017:33
140
8.4 Rätten att göra invändningar
Bedömning: Bestämmelsen om att behandling av personupp-
gifter får utföras även om den registrerade motsätter sig behandlingen kan och bör behållas.
Förslag: För att anpassa lagens terminologi till
dataskyddsförordningen ska dock motsätter sig ändras till
invänder mot.
Skälen för bedömningen och förslaget: I 1 § tredje stycket i IAF:s
registerlag anges att behandling av personuppgifter som är tillåten enligt lagen får utföras även om den registrerade motsätter sig behandlingen. Bestämmelsen innebär en inskränkning av den registrerades rätt att när som helst göra invändning mot behandling av personuppgifter enligt artikel 21.1 i dataskyddsförordningen. Av artikeln, som är tillämplig på sådan personuppgiftsbehandling som utgör en uppgift av allmänt intresse, framgår att den personuppgiftsansvarige, för att få fortsätta behandla uppgifterna i en sådan situation, måste kunna visa på tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter.
64
I avsnitt 4.2.2 redogörs för att den registrerades rättigheter kan begränsas under vissa förutsättningar. Kraven för en sådan begränsning framgår av artikel 23 i dataskyddsförordningen. Ett krav är att en sådan begränsning utgör en nödvändig och proportionerlig åtgärd i syfte att säkerställa vissa angivna intressen.
IAF:s verksamhet syftar ytterst till en väl fungerande arbetsmarknad, vilket torde kunna utgöra ett viktigt mål av generellt allmänt intresse enligt artikel 23.1 e i dataskyddsförordningen. Den behandling av personuppgifter som görs i enlighet med registerlagen bedöms vidare vila på rättslig grund enligt artikel 6.1 e i förordningen och grunden för behandlingen är fastställd i enlighet med nationell rätt.
I förarbetena till IAF:s registerlag uttalas bland annat att för att IAF i praktiken ska kunna utföra de verksamheter som regleras i lagen krävs att myndigheten kan behandla personuppgifter utan att
64 Behandling av personuppgifter får även fortsätta om det sker för fastställande, utövande eller försvar av rättsliga anspråk (artikel 21.1, andra meningen dataskyddsförordningen).
IAF
141
inhämta de registrerades samtycke.
65
Denna bedömning är fort-
farande relevant.
Utifrån myndighetens syfte och verksamhet, och mot bakgrund av ovanstående resonemang, bedöms en begränsning av den registrerades rätt att invända mot behandling av personuppgifter enligt registerlagen vara en nödvändig och proportionerlig åtgärd i syfte att säkerställa ett viktigt mål av generellt allmänt intresse enligt artikel 23.1 e i dataskyddsförordningen.
Av artikel 23.2 i dataskyddsförordningen framgår att alla begränsande lagstiftningsåtgärder som görs med stöd av artikel 23.1 ska innehålla specifika bestämmelser åtminstone, när så är relevant, avseende ändamålen med behandlingen, kategorierna av personuppgifter, omfattningen av de införda begränsningarna, skyddsåtgärder, specificering av den personuppgiftsansvarige, lagringstid, riskerna för de registrerades rättigheter och friheter samt de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.
Bestämmelsen om att behandling enligt registerlagen får ske även om den registrerade motsätter sig detta har utformats med respekt för andemeningen i de grundläggande friheterna och rättigheterna. I lagen finns preciserade ändamålsbestämmelser (4 och 5 §§), specificering av vem som är personuppgiftsansvarig (3 §), bestämmelser om gallring (15 §) samt bestämmelser om skyddsåtgärder i exempelvis form av förbud mot att använda vissa sökbegrepp (13 §). Verksamheten är således väl reglerad och regleringen är sådan att den bedöms uppfylla de krav som ställs på en begränsande lagstiftningsåtgärd enligt artikel 23.2 i dataskyddsförordningen.
Bestämmelsen är sammanfattningsvis en sådan begränsning av de registrerades rättigheter som uppfyller kraven i artikel 23.1 och 23.2 i dataskyddsförordningen och som därmed i enlighet med artikel 6.2 och 6.3 kan och bör vara kvar. Dock bör bestämmelsen språkligt anpassas till dataskyddsförordningen på så sätt att
motsätter sig ersätts av invänder mot.
IAF Ds 2017:33
142
8.5 Förhållandet till annan författning
8.5.1 Hänvisningar till personuppgiftslagen
Förslag: Hänvisningarna till personuppgiftslagen ska tas bort.
Skälen för förslaget: Med anledning av att personuppgiftslagen
upphävs bör alla hänvisningar till denna i IAF:s registerlag utgå. Detta innebär för det första att den allmänna hänvisningen till personuppgiftslagen i 2 § registerlagen bör tas bort.
Vissa bestämmelser i registerlagen innehåller hänvisningar till specifika bestämmelser i personuppgiftslagen och även dessa bör utgå. Detta gäller hänvisningen till 9 § första stycket d och andra stycket personuppgiftslagen som handlar om finalitetsprincipen (5 § andra stycket i registerlagen), hänvisningar till 13 § personuppgiftslagen om känsliga personuppgifter och 21 § personuppgiftslagen om personuppgifter om lagöverträdelser m.m. (8– 10 och 13 §§ registerlagen), personuppgiftslagens bestämmelser om rättelse och skadestånd (14 § registerlagen) samt hänvisningen till 26 § personuppgiftslagen om överklagande (16 § registerlagen).
8.5.2 Förhållandet till dataskyddsförordningen
Förslag: Det ska införas en bestämmelse där det tydliggörs att
lagen kompletterar dataskyddsförordningen.
Skälen för förslaget: Merparten av de materiella bestämmelser som
ska tillämpas vid behandling av personuppgifter enligt IAF:s registerlag finns i dataskyddsförordningen. I syfte att tydliggöra detta föreslås att det i lagen införs en bestämmelse som anger att registerlagen innehåller kompletterande bestämmelser till dataskyddsförordningen. Genom en sådan bestämmelse klargörs dels normhierarkin, dels att registerlagen inte utgör en uttömmande reglering. Bestämmelsen syftar till att göra lagtexten och dess sammanhang begripligt både för dem som tillämpar lagen och de registrerade.
IAF
143
8.5.3 Förhållandet till dataskyddslagen
Förslag: Registerlagen ska innehålla en bestämmelse som anger
att dataskyddslagen gäller vid behandling av personuppgifter inom IAF:s verksamhet enligt lagen, om inte annat följer av registerlagen eller föreskrifter som har meddelats i anslutning till registerlagen.
Skälen för förslaget: Utgångspunkten för IAF:s registerlag är att
lagen, och de föreskrifter som kan komma att meddelas i anslutning till denna, endast ersätter eller kompletterar personuppgiftslagen i de frågor som är specifika för IAF:s verksamhet. I de delarna ersätter lagen därmed motsvarande bestämmelser i personuppgiftslagen.
66
När dataskyddsförordningen träder i direktivets
ställe och personuppgiftslagen upphävs kommer de flesta materiella bestämmelser om dataskydd som IAF ska tillämpa att finnas i dataskyddsförordningen. Därutöver kommer det, enligt Dataskyddsutredningens förslag, att finnas generella bestämmelser som utgör tillåtna specificeringar och undantag till dataskyddsförordningen i den nationella dataskyddslagen.
Den föreslagna dataskyddslagen är subsidiär vilket innebär att om det i en annan lag eller förordning har meddelats avvikande bestämmelser gäller de bestämmelserna. Dataskyddslagens bestämmelser kommer därmed att gälla för IAF i den mån inte registerlagen eller annan författning föreskriver annat. Det är således inte nödvändigt att införa en hänvisningsbestämmelse i registerlagen till dataskyddslagen. Att införa en bestämmelse som klargör att registerlagen inte utgör en uttömmande nationell reglering under dataskyddsförordningen fyller dock ett pedagogiskt syfte som underlättar för tillämpare och för de registrerade att hitta relevanta lagrum. Därför föreslås att det införs en bestämmelse som anger att dataskyddslagen gäller om inte annat följer av registerlagen eller föreskrifter som har meddelats i anslutning till registerlagen.
IAF Ds 2017:33
144
8.6 Personuppgiftsansvar
Bedömning: Bestämmelsen om att IAF är personuppgiftsan-
svarigt för den behandling av personuppgifter som myndigheten utför kan och bör behållas.
Skälen för bedömningen: Dataskyddsförordningen innebär ett
långtgående ansvar för den personuppgiftsansvarige att se till att all behandling av personuppgifter som denne ansvarar för sker i överensstämmelse med förordningen.
I artikel 4.7 första ledet i dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Bedömningen av vem som är personuppgiftsansvarig för en viss behandling ska därmed enligt huvudregeln göras utifrån dataskyddsförordningen och med utgångspunkt i de faktiska omständigheterna i varje enskilt fall.
I de fall ändamålen och medlen för behandlingen bestäms av medlemsstaternas nationella rätt finns en möjlighet enligt andra ledet i artikel 4.7 att ange vem som är personuppgiftsansvarig i den nationella rätten.
I 3 § IAF:s registerlag fastställs att myndigheten är personuppgiftsansvarig för den behandling av personuppgifter som IAF utför. Att behålla denna bestämmelse bedöms både vara möjligt och lämpligt. För det första finns det genom lagens tillämpningsområde och ändamålsbestämmelserna en yttersta ram för vilka behandlingar som är tillåtna enligt lagen. Det är den personuppgiftsansvarige, det vill säga IAF, som i varje enskild situation ska ta ställning till vilken behandling av uppgifter som ska och bör ske. För det andra bestäms medlen för behandlingen i registerlagen och dess förordning, det vill säga i lagen fastställs att en viss typ av behandling av personuppgifter som görs av en viss myndighet (IAF) för vissa ändamål på angivet sätt är tillåten. Därmed bestäms såväl ändamål som medel för behandlingen i nationell rätt.
Slutligen är ett fastställande av den personuppgiftsansvarige i registerlagen i linje med principerna om laglighet, korrekthet och öppenhet (artikel 5.1 a i förordningen) som bidrar till att tydliggöra för de registrerade vem de ska hålla ansvarig för behandling av
IAF
145
personuppgifter som görs med stöd av lagen. Även från integritetssynpunkt är det lämpligt att på ett tydligt sätt peka ut vem som är personuppgiftsansvarig för behandling av personuppgifter enligt lagen.
67
Sammanfattningsvis kan och bör bestämmelsen om person-
uppgiftsansvarig kvarstå.
8.7 Ändamål
I artikel 5 i dataskyddsförordningen anges de grundläggande principer som vid sidan av den rättsliga grunden i artikel 6 i dataskyddsförordningen måste vara uppfyllda vid behandling av personuppgifter.
All personuppgiftsbehandling ska direkt eller indirekt vara kopplad till ett ändamål. Med ändamålet avses syftet och förutsättningarna som styr vilken personuppgiftsbehandling som får ske.
8.7.1 Primära ändamål
Bedömning: Det är, utifrån bestämmelserna i dataskydds-
förordningen, inte nödvändigt att ändra de primära ändamålen i lagen.
Förslag: Kriteriet för behandling ska språkligt justeras till
dataskyddsförordningens terminologi genom att ordet behövs ersätts med är nödvändigt.
Skälen för bedömningen och förslaget: Ändamålsbestämmelser
delas vanligen in i så kallade primära och sekundära ändamål. Primära ändamålsbestämmelser syftar till att tillgodose behoven av att behandla personuppgifter i myndighetens egen verksamhet.
I IAF:s registerlag framgår de primära ändamålen i 4 §. Genom bestämmelsen fastslås ramarna för personuppgiftsbehandling inom myndighetens verksamhet. Regleringen medverkar därmed till att tillförsäkra att personuppgiftshanteringen inom IAF sker på ett korrekt, lagligt och öppet sätt i förhållande till de registrerade (artikel 5.1 a i dataskyddsförordningen). På samma sätt sätts ram-
67 Jfr SOU 2015:39 s. 345.
IAF Ds 2017:33
146
arna i fråga om vilka särskilda, uttryckligt angivna och berättigade ändamål som personuppgifter får samlas in för (artikel 5.1 b). En preciserad ändamålsbestämmelse underlättar även för tillämparen att bedöma, och visa, vilka uppgifter som är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas enligt principen om uppgiftsminimering (artikel 5.1 c).
Den befintliga ändamålsbestämmelsen i IAF:s registerlag stämmer överens med IAF:s uppdrag enligt förordningen med instruktion för myndigheten och med registerlagens tillämpningsområde. Med beaktande av detta och det som anförs ovan bedöms bestämmelsen vara utformad på ett sådant sätt som stämmer överens med dataskyddsförordningen. Bestämmelsen kan och bör därför behållas i sak. I avsnitt 4.2.1 redogörs dock för varför begreppet ”behövs” i registerlagarna bör justeras i enlighet med dataskyddsförordningens terminolog och ersättas med termen ”är nödvändigt”. En sådan justering bör göras i den aktuella bestämmelsen.
8.7.2 Sekundära ändamål
Bedömning: Det är, utifrån bestämmelserna i dataskyddsför-
ordningen, inte nödvändigt att ändra de sekundära ändamålen i lagen.
Skälen för bedömningen: Utöver de primära ändamålen kan det
finnas allmänna intressen som motiverar att en myndighet även ska få behandla personuppgifter för andra ändamål än dem som primärt ligger inom ramen för myndighetens egen verksamhet. Det kan exempelvis handla om att behandla personuppgifter för att lämna ut uppgifter till en annan myndighet för att den i sin tur ska kunna fullgöra sitt uppdrag. Sådana ändamål brukar kallas sekundära ändamål.
I 5 § registerlagen anges att IAF får behandla personuppgifter för att tillhandahålla information som behövs inom Arbetsförmedlingens verksamhet som underlag i uppföljnings-, analys- och utvärderingsarbete. I praktiken innebär bestämmelsen att IAF får lämna ut uppgifter som innehåller personuppgifter till Arbets-
IAF
147
förmedlingen, som i sin tur behöver uppgifterna för att fullgöra sitt uppdrag.
68
IAF får vidare, enligt bestämmelsens andra stycke, behandla personuppgifter för att tillhandahålla information till riksdagen eller regeringen eller till annan för att fullgöra uppgiftslämnande i enlighet med lag eller förordning.
Bedömningen är att de ovan angivna sekundära ändamålen inte påverkas av dataskyddsförordningen och att de därför bör behållas i sak. Bestämmelsen kan och bör därför behållas.
8.7.3 En ny bestämmelse om finalitetsprincipen och ändamålsbegränsning
Förslag: Det ska införas en ny paragraf som anger att person-
uppgifter som har samlats in för de primära och sekundära ändamålen även får behandlas för andra ändamål under förutsättning att dessa inte är oförenliga med de ändamål för vilka de samlades in.
Skälen för förslaget: Enligt artikel 5.1 b i dataskyddsförordningen
ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål, den så kallade finalitetsprincipen. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, ska inte anses vara oförenlig med de ursprungliga ändamålen.
I artikel 6.4 i förordningen beskrivs vad den personuppgiftsansvarige bör beakta för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in.
Regleringen i artikel 5.1 b i dataskyddsförordningen motsvarar den som finns i artikel 6.1 b i dataskyddsdirektivet som i sin tur är genomförd i 9 § första stycket d samt andra stycket personuppgiftslagen. I 5 § andra stycket sista meningen i registerlagen finns en direkt hänvisning till bestämmelsen i personuppgiftslagen.
68 Jfr prop. 2005/06:152 s. 56.
IAF Ds 2017:33
148
Bestämmelserna i artikel 5.1 b och 6.4 i dataskyddsförordningen om finalitetsprincipen är direkt tillämpliga och det är den personuppgiftsansvarige som ansvarar för att kraven för behandlingen är uppfyllda. Det kan därför argumenteras för att den enda nödvändiga förändringen i IAF:s registerlag är att hänvisningen till personuppgiftslagen tas bort. Det finns emellertid flera skäl som talar för att lagen även i fortsättningen ska innehålla en bestämmelse om finalitetsprincipen.
Syftet med den nuvarande bestämmelsen som hänvisar till finalitetsprincipen i personuppgiftslagen är att klargöra att principen gäller i IAF:s verksamhet.
69
Lagstiftaren har således dels bedömt att
finalitetsprincipen behöver kunna tillämpas, dels att det är motiverat med en särskild bestämmelse som tydliggör detta. Denna bedömning är fortfarande riktig.
En annan aspekt är att registerlagen innehåller bestämmelser som preciserar och kompletterar dataskyddsförordningen. I och med att ändamålen för tillåten behandling finns uppräknade i registerlagen kan det för tillämpare och tredje man verka som att ändamålsbestämmelserna är uttömmande.
70
Det bedöms därför
som nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer lagen tillämpas på att införliva artikel 5.1 b i registerlagen.
Sammanfattningsvis bör det i registerlagen införas en ny paragraf, 6 a §, som anger att personuppgifter som har samlats in för de primära och sekundära ändamålen även får behandlas för andra ändamål under förutsättning att dessa inte är oförenliga med de ändamål för vilka de samlades in.
8.8 Statistik- och tillsynsdatabas
Bedömning: Bestämmelsen i registerlagen om att det vid IAF
får finnas en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i lagen angivna ändamålen behöver inte ändras med anledning av dataskyddsförordningen.
69Prop. 2010/11:96 s. 42. 70 Jfr prop. 2002/03:135 s. 56.
IAF
149
Skälen för bedömningen: I 7 § IAF:s registerlag anges att det
inom IAF:s verksamhet får finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt för de ändamål som avses i 4−6 §§ − en så kallad statistik- och tillsynsdatabas. De uppgifter som finns i databasen får alltså behandlas för samtliga ändamål som anges i 4−6 §§.
En databas är en elektronisk sammanställning av uppgifter, där dock uppgifterna, i motsats till ett register, inte är ordnade på ett systematiskt sätt enligt fastställda kriterier. Uppgifterna hanteras med hjälp av automatiserad behandling.
71
Varken personuppgiftslagen, dataskyddsdirektivet eller dataskyddsförordningen innehåller särskilda definitioner eller begrepp för att beteckna olika samlingar eller databaser av personuppgifter. Det görs som huvudregel ingen skillnad mellan olika former av behandling av personuppgifter som helt eller delvis företas på automatisk väg.
72
En avgränsning av vilka personuppgifter som får behandlas i en viss databas utgör ett förtydligande, och en tillämpning, av principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen.
Inom IAF behöver det finnas en samling personuppgifter (databas) som med hjälp av automatiserad behandling används gemensamt för de ändamål som anges i registerlagen, däribland för tillsyn och för framtagande av statistik. Av integritetsskäl bör stora samlingar av personuppgifter som hanteras av myndigheter och som ger möjligheter till sammanställningar av en rad olika uppgifter om enskilda personer omgärdas av särskilda skyddsregler.
73
Genom kopplingen till ändamålsbestämmelserna tillförsäkras att det i sådan statistik- och tillsynsdatabas endast läggs in sådana personuppgifter som får hanteras enligt lagen. Registerlagen innehåller även sådana särskilda skyddsregler för sådana samlingar av uppgifter (till exempel i fråga om sökbegrepp, känsliga personuppgifter och den föreslagna bestämmelsen om tillgång till personuppgifter, se avsnitt 8.12). Databasbestämmelsen kan och bör sammanfattningsvis lämnas oförändrad.
71Prop. 2005/06:152 s. 30. 72 Se definitionen av behandling i artikel 4.2 i dataskyddsförordningen och artikel 2.1 om förordningens materiella tillämpningsområde. 73Prop. 2005:06/152 s. 30.
IAF Ds 2017:33
150
8.9 Känsliga personuppgifter
Bedömning: Det finns inga hinder i dataskyddsförordningen att
behålla nuvarande bestämmelse om känsliga personuppgifter.
Förslag: Det ska dock finnas en hänvisning till
dataskyddsförordningens bestämmelser om särskilda kategorier av personuppgifter (känsliga personuppgifter).
Skälen för bedömningen och förslaget: Dataskyddsförordningen
förbjuder i artikel 9.1 behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och behandling av genetiska uppgifter, biometeriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Genetiska uppgifter, biometriska uppgifter och uppgifter om sexuell läggning är, i förhållande till dataskyddsdirektivet, nya kategorier som har lagts till i dataskyddsförordningen.
Samtliga dessa uppgifter benämns i förordningen som särskilda kategorier av personuppgifter − i personuppgiftslagen och i registerförfattningar används däremot begreppet ”känsliga personuppgifter”. Dataskyddsutredningen anser att begreppet känsliga personuppgifter är tydligare än ”särskilda kategorier av uppgifter” och anför att begreppet är inarbetat även på EU-nivå.
74
I enlighet med
Dataskyddsutredningens förslag bör således även fortsättningsvis begreppet känsliga personuppgifter användas i IAF:s registerlag.
Förbudet i artikel 9.1 i dataskyddsförordningen mot att behandla känsliga personuppgifter är i sig direkt tillämpligt och behöver inte införas i nationell rätt. Dataskyddsförordningen hindrar emellertid inte en relativt detaljerad reglering av myndigheters behandling av känsliga personuppgifter i sektorspecifika författningar.
75
I artikel 9.2 i dataskyddsförordningen preciseras vissa
uttryckliga och uttömmande undantag från förbudet i artikel 9.1, till exempel om behandlingen är nödvändig på grund av hänsyn till ett viktigt allmänt intresse (9.2 g).
74SOU 2017:39 s.162. 75SOU 2017:39 s. 180 ff.
IAF
151
I skäl 10 till dataskyddsförordningen anges att förordningen ger medlemsstaterna handlingsutrymme att specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter, och att förordningen inte utesluter att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där uppgifter behandlas. I skäl 52 anges bland annat att undantag från förbudet att behandla särskilda kategorier av personuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter. En förutsättning för sådana undantag är till exempel när allmänintresset motiverar detta.
I 8 § IAF:s registerlag slås fast att IAF får behandla känsliga personuppgifter om uppgifterna har lämnats i ett ärende eller annars är nödvändiga för handläggningen av det.
Av 9 § framgår att endast sådana känsliga personuppgifter som avslöjar etniskt ursprung eller rör hälsa får behandlas i myndighetens statistik- och tillsynsdatabas – och då endast under förutsättning att de har lämnas i ett ärende eller är nödvändiga för handläggningen av det.
I 13 § registerlagen anges att känsliga personuppgifter inte får användas som sökbegrepp. Undantag finns bland annat vad gäller kod för hälsotillstånd, kod för sådan funktionsnedsättning som medför nedsatt arbetsförmåga och kod för sökandebegrepp och anvisningsgrund. Sådana får nämligen användas som sökbegrepp för tillsyn, uppföljning, utvärdering och framställning av avidentifierad statistik.
IAF behöver i vissa fall behandla känsliga personuppgifter för att kunna fullgöra sitt uppdrag. Eftersom IAF har tillsynsansvar över Arbetsförmedlingen har IAF behov av att kunna behandla känsliga personuppgifter på samma sätt som Arbetsförmedlingen. Därför ansågs det i förarbetena motiverat att reglerna i detta hänseende utformas på samma sätt som lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten.
76
Bestämmelserna i IAF:s registerlag som tillåter viss behandling av känsliga personuppgifter grundar sig på en avvägning där hänsyn
IAF Ds 2017:33
152
har tagits till integritetsaspekterna.
77
De bedöms vara sådana
bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen som föreskrivs i artikel 9.1 g, det vill säga de innehåller säkerhets- och skyddsåtgärder som ligger i linje med dataskyddsförordningens syfte om skydd för de enskilda. Bestämmelserna är även i linje med artikel 5.1 f i dataskyddsförordningen där det anges att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna. I stället för att i de enskilda bestämmelserna räkna upp de kategorier som anges i artikel 9.1 bör det finnas en hänvisning till artikel 9.1 i dataskyddsförordningen.
78
8.10 Personuppgifter om lagöverträdelser m.m.
Bedömning: Det finns inga hinder i dataskyddsförordningen att
behålla den nuvarande skyddsbestämmelsen om uppgifter om lagöverträdelser m.m.
Förslag: Istället för en hänvisning till personuppgiftslagens
bestämmelser om lagöverträdelser m.m. ska lagen innehålla en uppräkning av de typer av uppgifter om lagöverträdelser m.m. som IAF får behandla.
Skälen för bedömningen och förslaget: I artikel 10 i dataskydds-
förordningen anges bland annat att behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kontroll av myndighet eller där behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Bestämmelsen är direkt tillämplig.
Motsvarande reglering i dataskyddsdirektivet omfattar fler uppgifter, nämligen uppgifter om friande brottsmålsdomar, uppgifter om administrativa sanktioner och avgöranden av tvistemål. Dataskyddsdirektivet har genomförts genom 21 § personuppgiftslagen
77 Se till exempel prop. 2010/11:96 s. 33 f. 78 Se till exempel 3 kap. 1 § den föreslagna dataskyddslagen (SOU 2017:39).
IAF
153
och IAF:s registerlag innehåller hänvisningar till den bestämmelsen.
Med beaktande av att ett förstärkt skydd för de registrerade är ett av dataskyddsförordningens huvudsyften, framstår det som olämpligt att friande brottmålsdomar, straffprocessuella tvångsmedel och administrativa frihetsberövanden som i dag omfattas av särskilda skyddsregler i registerlagen skulle få behandlas utan motsvarande skydd enbart på grund av att de faller utanför definitionen i artikel 10 i dataskyddsförordningen. I detta sammanhang kan noteras att dataskyddsförordningen inte hindrar att medlemsstaterna behåller eller inför mer restriktiva bestämmelser i nationell rätt vad gäller de egna myndigheternas behandling av sådana personuppgifter.
79
Därför bör de uppgifter som räknas upp i den nuvarande 21 § personuppgiftslagen, och som på grund av detta omfattas av vissa säkerhets- och skyddsregler, även i fortsättningen ska ha motsvarande skydd i registerlagen. Detta gäller bestämmelserna om att uppgifterna får behandlas endast om de har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende (8 §), att det finns ett förbud mot att behandla sådana uppgifter i statistik- och tillsynsdatabasen (10 §) och ett förbud mot att använda sådana uppgifter som sökbegrepp (13 §).
Sammanfattningsvis är bedömningen att bestämmelserna i registerlagen som berör personuppgifter om domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder samt straffprocessuella tvångsmedel och administrativa frihetsberövanden, kan och bör behållas, med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen.
79 Se skäl 8 och 10 samt artiklarna 6.2 och 6.3 i dataskyddsförordningen.
IAF Ds 2017:33
154
8.11 Personuppgifter om sociala förhållanden m.m.
Bedömning: Bestämmelserna som reglerar när personuppgifter
om sociala förhållanden samt omdömen, slutsatser eller andra värderande upplysningar får behandlas i en databas, respektive förbudet mot att använda sådana uppgifter som sökbegrepp, behöver inte ändras med anledning av dataskyddsförordningen.
Detsamma gäller bestämmelser om behandling av uppgifter om att en enskild har vårdats med stöd av socialtjänstlagen eller har varit föremål för åtgärd enligt utlänningslagen.
Skälen för bedömningen: Artikel 6.2 i dataskyddsförordningen
innehåller en möjlighet för medlemsstaterna att behålla specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen, med hänsyn till behandling för att efterleva artikel 6.1 c och e, genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling.
IAF:s registerlag innehåller i dag vissa skyddsregler för personuppgifter som faller utanför dataskyddsförordningens förstärkta krav i artikel 9 och artikel 10. Sådana bestämmelser innehåller begränsningar i fråga om behandling av vissa personuppgifter i statistik- och tillsynsdatabasen och förbud mot vissa sökbegrepp. Enligt 9 § andra stycket i registerlagen får personuppgifter om sociala förhållanden samt omdömen, slutsatser eller andra värderande upplysningar om en enskild endast behandlas i statistik- och tillsynsdatabasen om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Av 13 § första stycket i registerlagen framgår vidare att sådana uppgifter inte får användas som sökbegrepp.
Uppgift om att den enskilde har vårdats med stöd av socialtjänstlagen eller har varit föremål för åtgärd enligt utlänningslagen får inte behandlas i statistik- och tillsynsdatabasen och inte heller användas som sökbegrepp. Detta framgår av 10 och 13 §§ registerlagen.
Dataskyddsförordningen innehåller inga särskilda bestämmelser rörande ovan nämnda kategorier av personuppgifter. De allmänna grundkraven om laglig behandling, tillåten behandling och säkerhetsåtgärder ska självklart vara uppfyllda för att behandling av
IAF
155
dessa uppgifter ska få ske. Med beaktande dels av de överväganden som gjorts inför bestämmelserna,
80
dels av att ovan nämnda
kategorier inte omfattas av artikel 9 eller 10, bedöms bestämmelsen vara av karaktären skydds- eller säkerhetsbestämmelse som kan behållas enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Här har särskilt beaktats att skyddet för de registrerades integritet skulle försämras om de nationella bestämmelserna skulle tas bort.
8.12 Tillgång till personuppgifter inom IAF
Förslag: Tillgång till personuppgifter ska begränsas till vad var
och en behöver för att kunna fullgöra sina arbetsuppgifter.
Skälen för förslaget: Enligt artikel 29 i dataskyddsförordningen
gäller att personuppgiftsbiträden och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast får behandla dessa på instruktion från den personuppgiftsansvarige såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt. Enligt artikel 32.4 ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.
Spridning av personuppgifter har av naturliga skäl stor betydelse för integritetsriskerna med behandlingen. En ökad spridning av personuppgifter innebär en ökad risk för att uppgifterna kommer att användas på ett otillbörligt och icke avsett sätt. Utgångspunkten är därför att personuppgifter inte ska spridas till fler än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. I sammanhanget saknas i princip betydelse hur många som faktiskt tar del av personuppgifterna. Integritetsriskerna är desamma i de fall
80 Se till exempel prop. 2005/06:152 s. 32.
IAF Ds 2017:33
156
spridningen innebär att mottagarna har möjlighet att ta del av dem, det vill säga har tillgång till personuppgifterna.
En bestämmelse om att tillgång till personuppgifter ska vara begränsad till vad var och en behöver för att kunna fullgöra sina uppgifter är i linje med artikel 32.4 i dataskyddsförordningen och minskar risken för otillåten behandling av personuppgifter. Det är även fråga om en bestämmelse om lämpliga och särskilda åtgärder för att säkerställa den registrerades intressen som ska införas i fråga om behandling av känsliga personuppgifter enligt artikel 9.1 g i dataskyddsförordningen. En sådan bestämmelse bör därför införas i lagen.
8.13 Direktåtkomst
Bedömning: Bestämmelsen om direktåtkomst behöver inte
ändras med anledning av dataskyddsförordningen.
Skälen för bedömningen: Direktåtkomst innebär att någon har
direkt tillgång till någon annans register eller databas och på egen hand kan söka information, dock utan att kunna påverka innehållet i registret eller databasen. Direktåtkomst kan däremot ge användaren möjlighet att hämta hem informationen till sitt eget system och bearbeta den där. I begreppet ligger också att den som är personuppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av. En myndighet som lämnar ut uppgifter genom direktåtkomst fattar därmed inte några enskilda beslut om utlämnande av de uppgifter som den som har direktåtkomst tar del av. Utlämnande genom direktåtkomst utgör en form av behandling av personuppgifter.
Varken dataskyddsdirektivet, personuppgiftslagen eller dataskyddsförordningen reglerar direktåtkomst särskilt. Det är därmed de allmänna bestämmelserna om personuppgiftsbehandling som är tillämpliga för sådan behandling. För att direktåtkomst ska vara tillåtet krävs således, såsom vid all personuppgiftsbehandling, att kraven i dataskyddsförordningen är uppfyllda.
Enligt 11 § i IAF:s registerlag har Arbetsförmedlingen direktåtkomst till statistik- och tillsynsdatabasen. Syftet med bestäm-
IAF
157
melsen är att underlätta informationsöverföringen från Arbetsförmedlingen till IAF så att Arbetsförmedlingen ska kunna bedriva sin verksamhet på ett effektivt och ändamålsenligt sätt.
81
I IAF:s
registerlag regleras vilka uppgifter som får finnas i databasen, och dessa är i sin tur kopplade till registerlagens ändamål och olika skyddsbestämmelser. Med beaktande av detta bedöms det inte nödvändigt att ändra registerlagens reglering av direktåtkomst med anledning av dataskyddsförordningen. Bestämmelsen kan därmed lämnas oförändrad.
8.14 Utlämnande till enskilda på medium för automatiserad behandling
Bedömning: Den bestämmelse som ger regeringen möjlighet att
lämna föreskrifter om utlämnande av uppgifter till enskild på medium för automatiserad behandling kan behållas.
Skälen för bedömningen: Utlämnande av uppgifter till enskild på
medium för automatiserad behandling är en typ av behandling av personuppgifter. Därmed måste sådan behandling ha stöd i en rättslig grund enligt artikel 6 i dataskyddsförordningen och uppfylla principerna i artikel 5 i dataskyddsförordningen samt de övriga krav som ställs i förordningen.
I de fall personuppgifter lämnas ut på ett medium för automatiserad behandling, det vill säga genom exempelvis e-post eller på en diskett, kan mottagaren mycket enkelt sprida uppgifterna till en i princip obegränsad krets av mottagare. Vad gäller motsvarande utlämnande till myndigheter regleras i allmänhet den mottagande myndighetens möjligheter att behandla de mottagna personuppgifterna, vilket medför att risken för missbruk inte är särskilt stor i de fallen. För enskilda fysiska och juridiska personer saknas motsvarande reglering. Risken för missbruk är därmed betydlig större, varför ett generellt förbud mot utlämnande till enskilda gäller. Regeringen får dock enligt 12 § första stycket registerlagen föreskriva att ett sådant utlämnande ska vara tillåtet. En föreskrift om
81Prop. 2005:06:152 s. 28.
IAF Ds 2017:33
158
att så får ske, eller inte får ske, innebär bara ett ställningstagande till om det över huvud taget är lämpligt att personuppgifter lämnas ut till enskilda på medium för automatiserad behandling med hänsyn till de integritetsaspekter som gör sig gällande i sådana fall.
82
I bestämmelsens andra stycke bemyndigas regeringen, eller den myndighet regeringen bestämmer, att föreskriva vilka uppgifter som sådant utlämnande får omfatta.
Att det i lagen finns en begränsning för enskildas möjlighet att ta del av personuppgifter på medium för automatiserad behandling torde utgöra en sådan bestämmelse som kan behållas i nationell rätt enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Därtill är det en bestämmelse som syftar till att tillförsäkra de registrerade en hög skyddsnivå i enlighet med dataskyddsförordningens syfte.
8.15 Rättelse och skadestånd
Förslag: Bestämmelserna om rättelse och skadestånd ska tas
bort.
Skälen för förslaget: De registrerades rätt till rättelse behandlas i
artikel 16 i dataskyddsförordningen. I artikel 17 regleras den registrerades rätt till radering (”rätten att bli bortglömd”) medan artikel 18 handlar om rätt till begränsning av behandling. Dessa bestämmelser, liksom rätten till dataportabilitet (artikel 20) och rätten att göra invändningar (artikel 21), är direkt tillämpliga. I den mån det kommer att finnas generella undantag från förordningens bestämmelser i dessa delar kommer dessa, enligt Dataskyddsutredningens förslag, att regleras i dataskyddslagen. Någon specifik hänvisningsbestämmelse till dataskyddslagen är inte nödvändig (se avsnitt 8.5.3).
Även bestämmelsen om skadestånd i artikel 82 i dataskyddsförordningen är direkt tillämplig. I den föreslagna dataskyddslagen finns en bestämmelse, 8 kap. 1 §, som upplyser om att den rätt till ersättning enligt artikel 82 i dataskyddsförordningen även gäller vid
IAF
159
överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen.
Sammanfattningsvis bedöms det varken behövligt eller lämpligt att registerlagen innehåller specifika bestämmelser eller hänvisningar till dataskyddsförordningen eller den föreslagna dataskyddslagen i fråga om rättelse eller skadestånd respektive sanktioner i övrigt. Den bestämmelse som i nuläget reglerar rättelse och skadestånd är obehövlig och bör lämpligen ersättas med en bestämmelse om tillgång till personuppgifter, se avsnitt 8.12.
8.16 Gallring
Bedömning: Bestämmelsen i registerlagen som fastslår vissa
gallringstider utgör en sådan specifikationsbestämmelse som är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen.
Bestämmelserna om tidsfrister bedöms vara väl avvägda och även i övrigt uppfylla dataskyddsförordningens krav.
Förslag: Skrivningen behövs för forskningens behov ska
ersättas med är nödvändigt för vetenskapliga eller historiska
ändamål.
Skälen för bedömningen och förslaget: Lagring av personupp-
gifter är enligt dataskyddsförordningens definition en behandling av personuppgifter. Huvudregeln i artikel 5.1 e är att personuppgifter inte får förvaras i en form som möjliggör identifiering under längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas.
I 15 § IAF:s registerlag preciseras att vissa personuppgifter ska gallras två år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos den handläggande myndigheten.
I samband med införandet av gallringsfristerna gjordes bedömningen att de personuppgifter som behandlas i IAF:s verksamhet är så integritetskänsliga att de bör gallras efter två år, det vill säga uppgifterna bör avidentifieras eller förstöras. De tider för gallring som föreskrivs i lagen är väl avvägda i fråga om IAF:s behov av uppgifterna och hänsyn till de enskildas integritet. Någon ändring i sak är därför inte nödvändig.
IAF Ds 2017:33
160
8.16.1 Statistiska och vetenskapliga ändamål
Enligt artikel 5.1 b i dataskyddsförordningen ska ytterligare behandling för bland annat vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, inte anses vara oförenlig med de ursprungliga ändamål för vilka personuppgifter samlats in.
Av artikel 5.1 e framgår även att personuppgifter får lagras under längre perioder i den mån de endast behandlas för sådana ändamål, under förutsättning att de lämpliga organisatoriska och tekniska åtgärder som krävs enligt dataskyddsförordningen för att säkerställa den registrerades rättigheter och friheter. Både artikel 5.1 d och e är direkt tillämpliga, och båda artiklarna innehåller en koppling till artikel 89.1 i förordningen.
I artikel 89.1 i dataskyddsförordningen anges bland annat att behandling för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder. Sådana skyddsåtgärder ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas (det vill säga att personuppgifterna är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas). Vidare framgår av samma artikel att personuppgifter ska anonymiseras i den mån det är möjligt.
Samma bestämmelse återfinns i artikel 6.1 e dataskyddsdirektivet, vilket innebär att huvudregeln som sådan inte har förändrats genom dataskyddsförordningen. Formuleringen i artikel 5.1 e i dataskyddsförordningen utgör en mindre ändring jämfört med dataskyddsdirektivet och personuppgiftslagen där det istället talas om ”historiska, statistiska eller vetenskapliga ändamål”. Bedömningen är dock att omformuleringen inte innebär någon skillnad i sak.
När det gäller känsliga personuppgifter ställs ytterligare krav i artikel 9.2 j dataskyddsförordningen. Ett sådant krav är att undantaget ska göras på grundval av unionsrätten eller medlemsstaternas nationella rätt, och innehålla bestämmelser om lämpliga och särskilda åtgärder för att den registrerades grundläggande rättigheter och rutiner ska säkerställas. Även i denna artikel finns en koppling till artikel 89.1 i dataskyddsförordningen om lämpliga skyddsåtgärder. I artikel 6.2 och 6.3 i dataskyddsförordningen föreskrivs
IAF
161
en möjlighet för medlemsstater att i nationell rätt fastställa mer specifika bestämmelser, däribland särskilda bestämmelser om lagringstid.
Av 15 § andra stycket i IAF:s registerlag framgår att personuppgifter får gallras tio år efter att de avskilts om uppgifterna behövs för statistiska eller vetenskapliga ändamål. Enligt bestämmelsens tredje stycke bemyndigas regeringen, eller den myndighet regeringen bestämmer, att meddela föreskrifter om undantag från gallringsfristerna, om det behövs för forskningens behov.
I samband med införandet av gallringsfristerna gjordes bedömningen att det kan finnas behov bevara personuppgifter för statistiska eller vetenskapliga ändamål. I sådana fall får uppgifterna bevaras i tio år innan de gallras. Därutöver kan det i vissa fall finnas behov av att för forskningens behov bevara personuppgifter längre än tio år.
83
De tider för gallring som föreskrivs i lagen bedöms vara väl avvägda i fråga om IAF:s behov av uppgifterna och hänsyn till de enskildas integritet. Någon ändring i sak är därför inte nödvändig. Däremot bör bestämmelsens andra stycke justeras så att behövs för
forskningens behov ersätts med begreppet är nödvändigt för vetenskapliga eller historiska ändamål.
8.17 Bemyndiganden
Bedömning: Bestämmelser med bemyndiganden i lagen
påverkas inte av att dataskyddsförordningen börjar tillämpas.
Skälen för bedömningen: I IAF:s registerlag finns bestämmelser
med bemyndiganden som möjliggör för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter. Bemyndigandena innehåller inte i sig några materiella bestämmelser. Under förutsättning att de materiella bestämmelserna i lagen är lagliga och tillåtna enligt dataskyddsförordningen, vilket det i ovan relevanta avsnitt har
IAF Ds 2017:33
162
bedömts att de är, bedöms bestämmelser med bemyndiganden kunna lämnas oförändrade.
8.18 Överklagande
Förslag: Överklagandebestämmelsen ska ändras på så sätt att
den endast hänvisar till den föreslagna dataskyddslagen.
Skälen för förslaget: Befintlig överklagandebestämmelse i 16 §
registerlagen anger att myndighetens beslut om rättelse eller om avslag på ansökan om information enligt 26 § personuppgiftslagen får överklagas hos allmän förvaltningsdomstol men att andra beslut enligt registerlagen inte får överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten.
En registrerad ska enligt artikel 79 i dataskyddsförordningen ha rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde. Någon närmare beskrivning av innebörden av begreppet effektivt rättsmedel finns inte i förordningen. Frågan om överklagande är inte sektorsspecifik utan de processuella regler som kompletterar dataskyddsförordningen kommer, enligt Dataskyddsutredningens förslag att återfinnas i dataskyddslagen. Eftersom den dataskyddslagen är tänkt att gälla i den mån inte annat föreskrivs i den nya lagen är det inte nödvändigt att i en överklagandebestämmelse hänvisa till dataskyddslagen. Av pedagogiska skäl bedöms det dock lämpligt att införa en upplysningsbestämmelse med hänvisning till dataskyddslagen.
163
9 Behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering
9.1 Inledning
I detta kapitel redogörs för vilka författningsändringar som bedöms nödvändiga och lämpliga för att anpassa bestämmelserna i lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (nedan kallad IFAU:s registerlag) till dataskyddsförordningen.
I kapitlet beskrivs inledningsvis Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU) utifrån dess verksamhet och behandling av personuppgifter. Därefter följer bedömningar och förslag till ändringar i IFAU:s registerlag.
Såsom framgår av avsnitt 4.1.1 är utgångspunkten för översynen att de befintliga förutsättningarna för en ändamålsenlig personuppgiftsbehandling ska bevaras så långt det är möjligt och att de avvägningar och bedömningar som legat till grund för bestämmelserna i registerlagen som huvudprincip bör godtas.
IFAU är en statlig myndighet i form av ett forskningsinstitut. Enligt beskrivningen i avsnitt 2.1 ligger frågor rörande personuppgiftsbehandling för forskningsändamål utanför Dataskyddsutredningens översyn. Istället är det Forskningsdatautredningen
84
som
har fått i uppdrag att undersöka vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och att lämna de författningsförslag som behövs. En utgångspunkt
84 Utredningen om personuppgiftsbehandling för forskningsändamål (Dir. 2016:65).
IFAU Ds 2017:33
164
för översynen i den del som rör IFAU är därför att förslaget sakligt, systematiskt och terminologiskt ska vara anpassat till såväl Dataskyddsutredningens som Forskningsdatautredningens förslag.
Strukturen i översynen av lagen motsvarar i huvudsak dispositionen i registerlagen, som i sin tur stämmer relativt väl ihop med dataskyddsförordningens struktur.
9.2 IFAU
9.2.1 Uppdrag och verksamhet
IFAU är en statlig förvaltningsmyndighet som hör till Arbetsmarknadsdepartementet som har till uppgift att främja, stödja och genom forskning genomföra uppföljningar och utvärderingar av den arbetsmarknadspolitiska verksamheten, studier av arbetsmarknadens funktionssätt, utvärdering av effekterna av olika reformer och åtgärder inom utbildningsväsendet, utvärdering av effekterna på arbetsmarknaden av åtgärder inom utbildningsväsendet, och utvärdering av socialförsäkringens effekter på arbetsmarknaden. Myndigheten ska särskilt fokusera på de samlade effekterna av den arbetsmarknadspolitiska verksamheten, de utbildningspolitiska reformerna och på de särskilda uppdrag som regeringen fattar beslut om inom dessa områden. I detta uppföljnings- och utvärderingsarbete ska effekterna för kvinnor och män belysas särskilt.
85
Arbetsmarknadspolitiken utgör en viktig del av den ekonomiska politiken. I Sverige omfattar utgiftsområdet Arbetsmarknad och arbetsliv cirka tio procent av statsbudgeten. Ur ett samhällsekonomiskt perspektiv är det därför av yttersta vikt att arbetsmarknadspolitiska reformer kan utvärderas och att de åtgärder och reformer som fungerar kan skiljas ut från dem som inte gör det. Det är även viktigt att öka kunskapen om hur arbetslöshetsförsäkringen och de arbetsmarknadspolitiska programmen och insatserna påverkar arbetsmarknadens funktionssätt. IFAU:s effektutvärderingar utgör därmed ett mycket viktigt kunskapsunderlag för utformningen av arbetsmarknadspolitiken
85 Se 1 § förordningen (2007:911) med instruktion för Institutet för arbetsmarknads- och utbildningspolitisk utvärdering.
IFAU
165
och den ekonomiska politiken och myndigheten fyller genom sin forskning och spridning av resultaten av denna forskning till myndigheter och andra intressenter en mycket viktig funktion.
86
Myndighetens verksamhet ökar även kunskapen om effekterna av olika reformer och åtgärder på utbildningsområdet. Det är därmed ett viktigt samhällsintresse att IFAU kan fortsätta att bedriva en effektiv och ändamålsenlig verksamhet.
87
Som anförts i avsnitt 4.2.1 gör Dataskyddsutredningen bedömningen att statliga myndigheters verksamhet i allt väsentligt är av allmänt intresse och att det därmed är den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheter, även utanför området för myndighetsutövning.
För IFAU:s del bör även framhållas att myndighetens huvuduppgift, nämligen forskning, i sig bör kunna vara ett viktigt allmänt intresse. I skäl 157 till dataskyddsförordningen anges exempelvis bland annat att forskning inom samhällskunskap som bedrivs på grundval av register gör det möjligt för forskare att få grundläggande kunskaper om sambandet på lång sikt mellan ett antal sociala villkor, exempelvis arbetslöshet och utbildning och andra livsförhållanden. Forskningsresultat som erhållits på grundval av register utgör, enligt skäl 157, en stabil, högkvalitativ kunskap, som kan ligga till grund för utformningen och genomförandet av kunskapsbaserad politik, förbättra livskvaliteten för ett antal personer och förbättra de sociala tjänsternas effektivitet.
Sammanfattningsvis bedöms IFAU:s verksamhet vara av ett allmänt intresse, både i dess egenskap av statlig myndighet och med beaktande av att verksamheten utgörs av forskning. Registerlagen syftar till att IFAU ska kunna utföra sitt uppdrag och genomföra den behandling av personuppgifter som är nödvändig för att fullfölja uppdraget i varje enskild situation. Den rättsliga grunden för myndighetens behandling av personuppgifter är fastställd i bland annat i förordningen (2007:911) med instruktion för Institutet för arbetsmarknads- och utbildningspolitisk utvärdering.
86 Se prop. 2011/12:176 s. 41 och prop. 2014/15:87 s. 6 f. 87Prop. 2011:12:176 s. 63.
IFAU Ds 2017:33
166
9.2.2 Personuppgiftsbehandling vid IFAU
IFAU är för sin verksamhet beroende av uppgifter och underlag från andra myndigheter och institutioner. En stor del av verksamheten består av empiriska studier av arbetsmarknadens funktionssätt och olika samhällsinsatser inom arbetsmarknads-, utbildnings- och socialförsäkringsområdet. Forskningen är helt beroende av tillförlitligt dataunderlag. IFAU är en stor användare av register vid Statistiska centralbyrån (SCB), särskilt LISA (Longitudinell integrationsdatabas för Sjukförsäkrings- och Arbetsmarknadsstudier). I LISA har data sammanställts från flera olika källor, till exempel personregistret, Arbetsförmedlingen, Försäkringskassan och Skatteverket. Även så kallade känsliga personuppgifter enligt 13 § personuppgiftslagen ingår i registret.
88
I definitionen av personuppgifter i artikel 4.1 dataskyddsförordningen anges att personuppgifter är varje upplysning som avser en identifierad eller identifierbar fysisk person
89
. Med identifierbar fysisk person avses en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Det kan i detta sammanhang konstateras att en del av IFAU:s personuppgiftsbehandling rör avidentifierade personuppgifter varför det kan ifrågasättas om sådana uppgifter utgör just personuppgifter. Ofta är det dock i IFAU:s verksamhet fråga om upplysningar som avser en identifierbar fysisk person, det vill säga att IFAU, eller myndigheten som förser IFAU med uppgifterna, har tillgång till en nyckel som kan koppla personuppgifterna till en viss individ. I sådana fall är det fråga om personuppgifter i dataskyddsförordningens mening. Bedömningen har varit att såväl identitetsangivna som avidentifierade individdata där nyckeln finns bevarad anses utgöra personuppgifter enigt nu gällande reglering. Det har inte framkommit att en annan tolkning bör göras av begreppet när dataskyddsförordningen börjar tillämpas.
88Prop. 2011/12:176 s. 9. 89 Att det ska vara fråga om en levande person framgår av skäl 27 i dataskyddsförordningen.
IFAU
167
9.3 Lagens tillämpningsområde
Bedömning: Dataskyddsförordningen innebär inte att de
verksamhetsområden som lagen tillämpas inom behöver ändras.
Förslag: För att anpassa tillämpningsområdet för lagen till
dataskyddsförordningen ska bestämmelsen om helt eller delvis automatiserad behandling m.m. formuleras på samma sätt som motsvarande bestämmelse i dataskyddsförordningen.
Skälen för bedömningen och förslaget: IFAU:s registerlag är den
nyaste registerförfattningen som hör till Arbetsmarknadsdepartementets ansvarsområde.
90
Till registerlagen hör
förordningen (2012:742) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering som innehåller bestämmelser om dokumentation av åtkomst respektive om gallring.
I 1 § första stycket i IFAU:s registerlag slås fast att lagen gäller vid behandling av personuppgifter i den verksamhet hos IFAU som avser att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar.
I bestämmelsens andra stycke anges att behandling av personuppgifter vid tilldelning av forskningsbidrag undantas från lagens tillämpningsområde. Skälen till det är att forskningsbidragen tilldelas efter ett ansökningsförfarande och att hanteringen av ansökningarna och tilldelningsbesluten skiljer sig från den personuppgiftsbehandling som görs inom själva forskningsverksamheten.
91
I paragrafens tredje stycke specificeras att lagen gäller för helt eller delvis automatiserad behandling samt viss manuell behandling.
Verksamhet som omfattar intern administration samt myndighetens uppdrag att sprida information om resultaten av sina studier, uppföljningar och utvärderingar till andra myndigheter och intressenter faller utanför lagens tillämpningsområde.
92
90 Lagen trädde i kraft den 1 januari 2013 och gavs då begränsad giltighetstid till utgången av år 2015. Genom lagen (2015:258) om fortsatt giltighet av lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering föreskrevs att lagen ska fortsätta att gälla. 91Prop. 2011/12:176 s. 20 f. 92Prop. 2011/12:176 s. 21 f.
IFAU Ds 2017:33
168
Dataskyddsförordningens syfte och tillämpningsområde anges i artiklarna 1−3 och motsvaras i sak av dataskyddsdirektivets bestämmelser. Eftersom dataskyddsförordningen inte innebär någon nyhet vad gäller tillämpningsområdet i förhållande till direktivet och direktivet är genomfört i svensk rätt kan 1 § första och andra styckena registerlagen kvarstå oförändrade.
I detta sammanhang bör följande framhållas. Till skillnad från vad som gäller de övriga myndigheterna under Arbetsmarknadsdepartementets ansvarsområde med specifika registerförfattningar, det vill säga Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Arbetsmiljöverket, har IFAU forskning som sitt primära ändamål. Detta innebär att vissa ytterligare specifika regler i dataskyddsförordningen, exempelvis en tydlig koppling till artikel 89, aktualiseras. Detta påverkar inte avgränsningen av lagens tillämpningsområde men följderna av att myndighetens uppdrag är att bedriva forskning beskrivs närmare i relevanta avsnitt nedan.
När det gäller 1 § tredje stycket i registerlagen motsvarar dess innehåll artikel 2.1 i dataskyddsförordningen. I syfte att harmonisera Arbetsförmedlingens registerlag till dataskyddsförordningen bör den föreslagna lagens tillämpningsområde vara detsamma som dataskyddsförordningens tillämpningsområde. Det bör alltså innefatta annan behandling än automatisk behandling av personuppgifter som ingår i eller kommer att ingå i ett register.
9.4 Förhållandet till annan författning
9.4.1 Hänvisningar till personuppgiftslagen
Förslag: Hänvisningarna till personuppgiftslagen ska tas bort.
Skälen för förslaget: Med anledning av att personuppgiftslagen
upphävs bör alla hänvisningar till den lagen utgå. Detta innebär för det första att den allmänna hänvisningen till personuppgiftslagen i 3 § registerlagen bör tas bort.
Vidare innehåller vissa bestämmelser i registerlagen hänvisningar till specifika bestämmelser i personuppgiftslagen. Detta gäller hän-
IFAU
169
visningen till 12 § personuppgiftslagen i fråga om återkallat samtycke (2 § andra stycket i registerlagen), hänvisningen till 9 § första stycket d och andra stycket personuppgiftslagen om bland annat finalitetsprincipen (6 § registerlagen), hänvisningen till 13 § personuppgiftslagen om känsliga personuppgifter och till 21 § personuppgiftslagen om personuppgifter om lagöverträdelser m.m. (7 § registerlagen). Det gäller även hänvisningen till 26 § personuppgiftslagen om information efter ansökan (13 § registerlagen) och personuppgiftslagens bestämmelser om rättelse och skadestånd (15 § registerlagen).
9.4.2 Förhållandet till dataskyddsförordningen
Förslag: Det ska införas en bestämmelse där det tydliggörs att
lagen kompletterar dataskyddsförordningen.
Skälen för förslaget: Merparten av de materiella bestämmelser som
ska tillämpas vid behandling av personuppgifter i IFAU:s verksamhet kommer att finnas i dataskyddsförordningen. I syfte att tydliggöra detta föreslås att det i registerlagen införs en bestämmelse som anger att registerlagen innehåller kompletterande bestämmelser till dataskyddsförordningen. Genom en sådan bestämmelse klargörs dels normhierarkin, dels att registerlagen inte utgör en uttömmande reglering. Bestämmelsen syftar till att göra lagtexten och dess sammanhang begripligt både för dem som tillämpar lagen och de registrerade.
9.4.3 Förhållandet till dataskyddslagen och annan författning
Förslag: Registerlagen ska innehålla en bestämmelse som anger
att dataskyddslagen gäller vid behandling av personuppgifter inom IFAU:s verksamhet enligt lagen, om inte annat följer av registerlagen eller föreskrifter som har meddelats i anslutning till registerlagen.
Skälen för förslaget: Utgångspunkten för den nuvarande
regleringen är att registerlagen och dess föreskrifter endast ersätter
IFAU Ds 2017:33
170
eller kompletterar personuppgiftslagen i de frågor som är specifika för IFAU:s verksamhet.
När dataskyddsförordningen träder i direktivets ställe och personuppgiftslagen upphävs kommer de flesta materiella bestämmelser om behandling av personuppgifter som IFAU ska tillämpa att finnas i dataskyddsförordningen. Dataskyddsförordningen är normhierarkiskt överordnad den nationella dataskyddslagstiftningen. I vissa avseenden ger EU-förordningen dock utrymme för nationella särregler, såsom undantag, begränsningar och specifikationsbestämmelser. Därför kommer det enligt Dataskyddsutredningens förslag att finnas generella bestämmelser som utgör tillåtna specificeringar och undantag till dataskyddsförordningen i den föreslagna dataskyddslagen. Förutom den generella dataskyddslagen och IFAU:s registerförfattningar kommer det att finnas bestämmelser i andra författningar som kan vara tillämpliga vid behandling av sådan personuppgiftsbehandling som regleras i IFAU:s registerlag, till exempel lagen (2003:460) om etikprövning av forskning som avser människor (nedan etikprövningslagen).
Den föreslagna dataskyddlagen är subsidiär vilket innebär att om det i en annan lag eller förordning har meddelats avvikande bestämmelser gäller de bestämmelserna. Dataskyddslagens bestämmelser kommer därmed att gälla för IFAU i den mån inte registerlagen eller annan författning föreskriver annat. Det är således inte en rättslig nödvändighet att införa en hänvisningsbestämmelse i registerlagen till den föreslagna dataskyddslagen. Att införa en bestämmelse som klargör att registerlagen inte utgör en uttömmande nationell reglering under dataskyddsförordningen fyller dock ett pedagogiskt syfte som underlättar för tillämpare och för enskilda att hitta relevanta lagrum. Därför föreslås att det införs en bestämmelse som anger att dataskyddslagen gäller om inte annat följer av registerlagen eller föreskrifter som har meddelats med stöd av densamma.
I detta sammanhang är det relevant att lyfta fram att Forskningsdatautredningen har i uppdrag att göra en analys av vilken reglering på nationell nivå som är möjlig och kan behövas i fråga om behandling av personuppgifter för forskningsändamål, utöver den generella regleringen i dataskyddslagen. Syftet är att säkerställa att behandling av personuppgifter för forskningsändamål ska kunna ske på ett ändamålsenligt sätt samtidigt som de
IFAU
171
registrerades fri- och rättigheter skyddas. En sådan lag kommer sannolikt vara en lag som IFAU kan eller ska tillämpa vid sidan av dataskyddsförordningen, dataskyddslagen och den egna registerlagen.
9.5 Rätten att göra invändningar
9.5.1 Behandling som den registrerade motsätter sig
Bedömning: Bestämmelsen om att behandling får utföras även
om den registrerade motsätter sig behandlingen kan och bör behållas.
Förslag: För att anpassa lagens terminologi till
dataskyddsförordningen ska dock motsätter sig ändras till
invänder mot.
Skälen för bedömningen: I 2 § första stycket IFAU:s registerlag
anges att behandling av personuppgifter enligt lagen får ske även om den enskilde motsätter sig behandlingen. Bestämmelsen innebär en inskränkning av den registrerades rätt enligt artikel 21.1 dataskyddsförordningen att när som helst göra en invändning mot behandling av personuppgifter. I en sådan situation måste normalt den personuppgiftsansvarige kunna visa på tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter, annars får den personuppgiftsansvarige inte fortsätta behandla uppgifterna. Frågan är om bestämmelsen kan behållas eller om den står i strid med dataskyddsförordningen.
I avsnitt 9.2.1−9.2.2 ovan redogörs för att personuppgiftsbehandling enligt registerlagen bedöms vara nödvändig med hänsyn till ett allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen och att den rättsliga grunden bedöms fastställd i enlighet med nationell rätt (jfr artikel 6.3 i dataskyddsförordningen).
Enligt artikel 6.2 i dataskyddsförordningen får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen för att efterleva artikel 6.1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att fastställa
IFAU Ds 2017:33
172
en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX i förordningen. Kapitel IX innehåller bestämmelser om särskilda behandlingssituationer, däribland artikel 89 om skyddsåtgärder och undantag för behandling för bland annat vetenskapliga eller historiska forskningsändamål.
Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål får det enligt artikel 89.2 i dataskyddsförordningen föreskrivas undantag från de rättigheter som avses i artiklarna 15 (rätt till tillgång), 16 (rätt till rättelse), 18 (rätt till begränsning av behandling) och 21 (rätt att göra invändningar), med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1 i dataskyddsförordningen. Detta gäller dock endast i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppnå de särskilda ändamålen med behandlingen, och i den mån sådana undantag krävs för att uppnå dessa ändamål.
Av intresse i detta sammanhang är även artikel 11.1 i dataskyddsförordningen där det anges att i de fall de ändamål för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver att den registrerade identifieras, så ska den personuppgiftsansvarige inte vara tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa dataskyddsförordningen.
Merparten av de personuppgifter som IFAU hanterar har inhämtats från andra myndigheter och är avidentifierade när de kommer till IFAU. Om den registrerade hade möjlighet att invända mot behandlingen av personuppgifter skulle det vara omöjligt, eller åtminstone mycket svårare, för IFAU att bedriva sin forskningsverksamhet. Myndigheten skulle i praktiken tvingas försöka härleda de avidentifierade uppgifterna till en enskild person, en åtgärd som i sig skulle kunna innebära en integritetskränkning.
93
I artikel 89.2 slås fast att de villkor och skyddsåtgärder som avses i punkt 1 alltjämt ska tillämpas av myndigheten. I IFAU:s registerlag finns bland annat bestämmelser om specificering av vem som är personuppgiftsansvarig (4 §), preciserade ändamålsbestämmelser (5 och 6 §§), bestämmelser om gallring (14 §) samt skydds-
93 Jfr. prop. 2011/12:176 s. 22 f.
IFAU
173
åtgärder i exempelvis form av begränsning av tillgång till uppgifter (12 §). Därtill finns regler om att i huvudsak använda avidentifierade personuppgifter (8 §) och om begränsningar i behandlingen av personuppgifter (10−11 §§). Verksamheten är således väl reglerad och regleringen är sådan att den bedöms uppfylla de krav som ställs på lämpliga säkerhetsåtgärder enligt artikel 89.1 i dataskyddsförordningen.
Sammanfattningsvis bedöms bestämmelsen om att behandling av personuppgifter enligt registerlagen får ske även om den enskilde motsätter sig det vara en bestämmelse som uppfyller kraven i artikel 6.1 e, artikel 6.2−6.3 och artikel 89 i dataskyddsförordningen, varför den bör behållas. Bestämmelsen bör dock språkligt anpassas till dataskyddsförordningen på så sätt att motsätter sig ersätts av invänder mot.
9.5.2 Samtycke i vissa fall
Bedömning: Bestämmelsen som tillmäter de registrerades
samtycke betydelse ska behållas.
Bestämmelsen i dataskyddsförordningen som reglerar återkallelse av samtycke är direkt tillämplig och bör inte genomföras i nationell rätt.
Skälen för bedömningen: Av avsnitt 4.2.1 framgår att de rättsliga
grunderna för den behandling av personuppgifter som görs enligt registerlagarna bedöms finnas i artikel 6.1 c och e i dataskyddsförordningen. Därmed är samtycke enligt artikel 6.1 a inte en sådan rättslig grund som måste vara uppfylld när registerlagen tillämpas. I fråga om myndigheters verksamhet kan det vidare anses som mindre lämpligt att grunda behandling av personuppgifter på samtycke när det är fråga om förhållandet mellan en myndighet och en enskild, eftersom förordningens krav på frivillighet i dessa fall kan ifrågasättas.
Enligt bestämmelsen i 2 § andra stycket i IFAU:s registerlag tillmäts dock den enskildes samtycke betydelse när personuppgifterna samlas in direkt från denne. I sådana fall får nämligen personuppgifter endast behandlas om den enskilde har lämnat sitt uttryckliga samtycke till behandlingen. Som framgår av avsnitt
IFAU Ds 2017:33
174
9.5.1 finns det i 2 § första stycket registerlagen en begränsning av den registrerades rätt att motsätta sig behandling enligt lagen. Bestämmelsen i 2 § andra stycket utgör således ett undantag till denna begränsning där den registrerades samtycke tillmäts betydelse.
Bakgrunden till bestämmelsen är att IFAU endast samlar in personuppgifter direkt från enskilda på grundval av enkäter eller intervjuer. Ett uttryckligt krav på samtycke är då motiverat eftersom bestämmelsen annars riskerar att komma i konflikt med den frivillighet som bör prägla deltagande i enkät- och intervjuundersökningar. Insamling av denna typ av uppgifter bedöms inte heller anses innebära något ytterligare intrång i den personliga integriteten.
94
Bedömningen är att bestämmelsen i 2 § andra stycket registerlagen kan behållas. I detta sammanhang har formerna för behandlingen (enkäter och intervjuer), ändamålen för behandlingen (5 §) och IFAU:s verksamhet i stort beaktats. Vidare bör framhållas att dataskyddsförordningen syftar till att förstärka de registrerades rättigheter och att huvudregeln enligt dataskyddsförordningen är att de registrerade enligt artikel 21 ska ha rätt att göra invändningar mot personuppgiftsbehandling.
Bestämmelsen i 2 § andra stycket tredje meningen IFAU:s registerlag innehåller även en hänvisning till 12 § personuppgiftslagen i händelse av återkallelse av lämnat samtycke. I artikel 7.3 i dataskyddsförordningen regleras återkallelse av lämnat samtycke. Bestämmelsen i dataskyddsförordningen är direkt tillämplig och behöver inte implementeras i nationell rätt. Nuvarande hänvisning till personuppgiftslagen bör därför inte ersättas med någon ny bestämmelse eller hänvisning.
9.6 Personuppgiftsansvar
Bedömning: Bestämmelsen om att IFAU är personuppgifts-
ansvarigt för den behandling av personuppgifter som myndigheten utför kan och bör behållas.
IFAU
175
Skälen för bedömningen: Dataskyddsförordningen innebär ett
långtgående ansvar för den personuppgiftsansvarige att se till att all behandling av personuppgifter som denne ansvarar för sker i överensstämmelse med förordningen.
I artikel 4.7 första ledet i dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Bedömningen av vem som är personuppgiftsansvarig för en viss behandling ska därmed enligt huvudregeln göras utifrån dataskyddsförordningen och med utgångspunkt i de faktiska omständigheterna i varje enskilt fall.
I de fall ändamålen och medlen för behandlingen bestäms av medlemsstaternas nationella rätt finns emellertid en möjlighet enligt andra ledet i artikel 4.7 i dataskyddsförordningen att ange vem som är personuppgiftsansvarig i den nationella rätten.
Enligt 4 § i registerlagen är IFAU personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför. Att behålla denna bestämmelse bedöms vara både möjligt och lämpligt. För det första finns det genom registerlagens tillämpningsområde och ändamålsbestämmelserna en yttersta ram för vilka behandlingar av personuppgifter som är tillåtna enligt lagen. Det är den personuppgiftsansvarige, det vill säga IFAU, som i varje enskild situation ska ta ställning till vilken behandling av uppgifter som ska och bör ske. För det andra bestäms medlen för behandlingen i registerlagen och dess förordning, det vill säga i registerlagen fastställs att en viss typ av behandling av personuppgifter som görs av en viss myndighet (IFAU) för vissa ändamål på angivet sätt är tillåten. Därmed bestäms såväl ändamål som medel för behandlingen i nationell rätt.
Slutligen ligger ett utpekande av personuppgiftsansvarig i registerlagen i linje med principerna om laglighet, korrekthet och öppenhet (artikel 5.1 a i dataskyddsförordningen) och bidrar till att tydliggöra för de registrerade vem de ska hålla ansvarig för behandlingen av personuppgifter som görs enligt lagen. Även från integritetssynpunkt är det lämpligt att på ett tydligt sätt peka ut vem som är personuppgiftsansvarig för den behandling av
IFAU Ds 2017:33
176
personuppgifter som görs i enlighet med lagen.
95
Sammanfattnings-
vis kan och bör bestämmelsen om personuppgiftsansvarig kvarstå.
9.7 Ändamål m.m.
I artikel 5 i dataskyddsförordningen anges de grundläggande principer som vid sidan av den rättsliga grunden i artikel 6.1 i dataskyddsförordningen måste vara uppfyllda vid behandling av personuppgifter.
All personuppgiftsbehandling ska direkt eller indirekt vara kopplad till ett ändamål. Med ändamålet avses syftet och förutsättningarna som styr vilken personuppgiftsbehandling som får ske.
9.7.1 Primära ändamål
Bedömning: Det är, utifrån bestämmelserna i dataskydds-
förordningen, inte nödvändigt att ändra de primära ändamålen i lagen.
Förslag: Kriteriet för behandling ska språkligt justeras till
dataskyddsförordningens terminologi genom att ordet behövs ersätts med är nödvändigt.
Skälen för bedömningen och förslaget:
Ändamålsbestämmelser delas vanligen upp i så kallade primära och sekundära ändamål. Primära ändamålsbestämmelser syftar till att tillgodose de behov som finns av att behandla personuppgifter i myndighetens egen verksamhet.
De primära ändamålen för behandling av personuppgifter slås fast i 5 § registerlagen där det anges att personuppgifter endast får behandlas om det behövs för att fullgöra IFAU:s uppdrag att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar.
95 Jfr SOU 2015:39 s. 345.
IFAU
177
Ändamålet med behandlingen av personuppgifter är sammankopplat med registerlagens syfte, tillämpningsområde och den rättsliga grunden för behandlingen av personuppgifter. Genom ändamålsbestämmelsen fastslås ramarna för att personuppgifterna behandlas på ett korrekt, lagligt och öppet sätt i förhållande till de registrerade (artikel 5.1 a i dataskyddsförordningen). På samma sätt sätts ramarna i fråga om vilka särskilda, uttryckligt angivna och berättigade ändamål som personuppgifterna får samlas in för (artikel 5.1 b). Genom ändamålsbestämmelsen tydliggörs tillämpningen av principen om uppgiftsminimering i artikel 5.1 c dataskyddsförordningen, det vill säga att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.
När det gäller behandling för bland annat vetenskapliga och historiska forskningsändamål ställs det i artikel 89.1 krav på att sådan behandling ska omfattas av särskilda, lämpliga skyddsåtgärder. Sådana skyddsåtgärder ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering vidtas. Dessa åtgärder får inbegripa pseudonymisering
96
under förutsättning att dessa ändamål
kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidarebehandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet. Det alternativ som minimerar riskerna för de registrerades integritet ska därmed väljas. Behandling för forskningsändamål kringgärdas således av särskilda krav på säkerhet. Sådana säkerhetsåtgärder kan vara begränsning av tillgång till personuppgifter, avidentifiering, begränsning av sökbegrepp och gallringsföreskrifter.
Bedömningen är att IFAU:s ändamålsbestämmelse är utformad i linje med dataskyddsförordningens regelverk. Av avsnitt 4.2.1 framgår dock att det finns skäl att byta ordet ”behövs” mot begreppet ”är nödvändigt” i syfte att anpassa terminologin till dataskyddsförordningen.
Sammanfattningsvis bedöms den befintliga ändamålsbestämmelsen i 5 § IFAU:s registerlag vara utformad på ett sådant sätt som stämmer överens med ovan nämnda krav i dataskyddsförord-
96 Se förklaring av begreppet i avsnitt 9.9.1.
IFAU Ds 2017:33
178
ningen, med den justeringen att det bör anges att personuppgifter endast får behandlas om det är nödvändigt för att fullgöra myndighetens uppdrag för de angivna ändamålen.
9.7.2 Sekundära ändamål och finalitetsprincipen
Bedömning: Bestämmelsen om vidarebehandling för sekundära
ändamål behöver inte ändras i sak.
Förslag: Den tidigare hänvisningen till personuppgiftslagens
bestämmelse om finalitetsprincipen ska ersättas med en ny bestämmelse av vilken finalitetsprincipen framgår.
Skälen för bedömningen och förslaget: Enligt 6 § första mening-
en i registerlagen får de personuppgifter som samlas in för angivna ändamål i 5 § även behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning. I bestämmelsen klargörs därmed att IFAU får behandla personuppgifter även för så kallade sekundära ändamål, det vill säga för ändamål som ligger utanför myndighetens eget verksamhetsområde.
97
Huvudprincipen är att de personuppgifter IFAU behandlar som underlag för sin forskning ska stanna hos myndigheten. Enligt förarbetena kan uppgifter i vissa fall behöva lämnas ut till andra myndigheter eller forskare för statistik- eller forskningsändamål. Detta kan till exempel vara aktuellt för affilierade forskare samt forskare som tilldelats forskningsmedel från IFAU. En förutsättning är då att ett sådant utlämnande är förenligt med gällande sekretesslagstiftning. Syftet med bestämmelsen i 6 § registerlagen är att det inte ska råda någon oklarhet om förhållandet mellan registerlagens ändamålsbestämmelser, offentlighets- och sekretesslagen och andra författningar som tillåter utlämnande av uppgifter.
98
Den första meningen i 6 § registerlagen handlar således om att fullgöra ett utlämnande som sker i överenstämmelse med lag eller förordning. Bestämmelsen innehåller inte några materiella krav som
97 Se författningskommentaren till 6 § i registerlagen, prop. 2011/12:176 s. 66. 98 Prop 2011/12:176 s. 31.
IFAU
179
behöver anpassas till dataskyddsförordningen. Bestämmelsen behöver därmed inte ändras i denna del.
I 6 § registerlagen andra meningen finns en hänvisning till den så kallade finalitetsprincipen som regleras i 9 § första stycket d och andra stycket personuppgiftslagen. Bestämmelsen genomför artikel 6.1 b i dataskyddsdirektivet som i sin tur har en motsvarighet i dataskyddsförordningen.
Bestämmelsen i artikel 5.1 b och 6.4 i dataskyddsförordningen om finalitetsprincipen handlar om vidarebehandling, det vill säga att personuppgifter som har samlats in för ett visst ändamål under vissa förutsättningar får behandlas av myndigheten på ett sätt som inte är oförenligt med de ursprungliga ändamålen. I artikel 5.1 b klargörs att uppgifter som har samlats in för ett annat ändamål även i fortsättningen kan behandlas för arkivändamål av allmänt intresse, historiska eller vetenskapliga forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 eftersom sådan behandling inte ska anses vara oförenlig med de ursprungliga ändamålen. Det krävs därför inte en annan, separat rättslig grund än den med stöd av vilken insamlingen av personuppgifterna medgavs.
I artikel 6.4 i förordningen beskrivs vad den personuppgiftsansvarige bör beakta för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades.
Artikel 5.1 b och 6.4 i dataskyddsförordningen är direkt tillämpliga och det är den personuppgiftsansvarige som ansvarar för att kraven för behandling av personuppgifter är uppfyllda. Det kan därför argumenteras för att den enda nödvändiga förändringen i IFAU:s registerlag i detta hänseende är att hänvisningen till personuppgiftslagen tas bort.
Det finns emellertid flera skäl som talar för att registerlagen ska innehålla en bestämmelse som hänvisar till finalitetsprincipen enligt artikel 5.1 b i dataskyddsförordningen. Ett sådant skäl är att lagstiftaren dels bedömt att finalitetsprincipen behöver kunna tillämpas vid behandling enligt registerlagen, dels att det är motiverat med
IFAU Ds 2017:33
180
en särskild bestämmelse i registerlagen som tydliggör detta.
99
Denna bedömning är fortfarande riktig.
Ett ytterligare skäl som talar för att införa en uttrycklig bestämmelse om finalitetsprincipen är att registerlagen innehåller bestämmelser som preciserar och kompletterar bestämmelserna i dataskyddsförordningen. I och med att ändamålen finns angivna i registerlagen kan det för tillämpare och tredje man verka som att ändamålsbestämmelserna i registerlagen är uttömmande. Därmed finns en risk för att lagen blir mindre tydlig och transparent för såväl de registrerade som för dem som ska tillämpa bestämmelserna. Det bedöms därför som nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer lagen tillämpas på att införliva artikel 5.1 b i registerlagen.
Sammanfattningsvis bör det i registerlagen införas en ny paragraf som anger att personuppgifter som har samlats in för de primära och sekundära ändamålen även får behandlas för andra ändamål under förutsättning att dessa inte är oförenliga med de ändamål för vilka de samlades in.
9.8 Känsliga personuppgifter
Bedömning: Det finns inga hinder i dataskyddsförordningen att
behålla nuvarande bestämmelser om känsliga personuppgifter.
Förslag:
Det ska finnas en hänvisning till
dataskyddsförordningens bestämmelser om särskilda kategorier av personuppgifter (känsliga personuppgifter).
Det ska finnas en möjlighet för IFAU att behandla personuppgifter om en persons sexuella läggning för de ändamål som anges i lagen.
Skälen för bedömningen och förslaget: Dataskyddsförordningen
förbjuder i artikel 9.1 behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk
99 Jfr resonemang prop. 2002/03:135 s. 56 om skälen till att föra in finalitetsprincipen i registerförfattningar i form av en specifik hänvisning till 9 d första stycket och andra stycket personuppgiftslagen.
IFAU
181
övertygelse, medlemskap i fackförening och behandling av genetiska uppgifter, biometeriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Genetiska uppgifter, biometriska uppgifter och uppgifter om sexuell läggning är nya kategorier som har lagts till i dataskyddsförordningen.
Samtliga dessa uppgifter benämns i dataskyddsförordningen som särskilda kategorier av personuppgifter
− i personuppgiftslagen och i registerförfattningar används däremot begreppet ”känsliga personuppgifter”. Dataskyddsutredningen anser att begreppet känsliga personuppgifter är tydligare än ”särskilda kategorier av uppgifter” och anför att det är inarbetat även på EU-nivå.
100
I enlighet med Dataskyddsutredningens förslag
bör därför även fortsättningsvis begreppet känsliga personuppgifter användas i registerlagen.
Förbudet i artikel 9.1 i dataskyddsförordningen mot att behandla känsliga personuppgifter är i sig direkt tillämpligt och behöver inte införas i nationell rätt. I likhet med nuvarande ordning hindrar emellertid inte dataskyddsförordningen en relativt detaljerad reglering av myndigheters behandling av känsliga personuppgifter i sektorspecifika författningar, förutsatt att vissa specifika krav är uppfyllda.
101
I artikel 9.2 i dataskyddsförordningen preciseras vissa uttryckliga och uttömmande undantag från förbudet i artikel 9.1. Av artikel 9.2 g framgår att förbud mot behandling av känsliga personuppgifter inte ska tillämpas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Av artikel 9.2 j framgår vidare att förbudet i artikel 9.1 inte ska tillämpas om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av
100 Se SOU 2017:39 s. 161. 101SOU 2017:39 s. 180 f.
IFAU Ds 2017:33
182
unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Såväl artikel 9.2 g och j bör kunna läggas till grund för stöd att behandla känsliga personuppgifter för IFAU:s räkning. Bedömningen är dock att eftersom artikel 9.2 j avser just behandling för forskningsändamål och inrymmer en hänvisning till artikel 89.1 som är central vid behandling av personuppgifter för forskningsändamål, bör IFAU:s behandling av känsliga personuppgifter göras med stöd av den bestämmelsen, inte artikel 9.2 g.
Enligt 7 § registerlagen får IFAU för de primära ändamål som anges i lagen behandla sådana känsliga personuppgifter som avslöjar etniskt ursprung eller medlemskap i fackförening eller som rör hälsa.
Uppgifter om hälsa behandlas i samband med utvärdering av insatser som baseras på den enskildes hälsotillstånd och utökat behov av hjälp och stöd från Arbetsförmedlingen. IFAU behandlar också uppgifter om personer som har en funktionsnedsättning som medför nedsatt arbetsförmåga.
När det gäller personuppgifter som avslöjar etniskt ursprung utgör studier, uppföljningar och utvärderingar av etableringsreformen, riktade insatser och situationen på arbetsmarknaden i övrigt för personer som har invandrat till Sverige en viktig del av IFAU:s arbete.
Vidare behöver IFAU få behandla uppgifter om fackligt medlemskap för att kunna bedriva viss forskning om arbetsmarknadens funktionssätt, i synnerhet forskning angående frågor som rör lönebildningen. Information om fackanslutning kan även utgöra en förutsättning för annan typ av forskning, exempelvis studier av effekterna av medlemsförmåner (exempelvis kompletterande försäkringar vid arbetslöshet) och studier gällande diskriminering av organiserade respektive oorganiserade arbetstagare i samband med lönebildning.
102
Vad gäller uppgifter om en persons sexuella läggning kan konstateras att IFAU enligt nu gällande rätt har möjlighet att
IFAU
183
behandla sådana uppgifter för de i lagen fastställda ändamålen, under förutsättning att uppgifterna inte omfattas av förbudet i 13 § andra stycket personuppgiftslagen mot att behandla uppgifter som rör sexualliv. IFAU bör även fortsättningsvis kunna behandla uppgifter om en persons sexuella läggning för att till exempel studera om individer diskrimineras på grund av sexuell läggning inom utbildningsväsendet eller på arbetsmarknaden. Lagstödet för behandling av uppgifter om sexuell läggning bör dock, liksom i dag, inte omfatta uppgifter som rör en persons sexualliv.
Inget annat har framkommit än att IFAU även fortsättningsvis behöver kunna behandla angivna känsliga personuppgifter i sin verksamhet. Bedömningen är att avgränsningen av kategorier till de som får behandlas i dag, inklusive personuppgifter om sexuell läggning, är väl avvägd och att behandlingen uppfyller kraven i artikel 9.2 j, det vill säga den är nödvändig, framför allt för vetenskapliga eller historiska forskningsändamål, men även i viss mån för arkivändamål av allmänt intresse och statistiska ändamål. Vidare bedöms bestämmelsen stå i proportion till det eftersträvade syftet och vara förenligt med det väsentliga innehållet i rätten till dataskydd. Slutligen innehåller lagen bestämmelser om lämpliga och särskilda åtgärder för att säkerställa de registrerades grundläggande friheter, i enlighet med artikel 89.1 i dataskyddsförordningen. Regleringen som sådan i 7 § första stycket kan och bör således kvarstå med stöd av artikel 6.2 och artikel 9.2 j i dataskyddsförordningen. Det bedöms varken nödvändigt för samstämmigheten eller för att göra de nationella bestämmelserna begripliga att räkna upp kategorierna i artikel 9.1 (jämför skäl 8 i dataskyddsförordningen). Därför bör bestämmelsen i 7 § första stycket inte räkna upp innehållet i artikel 9.1 utan i stället innehålla en hänvisning till artikel 9.1 i förordningen.
Det kan erinras om att begreppet känsliga personuppgifter, utöver kategorin sexuell läggning, är utvidgat i förhållande till dataskyddsdirektivet på så sätt att behandling av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person, inte kommer vara tillåtet enligt artikel 9.1 i dataskyddsförordningen. Denna utvidgning bedöms dock inte påverka IFAU:s personuppgiftsbehandling.
IFAU Ds 2017:33
184
9.8.1 Uppgifter som ska etikprövas
Bedömning: Lagen bör även i fortsättningen innehålla en
hänvisningsbestämmelse till lagen om etikprövning av forskning som avser människor.
Förslag: Hänvisningsbestämmelsen ska justeras i enlighet
med Forskningsdatautredningens förslag.
Skälen för bedömningen och förslaget: I 7 § andra stycket i
registerlagen anges att det följer av lagen (2003:460) om etikprövning av forskning som avser människor att såväl känsliga personuppgifter (enligt 13 § personuppgiftslagen) som uppgifter om lagöverträdelser (enligt 21 § personuppgiftslagen) måste etikprövas. Forskning som innefattar känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. är därmed endast tillåten om den först har godkänts av en etikprövningsnämnd. Detta gäller oberoende av varifrån forskningsprojektet fått dataunderlaget: genom utlämnande till IFAU, genom uttag från en forskningsdatabas vid IFAU, eller genom egen insamling direkt från berörda personer. Bestämmelsen är en upplysningsbestämmelse.
I artikel 10 i dataskyddsförordningen anges bland annat att behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Tillämpningsområdet för artikel 10 i dataskyddsförordningen är mindre än den nuvarande regleringen i 21 § personuppgiftslagen. Framför allt faller friande domar i brottmål och uppgifter om administrativa frihetsberövanden utanför tillämpningsområdet i artikel 10.
Det har inte framkommit att dataskyddsförordningen kommer att medföra en förändring av sakinnehållet i etikprövningslagens bestämmelser i dessa delar. Det bedöms därmed lämpligt, inte minst ur pedagogisk synpunkt, att IFAU:s registerlag även i fortsättningen erinrar om att etikprövning är aktuell vad gäller vissa typer av personuppgiftsbehandlingar. Det krävs dock inte att den aktuella upplysningsbestämmelsen uttryckligen anger vilka behandlingar av personuppgifter som omfattas av etikpröv-
IFAU
185
ningslagen. Här beaktas särskilt att Forskningsdatautredningen inte har färdigställt sitt betänkande med förslag till författningsändringar. Det är därmed inte möjligt att i nuläget föreslå en detaljerad bestämmelse med hänvisning till etikprövningslagen.
9.9 Samlingar av personuppgifter
Varken personuppgiftslagen, dataskyddsdirektivet eller dataskyddsförordningen innehåller särskilda definitioner eller begrepp för att beteckna olika samlingar av personuppgifter eller databaser. Det görs som huvudregel ingen skillnad mellan olika former av behandling av sådana uppgifter och annan behandling som helt eller delvis företas på automatisk väg.
103
Dataskyddsförordningens krav
måste därmed vara uppfyllda även i fråga om sådan behandling. Samlingar av personuppgifter kan vara databaser, men även samlingar av data för ett enskilt projekt eller en studie.
9.9.1 Samlingar av personuppgifter som inte direkt kan hänföras till en person
Bedömning: Bestämmelsen om samlingar av personuppgifter
som inte direkt kan hänföras till en person kan och bör behållas i sak.
Förslag: Terminologiskt ska bestämmelsen anpassas till data-
skyddsförordningen på så sätt att ordet behövs ersätts med är
nödvändigt.
Skälen för bedömningen och förslaget: IFAU:s primära ändamål
är att bedriva forskning och myndighetens personuppgiftsbehandling är nödvändig för att IFAU ska kunna bedriva sin verksamhet på ett effektivt och ändamålsenligt sätt. Som tidigare beskrivits har medlemsstaterna möjlighet att behålla och införa bestämmelser i enlighet med artikel 6.2 i dataskyddsförordningen vilken, i fråga om bland annat vetenskapliga och historiska forsk-
103 Se definitionen av behandling i artikel 4.2 i dataskyddsförordningen och artikel 2.1 om förordningens materiella tillämpningsområde.
IFAU Ds 2017:33
186
ningsändamål, innehåller en koppling till artikel 89.1 med vissa särskilda krav på lämpliga skyddsåtgärder. Enligt artikel 89.1 ska skyddsåtgärderna säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Principen om uppgiftsminimering återfinns i artikel 5.1 c och innebär att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Pseudonymisering nämns som exempel på sådana tekniska och organisatoriska åtgärder. Pseudonymisering definieras i artikel 4.5 som behandling av personuppgifter som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.
Av 8 § framgår att det hos IFAU får finnas samlingar av personuppgifter som behandlas automatiserat, under förutsättning att uppgifterna inte direkt kan hänföras till en person. Uppgifterna får dock, enligt bestämmelsen, vara försedda med en beteckning som den myndighet som uppgifterna kommer från kan hänföra till ett personnummer eller motsvarande identitetsbeteckning. Samlingarna av personuppgifter behöver inte nödvändigvis vara knutna till en avgränsad studie, uppföljning eller utvärdering.
104
IFAU hämtar in merparten av de uppgifter som myndigheten behöver från SCB som i sin tur hämtat in uppgifterna från en mängd olika källor. Det är även normalt SCB som sammanställer och avidentifierar uppgifterna. Avidentifieringen innebär att varje enskild person inte längre kan identifieras genom namn, personnummer eller samordningsnummer. Istället förses varje person med en beteckning. SCB sparar dock en nyckel som kan användas för att identifiera de enskilda personerna på nytt, vilket är en förutsättning för att uppgifterna ska kunna uppdateras eller kompletteras för att göra de kopplingar mellan exempelvis arbetsliv och utbildning som behöver göras för en viss studie.
105
IFAU
187
Det kan konstateras att samlingarna som avses i 8 § innehåller uppgifter om identifierbara fysiska personer, det vill säga personuppgifter i dataskyddsförordningens mening. Att inte IFAU har direkt tillgång till den nyckel som gör personerna bakom beteckningarna i samlingarna identifierbara påverkar inte denna bedömning.
Bestämmelsen, som ger IFAU möjlighet att ha samlingar av personuppgifter, innehåller ett krav på att samlingen behövs (det vill säga är nödvändig
106
) för de ändamål som anges i 5 §.
Bestämmelsen innehåller även skydds- och säkerhetsåtgärder − såsom att uppgifterna inte direkt kan hänföras till en person.
Paragrafen är även ett förtydligande och en tillämpning av vad som gäller enligt bland annat den grundläggande principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen. Bestämmelsen är en sådan lämplig skyddsåtgärd för att säkerställa de registrerades fri- och rättigheter som föreskrivs i artikel 89.1. I detta sammanhang kan även lyftas fram att lagen innehåller även andra skydds- och säkerhetsbestämmelser bland annat om begränsning i behandling av personuppgifter enligt 10 §, begränsning av tillgång till personuppgifter enligt 12 § och krav för behandling av känsliga personuppgifter enligt 7 § registerlagen.
I registerlagen anges att personuppgifter endast får behandlas ”om det behövs”. I dataskyddsdirektivet, personuppgiftslagen och dataskyddsförordningen används istället kriteriet ”är nödvändigt”. Bedömningen är att det är lämpligt att anpassa terminologin till dataskyddsförordningen.
Sammanfattningsvis bedöms den befintliga bestämmelsen i 8 § i IFAU:s registerlag vara utformad på ett sådant sätt som stämmer överens med kraven i dataskyddsförordningen, med den justeringen att ordet ”behövs” bör ersättas med begreppet ”är nödvändigt” i syfte att anpassa bestämmelsen till dataskyddsförordningens terminologi (se avsnitt 4.2.1).
106 Se prop. 2011/2012:176 s. 30 där uttrycken “nödvändig” och ”behövs” bedöms vara synonyma.
IFAU Ds 2017:33
188
9.9.2 Samlingar av personuppgifter i övrigt
Bedömning: Bestämmelsen som möjliggör för IFAU att inneha
samlingar av personuppgifter som avser identifierbara fysiska personer behöver inte ändras eller anpassas i sak till dataskyddsförordningen.
Förslag: Terminologiskt ska bestämmelsen dock anpassas till
dataskyddsförordningen på så sätt att ordet behövs ersätts med
är nödvändigt.
Skälen för bedömningen och förslaget: I 9 § regleras IFAU:s
möjligheter att inneha samlingar av personuppgifter i databaser eller motsvarande som inte är avidentifierade på det sätt som avses i 8 § registerlagen. Till skillnad från 8 § finns det därtill ett krav på att samlingen ska vara kopplad till (och nödvändig för) en viss avgränsad studie, uppföljning eller utvärdering.
IFAU genomför ibland studier, uppföljningar eller utvärderingar där det inte är tillräckligt att endast behandla avidentifierade personuppgifter. Det gäller bland annat när underlaget för en studie, uppföljning eller utvärdering måste inhämtas genom enkäter eller intervjuer. Det kan exempelvis handla om att inhämta uppgifter från arbetsförmedlare eller deltagare i ett visst arbetsmarknadspolitiskt program. Det kan även bli aktuellt för IFAU att inhämta uppgifter om skola och undervisning. IFAU:s möjligheter att genomföra den här typen av studier, uppföljningar och utvärderingar tjänar ett viktigt allmänintresse.
107
Bestämmelsen i 8 § är en förutsättning för att IFAU ska kunna bedriva sin verksamhet på ett effektivt och ändamålsenligt sätt. Bestämmelsen ställer krav på att behandlingen måste vara nödvändig (”om det behövs”) för de ändamål som anges i 5 § registerlagen. Bestämmelsen är vidare omgärdad av skyddsbestämmelser i registerlagen, till exempel i fråga om tillgång till uppgifter (12 § registerlagen), begränsningar i behandlingen av personuppgifter (10 och 11 §§) och bestämmelsen om gallring (14 §). Bestämmelsen är en sådan lämplig skyddsåtgärd för att säkerställa de registrerades fri- och rättigheter som föreskrivs i artikel 89.1. Sammanfattnings-
IFAU
189
vis finns det inte något hinder enligt dataskyddsförordningen mot att behålla bestämmelsen i sak. I likhet med vad som föreslås för 5 och 8 §§ registerlagen bör dock terminologin anpassas till dataskyddsförordningen. Därför föreslås att ordet ”behövs” byts ut mot begreppet ”är nödvändigt”, se motivering i avsnitt 4.2.1.
9.10 Begränsningar i behandlingen av personuppgifter
Bedömning: Bestämmelsen om att personuppgifter som inte
direkt kan hänföras till en person och som ingår i samlingar av personuppgifter som behandlas automatiserat inte får behandlas i syfte att röja en persons identitet kan och bör behållas. Även bestämmelsen om förbud mot sambearbetning av uppgifter kan och bör behållas.
Skälen för bedömningen: Enligt 10 § registerlagen får person-
uppgifter som inte kan härledas till en viss person och som ingår i samlingar inte behandlas i syfte att röja en persons identitet. Syftet med bestämmelsen är att förstärka skyddet för den personliga integriteten vid behandling av sådana personuppgifter som inte är direkt hänförliga till en person.
108
Enligt 11 § första stycket registerlagen får personuppgifter som har samlats in för att behandlas inom olika avgränsade studier, uppföljningar eller utvärderingar inte sambearbetas med varandra. Enligt andra stycket i paragrafen gäller denna begränsning dock inte för en sådan sambearbetning av personuppgifter som är nödvändig för att kunna upprepa eller följa upp en sådan studie, uppföljning eller utvärdering som har genomförts tidigare.
Om sambearbetning generellt var tillåtet, skulle detta kunna få som konsekvens att uppgifter användes till projekt som låg utanför det ändamål för vilka de samlats in.
109
Bestämmelsen är ett
införlivande av principen om ändamålsbegränsning i artikel 5.1 b i dataskyddsförordningen, det vill säga att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål
IFAU Ds 2017:33
190
och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.
De ovan nämnda bestämmelserna utgör sådana lämpliga skyddsåtgärder för att säkerställa de registrerades fri- och rättigheter som föreskrivs i artikel 89.1 och som det bedöms lämpligt att behålla med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen.
9.11 Information
Bedömning:
Bestämmelsen om undantag från
informationsskyldighet i fråga om personuppgifter som inte direkt kan hänföras till en person kan och bör behållas med stöd av artikel 89.2 i dataskyddsförordningen.
Förslag: Bestämmelsen ska innehålla en hänvisning till artikel
15 i dataskyddsförordningen.
Skälen för bedömningen och förslaget: Den registrerades rätt till
information regleras i artiklarna 12−15 i dataskyddsförordningen.
I artikel 89.2 i dataskyddsförordningen anges att i de fall personuppgifter behandlas för bland annat vetenskapliga eller historiska forskningsändamål får det i nationell rätt föreskrivas undantag från de rättigheter som avses i artiklarna 15 (information), 16 (rätt till rättelse), 18 (rätt till begränsning av behandling) och 21 (rätt att göra invändningar).
I 13 § registerlagen finns ett undantag från den informationsskyldighet som regleras i 26 § personuppgiftslagen. Undantaget gäller de fall där IFAU endast har personuppgifter som inte är hänförliga till en viss person, men även de fall då personuppgifterna har försetts med något slags beteckning, så länge inte IFAU har tillgång till den nyckel som behövs för att åter knyta uppgifterna till en enskild individ.
De uppgifter som IFAU behandlar är sådana att myndigheten inte har möjlighet att utan bistånd från andra myndigheter sammanställa ett registerutdrag över de uppgifter som behandlas. En skyldighet att sammanställa registerutdrag och lämna ut annan information enligt dataskyddsförordningen beträffande dessa personuppgifter skulle innebära att IFAU skulle vara tvunget att identifiera uppgifterna på ett sätt som i sig skulle innebära oönska-
IFAU
191
de risker för intrång i den personliga integriteten.
110
Ett sådant krav
skulle leda till en större spridning av en personuppgift än vad som annars varit nödvändigt, enbart för att försöka fastställa vem personuppgiften rör. Ett sådant förfarande strider mot förordningens grundtankar om skydd för den enskildes personliga integritet. Bestämmelsen är ett sådant undantag från rätten till information i artikel 15 i dataskyddsförordningen som det är möjligt att behålla enligt artikel 89.1−2 och artikel 6.2 i dataskyddsförordningen.
I detta sammanhang kan även artikel 11.1 i dataskyddsförordningen nämnas. I artikeln anges bland annat att om de ändamål för vilken den personuppgiftsansvarige behandlar personuppgifter inte kräver att den registrerade identifieras av den personuppgiftsansvarige, ska den personuppgiftsansvarige inte vara tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa förordningen. Vidare anges i artikel 11.2 att om den personuppgiftsansvarige, i fall som avses i punkt 1, kan visa att denne inte är i stånd att identifiera den registrerade, ska den personuppgiftsansvarige om möjligt informera den registrerade om detta. I sådana fall ska inte artiklarna 15−20 gälla förutom om den registrerade, för utövande av sina rättigheter i enlighet med dessa artiklar, tillhandahåller ytterligare information som gör identifieringen möjlig. Bestämmelsen i artikel 11 är direkt tillämplig och behöver inte införas i svensk rätt.
Sammanfattningsvis bedöms det såväl möjligt som lämpligt att i registerlagen ha en bestämmelse där det anges att rätten till information enligt artikel 15 i dataskyddsförordningen inte gäller i fråga om personuppgifter som inte direkt kan hänföras till en person. Detta undantag bör gälla även om personuppgifterna har försetts med någon slags beteckning, så länge IFAU inte inom myndigheten har tillgång till den nyckel som behövs för att åter knyta uppgifterna till en enskild individ.
110 Jfr. prop. 2011/12:176 s. 58.
IFAU Ds 2017:33
192
9.12 Tillgång till personuppgifter
Bedömning: Bestämmelsen om tillgång till personuppgifter
behöver inte ändras med anledning av dataskyddsförordningen.
Skälen för bedömningen: Enligt artikel 29 i dataskyddsförord-
ningen får personuppgiftsbiträden och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandla dessa på instruktion från den personuppgiftsansvarige såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt. Enligt artikel 32.4 i dataskyddsförordningen ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.
I 12 § IFAU:s registerlag slås fast att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
111
Även om bestämmelsen är allmänt hållen ger den klart uttryck för den grundprincip som ska gälla, samtidigt som den ger utrymme för anpassning på individnivå.
112
Genom att begränsa
tillgången till personuppgifter kan risken för otillåten behandling av personuppgifter minskas.
Bestämmelsen bedöms vara en sådan lämplig skyddsåtgärd för att säkerställa de registrerades fri- och rättigheter som föreskrivs i artikel 89.1. Bestämmelsen är även i linje med artikel 32.4 i dataskyddsförordningen. Själva bedömningen av vilka personuppgifter som en anställd eller exempelvis en affilierad forskare behöver tillgång till för att utföra sina arbetsuppgifter är en fråga för den personuppgiftsansvarige.
111 Utförligt resonemang om hur en enskild forskare får tillgång till uppgifter finns i prop. 2011/12:176 s. 44. 112Prop. 2011/12:176 s. 52.
IFAU
193
Bestämmelsen om tillgång till personuppgifter kan och bör sammanfattningsvis finnas kvar.
9.13 Rättelse och skadestånd
Förslag: Bestämmelserna om rättelse och skadestånd ska tas
bort.
Skälen för förslaget: Den registrerades rätt till rättelse behandlas i
artikel 16 i dataskyddsförordningen. I artikel 17 regleras den registrerades rätt till radering (”rätten att bli bortglömd”) medan artikel 18 handlar om rätt till begränsning av behandling. Dessa bestämmelser, liksom rätten till dataportabilitet (artikel 20) och rätten att göra invändningar (artikel 21), är direkt tillämpliga.
I den mån det kommer att finnas generella undantag från dataskyddsförordningens bestämmelser kommer dessa, enligt Dataskyddsutredningens förslag, att regleras i dataskyddslagen. Någon specifik hänvisningsbestämmelse till den föreslagna dataskyddslagen i dessa frågor är dock inte nödvändig (se avsnitt 9.4.3).
Även bestämmelsen om skadestånd i artikel 82 i dataskyddsförordningen är direkt tillämplig. I den föreslagna dataskyddslagen finns en bestämmelse, 8 kap. 1 §, som upplyser om att den rätt till ersättning enligt artikel 82 i dataskyddsförordningen även gäller vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen.
Sammanfattningsvis bedöms det varken behövligt eller lämpligt att införa specifika bestämmelser eller hänvisningar till dataskyddsförordningen eller dataskyddslagen i fråga om rättelse eller skadestånd respektive sanktioner i övrigt.
9.14 Gallring
Bedömning: Bestämmelsen om gallring behöver inte ändras i
sak med anledning av dataskyddsförordningen.
Förslag: Terminologin ska dock anpassas till data-
skyddsförordningen.
IFAU Ds 2017:33
194
Skälen för bedömningen och förslaget: Lagring av person-
uppgifter är enligt dataskyddsförordningens definition en behandling av personuppgifter. Enligt artikel 5.1 e i dataskyddsförordningen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får dock lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse (historiska ändamål enligt dataskyddsdirektivet), vetenskapliga eller historiska forskningsändamål (vetenskaplig ändamål enligt dataskyddsdirektivet) eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).
Motsvarande bestämmelse återfinns i 6.1 e i dataskyddsdirektivet, vilket innebär att huvudregeln som sådan inte har förändrats genom dataskyddsförordningen. Bestämmelsen i artikel 5.1 e är direkt tillämplig och det är den personuppgiftsansvarige som ansvarar för att den följs.
I 14 § registerlagen anges som huvudregel att personuppgifter ska gallras så snart de inte längre behövs för de ändamål de behandlas för, vilket motsvarar första ledet i artikel 5.1 e dataskyddsförordningen. Skäl 8 och artikel 6.2 och 6.3 ger emellertid utrymme för att behålla bestämmelsen i registerlagen.
Av 14 § registerlagen framgår att personuppgifter ska gallras så snart uppgifterna inte längre behövs för det ändamål som de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Bestämmelsen rör ett område som normalt ligger inom ramen för regeringens så kallade restkompetens och syftar till att markera var gränserna går för det till lag upplyfta området.
113
Bestämmelsen innehåller inte i sig några materiella bestämmelser och bedöms därför inte stå i strid med dataskyddsförordningen.
113Prop. 2011/12:176 s. 68 f.
IFAU
195
Att de uppgifter som IFAU inhämtar ska användas för statistik- och forskningsändamål innebär inte att myndigheterna kan bevara uppgifterna helt utan tidsbegränsning. Det är viktigt att IFAU dels efter varje avslutat projekt, dels kontinuerligt, prövar vilka uppgifter som måste bevaras för att myndigheten ska kunna fullgöra sitt uppdrag, och vilka uppgifter som kan utplånas eller gallras. Närmare föreskrifter om vilka krav som ska ställas på IFAU:s gallringsrutiner bör meddelas i föreskrifter på lägre nivå än lag.
114
Bestämmelsen bör dock justeras till data-
skyddsförordningens terminologi.
9.15 Överklagande
Förslag: Det ska införas en bestämmelse som hänvisar till den
föreslagna dataskyddslagens överklagandebestämmelser.
Skälen för förslaget: IFAU:s registerlag innehåller inga bestäm-
melser om överklagande. Däremot är personuppgiftslagen tillämplig i den mån inte annat föreskrivs i registerlagen. Enligt personuppgiftslagen är rätten att överklaga begränsad till en myndighets beslut om rättelse eller avslag på ansökan om information enligt 26 § samma lag.
En registrerad ska enligt artikel 79 i dataskyddsförordningen ha rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde. Någon närmare beskrivning av innebörden av begreppet effektivt rättsmedel finns inte i förordningen. Frågan om överklagande är inte sektorsspecifik utan de processuella regler som kompletterar dataskyddsförordningen kommer, enligt Dataskyddsutredningens förslag, att återfinnas i dataskyddslagen.
I den föreslagna dataskyddslagen finns två bestämmelser om överklagande som i sak motsvarar 52 och 53 §§
personuppgiftslagen. Eftersom den föreslagna dataskyddslagen är tänkt att gälla i den mån inte annat föreskrivs i den nya lagen är det i och för sig inte nödvändigt att hänvisa till den lagen. Rätten att
IFAU Ds 2017:33
196
överklaga rymmer emellertid grundläggande rättssäkerhetsaspekter. Av hänsyn härtill samt av pedagogiska skäl bedöms det lämpligt att införa en upplysningsbestämmelse med hänvisning till den föreslagna dataskyddslagens överklagandebestämmelser.
I detta sammanhang har det även beaktats att motsvarande bestämmelse föreslås för de registerlagar som gäller Arbetsförmedlingen, Arbetsmiljöverket och Inspektionen för arbetslöshetsförsäkringen. Eftersom rättsläget är detsamma för den aktuella lagen är det lämpligt att även IFAU:s registerlag innehåller en sådan upplysningsbestämmelse. En upplysningsbestämmelse som tydliggör att beslut eller åtgärder som görs med stöd av lagen kan överklagas ligger i linje med dataskyddsförordningens syfte att stärka de registrerades fri- och rättigheter samt principerna om laglighet, korrekthet och öppenhet i artikel 5.1 a i dataskyddsförordningen.
197
10 Ikraftträdande- och övergångsbestämmelser
Förslag och bedömning:
Den nya lagen och
författningsändringarna ska träda i kraft den 25 maj 2018. Några övergångsbestämmelser behövs inte.
Skälen för förslaget och bedömningen: I artikel 99.1 i data-
skyddsförordningen anges att den träder i kraft den tjugonde dagen efter den har offentliggjorts i Europeiska unionens officiella tidning, vilket skedde den 4 maj 2016.
Enligt artikel 99.2 ska förordningen tillämpas från och med den 25 maj 2018. Av artikel 94 i dataskyddsförordningen framgår att dataskyddsdirektivet ska upphöra att gälla med verkan från och med den 25 maj 2018 och att hänvisningar till det upphävda dataskyddsdirektivet ska anses som hänvisningar till dataskyddsförordningen.
Förutom vissa bestämmelser av övergångskaraktär i fråga om direktiv 2002/58/EG
115
(artikel 95
)
, respektive i fråga om
förhållande till internationella avtal som rör överföring av personuppgifter till tredjeländer eller internationella organisationer och som ingicks före den 24 maj 2016 (artikel 96), saknar dataskyddsförordningen övergångsbestämmelser.
Genom den nya lag och de ändringar som föreslås i denna promemoria bedöms de berörda författningarna överensstämma med dataskyddsförordningens krav. Ändringarna bör träda i kraft
115 Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation).
Ikraftträdande- och övergångsbestämmelser Ds 2017:33
198
samtidigt som dataskyddsförordningen börjar tillämpas, det vill säga den 25 maj 2018.
En utgångspunkt i dataskyddsförordningen är att behandling som pågår den dag då förordningen börjar tillämpas från och med den dagen ska bringas i överensstämmelse med förordningen (skäl 171). Personuppgiftsansvariga och personuppgiftsbiträden får därför förutsättas ha ordnat sin behandling av personuppgifter så att exempelvis en begäran om information från en registrerad som inkommit före den 25 maj 2018 men som inte har hunnit besvaras, kan tillmötesgås i enlighet med förordningens bestämmelser.
För skadestånd bör äldre bestämmelser gälla, om skadan har orsakats före den 25 maj 2018. Att så är fallet följer av allmänna rättsgrundsatser, varför det inte finns något behov av övergångsbestämmelser i det avseendet.
116
Inte heller i övrigt finns skäl att
införa övergångsbestämmelser.
Även förordningar och myndighetsföreskrifter kan behöva ändras eller kompletteras. Dessa ändringar och tillägg bör träda i kraft samtidigt som dataskyddsförordningen börjar tillämpas.
116 Se prop. 1972:5 s. 593.
199
11 Konsekvenser
11.1 Inledning
De förslag som läggs fram i denna promemoria anpassar författningar som hör till Arbetsmarknadsdepartementets ansvarsområde till dataskyddsförordningen.
Dataskyddsförordningens bestämmelser kommer att leda till konsekvenser för såväl det allmänna som för enskilda som är personuppgiftsansvariga och personuppgiftsbiträden. Det kommer bland annat att krävas ökade resurser till utbildningsinsatser och anpassning av befintliga it-system. Vidare innebär dataskyddsförordningen att myndigheter inte längre har möjlighet att använda sig av intresseavvägning som rättslig grund när de utför sina uppgifter (se artikel 6.1 f och artikel 6.1 andra stycket i dataskyddsförordningen, jämfört med artikel 7 f i dataskyddsdirektivet). Det kan även framhållas att skäl 42 och 43 i dataskyddsförordningen får anses innebära att berörda myndigheter bör använda den rättsliga grunden samtycke med försiktighet. En annan konsekvens av dataskyddsförordningen är att personuppgiftsansvariga inte längre kommer att kunna använda sig av undantag som motsvarar den så kallade missbruksregeln i 5 a § personuppgiftslagen.
Förslagen i denna promemoria utgör en liten del av ett stort arbete inom Regeringskansliet. De viktigaste effekterna av det förändrade dataskyddet beror på regeländringar som ligger utanför denna promemoria och är därmed inte konsekvenser av de förslag som läggs fram i den.
11.2 Konsekvenser av att genomföra förslagen
Förslagen i denna promemoria ger förutsättningar för de myndigheter, organ med flera under Arbetsmarknadsdeparte-
Konsekvenser Ds 2017:33
200
mentets ansvarsområde, att även i fortsättningen bedriva sin verksamhet på ett effektivt och rättssäkert sätt samtidigt som de registrerade ges ett fullgott skydd mot intrång i den personliga integriteten.
11.3 Alternativa lösningar eller inte reglera alls
Genom de förslag som läggs fram i denna promemoria bedöms de berörda lagarna inom Arbetsmarknadsdepartementets ansvarsområde överensstämma med dataskyddsförordningens krav. I den bedömningen inbegrips bland annat att den samlade dataskyddsregleringen är proportionerlig i förhållande till de legitima mål som eftersträvas och att det i vederbörlig utsträckning tas hänsyn till de registrerades rätt till personlig integritet.
Förslagen aktualiseras av att dataskyddsförordningen ska börja tillämpas och anpassningar av gällande rätt är ett krav enligt EUrätten.
Ett alternativ till de föreslagna ändringarna är att upphäva befintliga registerförfattningar under Arbetsmarknadsdepartementets ansvarsområde och låta sådan personuppgiftsbehandling ha sitt rättsliga stöd i dataskyddsförordningen kompletterad av den föreslagna dataskyddslagen. En sådan lösning skulle dock i mycket hög grad försämra myndigheternas möjligheter till en effektiv och ändamålsenlig behandling av personuppgifter samtidigt som rättsläget skulle bli mer oklart för såväl personuppgiftsansvariga myndigheter som för de registrerade. Det ska även beaktas att bestämmelserna i de befintliga registerlagarna har tillkommit efter ingående analyser vad gäller integritetsskyddet och varit föremål för remiss- och riksdagsbehandling samt granskning av Lagrådet. Att upphäva registerlagarna skulle därmed försämra integritetsskyddet för de registrerade, vilket står i strid med dataskyddsförordningens syften.
11.4 Ekonomiska konsekvenser
I fråga om de ekonomiska konsekvenserna av att dataskyddsförordningen ska börja tillämpas och ersätter personuppgiftslagen kan konstateras att det ändrade rättsläget åtminstone initialt
Ds 2017:33 Konsekvenser
201
kommer att medföra ökade administrativa bördor och därmed kostnader för de personuppgiftsansvariga myndigheterna, främst med anledning av att de registrerades rättigheter stärks. I detta sammanhang kan även nämnas att dataskyddsförordningen innehåller bestämmelser om påförande av administrativa sanktionsavgifter till betydande belopp, som enligt Dataskyddsutredningens betänkande föreslås omfatta även myndigheter. Se avsnitt 11.6 nedan.
Förslagen i denna promemoria bedöms dock inte medföra några kostnader som ger upphov till finansiering med medel utöver vad som avsatts.
11.5 Konsekvenser för jämställdhet, miljö och små företag
Förslagen bedöms inte få några konsekvenser för jämställdheten mellan kvinnor och män. Förslagen bedöms inte i övrigt ha några sociala eller miljömässiga konsekvenser eller några särskilda effekter för vare sig små eller stora företag.
11.6 Övriga konsekvenser
I sammanhanget bör det nämnas att de generella anpassningar av svensk rätt som behöver göras med anledning av dataskyddsförordningen föreslås av Dataskyddsutredningen. För en analys av konsekvenserna av utredningens förslag hänvisas till den utredningens betänkande (SOU 2017:39).
203
12 Författningskommentar
12.1 Förslag till lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador
1 §
Förslaget behandlas i avsnitt 6.2.2, 6.3.4 och 6.4.
I paragrafen anges lagens tillämpningsområde. Av bestämmelsen framgår att lagen ska tillämpas vid behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador. Lagen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Lagen har i detta avseende samma avgränsning av tillämpningsområdet som Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen). Avgränsningen av tillämpningsområdet i andra stycket har samma innebörd som motsvarande avgränsning enligt artikel 2.1 i dataskyddsförordningen.
Sådan personuppgiftsbehandling vid Arbetsmiljöverket som inte rör informationssystemet om arbetsskador, inklusive intern administration, faller utanför lagens tillämpningsområde. I de delar av Arbetsmiljöverkets verksamhet som faller utanför lagens tillämpningsområde gäller dataskyddsförordningen, kompletterad av den föreslagna dataskyddslagen. Detta gäller även de delar av myndighetens verksamhet som i och för sig omfattas av lagens tillämpningsområde, men där någon särreglering i förhållande till dataskyddsförordningen och dataskyddslagen inte har gjorts. Se vidare kommentaren under 3 och 4 §§.
Författningskommentar Ds 2017:33
204
2 §
Förslaget behandlas i avsnitt 6.5.
Av bestämmelsen framgår att behandling av personuppgifter som är tillåten enligt lagen får utföras även om den registrerade invänder mot behandlingen. Bestämmelsen ska tillämpas vid all behandling inom lagens tillämpningsområde. Bestämmelsen utgör en tillåten inskränkning av de registrerades rätt att göra invändning mot behandling av personuppgifter enligt artikel 21 i dataskyddsförordningen. Inskränkningen görs med stöd av artikel 23 i dataskyddsförordningen. Bestämmelsen innebär ett nödvändigt och proportionerligt stöd för myndigheten att få behandla personuppgifter inom ramen för informationssystemet för arbetsskador oavsett en eventuell invändning från den registrerade.
3 §
Förslaget behandlas i avsnitt 4.1.1−4.1.2 och 6.6.1.
Paragrafen anger lagens förhållande till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen). Hänvisningarna till dataskyddsförordningen i denna lag är dynamiska, det vill säga de avser EU-förordningen i dess vid varje tidpunkt gällande lydelse.
Av paragrafen framgår att lagen utgör ett komplement till dataskyddsförordningen och att det är sådan personuppgiftsbehandling som omfattas av dataskyddsförordningen som regleras i registerlagen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. Det innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag.
Bestämmelsens syfte är att göra tillämparen och tredje man uppmärksamma på att registerlagen endast kompletterar dataskyddsförordningen och att merparten av de bestämmelser som är tillämpliga vid behandling av personuppgifter finns i dataskyddsförordningen.
Ds 2017:33 Författningskommentar
205
4 §
Förslaget behandlas i avsnitt 6.6.2.
Genom bestämmelsen införs en hänvisning till den föreslagna lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).
Bestämmelsens första led utgör en upplysning om att det i dataskyddslagen finns generella nationella bestämmelser om behandling av personuppgifter som kompletterar och preciserar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen) och som därmed även gäller för Arbetsmiljöverkets hantering av personuppgifter inom informationssystemet om arbetsskador. Andra ledet anger att dataskyddslagen är subsidiär i förhållande till registerlagen. Det innebär att dataskyddslagens bestämmelser endast gäller i den mån inte annat föreskrivs i registerlagen eller föreskrifter meddelade i anslutning till denna.
5 §
Förslaget behandlas i avsnitt 6.6.3.
Bestämmelsen är en upplysningsbestämmelse av vilken det framgår att lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken innehåller bestämmelser om behandling av personuppgifter. Med anledning av att Arbetsmiljöverkets informationssystem om arbetsskador utgör en del av myndighetens uppdrag att ansvara för officiell statistik innebär behandling av personuppgifter inom informationssystemet att myndigheten har att tillämpa även de angivna författningarna. Bestämmelsen innebär ett klargörande att relevanta bestämmelser även finns i statistikförfattningarna.
6 §
Förslaget behandlas i avsnitt 6.7.
I enlighet med artikel 4.7 andra ledet i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen) införs en bestämmelse som innebär att
Författningskommentar Ds 2017:33
206
Arbetsmiljöverket är personuppgiftsansvarigt för den behandling av personuppgifter som sker inom ramen för myndighetens informationssystem om arbetsskador. Bestämmelsen innebär ett tydliggörande av vem som ansvarar för sådan personuppgiftsbehandling som görs med stöd av lagen.
7 §
Förslaget behandlas i avsnitt 6.8.1.
I paragrafens första stycke anges de primära ändamålen för behandling av personuppgifter inom Arbetsmiljöverkets informationssystem om arbetsskador. Beskrivningen av ändamålen får betydelse för vilken insamling och annan behandling av uppgifter som är tillåten enligt lagen. Ändamålen motsvarar de nu föreskrivna ändamålen i förordningen (2001:706) om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador. Någon ändring av ändamålen är således inte avsedd. Fråga om underrättelseskyldighet har emellertid lyfts ut och lagts i en egen bestämmelse, se kommentaren till 8 §.
Genom att ändamålen fastställs på lagnivå tillförsäkras att personuppgiftsbehandling enligt lagen sker i enlighet med principerna om laglighet, korrekthet och öppenhet (artikel 5.1 a i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 [dataskyddsförordningen]).
Bestämmelsen utgör en yttre ram för vilka slags personuppgiftsbehandlingar som är tillåtna enligt lagen och är en sådan specifikationsbestämmelse som är tillåten enligt artikel 6.2 i dataskyddsförordningen. Att det i bestämmelsen anges ett krav på att behandlingen ska vara nödvändig för de angivna ändamålen innebär ett tydliggörande av kraven på laglig behandling enligt artikel 6.1, däribland artikel 6.1 c och e i dataskyddsförordningen. Vad gäller innebörden av begreppet nödvändig, se avsnitt 4.2.1.
Av paragrafens andra stycke framgår att regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.
Ds 2017:33 Författningskommentar
207
8 §
Förslaget behandlas i avsnitt 6.8.2.
I paragrafen klargörs att Arbetsmiljöverket får behandla personuppgifter även för vissa ändamål som ligger utanför myndighetens eget verksamhetsområde, så kallade sekundära ändamål. Paragrafen klargör att behandling av personuppgifter som behandlas för de primära ändamålen också är tillåten för att fullgöra en uppgiftsskyldighet enligt lag eller förordning eller i andra fall då ett utlämnande får anses förenligt med gällande författningsreglering. Till exempel är Arbetsmiljöverket enligt förordningen (2007:913) med instruktion för Arbetsmiljöverket skyldig att samverka med Försäkringskassan, Socialstyrelsen och Arbetsförmedlingen. Bestämmelsen innebär därmed att myndigheten har möjlighet att lämna ut personuppgifter om sådan samverkan medför behov av utlämnande av personuppgifter, i de fall personuppgifterna har samlats in för de primära ändamålen enligt 7 §.
9 §
Förslaget behandlas i avsnitt 6.8.3.
Bestämmelsen innehåller den så kallade finalitetsprincipen som närmare regleras i artiklarna 5.1 b första meningen i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen).
Artikel 6.4 i dataskyddsförordningen innehåller en precisering av vad den personuppgiftsansvarige bör beakta när denne fastställer huruvida behandling för andra ändamål är förenligt med det ändamål för vilket personuppgifterna ursprungligen samlades in.
10 §
Förslaget behandlas i avsnitt 6.9.
I paragrafen regleras i vilken utsträckning Arbetsmiljöverket får behandla sådana särskilda kategorier av personuppgifter (känsliga personuppgifter) som anges i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen). Bestämmelsen innebär att lagen endast
Författningskommentar Ds 2017:33
208
ger stöd för behandling av sådana känsliga personuppgifter som rör hälsa. Eftersom begreppet känsliga personuppgifter är utvidgat i jämförelse med dataskyddsdirektivet innebär bestämmelsen en förändring mot vad som i dag gäller enligt personuppgiftslagen (1998:204) och registerförordningen (1998:1191), i och med att behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en persons sexuella läggning numera är klassificerade som känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen.
I paragrafen anges att endast sådana känsliga personuppgifter som rör hälsa får behandlas av myndigheten under förutsättning att behandlingen är nödvändig för de ändamål som anges i 7−9 §§. Bestämmelsen innebär ett undantag från huvudregeln att behandling av sådana personuppgifter är förbjuden. Vad gäller innebörden av begreppet nödvändig, se avsnitt 4.2.1.
Ytterligare behandling av känsliga personuppgifter kan därutöver ske med stöd av 3 kap. i den föreslagna dataskyddslagen.
11 §
Förslaget behandlas i avsnitt 6.10.
Av paragrafen följer att Arbetsmiljöverket är skyldigt att se till att behörigheten att behandla personuppgifter begränsas till vad var och en behöver för att kunna utföra sina arbetsuppgifter.
Syftet med begränsningen är att förstärka skyddet för den personliga integriteten genom att se till att uppgifterna sprids till en så liten krets som möjligt.
Bestämmelsen är en skydds- och säkerhetsbestämmelse som det är tillåtet att införa enligt artikel 6.2 och 6.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016.
12 §
Förslaget behandlas i avsnitt 6.12.
Närmare bestämmelser om överklagande finns i 8 kap. den föreslagna dataskyddslagen. Hänvisningen innebär ett tydliggörande av att bestämmelser om effektiva rättsmedel återfinns i dataskyddslagen.
209
12.2 Förslag till lag om ändring i lagen ( 2002:546 ) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten
1 §
Förslaget behandlas i avsnitt 7.3.
Paragrafen anger lagens tillämpningsområde. Dataskyddsförordningen medför inte någon förändring av verksamhetsområdet, varför lagen även fortsättningsvis omfattar sådan behandling av personuppgifter som sker i Arbetsförmedlingens arbetsmarknadspolitiska verksamhet. Vad som avses med arbetsmarknadspolitisk verksamhet framgår av förordningen (2000:628) om den arbetsmarknadspolitiska verksamheten.
I de delar av Arbetsförmedlingens verksamhet som faller utanför lagens tillämpningsområde, såsom interna och administrativa åtgärder, gäller Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen), kompletterad av den föreslagna dataskyddslagen. Detta gäller även de delar av myndighetens verksamhet som i och för sig omfattas av lagens tillämpningsområde, men där någon särreglering i förhållande till dataskyddsförordningen och den föreslagna dataskyddslagen inte har gjorts.
Paragrafen är ändrad endast på så sätt att det tredje stycket, anpassats till dataskyddsförordningen. Motsvarande reglering framgår av artikel 2.1 i dataskyddsförordningen. Avgränsningen av tillämpningsområdet i tredje stycket har samma innebörd som avgränsingen av dataskyddsförordningens tillämpningsområde enligt artikel 2.1 i dataskyddsförordningen.
1 a §
Förslaget behandlas i avsnitt 7.4.
Paragrafens första stycke ändras så att motsätter sig ersätts av
invänder mot. Ändringen är en anpassning till terminologin i artikel
21 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 och innebär inte någon förändring i sak.
Författningskommentar Ds 2017:33
210
Andra stycket anpassas till gällande riktlinjer för hur
upplysningsbestämmelser ska utformas. Ändringen innebär inte någon förändring i sak.
2 §
Förslaget behandlas i avsnitt 7.5.1−7.5.3.
Paragrafen anger lagens förhållande till viss annan författning. Hänvisningarna till dataskyddsförordningen i denna lag är dynamiska, det vill säga de avser Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen) i dess vid varje tidpunkt gällande lydelse.
Paragrafens första stycke har ändrats på så sätt att det, i stället för en hänvisning till personuppgiftslagen (1998:204), anges att lagen kompletterar dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat.
I paragrafen införs ett nytt andra stycke där det anges att den föreslagna dataskyddslagen gäller vid behandling av personuppgifter inom den arbetsmarknadspolitiska verksamheten (första ledet), om inte annat följer av Arbetsförmedlingens registerlag eller föreskrifter som har meddelats i anslutning till den (andra ledet). Bestämmelsens första led utgör en upplysning om att det i den föreslagna dataskyddslagen finns generella nationella bestämmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som därmed även gäller för Arbetsförmedlingen. Andra ledet i andra stycket anger att dataskyddslagen är subsidiär i förhållande till registerlagen. Det innebär att den föreslagna dataskyddslagens bestämmelser gäller endast i den mån inte annat föreskrivs i Arbetsförmedlingens registerlag eller föreskrifter meddelade i anslutning till denna lag.
4 §
Förslaget behandlas i avsnitt 4.2.1 och 7.7.1.
I paragrafen regleras de så kallade primära ändamålen. Bestämmelsen har ändrats endast på så sätt att ordet behövs har ersatts med är nödvändigt. Ändringen är en språklig förändring i syfte att anpassa bestämmelsen till terminologin i
Ds 2017:33 Författningskommentar
211
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016. Ändringen avser ingen förändring i sak.
5 §
Förslaget behandlas i avsnitt 4.2.1, 7.5.1 och 7.7.3.
I bestämmelsen regleras de så kallade sekundära ändamålen, det vill säga för vilka ändamål som uppgifter får tillhandahållas för verksamheter utanför Arbetsförmedlingens arbetsmarknadspolitiska verksamhet.
Andra stycket har ändrats på så sätt att hänvisningen till person-
uppgiftslagens bestämmelse om finalitetsprincipen med mera har tagits bort. En motsvarande reglering införs i stället i en ny paragraf, 5 a §.
5 a §
Förslaget behandlas i avsnitt 7.7.3.
Bestämmelsen, som är ny, innehåller bland annat en upplysning om den så kallade finalitetsprincipen som närmare regleras i artiklarna 5.1 b första meningen Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen). Motsvarande reglering återfanns tidigare i 5 § sista meningen registerlagen i form av en hänvisning till 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
Artikel 6.4 i dataskyddsförordningen innehåller en precisering av vad den personuppgiftsansvarige bör beakta när denne fastställer huruvida behandling för andra ändamål är förenligt med det ändamål för vilket personuppgifterna ursprungligen samlades in.
8 §
Förslaget behandlas i avsnitt 7.5.1, 7.9 och 7.10.
I paragrafen regleras när känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattar brott m.m. får
Författningskommentar Ds 2017:33
212
behandlas av Arbetsförmedlingen i den arbetsmarknadspolitiska verksamheten i de fall behandlingen inte sker i en databas.
Bestämmelsens första stycke har ändrats på så vis att hänvisningarna till 13 och 21 §§personuppgiftslagen (1998:204) har upphävts. I första stycket anges i stället att Arbetsförmedlingen får behandla sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen)om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Bestämmelsen innebär ett undantag från huvudregeln att behandling av sådana känsliga personuppgifter är förbjuden.
Eftersom begreppet känsliga personuppgifter är utvidgat i jämförelse med dataskyddsdirektivet innebär bestämmelsen en förändring mot vad som i dag gäller enligt personuppgiftslagen och registerlagen, i och med att behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en persons sexuella läggning numera är klassificerade som känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen.
Av det nya, andra stycket, framgår att sådana personuppgifter som rör uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får behandlas endast om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Bestämmelsen, som är omfattar fler uppgifter än de som framgår av artikel 10 i dataskyddsförordningen, innebär att skyddet för alla de kategorier som omfattades av 21 § i personuppgiftslagen behålls. Bestämmelsen utgör i denna del en skyddsbestämmelse som är tillåten i enlighet med artikel 6.2 och 6.3 i dataskyddsförordningen.
9 §
Förslaget behandlas i avsnitt 7.5.1 och 7.8−7.11.
I paragrafen regleras när känsliga personuppgifter, personuppgifter om sociala förhållanden m.m. och personuppgifter om lagöverträdelser får behandlas i en arbetsmarknadspolitisk databas.
Ds 2017:33 Författningskommentar
213
Första stycket har ändrats på så sätt att hänvisningarna till 13 §
personuppgiftslagen (1998:204) upphävs.
Vad som avses med känsliga personuppgifter framgår av 8 §. Eftersom genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en fysisk persons sexuella läggning numera ingår i begreppet särskilda kategorier av personuppgifter enligt artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen), det vill säga i begreppet känsliga personuppgifter, innebär ändringen att behandling av sådana personuppgifter i en databas endast får ske om de har lämnats i ett ärende. I övrigt avses ingen förändring i sak.
Första ledet i bestämmelsens andra stycke kvarstår oförändrat. Andra ledet har ändrats på så sätt att hänvisningen till 21 § personuppgiftslagen har tagits bort. I stället anges att sådana personuppgifter som rör uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden endast får behandlas i en databas om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Bestämmelsen, som omfattar fler uppgifter än dem som framgår av artikel 10 i dataskyddsförordningen, innebär att skyddet för alla de kategorier som omfattades av 21 § i personuppgiftslagen behålls. Bestämmelsen utgör en skyddsbestämmelse som är tillåten i enlighet med artikel 6.2 och artikel 6.3 i dataskyddsförordningen.
14 §
Förslaget behandlas i avsnitt 7.5.1 och 7.9−7.11.
I paragrafen slås fast begränsningar av uppgifter som får användas som sökbegrepp.
Bestämmelsens första stycke har endast ändrats på så sätt att hänvisningen till personuppgiftslagen (1998:204) har tagits bort. I och med att definitionen av särskilda kategorier av personuppgifter enligt artikel 9.1 (känsliga personuppgifter) i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 innebär en utvidgning i förhållande till och personuppgiftslagens definition innebär ändringen att inte heller genetiska uppgifter, biometriska
Författningskommentar Ds 2017:33
214
uppgifter för att entydigt identifiera en fysisk person eller uppgifter om en fysisk persons sexuella läggning får användas som sökbegrepp. I övrigt avses ingen förändring i sak.
Fjärde stycket har anpassats till gällande riktlinjer för hur upplysningsbestämmelser ska utformas. Ändringen innebär inte någon förändring i sak.
16 §
Förslaget behandlas i avsnitt 7.16 och 7.17.
I paragrafen anges de särskilda bestämmelser som tar över arkivlagens bestämmelser om bevarande och gallring. Bestämmelsen behandlar skyldigheten att gallra personuppgifter efter vissa angivna tidpunkter.
I första stycket har handläggande myndighet ersatts av
Arbetsförmedlingen eftersom Arbetsförmedlingen, till skillnad från
det tidigare Arbetsmarknadsverket, utgör en enda myndighet. Andra stycket har även ändrats på så sätt att gallringsfristen förlängs från två till tre år.
Paragrafens tredje stycke har ändrats på så sätt att det numera
anges att regeringen, eller den myndighet som regeringen bestämmer, får meddela föreskrifter om undantag från angivna gallringstider när det gäller bevarande av material för vetenskapliga eller historiska forskningsändamål. Bestämmelsen innebär en anpassning till terminologin i dataskyddsförordningen, till exempel artikel 5.1 e i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016.
I paragrafen görs även vissa språkliga ändringar.
18 §
Förslaget behandlas i avsnitt 7.5.1 och 7.18.
Bestämmelsens första stycke har ändrats på så sätt att den numera innehåller en hänvisning till den föreslagna dataskyddslagens bestämmelser om överklagande. Andra stycket tas bort.
Hänvisningen i registerlagen innebär ett tydliggörande av att bestämmelser om effektiva rättsmedel återfinns i 8 kap. dataskyddslagen.
215
12.3 Förslag till lag om ändring i lagen ( 2006:469 ) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen
1 §
Förslaget behandlas i avsnitt 8.3 och 8.4.
Paragrafen anger lagens tillämpningsområde. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen) medför inte någon förändring av registerlagens tillämpningsområde, varför lagen även fortsättningsvis omfattar sådan behandling av personuppgifter som sker i Inspektionen för arbetslöshetsförsäkringens verksamhet.
I de delar av myndighetens verksamhet som faller utanför lagens tillämpningsområde, såsom interna och administrativa åtgärder, gäller dataskyddsförordningen, kompletterad av den föreslagna dataskyddslagen. Detta gäller även de delar av myndighetens verksamhet som i och för sig omfattas av lagens tillämpningsområde, men där någon särreglering i förhållande till dataskyddsförordningen och dataskyddslagen inte har gjorts.
Bestämmelsen är ändrad på så sätt att paragrafens andra stycke, har anpassats till dataskyddsförordningen. Motsvarande reglering framgår av artikel 2.1 i dataskyddsförordningen. Avgränsningen av tillämpningsområdet i tredje stycket har samma innebörd som avgränsingen av dataskyddsförordningens tillämpningsområde enligt artikel 2.1 i dataskyddsförordningen.
Paragrafens tredje stycke ändras så att motsätter sig ersätts av
invänder mot. Ändringen är en anpassning till terminologin i artikel
21 i dataskyddsförordningen och innebär inte någon förändring i sak.
2 §
Förslaget behandlas i avsnitt 8.5.1−8.5.3.
Paragrafen anger lagens förhållande till viss annan författning. Hänvisningarna till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen) i
Författningskommentar Ds 2017:33
216
denna lag är dynamiska, det vill säga de avser förordningen i dess vid varje tidpunkt gällande lydelse.
Paragrafens första stycke har ändrats på så sätt att det, i stället för en hänvisning till personuppgiftslagen, anges att registerlagen kompletterar dataskyddsförordningen.
I paragrafen införs ett nytt andra stycke där det anges att den föreslagna dataskyddslagen gäller vid behandling av personuppgifter inom verksamhet vid Inspektionen för arbetslöshetsförsäkringen (IAF), om inte annat följer av registerlagen eller föreskrifter som har meddelats i anslutning till den. Bestämmelsens
första led utgör en upplysning om att det i dataskyddslagen finns
generella nationella bestämmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som därmed även gäller för IAF.
Andra ledet i andra stycket anger att dataskyddslagen är subsidiär i
förhållande till registerlagen. Det innebär att dataskyddslagens bestämmelser gäller endast i den mån inte annat föreskrivs i registerlagen eller föreskrifter meddelade i anslutning till denna.
4 §
Förslaget behandlas i avsnitt 4.2.1 och 8.7.1.
I paragrafen anges de så kallade primära ändamålen.
Första stycket har ändrats endast på så sätt att ordet behövs har
ersatts med är nödvändigt. Ändringen är en språklig förändring i syfte att anpassa bestämmelsen till terminologin i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 . Ändringen innebär ingen förändring i sak.
Paragrafens andra stycke upphävs. Att personuppgifter som behandlas enligt bestämmelsens första stycke även får behandlas för statistiska och vetenskapliga ändamål framgår av den nya paragrafen, 5 a §.
5 §
Förslaget behandlas i avsnitt 4.2.1, 8.5.1 och 8.7.2.
I bestämmelsen regleras de så kallade sekundära ändamålen, det vill säga att IAF får behandla personuppgifter även för vissa
Ds 2017:33 Författningskommentar
217
ändamål som ligger utanför myndighetens eget verksamhetsområde, nämligen för att tillhandahålla information som behövs inom Arbetsförmedlingens verksamhet som underlag i uppföljnings-, analys- och utvärderingsarbete, samt för att tillhandahålla information till riksdagen eller regeringen eller till annan för att fullgöra uppgiftslämnande i enlighet med lag eller förordning.
Den sista meningen i andra stycket som hänvisade till personuppgiftslagens (1998:204) bestämmelse om bland annat finalitetsprincipen har upphävts. En motsvarande reglering införs i stället i en ny paragraf, 5 a §.
5 a §
Förslaget behandlas i avsnitt 8.7.3.
Bestämmelsen, som är ny, innehåller bland annat en upplysning om den så kallade finalitetsprincipen som närmare regleras i artiklarna 5.1 b. Motsvarande reglering återfanns tidigare i 5 § sista meningen registerlagen i form av en hänvisning till 9 § första stycket d och andra stycket personuppgiftslagen.
Artikel 6.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 innehåller en precisering av vad den personuppgiftsansvarige bör beakta när denne fastställer huruvida behandling för andra ändamål är förenligt med det ändamål för vilket personuppgifterna ursprungligen samlades in.
8 §
Förslaget behandlas i avsnitt 8.5.1, 8.9 och 8.10.
I paragrafen regleras när känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattar brott m.m. får behandlas av IAF, i de fall behandlingen inte sker i en databas.
Bestämmelsens första stycke har ändrats på så vis att hänvisningarna till 13 och 21 §§personuppgiftslagen (1998:204) har upphävts. I första stycket anges i stället att IAF får behandla sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen) om uppgifterna har lämnats i ett ärende eller annars är nödvändiga för handläggningen
Författningskommentar Ds 2017:33
218
av det. Bestämmelsen innebär ett undantag från huvudregeln att behandling av sådana känsliga personuppgifter är förbjuden.
Eftersom begreppet känsliga personuppgifter är utvidgat i jämförelse med dataskyddsdirektivet innebär bestämmelsen en förändring mot vad som i dag gäller enligt personuppgiftslagen och registerlagen, i och med att behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en persons sexuella läggning numera är klassificerade som känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen.
Av det nya andra stycket framgår att sådana personuppgifter som rör uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden endast får behandlas om de har lämnats i ett ärende eller är annars nödvändiga för handläggningen av det. Bestämmelsen, som omfattar fler uppgifter än de som framgår av artikel 10 i dataskyddsförordningen, innebär att skyddet för alla de kategorier som omfattades av 21 § personuppgiftslagen behålls. Bestämmelsen utgör i denna del en skyddsbestämmelse som är tillåten i enlighet med artikel 6.2 och 6.3 i dataskyddsförordningen.
9 §
Förslaget behandlas i avsnitt 8.5.1, 8.9−8.11.
I paragrafen regleras vilka känsliga personuppgifter som får behandlas i en statistik- och tillsynsdatabas.
Första stycket har ändrats på så sätt att hänvisningen till 13 §
personuppgiftslagen (1998:204) upphävs.
Vad som avses med känsliga personuppgifter framgår av 8 §. Eftersom genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en fysisk persons sexuella läggning numera ingår i begreppet särskilda kategorier av personuppgifter enligt artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016, det vill säga i begreppet känsliga personuppgifter, innebär ändringen att behandling av sådana personuppgifter i en databas endast får ske om de har lämnats i ett ärende.
I övrigt görs ingen förändring i sak.
Ds 2017:33 Författningskommentar
219
10 §
Förslaget behandlas i avsnitt 8.5.1, 8.9−8.11.
Paragrafen innehåller en inskränkning vad gäller de typer av personuppgifter som får behandlas i IAF:s statistik- och tillsynsdatabas.
Första stycket har ändrats, bland annat på så sätt att hänvisningen
till 21 § personuppgiftlagen har tagits bort. I stället anges att sådana personuppgifter som rör uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden inte får behandlas i statistik- och tillsynsdatabasen. Bestämmelsen innebär att skyddet för alla de kategorier som omfattades av 21 § personuppgiftslagen (1998:204) behålls. Bestämmelsen, som är vidare än skyddet för uppgifter enligt artikel 10 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen)är en bestämmelse till skydd för de registrerade som bör vara tillåtet att behålla enligt artikel 6.2 och 6.3 i dataskyddsförordningen.
I paragrafen införs ett nytt stycke. Av detta andra stycke framgår att uppgifter om att den enskilde har vårdats med stöd av socialtjänstlagen (2001:453) eller varit föremål för åtgärd enligt utlänningslagen (2005:716) inte får behandlas i statistik- och tillsynsdatabasen. Motsvarande reglering återfanns tidigare i första stycket andra ledet. Ändringen innebär ingen ändring i sak, utan syftar till att bestämmelsen ska bli mer lättläst.
13 §
Förslaget behandlas i avsnitt 8.5.1, 8.9, 8.10 och 8.11.
I paragrafen regleras vilka typer av uppgifter som IAF inte får använda som sökbegrepp.
Bestämmelsens första stycke har ändrats endast på så sätt att hänvisningar till personuppgiftslagen har tagits bort. Eftersom definitionen av särskilda kategorier av personuppgifter (känsliga personuppgifter) är något vidare i dataskyddsförordningen än motsvarande definition i dataskyddsdirektivet innebär bestämmelsen att genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en persons sexuella läggning inte får användas som sökbegrepp.
Författningskommentar Ds 2017:33
220
14 §
Förslaget behandlas i avsnitt 8.5.1, 8.12 och 8.15.
Paragrafen har fått ett nytt innehåll. Den tidigare hänvisningen till personuppgiftslagens (1998:204) bestämmelser om rättelse och skadestånd har tagits bort. De materiella bestämmelserna rörande detta kommer att finnas i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen) och kompletteras av bestämmelser i den föreslagna dataskyddslagen.
Av paragrafen följer att IAF är skyldig att se till att behörigheten att behandla personuppgifter begränsas till vad var och en behöver för att kunna utföra sina arbetsuppgifter.
Syftet med begränsningen är att förstärka skyddet för den personliga integriteten genom att se till att uppgifterna sprids till en så liten krets som möjligt.
Bestämmelsen är en skydds- och säkerhetsbestämmelse som det är tillåtet att införa enligt artikel 6.2 och 6.3 i dataskyddsförordningen.
15 §
Förslaget behandlas i avsnitt 4.2.1 och 8.16.
Paragrafen behandlar gallring av personuppgifter. I paragrafens första och andra stycke anges de särskilda bestämmelser som tar över arkivlagens (1990:782) bestämmelser om bevarande och gallring.
Andra stycket har anpassats till terminologin i artikel 5.1 e i data-
skyddsförordningen. I stället för att enbart hänvisa till statistiska respektive vetenskapliga ändamål anges vetenskapliga eller historiska
forskningsändamål eller statistiska ändamål. Därutöver ändras
bestämmelsen på så sätt att ordet behövs har ersatts med är
nödvändigt. Ändringen är en språklig förändring i syfte att anpassa
bestämmelsen till terminologin i dataskyddsförordningen. Ändringen innebär ingen förändring i sak.
Även i tredje stycket görs en terminologisk anpassning till dataskyddsförordningen genom att forskningens behov ersätts av
vetenskapliga eller historiska forskningsändamål och ordet behövs
ersätts av termen är nödvändigt. Ingen förändring i sak är avsedd.
Ds 2017:33 Författningskommentar
221
16 §
Förslaget behandlas i avsnitt 8.5.1 och 8.18.
Bestämmelsens första stycke har ändrats på så sätt att den numera innehåller en hänvisning till den föreslagna dataskyddslagens bestämmelser om överklagande. Andra stycket tas bort.
Hänvisningen innebär ett tydliggörande av att bestämmelser om effektiva rättsmedel återfinns i 8 kap. dataskyddslagen.
223
12.4 Förslag till lag om ändring i lagen ( 2012:741 ) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering
1 §
Förslaget behandlas i avsnitt 9.3.
Paragrafen anger lagens tillämpningsområde. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen) medför inte någon förändring av lagens verksamhetsområde, varför den även fortsättningsvis gäller vid behandling av personuppgifter i sådan verksamhet hos Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU) som avser att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar.
I de delar av IFAU:s verksamhet som faller utanför lagens tillämpningsområde, såsom behandling av personuppgifter vid tilldelning av forskningsbidrag, samt interna och administrativa åtgärder, gäller dataskyddsförordningen, kompletterad av den föreslagna dataskyddslagen. Detta gäller även de delar av myndighetens verksamhet som i och för sig omfattas av lagens tillämpningsområde, men där någon särreglering i förhållande till dataskyddsförordningen och dataskyddslagen inte har gjorts.
Paragrafen är ändrad endast på så sätt att det tredje stycket har anpassats till dataskyddsförordningen. Motsvarande reglering framgår av artikel 2.1 i dataskyddsförordningen. Avgränsningen av tillämpningsområdet i tredje stycket har samma innebörd som avgränsingen av dataskyddsförordningens tillämpningsområde enligt artikel 2.1 i dataskyddsförordningen.
2 §
Förslaget behandlas i avsnitten 9.4.1 och 9.5.1−9.5.2.
Författningskommentar Ds 2017:33
224
I paragrafens första stycke anges att en behandling av personuppgifter som är tillåten enligt lagen får utföras även om den registrerade invänder mot behandlingen. Första stycket ändras så att motsätter sig ersätts av invänder mot. Ändringen är en anpassning till terminologin i artikel 21 i dataskyddsförordningen och innebär inte någon förändring i sak. Bestämmelsen tillämpas vid all personuppgiftsbehandling inom lagens tillämpningsområde, förutom avseende sådana personuppgifter som har samlats in direkt från den enskilde. I andra stycket finns ett undantag från huvudregeln i första stycket. Undantaget innebär att sådana personuppgifter som samlas in direkt från den enskilde, genom exempelvis enkäter eller intervjuer, endast får behandlas om den enskilde uttryckligen har samtyckt till behandlingen.
Bestämmelsen har endast ändrats på så sätt att den sista meningen i andra stycket, det vill säga hänvisningen till 12 § personuppgiftslagen (1998:204), har tagits bort. Bestämmelser om vad som gäller vid återkallelse av samtycke finns i artikel 7.3 i dataskyddsförordningen som är direkt tillämplig.
3 §
Förslaget behandlas i avsnitt 9.4.1−9.4.3.
Paragrafen anger lagens tillämpningsområde. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen) medför inte någon förändring av registerlagens tillämpningsområde, varför lagen även fortsättningsvis omfattar sådan behandling av personuppgifter som sker i Inspektionen för arbetslöshetsförsäkringens verksamhet.
I de delar av myndighetens verksamhet som faller utanför lagens tillämpningsområde, såsom interna och administrativa åtgärder, gäller dataskyddsförordningen, kompletterad av den föreslagna dataskyddslagen. Detta gäller även de delar av myndighetens verksamhet som i och för sig omfattas av lagens tillämpningsområde, men där någon särreglering i förhållande till dataskyddsförordningen och dataskyddslagen inte har gjorts.
Bestämmelsen är ändrad på så sätt att paragrafens andra stycke, har anpassats till dataskyddsförordningen. Motsvarande reglering framgår av artikel 2.1 i dataskyddsförordningen. Avgränsningen av
Ds 2017:33 Författningskommentar
225
tillämpningsområdet i tredje stycket har samma innebörd som avgränsingen av dataskyddsförordningens tillämpningsområde enligt artikel 2.1 i dataskyddsförordningen.
Paragrafens tredje stycke ändras så att motsätter sig ersätts av
invänder mot. Ändringen är en anpassning till terminologin i artikel
21 i dataskyddsförordningen och innebär inte någon förändring i sak.
2 §
Förslaget behandlas i avsnitt 8.5.1−8.5.3.
Paragrafen anger lagens förhållande till viss annan författning. Hänvisningarna till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen)i denna lag är dynamiska, det vill säga de avser förordningen i dess vid varje tidpunkt gällande lydelse.
Paragrafens första stycke har ändrats på så sätt att det, i stället för en hänvisning till personuppgiftslagen, anges att registerlagen kompletterar dataskyddsförordningen.
I paragrafen införs ett nytt andra stycke där det anges att den föreslagna dataskyddslagen gäller vid behandling av personuppgifter inom verksamhet vid Institutet för arbetsmarknads- och utbildningspolitisk verksamhet (IFAU), om inte annat följer av registerlagen eller föreskrifter som har meddelats i anslutning till den. Bestämmelsens första led utgör en upplysning om att det i dataskyddslagen finns generella nationella bestämmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som därmed även gäller för IFAU.
Andra ledet i andra stycket anger att dataskyddslagen är subsidiär i
förhållande till registerlagen. Det innebär att dataskyddslagens bestämmelser gäller endast i den mån inte annat föreskrivs i registerlagen eller föreskrifter meddelade i anslutning till denna.
5 §
Förslaget behandlas i avsnitt 4.2.1 och 9.7.1.
I paragrafen regleras de så kallade primära ändamålen. Bestämmelsen har ändrats endast på så sätt att ordet behövs har
Författningskommentar Ds 2017:33
226
ersatts med är nödvändigt. Ändringen är en språklig förändring i syfte att anpassa bestämmelsen till terminologin i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016. Ändringen innebär ingen förändring i sak.
6 §
Förslaget behandlas i avsnitt 9.4.1 och 9.7.2.
I paragrafen regleras de så kallade sekundära ändamålen, det vill säga att IFAU får behandla personuppgifter även för vissa ändamål som ligger utanför myndighetens eget verksamhetsområde, nämligen för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning. Bestämmelsen är ändrad på så sätt att den sista meningen, som innehöll en hänvisning till 9 § första stycket d och andra stycket personuppgiftslagen (1998:204) har tagits bort. En motsvarande reglering införs i stället i en ny paragraf, 6 a §.
6 a §
Förslaget behandlas i avsnitt 9.7.2.
Paragrafen, som är ny, innehåller en upplysning om möjligheten att behandla personuppgifter för ytterligare ändamål än dem som de ursprungligen samlades in för. Motsvarande reglering återfanns tidigare i 6 § sista meningen registerlagen i form av en hänvisning till 9 § första stycket d och andra stycket personuppgiftslagen.
Paragrafen innehåller den så kallade finalitetsprincipen, som närmare regleras i artiklarna 5.1 b första meningen Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen).
Artikel 6.4 i dataskyddsförordningen innehåller en precisering av vad den personuppgiftsansvarige bör beakta när denne fastställer huruvida behandling för andra ändamål är förenligt med det ändamål för vilket personuppgifterna ursprungligen samlades in.
Ds 2017:33 Författningskommentar
227
7 §
Förslaget behandlas i avsnitt 9.4.1 och 9.8.
I paragrafen regleras i vilken utsträckning IFAU får behandla känsliga personuppgifter. Bestämmelsen innebär bland annat att forskning som innefattar känsliga personuppgifter bara är tillåten om den först har godkänts av en etikprövningsnämnd. Bestämmelsen gäller i stället för 3 kap. 3 § i den föreslagna dataskyddslagen.
Bestämmelsens första stycke har ändrats dels på så vis att hänvisningen till personuppgiftslagen har ersatts med en hänvisning till bestämmelsen om särskilda kategorier av personuppgifter (känsliga personuppgifter) i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen), dels genom att känsliga personuppgifter som avser en fysisk persons sexuella läggning har lagts till som en ny kategori känsliga personuppgifter som IFAU får behandla för de ändamål som avses i 5 §.
Vilka kategorier av personuppgifter som utgör känsliga personuppgifter framgår av artikel 9.1 i dataskyddsförordningen. Dataskyddsförordningens katalog av känsliga personuppgifter är vidgad mot vad som gäller enligt dataskyddsdirektivet och personuppgiftslagen. De nytillkomna kategorierna är genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en persons sexuella läggning. Sådana uppgifter kommer således att räknas till sådana känsliga personuppgifter som det råder förbud att behandla enligt huvudregeln i artikel 9.1 i dataskyddsförordningen. Ändringen innebär att IFAU får behandla uppgifter som avslöjar etniskt ursprung, medlemskap i fackförening eller som rör hälsa eller en persons sexuella läggning, för de ändamål som slås fast i 5 §. I paragrafen anges inte uttryckligen att behandlingen ska vara nödvändig. Detta följer emellertid av artikel 9.2 j i dataskyddsförordningen.
I andra stycket har en följdändring gjorts, föranledd av de justeringar som sker i lagen (2003:460) om etikprövning av forskning som avser människor. Det innebär ingen ändring i sak. Däremot kan noteras att ändringen i bestämmelsens första stycke innebär att uppgifter om en persons sexuella läggning omfattas av kraven på etikprövning enligt bestämmelsen.
Författningskommentar Ds 2017:33
228
8 §
Förslaget behandlas i avsnitt 4.2.1 och 9.9.1.
Paragrafen reglerar IFAU:s möjligheter att inneha samlingar av personuppgifter i databaser eller motsvarande som inte nödvändigtvis är knutna till en viss avgränsad studie, uppföljning eller utvärdering.
Paragrafen är endast ändrad på så sätt att ordet behövs har ersatts av är nödvändigt. Ändringen är en språklig förändring i syfte att anpassa bestämmelsen till terminologin i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016. Ändringen innebär ingen förändring i sak.
9 §
Förslaget behandlas i avsnitt 4.2.1 och 9.9.2.
Paragrafen reglerar IFAU:s möjligheter att inneha samlingar av personuppgifter som inte är avidentifierade på det sätt som avses i 8 §. Av paragrafen följer att sådana personuppgifter endast får behandlas om det behövs för en viss avgränsad studie, uppföljning eller utvärdering.
Paragrafen är endast ändrad på så sätt att ordet behövs har ersatts av är nödvändigt. Ändringen är en språklig förändring i syfte att anpassa bestämmelsen till terminologin i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016. Ändringen innebär ingen förändring i sak.
13 §
Förslaget behandlas i avsnitt 9.4.1 och 9.11.
Paragrafen har ändrats på så sätt att hänvisningen till personuppgiftslagen (1998:204) har tagits bort och ersatts med en hänvisning till artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen). Paragrafen innebär ett undantag från informationsskyldigheten i artikel 15 i dataskyddsförordningen för de fall där IFAU endast innehar personuppgifter som inte är direkt hänförliga till en person. Undantaget gäller även om
Ds 2017:33 Författningskommentar
229
personuppgifterna har försetts med någon slags beteckning, så länge IFAU inte inom myndigheten har tillgång till den nyckel som behövs för att åter knyta uppgifterna till en enskild individ.
14 §
Förslaget behandlas i avsnitt 4.2.1 och 9.14.
Paragrafen innehåller föreskrifter om gallring av personuppgifter. Bestämmelsen innebär en reglering av den så kallade principen om lagringsminimering som framgår av artikel 5.1 e i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (dataskyddsförordningen). Paragrafen innehåller även bestämmelser som innebär att regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter eller i enskilda fall besluta om en längre lagringsfrist. Riksdagen lagstiftar här inom ett område som normalt ligger inom ramen för regeringens restkompetens. Genom bestämmelsen markeras var gränserna går för det till lag upplyfta området och det tydliggörs vilka föreskrifter som regeringen eller den myndighet regeringen bestämmer fortfarande kan meddela.
Paragrafen är endast ändrad på så sätt att vetenskapliga ändamål har ersatts av vetenskapliga eller historiska forskningsändamål vilket inte innebär någon förändring i sak utan endast är en terminologisk anpassning till dataskyddsförordningens begreppsapparat. Även ordet behövs har ersatts av är nödvändigt. Även den ändringen är en språklig förändring i syfte att anpassa bestämmelsen till terminologin i dataskyddsförordningen, som inte innebär någon förändring i sak.
15 §
Förslaget behandlas i avsnitt 9.4.1, 9.13 och 9.15.
Paragrafen har fått ett nytt innehåll. Av bestämmelsen framgår att bestämmelser om överklagande finns i 8 kap. i den föreslagna dataskyddslagen. Hänvisningen i registerlagen innebär ett tydliggörande av att bestämmelser om effektiva rättsmedel återfinns i dataskyddslagen.