SOU 2016:41
Hur står det till med den personliga integriteten? – En kartläggning av Integritetskommittén
Till statsrådet Morgan Johansson
Regeringen beslutade den 8 maj 2014 att tillsätta en parlamentarisk kommitté med uppdrag att utifrån ett individperspektiv kartlägga och analysera sådana faktiska och potentiella risker för intrång i den personliga integriteten som kan uppkomma i samband med användning av informationsteknik i såväl privat som offentlig verksamhet (dir. 2014:65). Den 18 februari 2016 beslutade regeringen tilläggsdirektiv till kommittén (dir. 2016:12) om att en del av uppdraget ska redovisas i ett delbetänkande senast den 31 maj 2016. Delbetänkandet ska enligt beslutet omfatta dels kartläggningen och analysen av riskerna för integritetsintrång, dels ett övervägande om behovet av ett integritetsskyddsråd.
Regeringen förordnade Göran Gräslund som ordförande. Sist i detta missiv finns en förteckning över förordnade ledamöter i kommittén, experter och sekreterare.
Kommittén har antagit namnet Integritetskommittén. Integritetskommittén får härmed överlämna delbetänkandet Hur
står det till med den personliga integriteten? (SOU 2016:41).
Arbetet i kommittén fortsätter nu med att följa upp effekterna i lagstiftningsarbetet till följd av förstärkningen av grundlagsskyddet för den personliga integriteten som genomfördes år 2011. Kommittén avser också överväga förslag på åtgärder för att minska de integritetsrisker som kartlagts.
En reservation har lämnats av Agneta Börjesson och Maria Ferm (bägge MP).
Stockholm den 7 juni 2016
Göran Gräslund
Agneta Börjesson Maria Ferm
Krister Hammarbergh Ulf Isaksson
Eva-Lena Jansson Ulrika Karlsson
Mathias Leveborn Veronica Lindholm
Elin Lundgren Jonas Millard
Andreas Norlén Tuve Skånberg
Hanna Wagenius Heidi-Maria Wallinder
Emanuel Öz
/Maria Jacobsson / Erik Janzon
Förteckning över ledamöter, experter och sekreterare som deltagit i utredningsarbetet samt tider för dessas förordnanden och anställningar
Ledamöter
Göran Gräslund (f.d. generaldirektör, ordförande), fr.o.m. 2014-05-18 Phia Andersson (riksdagsledamot, S), fr.o.m. 2014-06-27 t.o.m. 2015-01-21 Agneta Börjesson (riksdagsledamot, MP), fr.o.m. 2015-05-19 Christoffer Dulny (politisk sekreterare, SD), fr.o.m. 2014-06-27 t.o.m. 2014-10-19 Maria Ferm (riksdagsledamot, MP), fr.o.m. 2014-06-27 Xamuel Gonzalez Westling (kommunfullmäktigledamot V), fr.o.m. 2015-04-28 t.o.m. 2016-03-02 Krister Hammarbergh (riksdagsledamot, M), fr.o.m. 2014-06-27 Ulf Isaksson (advokat, L), fr.o.m. 2014-06-27 Eva-Lena Jansson (riksdagsledamot, S), fr.o.m. 2015-01-22 Frida Johansson Metso (leg. psykolog, L), fr.o.m. 2014-07-301Ulrika Karlsson (riksdagsledamot, M), fr.o.m. 2014-06-27 Mathias Leveborn (politisk sekreterare, V), fr.o.m. 2016-03-03 Johan Linander (f.d. riksdagsledamot, C), fr.o.m. 2014-06-27 t.o.m. 2016-03-22 Veronica Lindholm (riksdagsledamot, S), fr.o.m. 2014-10-23 Elin Lundgren (riksdagsledamot, S), fr.o.m. 2014-06-27 Jonas Millard (riksdagsledamot, SD), fr.o.m. 2014-10-20 Andreas Norlén (riksdagsledamot, M), fr.o.m. 2014-06-27 Ardalan Shekarabi (riksdagsledamot, S), fr.o.m. 2014-06-27 t.o.m. 2014-10-22 Tuve Skånberg (riksdagsledamot, KD), fr.o.m. 2014-06-27 Hanna Wagenius (jurist, C), fr.o.m. 2016-03-23 Heidi-Maria Wallinder (politisk sekreterare, V), fr.o.m. 2015-05-19
1 Begäran om entledigande inlämnad.
Alice Åström (f.d. riksdagsledamot, V), fr.o.m. 2014-06-27 t.o.m. 2015-04-27 Emanuel Öz (riksdagsledamot, S), fr.o.m. 2015-05-19
Experter
Ingela Alverfors (jurist, Datainspektionen), fr.o.m. 2014-08-18 t.o.m. 2015-08-19 Fia Ewald (enhetschef, Myndigheten för samhällsskydd och beredskap), fr.o.m. 2014-06-27 t.o.m. 2016-03-22 Anne-Marie Eklund Löwinder (säkerhetschef, Internetstiftelsen i Sverige), fr.o.m. 2014-10-20 Ulrika Harnesk (jurist, Datainspektionen), fr.o.m. 2015-08-20 Anna Hörnlund (jurist, Datainspektionen), fr.o.m. 2014-06-27 t.o.m. 2014-08-17 Gunnar Idesten (it-säkerhetsspecialist, Myndigheten för samhällsskydd och beredskap), fr.o.m. 2016-03-23 Jeanette Kronwall (jurist, Post- och telestyrelsen), fr.o.m. 2014-10-20 Mårten Schultz (professor, Stockholms universitet), fr.o.m. 2014-06-27 Mathias Säfsten (ämnesråd, Justitiedepartementet), fr.o.m. 2014-06-27
Sekreterare
Maria Jacobsson, jurist, fr.o.m. 2015-11-16 Erik Janzon, enhetschef, fr.o.m. 2014-06-09 Katarina Monfils Gustafsson, dåvarande hovrättsassessor, fr.o.m. 2014-07-01 t.o.m. 2015-11-18
Sammanfattning
Inledning
För att kunna ta del av många fördelar med modern informationsteknik delar vi med oss av våra personuppgifter. Ibland betalar vi som vanligt, men ofta får vi betala för olika tjänster genom att dela med oss av uppgifter om oss själva och ibland också om våra vänner. Det är svårt för oss att förstå och ha en överblick över på vilket sätt våra personuppgifter samlas in, sprids och vidareanvänds. Det är i dag möjligt att behandla stora mängder uppgifter om oss på ett sätt som blir mycket närgånget. Sådana behandlingar görs inte bara av kommersiella företag utan också av myndigheter.
På vilket sätt påverkar användningen av modern teknik vår möjlighet att bestämma över vilka uppgifter om oss som andra ska få ta del av? Finns det någon möjlighet att upprätthålla en fredad sfär, som inte myndigheter, företag eller andra enskilda kan komma åt? Hur står det till med den personliga integriteten i det moderna informationssamhället?
Integritetskommitténs uppdrag är att utifrån ett individperspektiv kartlägga och analysera risker för intrång i den personliga integriteten som kan uppkomma i samband med användning av informationsteknik. I detta delbetänkande presenterar vi en översiktlig beskrivning av faktiska och potentiella integritetsrisker som var och en av oss utsätts för.
Kommitténs riskbedömning
För att göra det möjligt att jämföra de risker för den personliga integriteten som är förknippade med olika företeelser i samhället har kommittén valt att beskriva riskerna utifrån tre nivåer; viss risk, påtaglig risk eller allvarlig risk för den personliga integriteten. En riskbedömning utgår dels från sannolikheten för att ett intrång inträffar, dels från effekterna eller konsekvenserna av intrånget. Mer om hur vi har arbetat med riskbedömningen redovisas i kapitel 2.
Företeelser som är förknippade med viss risk för den personliga integriteten
När det gäller företeelser som är förknippade med den lägsta graden av risk för den personliga integriteten handlar det ibland om företeelser som sannolikt inte så många av oss blir föremål för. Det kan också vara så att det inte är så många uppgifter som behandlas eller att det inte är så känsliga eller närgångna uppgifter. Det kan också vara så att det finns en bra och tydlig lagstiftning och att det inte har uppmärksammats särskilt stora tillämpningsproblem. Men dessa före teelser är ändå förknippade med risker för den personliga integriteten.
De företeelser som kommittén bedömt som förknippade med vissa risker för den personliga integriteten är:
- Hanteringen av personuppgifter inom elevhälsan (skolan)
- Skolfederation (skolan)
- Arbetsgivares granskningar av vad arbetstagare skriver på sociala medier (arbetsliv)
- Kompetensdatabaser och bakgrundskontroller inom arbetslivet
- När vårdgivare tillhandahåller både hälso- och sjukvård och personaladministrativa tjänster (arbetsliv)
- Statlig statistikverksamhet (forskning och statistik)
- Myndigheters användning av sociala medier (e-förvaltning)
- Kronofogdemyndighetens verksamhet
- Inkassobolagens verksamhet
- Personuppgiftsbehandling i domstolarnas verksamhetsregister, i samband med ljud- och bildupptagningar och i samband med informationsutbyte med andra myndigheter
- Tvångsmedel med stöd av 27 kap. rättegångsbalken (brotts bekämpning)1
- Polisens spaningsverksamhet på internet och utåtriktade verksamhet i sociala medier (brottsbekämpning)
- Polisens hantering av personuppgifter som överförs av flygbolag och polisens deltagande i internationellt samarbete (brotts bekämpning)
- Behandling av personuppgifter i den militära underrättelse tjänstens it-system2
Företeelser som är förknippade med påtaglig risk för den personliga integriteten
När det gäller företeelser som är förknippade med den högre graden av risk för den personliga integriteten handlar det ofta om företeelser som innefattar behandling av fler uppgifter om enskilda och om behandlingar som omfattar många av oss. De uppgifter som behandlas kan vara känsliga eller närgångna. Sådana företeelser är ofta reglerade, men har ibland brister i regelverket eller i tillämpningen av dessa. Kommittén har bedömt riskerna efter en sammanvägning av dessa faktorer.
- Kameraövervakning (i allmänhet och särskilt beträffande övervakning inomhus i skolan)
- Informationsdelning inom och mellan myndigheter (e-förvaltning)
1 För de enskilda personer som blir föremål för åtgärden är intrånget i den personliga integriteten tveklöst mycket närgånget. Men ur ett riskperspektiv ska även sannolikheten för att någon blir föremål för åtgärden beaktas, liksom andra relevanta faktorer som ett fungerande regelverk och risken för oönskad spridning m.m. Kommittén bedömer därför att åtgärden utgör en viss risk för den personliga integriteten, det vill säga den lägre riskgraden. 2 Se fotnot 1.
- Informationsutbyte med enskilda (e-förvaltning)
- Vidareanvändning av offentlig information enligt PSI-lagstiftningen (e-förvaltning)
- Oskyddad e-post
- Försäkringsföretagens verksamhet
- Kreditprövning och rådgivning samt rapporteringskrav (bank- och kreditmarknad)
- Domstolarnas utlämnande av uppgifter på medium för automatiserad behandling
- Spaningsmetoder som enbart regleras av polislagen (brottsbekämpning)
- Polisens behandling av personuppgifter i register (brottsbekämpning)
- Signalspaning (försvarsunderrättelseverksamhet och militär säkerhetstjänst)3
- Tekniker som involverar många och detaljerade biometriska uppgifter (biometri)
Företeelser som är förknippade med allvarlig risk för den personliga integriteten
När det gäller företeelser som är förknippade med den högsta graden av risk för den personliga integriteten handlar det ofta om företeelser som innefattar behandling av många uppgifter om enskilda och om behandlingar som omfattar stora delar av befolkningen. Det handlar också ofta om behandling av mycket känsliga eller närgångna personuppgifter. Sådana företeelser kan sakna reglering eller ha stora brister i regelverket eller i tillämpningen av dessa. Kommittén har bedömt riskerna efter en sammanvägning av dessa faktorer.
3 För de enskilda personer som faktiskt blir föremål för granskning är intrånget i den personliga integriteten tveklöst mycket närgånget. Men ur ett riskperspektiv ska även sannolikheten för att någon blir föremål för åtgärden beaktas, liksom andra relevanta faktorer som ett fungerande regelverk och risken för oönskad spridning m.m. Kommittén bedömer därför att åtgärden utgör en påtaglig risk för den personliga integriteten, det vill säga den något högre riskgraden.
- Digitala lärplattformar och digitala läromedel (skolan)
- Vissa sociala medier (i allmänhet och särskilt beträffande användningen av sociala medier i skolans undervisning)
- Arbetsgivares positionering och annan övervakning och kontroll av arbetstagarnas aktiviteter och beteenden på arbetet
- Kameraövervakning på arbetsplatser
- Hälso- och sjukvård och välfärdstjänster inom socialtjänsten
- Viss forskning
- Myndigheter med kunddata i molnet (e-förvaltning)
- Medborgarprofilering och kontroller på internet (e-förvaltning)
- Brister i myndigheters informationssäkerhet (e-förvaltning)
- Konsumentområdet
- Försäkringsföretagens framtida verksamhet
- Användningen av kreditkort och andra digitala transaktioner (bank- och kreditmarknad)
- Kreditupplysningsföretagens verksamhet
- Lagring och vidarebearbetning av uppgifter som har samlats in med hjälp av kamerövervakning
- Publika molntjänster
- Big data
Informationssäkerhet och integritet
Vi har som enskilda personer ofta små möjligheter att påverka hur uppgifter om oss hanteras. Därför är det nödvändigt att de som hanterar våra personuppgifter tar sitt ansvar för säkerheten. Kommittén anser att det finns starka indikationer på allvarliga brister i informationssäkerheten i offentliga verksamheter. När det gäller den privata sektorn har kommittén inte tillräckligt underlag för att göra en generell bedömning. I kapitel 22 skriver vi mer om detta viktiga ämne.
Övervägande om behovet av ett integritetsskyddsråd
Vi bedömer att det saknas behov av ett nytt integritetsskyddsorgan som, på det sätt som Integritetsskyddskommittén ansåg kunde övervägas, skulle ha till huvuduppgift att verka för en säkrare avvägning av motstående intressen i lagstiftningen.
Förslag om ökad information till regering och riksdag
Kommittén lämnar förslag om att Datainspektionens uppdrag att följa och beskriva utvecklingen på it-området när det gäller frågor som rör personlig integritet och ny teknik, ska utvidgas till att även omfatta de legala förutsättningarna för integritetsskyddet och att myndigheten årligen ska lämna en redovisning om utvecklingen inom området till regeringen (kap. 24).
Vi föreslår även att regeringen i en årlig skrivelse till riksdagen ska informera om utvecklingen och det aktuella tillståndet när det gäller frågor som rör personlig integritet, informationsteknik och de legala förutsättningarna för integritetsskyddet.
Ett dygn med familjen Svenssons elektroniska spår
I del VI finns en vardaglig beskrivning av några integritetsrisker som en vanlig familj kan drabbas av under ett dygn. Syftet är att på ett lättill gängligt sätt redovisa hur modern teknik påverkar den personliga integriteten.
Sammanfattningsvis
I detta betänkande redogör kommittén för behandlingen av personuppgifter inom ett antal områden som en enskild person kommer i kontakt med i olika livsskeden och gör en riskbedömning av dessa. Vi beskriver därtill några vanliga generella företeelser, som har inverkan på den personliga integriteten. Vi drar också vissa slutsatser
beträffande den samlade effekten för en enskild person av all den insamling och lagring av personuppgifter, kartläggning och övervakning som han eller hon deltar i eller blir föremål för.
Den digitala utvecklingen innebär en genomgripande förändring av samhället och enskildas livsvillkor. Personuppgifter i digital form genereras och används i allt högre grad inom alla samhällsområden. Antalet aktörer ökar, användningsområdena ökar, lagringstiderna ökar, spridningen och utbytet mellan aktörerna ökar, vidareanvändningen hos respektive aktör ökar liksom spridningen över nationsgränserna. Vi ser också att vissa stora aktörer, som en följd av utvecklingen i stort och deras egna affärsstrategier, får tillgång till en allt större mängd personuppgifter och därmed har möjlighet att teckna en alltmer komplett bild av en enskild person. Ur den enskildes perspektiv innebär utvecklingen att kunskapen om hur uppgifterna hanteras, liksom möjligheten att påverka detta, hela tiden krymper i förhållande till den ökande hanteringen av personuppgifter i samhället.
I motsvarande mån begränsas även den enskildes möjlighet att genom ett verkligt fritt val bestämma hur uppgifter om honom eller henne ska hanteras. Integritetskommitténs generella slutsats är därför att den enskilde – parallellt med den digitala utvecklingen – utsätts för stegvisa försämringar av den personliga integriteten.
Självfallet innehåller den digitala utvecklingen en enorm nyttopotential, men i det här delbetänkandet har vi fokuserat på faktiska och potentiella risker.
1. Författningsförslag
1.1. Förslag till förordning om ändring av förordningen (2007:975) med instruktion för Datainspektionen
Härigenom föreskrivs i fråga om förordningen (2007:975) med instruktion för Datainspektionen att 1 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 §
Datainspektionens uppgift är att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av person uppgifter och för att god sed iakttas i kreditupplysnings- och inkassoverksamhet.
Myndigheten ska särskilt inrikta sin verksamhet på att informera om gällande regler samt ge råd och hjälp åt personuppgiftsombud enligt personuppgiftslagen (1998:204).
Myndigheten ska följa och beskriva utvecklingen på IT- området när det gäller frågor som rör integritet och ny teknik.
Myndigheten ska följa,
analy sera och beskriva utveck-
lingen på IT-området när det gäller frågor som rör integritet, ny teknik och de legala förutsätt-
ningarna för integritetsskyddet samt årligen till regeringen lämna en redovisning om utvecklingen inom området.
Denna förordning träder i kraft den 1 januari 2017.
2. Integritetskommitténs uppdrag och arbete
2.1. Kommitténs uppdrag
Regeringen beslutade den 8 maj 20141 att tillsätta en parlamentarisk sammansatt kommitté med uppdrag att utifrån ett individperspektiv kartlägga och analysera sådana faktiska och potentiella risker för intrång i den personliga integriteten som kan uppkomma i samband med användning av informationsteknik. Inom ramen för detta arbete ska kommittén även följa upp effekterna i lagstiftningsarbetet av förstärkningen av grundlagsskyddet för den personliga integriteten som genomfördes år 2011. Kommittén ska också följa upp betänkandet
Skyddet för den personliga integriteten2 när det gäller behovet av att
inrätta ett integritetsskyddsråd samt föreslå nödvändiga författningsändringar, kopplade till denna delfråga. Det uttalas särskilt i direktivet att det i uppdraget inte ingår att föreslå ändringar i grundlag.
Uppdraget ska enligt det ursprungliga direktivet redovisas senast den 1 december 2016. Under hösten 2015 begärde kommittén en senare läggning av slutdatum till den 1 juni 2017. Regeringen beslutade i februari 20163 att förlänga utredningstiden enligt begäran samt att kommittén ska avge ett delbetänkande senast den 31 maj 2016, vilket ska omfatta dels kartläggningen och analysen av riskerna för integritetsintrång, dels behovet av att inrätta ett integritetsskyddsråd.
1 Dir 2014:65.2 Integritetsskyddskommitténs betänkande Skyddet för den personliga integriteten, SOU 2008:3.3 Dir 2016:12.
2.2. Kommitténs arbete
Uppdraget avser personuppgiftsbehandling inom i princip alla samhällsområden. Med tanke på vidden i uppdraget var det viktigt att inledningsvis lägga fast en struktur och ett arbetssätt som både ger möjlighet till en rimlig avgränsning av uppdraget och till prioritering inom denna avgränsning. Kommittén har avstått från att fördjupa sig i områden, som andra utredningar ägnar sig åt men har däremot fortlöpande följt dessas arbete.
Vi har prioriterat områden, som hittills varit bristfälligt kartlagda, särskilt känsliga eller riskfyllda ur ett integritetsperspektiv. Vi har också inriktat oss mot ny teknik och nya tillämpningar av gammal teknik, som vi bedömer kan få en stor påverkan. En avgränsning för kartläggningen har varit att bedöma integritetsriskerna för personer som vistas i Sverige, vilket i och för sig inte utesluter att personuppgifts behandling utanför landets gränser till någon del omfattas av uppdraget.
Kommittén har träffats vid tolv tillfällen och sekretariatet har träffat expertgruppen vid nio tillfällen. Därutöver har sekretariatet haft samråd med utredningarna Integritet och straffskydd (Ju 2014:74),
Tillsynen över den personliga integriteten (Ju 2015:02), Mediegrundlagskommittén (Ju 2014:07) samt haft kontakt med Utredningen om självkörande fordon på väg (N 2015:07).
Det i direktivet föreskrivna samrådet med Datainspektionen och Post- och Telestyrelsen har fullgjorts genom att dessa två myndigheter varit representerade i utredningens expertgrupp. Dessutom har sekretariatet haft kontakt med bl.a. Socialstyrelsen, Polisen, Försäkringskassan, Inspektionen för vård och omsorg, Skatteverket, Statens medieråd, Konsumentverket samt Datatilsynet i Norge.
För övrigt har sekretariatet genomfört ett antal expertseminarier och workshops för att fånga upp information och synpunkter från olika delar av samhället. Företrädare från hälso- och sjukvård, konsument området, bank, försäkring, arbetsliv, sociala media och e-förvalt ning har samlats av denna anledning. Kommittén har också genomfört en hearing med företrädare från skilda samhällsområden och professioner för att kvalitetssäkra innehållet i kapitel 3, Kommitténs
sammantagna bedömning.
På uppdrag av kommittén har Lunds universitet genomfört en systematisk kunskapsöversikt, bestående av dels en bibliometrisk analys, dels en systematisk litteraturstudie beträffande forskningsområdet digitalisering och personlig integritet.
Kommittén har också uppdragit till konsultbyrån Kirei att ta fram en rapport, som ger exempel på tekniska, administrativa och organisatoriska åtgärder, som kan vidtas för att främja skyddet av den personliga integriteten.
Den systematiska kunskapsöversikten och rapporten om in tegritetsfrämjande åtgärder biläggs detta delbetänkande (bilaga 3 och 4).
Kommitténs ordförande och sekretariatet har deltagit i olika konferenser och seminarier med anknytning till utredningsuppdraget.
2.3. Begreppet personlig integritet
I likhet med ett antal tidigare utredningar om den personliga integriteten, som verkat under de senaste 50 åren, har Integritetskommittén inte funnit det meningsfullt att försöka finna en precis definition av begreppet personlig integritet. Skälet till att begreppet inte låter sig fångas i en tydlig sentens är bl.a. att rätten till en privat sfär inte är absolut. Den är relaterad till en rad olika omständigheter, som dessutom kan variera över tid. Kommittén ansluter sig därför till samma slutsats som uttrycktes i departementspromemorian Skyddet för en-
skilda personers privatliv – En studie:
Det är svårt att ge ett sådant begrepp en tydligare avgränsning än att det innefattar vad som normalt framstår som angeläget att värna om för att den enskilde skall vara tillförsäkrad en rimlig, fredad, privat zon.4
En utgångspunkt för kartläggningen har därför varit den enskildes rätt till privata tankar och förtrolig kommunikation med andra, samt den enskildes möjligheter att själv avgöra vem som i olika sammanhang ska få ta del av uppgifter som rör denne. I den rätten ligger även ett skydd mot registrering, spridning eller annan behandling av felaktiga, kränkande eller påhittade uppgifter.
Utifrån uppdraget att kartlägga och analysera faktiska och potentiella risker för intrång i den personliga integriteten i samband med användning av informationsteknik har kommittén fokuserat på digital insamling, användning och spridning av uppgifter – inklusive bilder – om enskilda och deras personliga förhållanden.
Kommittén ska i sin kartläggning och analys utgå från ett individperspektiv. Vi redogör därför för behandlingen av personuppgifter inom ett antal områden som en enskild person kommer i kontakt med i olika livsskeden och gör en riskbedömning av dessa. Vi beskriver därtill några vanliga generella företeelser, som har inverkan på den personliga integriteten. Vi drar också vissa slutsatser beträffande den samlade effekten för en enskild person av all den insamling och lagring av personuppgifter, kartläggning och övervakning som han eller hon deltar i eller blir föremål för.
2.4. Kommitténs bedömning av riskerna för den personliga integriteten
En traditionell riskbedömning syftar till att identifiera risker och till att därefter så långt som möjligt förhindra att riskerna leder till oönskade konsekvenser. Själva riskbedömningen innehåller dels en bedömning av sannolikheten för att en viss händelse ska inträffa, dels en bedömning av konsekvenserna av denna händelse.
I syfte att ge en mer nyanserad och förhoppningsvis användbar beskrivning av faktiska och potentiella risker för intrång i den personliga integriteten har kommittén valt att inte bara beskriva riskerna utan att också gradera riskerna i tre nivåer. Utgångs punkterna för riskbedömningen har dels varit sannolikheten för en enskild person att bli föremål för ett visst intrång, dels effekterna eller konsekvenserna av intrånget.
När det gäller att bedöma riskerna, utgår kommittén från ett antal faktorer:
- Vilken inverkan har intrånget på den enskilde? Denna inverkan är bl.a. beroende av graden av känslighet, både avseende uppgifterna som sådana men också intrångets karaktär.
- Sammanhanget och intrångets omfattning, dvs. hur många drabbas, är det fråga om stora informationsmängder, är åtgärden riktad mot en viss krets eller urskillningslös?
- Hur stor är spridningen av de uppgifter, som intrånget innebär?
Här ska även risken för oönskad spridning bedömas.
- Finns ett regelverk som ska minimera riskerna för intrång?
Funge rar regelverket som avsett? Efterlevs det?
- Den enskildes egen möjlighet att påverka hanteringen av personuppgifter har stor betydelse. När det gäller denna fråga är det förutom frågan om samtycke bl.a. av intresse om den enskilde har rätt till insyn i behandlingen av personuppgifter och möjligheter till rättelse vid felaktig behandling.
- Risken för att en viss behandling negativt påverkar allmänhetens förtroende i de fall den personuppgiftsansvarige till exempel är en statlig myndighet.
De olika risknivåerna benämns som viss risk, påtaglig risk och all-
varlig risk.
Nyttan av den bedömda företeelsen vägs inte in i själva riskbedömningen. Däremot kommer nyttoaspekten att vara av central betydelse när kommittén i sitt slutbetänkande ska överväga behovet av åtgärder för att stärka skyddet av den personliga integriteten.
Följande två exempel kan illustrera vårt arbetssätt:
- Behandling av personuppgifter i samband med kreditprövning:
Sannolikheten för att stora delar av befolkningen berörs är tämligen stor.5 Det rör sig om stora informationsmängder, det finns en marknad som omsätter uppgifterna, den enskilde har inte full insyn, lagskyddet fungerar inte fullt ut. Effekterna av intrånget är därmed tämligen stora. Slutsatsen blir påtaglig risk för den personliga integriteten.
5 Ur ett individperspektiv innebär det att sannolikheten är stor för den enskilde att beröras av företeelsen.
- Hemlig rumsavlyssning:
Sannolikheten är låg för att företeelsen drabbar många. Det är fråga om ett mycket starkt intrång, men det är låg spridning av uppgifterna utanför brottsbekämpningen. Området är hårt reglerat. Beslut av domstol förutsätts. Det har inte framkommit uppgifter om att regelverket missbrukas. Här blir slutsatsen viss risk för den personliga integriteten.
Man skulle naturligtvis med viss rätt kunna argumentera för att intrång av det här slaget alltid ska betraktas som allvarliga. Men i en riskbedömning gäller det att inte bara gradera själva intrånget i den aktuella företeelsen, utan också hur skyddet fungerar med hänsyn till regelverk, teknisk och administrativ säkerhet etc.
Riskbedömningen ger kommittén ett bättre och mer nyanserat underlag inför det fortsatta arbetet, då kommittén ska överväga behovet av åtgärder.
2.5. Motsvarande kartläggningar i andra länder
Även i andra länder har det på senare år gjorts analyser av situationen för den personliga integriteten.
Några med Sverige jämförbara länder där sådana analyser har gjorts, är Norge, Danmark, Tyskland och Storbritannien.
2.5.1. Norge
I Norge tillsatte regeringen i maj 2007 den s.k. Personvernkommisjonen. Kommissionen skulle bl.a. ge en helhetsbild över vilka utmaningar som integritetsskyddet stod inför och lämna vissa förslag till åt gärder. I sitt slutbetänkande konstaterar kommissionen bl.a. att de moderna systemen för övervakning gör att övervakningen blir så omfattande att den i enskilda fall är av totalitär karaktär.6
Personvernkommisjonens förslag behandlades några år senare i en skrivelse från Norges regering till Stortinget.7
6 Personvernkommisjonens slutbetänkande Individ og integritet – Personvern i det digitale
sam funnet, NOU 2009:1.
7Personvern – utsikter og utfordringar, Melding til Stortinget 11 (2012–2013).
2.5.2. Danmark
Med anledning av den s.k. Se och Hör-affären i Danmark, tillsattes år 2014 två parlamentariska arbetsgrupper i Folketinget, varav den ena behandlade frågor om datasäkerhet. Arbetsgruppen skulle granska skyddet för integritetskänsliga personuppgifter i samhället i stort. Arbetsgruppens rapport innehåller inte någon kartläggning av integritets risker, men ger däremot en rad förslag till åtgärder för att förbättra situationen för den personliga integriteten. Förslagen rör principer for dataskydd, tillsynen över dataskyddslagstiftningen, tillsynsmyndigheternas sanktionsmöjligheter, ett samlat ansvar för dataskyddsfrågor och tekniska krav på skyddet av integritetskänsliga uppgifter.8
2.5.3. Tyskland
Den tyska Förbundsdagen, Bundestag, tillsatte år 2010 en under söknings kommission på temat ”internet och det digitala samhället”. En projektgrupp inom kommissionen granskade särskilt frågor om bl.a. dataskydd. Dessa frågor redovisades år 2012 i delbetänkandet Daten-
schutz, Persönlichkeitsrechte, Fünfter Zwischenbericht der Enquete-Kommission Internet und digitale Gesellschaft. 9
I delbetänkandet ges en beskrivning av olika internetrelaterade företeelser samt lämnas en rad olika förslag. Bl.a. sägs att även om dataskyddet förändras i takt med samhället, gäller fortfarande den enskildes rätt till självbestämmande över sina uppgifter. Den rätten utgör enligt kommissionen en grundläggande beståndsdel i ett fritt och demokratiskt samhälle.
2.5.4. Storbritannien
Den brittiska dataskyddsmyndigheten, Information Commissioner’s Office, publicerade år 2006 A Report on the Surveillance Society.10Rapporten innehåller bl.a. beskrivningar av en rad vardagliga situa-
8Beretning om datasikkerhed, Beretning afgivet af Retsudvalget den 15. januar 2015 Retsudvalget 2014–15, REU Alm.del Bilag 149.9 Deutscher Bundestag, Drucksache 17/8999, 17. Wahlperiode 15. 03. 2012.10A Report on the Surveillance Society, For the Information Commissioner by the Surveillance Studies Network, september 2006. Rapporten var riktad till det brittiska parlamentet.
tioner som en tänkt familj kan hamna i och som innebär någon form av kartläggning eller övervakning. I en sammanfattning av rapporten sägs bl.a. att övervakningssamhället (eng. surveillance society) var ett faktum redan år 2006, eftersom vardagen i världens rika länder dygnet runt präglas av kartläggning och övervakning. Även fördelarna med detta måste emellertid beaktas, konstateras det i rapporten.
Information Commissioner’s Office gav år 2010 ut en upp datering av 2006 års rapport.11
2.6. Betänkandets disposition
Kommittén ska enligt tilläggsdirektivet redovisa kartläggningen och analysen av riskerna för integritetsintrång och ställningstagandet till behovet av att inrätta ett integritetsskyddsråd i ett delbetänkande. Riskerna för integritetsintrång ska enligt vårt uppdrag redovisas utifrån ett individperspektiv. Vi har valt att beskriva riskerna för den enskilde individens integritet i olika samhällssektorer och även i samband med olika företeelser som är särskilt intressanta ur integritetssynpunkt.
Betänkandet är uppdelat i åtta delar (I–VIII). Del I Inledning omfattar Sammanfattning, Författningsförslag (kapitel 1) och Kommitténs uppdrag och arbete (kapitel 2).
Del II Kommitténs sammantagna bedömning m.m. omfattar kapitel 3–6. Denna del inleds med ett kapitel om Kommitténs samman-
tagna bedömning (kap. 3) där kommittén redovisar sin bedömning av
den samlade effekten av den kartläggning och övervakning som en enskild person blir föremål för i dagens alltmer digitaliserade samhälle. I kapitlet behandlas även de generella problem som vi har kunnat se griper över flera samhällsområden. Vi återger här också de sammanfattande bedömningarna som vi har gjort av de olika områden som behandlas i varje kapitel i delbetänkandet. Kapitel 4 är en engelsk sammanfattning av den generella bedömningen i kapitel 3. Kapitel 5 och 6 är två kapitel med grundläggande information om den personliga integriteten och den rättsliga regleringen.
11Information Commissioner’s report to Parliament on the state of surveillance, Information Commissioner’s Office, november 2010.
Del III Riskbedömning av olika områden och företeelser omfattar kapitel 7–21. I kapitlen redogör kommittén för vilka särskilda risker för den personliga integriteten som är förknippade med olika sektorer och företeelser i samhället. I varje kapitel gör kommittén en bedömning av riskerna för den personliga integriteten.
Del IV Övrigt omfattar kapitel 22–23, kapitel 22 handlar om informationssäkerhet och på vilket sätt ett sådant säkerhetsarbete kan skydda den personliga integriteten. I kapitel 23 beskriver kommittén vilket skydd som samhället erbjuder mot intrång i den personliga integriteten.
Del V Kommitténs förslag omfattar kapitel 24 och 25. I kapitel 24 tar kommittén ställning till frågan om integritetsskyddsråd och föreslår bl.a. att Datainspektionens uppdrag att följa och beskriva utvecklingen på it-området när det gäller frågor som rör personlig integritet och ny teknik utvidgas till att även omfatta de legala förutsättningarna för integritetsskyddet och att myndigheten årligen ska lämna en redovisning om utvecklingen inom området till regeringen. Det sista kapitlet (25) utgör en konsekvensanalys av kommitténs förslag.
Del VI Ett dygn med familjen Svenssons elektroniska spår utgör en vardaglig beskrivning av vilka integritetsrisker som en vanlig familj kan drabbas av under ett dygn. Syftet är att på ett mer lättillgängligt sätt redovisa hur modern teknik påverkar den personliga integriteten.
Del VII består av en reservation till betänkandet. Till delbetänkandet hör fyra bilagor, som presenteras i del VIII; kommittédirektiven (bilaga 1 och 2), en systematisk kunskaps översikt beträffande forskningsområdet digitalisering och personlig integritet (bilaga 3) och en rapport, som ger exempel på olika tekniska, administrativa och organisatoriska åtgärder, som kan vidtas för att främja skyddet av den personliga integriteten (bilaga 4).
DEL II
Kommitténs sammantagna
bedömning m.m.
3. Kommitténs sammantagna bedömning
3.1. Inledning
I det här kapitlet gör Integritetskommittén en bedömning av den samlade effekten för en enskild person av all den övervakning, kartläggning och lagring av personuppgifter, som han eller hon blir föremål för i dagens alltmer digitaliserade samhälle.
Vi behandlar även de generella problem som vi har kunnat se griper över flera samhällsområden.
Vi återger här också de sammanfattande bedömningarna som vi har gjort av de olika områden som behandlas i egna kapitel i delbetänkandet.
I slutbetänkandet avser vi undersöka vilka åtgärder som skulle kunna vidtas för att motverka risker som vi har identifierat. Då kan även annat än förslag till lagstiftning bli aktuellt, som exempelvis att det skulle behövas branschöverenskommelser eller proaktiva åtgärder från tillsynsmyndigheterna.
3.2. Den samlade effekten för den enskilde
I kapitel 5, Den personliga integriteten, beskriver vi hur vi använder oss av begreppet personlig integritet. Något förenklat förstår vi personlig integritet som allt som normalt framstår som angeläget att värna om för att den enskilde ska vara tillförsäkrad en rimlig, fredad, privat sfär. Det är vårt uppdrag att ur ett individperspektiv visa på vilken samlad effekt den senaste tidens teknik- och samhällsutveckling har haft på enskildas personliga integritet.
Utvecklingen kallas ibland för ”den digitala revolutionen”, att jämföra med den industriella revolutionen, eller för den ”tredje industriella revolutionen”, att jämföra med mekaniseringen och utvecklingen av ångkraften samt därpå med utvecklingen av elektriciteten och förbränningsmotorer.1
Oavsett vilken beteckning och närmare beskrivning som väljs, innebär utvecklingen en genomgripande förändring av samhället och enskildas livsvillkor. Det ligger naturligtvis en enorm nyttopotential i den här utvecklingen, men kommitténs uppdrag är att fokusera på faktiska och potentiella risker för den personliga integriteten.
I dag genereras och används digitala personuppgifter i allt högre grad inom alla samhällsområden. Antalet aktörer ökar, användningsområdena ökar, lagringstiderna ökar, spridningen och utbytet mellan aktörerna ökar, vidareanvändningen hos respektive aktör ökar liksom spridningen över nationsgränserna samt möjligheterna att behandla uppgifter i realtid. Vi ser också att vissa stora aktörer, som en följd av utvecklingen i stort och deras egna affärsstrategier, får tillgång till en allt större mängd personuppgifter och därmed har möjlighet att teckna en alltmer komplett bild av en enskild person.
Den här utvecklingen beror på digitaliseringen och på ett successivt ändrat sätt att se på informationsbehandling, både inom offentlig förvaltning och inom näringslivet.
Följande förenklade bild kan beskriva utvecklingen:
- Tidigare hade organisationer ett specifikt syfte för att bygga upp ett personregister eller en databas. Nu har man en mångfald av syften.
- Förr samlade man in uppgifter för att det fanns ett tydligt behov.
Nu samlas de in för att de ”kan vara bra att ha”.
- Förr så var det viktigt, bl.a. av kostnadsskäl, att hålla lagringstiderna korta. Nu ser man stora fördelar med att behålla uppgifterna.
- Förr fanns ett givet ändamål med sökningar och analyser av person uppgifter. Nu är big data och data mining en realitet.
1 Jfr Digitaliseringskommissionens slutbetänkande, Digitaliseringens transformerande kraft –
vägval för framtiden, SOU 2015:91, s. 68.
- Förr samlades personuppgifterna in genom en specifik registrering. Nu uppstår de mer eller mindre automatiskt genom att den enskilde agerar och använder digitala verktyg.
- Personuppgifter har i allt högre grad blivit en handelsvara.
Den här utvecklingen har kunnat ske trots att basala dataskyddsprinciper såsom skyldighet att informera, inhämta samtycke, gallra och den s.k. ändamålsprincipen fortfarande gäller.
Ur den enskildes perspektiv innebär utvecklingen att kunskapen om hur uppgifterna hanteras, liksom möjligheten att påverka detta, hela tiden krymper i förhållande till den ökande hanteringen av person uppgifter i samhället.
I motsvarande mån begränsas även den enskildes möjlighet att genom ett verkligt fritt val bestämma hur uppgifter om honom eller henne ska hanteras.
Kommitténs generella slutsats är därför att den enskilde på ett flertal områden drabbas av stegvisa försämringar av den personliga integriteten.
Vi kan konstatera en förskjutning av inflytandet över hur uppgifterna hanteras – från den enskilde till de personuppgiftsansvariga och från de personuppgiftsansvariga till tjänsteleverantörerna. Tjänsteleverantörerna är inte sällan stora globala företag, även om de i formell mening endast är personuppgiftsbiträden och därmed är skyldiga att följa de ansvarigas instruktioner. De globala företagen är mycket stora, men få till antalet, och vanligen baserade i USA. Förskjutningen innebär därför också en koncentration och en geografisk omplacering av inflytandet bort från Sveriges och EU:s jurisdiktion.
Regleringen av hur uppgifter får hanteras ligger till stora delar på EU-nivå. Det nationella inflytandet från regering och riksdag får således utövas genom EU-samarbetet med de begränsningar som detta innebär. Härtill kommer, som redan nämnts, att den verkliga hanteringen av uppgifter många gånger äger rum utanför EU, vilket i sin tur minskar EU:s möjligheter att påverka hanteringen. I sammanhanget är det av betydelse att EU:s bestämmelser om dataskydd oftast ger ett starkare skydd än motsvarande regler i andra delar i världen, exempelvis i USA.
Klart står emellertid att när kunskapen och kontrollen förhållandevis minskar, måste slutsatsen bli att situationen för den personliga integriteten försämras, egentligen oberoende av vilken definition man väljer av begreppet personlig integritet.
Den enskildes minskande självbestämmande i detta hänseende är en utmaning som staten kan förhålla sig till på olika sätt. Den kan acceptera den enskildes relativt sett krympande kunskaper och påverkansmöjligheter utan vidare. Den kan verka för att öka enskildas kunskaper och påverkansmöjligheter. Den kan också verka för att förhindra sådan hantering av uppgifter som av något skäl inte är önskvärd. Den svenska staten har hittills valt en blandning av samtliga tre förhållningssätt.
Den samlade bilden av hur uppgifter hanteras i dag är en ut maning som också enskilda förhåller sig till på olika sätt. Situationen väcker frågan om människan och hennes beteende förändras av den accelererande digitala hanteringen av hennes uppgifter och hennes privata sfär? Och i så fall hur? Lunds universitet har på vårt uppdrag tagit fram en systematisk kunskapsöversikt om detta. Den visar att det såväl internationellt som i Sverige finns förvånansvärt lite kunskap om vilken inverkan som digital övervakning har på människans beteende och på hennes uppfattning om världen och sig själv. Vissa studier finns som pekar på att risken för bristande respekt för den personliga integriteten kan leda till minskat internetanvändande och minskat politiskt engagemang (åtminstone på nätet).2 Men ännu saknas vetenskapligt hållbara och empiriska bevis för att så verkligen är fallet.
3.3. Generella problem
Vissa utmaningar för den personliga integriteten är inte avgränsade till någon särskild del av samhället, utan kan möta den enskilde i många olika situationer. Vi vill därför lyfta fram dessa och behandla dem särskilt, även om de sedan återkommer i olika sammanhang när vi återger de allvarligaste riskerna per område.
2 Se de artiklar som återges i kunskapsöversikten, särskilt i avsnittet om kunskap och beteende hos unga. Det finns även andra rapporter om detta, exempelvis Global Chilling – The Impact of
Mass Surveillance on International Writers, Results from PEN’s International Survey of Writers
(januari 2015).
3.3.1. Kunskap om hur uppgifterna hanteras
En återkommande iakttagelse är att enskilda i stor utsträckning är omedvetna om och har dåliga kunskaper om hur och varför deras personuppgifter hanteras i utrustningar och tjänster i olika sammanhang. Detta bekräftas av ett antal undersökningar. I en undersökning inom arbetslivsområdet angav endast 21 procent av de tillfrågade arbetstagarna att de visste vilka uppgifter som arbetsgivaren samlade in om deras internetanvändande.3 I en annan undersökning ansåg åtta av tio tillfrågade svenskar att de inte har full kontroll över sina personuppgifter.4 En liknande iakttagelse har kommittén gjort beträffande personuppgiftsansvariga företag eller myndigheter. Här finns inte enkät undersökningar på samma sätt som avseende en skildas kunskaper och inställning. Men i våra kontakter med olika parter och i vår omvärldsbevakning har framkommit att det inte är ovanligt med bristande kunskaper även hos de personuppgifts ansvariga. Ett tydligt exempel på detta är myndigheter som köper molntjänster utan att skaffa sig närmare kunskaper om hur upp gifterna hanteras och sprids inom tjänsten.
3.3.2. Möjligheten för den enskilde att påverka
Flera faktorer gör det svårare för den enskilde att påverka hur de egna uppgifterna lagras och sprids. Dels blir detta svårare på grund av den ökande vidareanvändningen av uppgifter för nya ändamål på olika håll i samhället, exempelvis genom big data, dels för att vi använder oss av utrustning som genererar och sprider allt fler personuppgifter, exempelvis genom appar och sensorer som finns installerade i t.ex. mobiltelefoner och fordon.
När den enskilde inte känner till och inte kan påverka hur personuppgifter hanteras, urholkas samtyckets betydelse. De samtycken som inhämtas för olika behandlingar framstår alltmer som en chimär. Även i situationer där hanteringen är glasklar för den enskilde och ett tydligt samtycke efterfrågas, kan den enskilde i praktiken sakna valmöjlighet. Det betingar ofta ett högt pris i form av att exempelvis
3 Rapport från den 26 juni 2014 om en undersökning som fackförbundet Unionen genomförde bland sina medlemmar.4 Special Eurobarometer 431, Data Protection, publicerad i juni 2015 samt Datainspektionens årsredovisning för 2015, s. 4.
avstå från mediekonsumtion på nätet, från att kommunicera med hjälp av sociala nätverk, från att använda kreditkort och från kontakter med vissa vårdgivare. Människan är en social varelse och befinner sig i en teknologisk kontext som det i praktiken är mycket svårt att ställa sig utanför. Att inte samtycka innebär nämligen att stå utanför, och är därmed sällan ett realistiskt alternativ. Ofta är samtyckes frågor binärt formulerade; antingen samtycker den enskilde till allt som den an svarige vill göra med uppgifterna för att tillhandahålla en viss tjänst, eller så samtycker den enskilde inte och får då helt avstå från tjänsten. Graderade alternativ förekommer sällan. I vissa samman hang, som inom den offentliga förvaltningen, finns dessutom lagstiftning som inte förutsätter samtycke för behandling av uppgifterna. Den enskilde har då inte någon laglig möjlighet att motsätta sig att uppgifterna hanteras. Detta kan få långtgående effekter när uppgifter från förvaltningssfären når privat sektor genom exempel vis molntjänster eller med stöd av offentlighetsprincipen.
3.3.3. Den enskildes egna skyddsåtgärder
Den enskildes möjlighet att vidta skyddsåtgärder förutsätter kunskap om hur uppgifter hanteras och sprids av företag och myndigheter, men också kunskap om hur uppgifter sprids av andra enskilda personer, t.ex. när bilder på enskilda personer publiceras på sociala medier av andra användare.
Det är i praktiken ofta tidsödande och krångligt att skydda sig på andra sätt än att stå utanför, t.ex. genom att använda sig av krypterad e-post eller andra tekniker som är tillgängliga för den enskilde. Det framstår därmed inte som ett realistiskt alternativ för det stora flertalet. En informationssäkerhetspecialist har på vårt uppdrag tagit fram en översikt över integritetsskyddande teknik.5 Kommittén delar den bedömning som görs i rapporten av enskildas möjligheter att skydda sig mot intrång i den personliga integriteten:
Många tjänster i vardagen som vilar på modern informationsteknik, och som uppfattas som oumbärliga, medför inte sällan en ingående kartläggning av individen. (…) Det går knappast som enskild medborgare att värja sig mot det integritetsintrång som sker genom användning av dessa tekniker, med mindre än att aktivt välja att inte använda flertalet av dem. Få kan nog tänka
5 Bilaga 4.
sig att sluta köpa elektricitet eller att sluta använda en mobiltelefon. Alternativen, att som konsument försöka skydda sin privata sfär genom olika medel, blir ofta så opraktiskt och kostsamt att det aldrig står som ett reellt alternativ för andra än grovt kriminella. Denna grupp av individer kan tänkas vidta långtgående åtgärder för att undvika att lämna elektroniska fotspår, innefattande att uteslutande använda kontanter, att alltid bruka anonymiseringstjänster på internet och oregelbundet byta mellan olika mobil telefoner och oregistrerade SIM-kort på olika platser, och också hålla apparaterna avstängda då de inte behövs.
3.3.4. Vad tycker den enskilde?
Det faktum att enskilda lämnar ifrån sig personuppgifter och inte i större utsträckning vidtar de mått och steg som ändå är möjliga för att skydda sina uppgifter, betyder inte att enskilda i allmänhet struntar i sin personliga integritet. I flera undersökningar svarar enskilda tvärtom att det är viktigt för dem hur deras uppgifter hanteras, att de önskar ett tydligt regelverk som upprätthålls och att deras förtroende för olika aktörer i detta hänseende varierar stort. I en stor europeisk undersökning år 2015 om allmänhetens inställning till personlig integritet, tog 52 procent av de svenska respondenterna avstånd från uttalandet ”att lämna ut personlig information är inget problem för dig”.6
I en annan undersökning, genomförd av ett fackförbund, svarade en klar majoritet av de tillfrågade medlemmarna att de inte var oroliga för integritetskränkningar i arbetslivet och att de inte heller själva hade blivit utsatta för något sådant.7När de däremot fick läsa
några exempel på övervakning och därefter fick ta ställning till om de tyckte att fackförbundet skulle driva frågan om stärkt integritetsskydd,
var det en lika klar majoritet som tyckte att förbundet skulle driva frågan.
6 Special Eurobarometer 431, Data Protection, publicerad i juni 2015 samt Datainspektionens tidning Integritet i fokus, nr 4, 2015.7 Rapport från den 26 juni 2014 om en undersökning som fackförbundet Unionen genomförde bland sina medlemmar.
3.3.5. Otillräcklig tillsyn
Tillsynen av hur personuppgifter hanteras når bara en bråkdel av alla företeelser som är riskabla ur ett integritetsskyddsperspektiv. Det största tillsynsansvaret bärs av Datainspektionen, vars uppdrag i stort sett har varit detsamma sedan myndigheten bildades år 1973. Myndigheten har i dag cirka 45 årsarbetskrafter, vilka även ska utöva tillsyn över inkassoverksamhet och kreditupplysningsbranschen. Myndighetens storlek och uppdrag medför att många nya företeelser och aktörer av naturliga skäl inte alls blir granskade och bedömda ur ett integritetsskyddsperspektiv, eller blir det först när de funnits på marknaden under en period.
På senare år har situationen påverkats av att Datainspektionen successivt har minskat sina tillsynsaktiviteter. Myndigheten förklarar detta bl.a. med att antalet remisser och delningar ökat markant och att detta tagit resurser från tillsynsverksamheten.8
Inom det här området kan tillsynen sägas vara särskilt viktig. Nya företeelser introduceras i en mycket snabb takt. Många av dessa finns det anledning att bedöma ur ett rättsligt perspektiv. Regelverket är tämligen oprecist och avsiktligt allmänt hållet. Det är därför ofta först när tillsynsmyndigheten har bedömt en ny företeelse, som leverantörer och användare får någon ledning. Resultatet från tillsynen kan sedan användas i tillsynsmyndighetens utåtriktade och proaktiva arbete för att sprida kunskap.
Konsumentverket har uppgett sig ha vissa svårigheter med tillsynen i den digitala miljön. Problemen rör bl.a. digital och individanpassad marknadsföring på exempelvis sociala medier, som baseras på en mer eller mindre ingående profilering. Företeelsen har inte varit föremål för Konsumentverkets tillsyn. Likaså har inte användarvillkoren för sociala medier ännu granskats av Konsumentverket.
I kartläggningen har kommittén kunnat konstatera att tillsynen av den personliga integriteten i dag är splittrad på flera olika myndigheter. Förutom av Datainspektionen och Konsumentverket bedrivs tillsyn inom integritetsområdet av bl.a. Post- och telestyrelsen, Säkerhets- och integritetsskyddsnämnden och länsstyrelserna. En splittrad tillsyn kan innebära effektivitetsförluster beträffande den totala tillsynen. Vi avstår från att i nuläget fördjupa oss i frågan, eftersom den för närvarande analyseras av Utredningen om tillsynen över
8 Datainspektionens årsredovisning för 2015, s. 4.
den personliga integriteten.9 Utredningen ska, i syfte att stärka skyddet för den personliga integriteten, överväga hur ett i högre grad samlat integritetsskydd kan fungera inom en och samma myndighetsstruktur genom att tillsynen över behandling av personuppgifter samlas hos en myndighet.
3.3.6. Sanktionerna
Generellt för hela området är att sanktionssystemet, både det straffrättsliga och det skadeståndsrättsliga, inte verkar användas i någon större omfattning. Det är i alla fall mycket få ärenden som når domstolarna. Exempelvis har vi för perioden 2012–2015 endast funnit fem tvistemål i tingsrätt där frågan handlat om skadestånd enligt personuppgiftslagen (1998:204). Det ser inte annorlunda ut på straff rättens område. Under år 2014 avgjordes sammanlagt i landet endast fyra ärenden om brott mot personuppgiftslagen (genom dom slut, straffföreläggande eller åtalsunderlåtelse).
När systemet väl används rör det sig om lindriga straff och låga skadeståndsbelopp.
Sammanfattningsvis kan sanktionssystemet inte sägas fungera fullt ut, eftersom det inte har fått den effekt som avsågs med bestämmelserna.
3.3.7. Globaliseringen
En annan generell iakttagelse är att digitala tjänster alltmer präglas av globaliseringen. Många olika aktörer i olika länder samarbetar exempelvis i tillhandahållandet av alla komponenterna och programmen i en mobiltelefon. Personuppgifter om användaren kan ibland han teras såväl av dem som tillverkat telefonen, som av operativsystemet liksom av apparna i telefonen. De olika tillverkarna återfinns inte s ällan i olika världsdelar. Apparna är i sin tur ofta molnbaserade. I molntjänsters natur ligger att data flyttas mellan olika datacenter över hela världen. Det leder också till att dessa länders lagstiftning kommer att tillämpas på hur uppgifterna får hanteras, varvid det kan röra sig om bestämmelser som ger ett väsentligt sämre skydd för uppgifterna än
9 Ju 2015:02.
reglerna i Sverige och EU, avseende exempelvis statens rätt att ta del av uppgifterna. Hanteringen i andra länder medför också att det i praktiken oftast är omöjligt att utöva kontroll och tillsyn över hur uppgifterna verkligen hanteras.
En annan följd av globaliseringen är att när myndigheter behöver lämna ut uppgifter till företag som är etablerade i andra länder, är det därefter andra landets lagar som reglerar hur uppgifterna får hanteras och spridas vidare.10
3.3.8. Journalistiska ändamål enligt personuppgiftslagen
En fråga vi inte berör närmare i vår kartläggning är att dagens svenska ramlagstiftning, personuppgiftslagen, föreskriver att regelverket i väsentliga delar inte behöver tillämpas i vissa situationer eftersom det skulle begränsa yttrandefriheten. Det rör sig inte bara om publicering på nätet med hjälp av s.k. frivilliga utgivningsbevis, som ger grundlagsskydd och därmed sätter delar av personuppgiftslagen ur spel. Även en publicering utan frivilligt utgivningsbevis faller utanför personuppgiftslagens tillämpning, om publiceringen görs för ett s.k. ”journalistiskt ändamål”. Bestämmelsen har sin grund och motsvarighet i artikel 9 i dataskyddsdirektivet. När bestämmelsen har prövats av Högsta domstolen i Sverige, har domstolen bedömt att verksamhet som innebär att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten, ska anses ha ett journalistiskt ändamål i personuppgiftslagens mening. Det kan alltså utgöra ett journalistiskt ändamål att informera, kritisera och debattera i vissa frågor, även om man gör det på ett för enskilda personer kränkande sätt.11
Bestämmelsen har i tillämpningen tolkats brett och har tillämpats exempelvis på publicering på nätet i form av bloggar som innehållit personuppgifter och som uppfattats som kränkande av de personer
10 Se t.ex. Högsta förvaltningsdomstolens avgörande HFD 2014 ref. 66 där den omständigheten att ett företag var etablerat i Norge medförde ett sämre sekretesskydd för uppgifter hos Socialstyrelsen eftersom det norska företaget inte var bundet av personuppgiftslagen. Frågan handlade om utlämnande.11NJA 2001 s. 409 samt Öman & Lindblom,Personuppgiftslagen (15 oktober 2015, Zeteo), kommentaren till 7 § andra stycket personuppgiftslagen.
som omnämnts. Eftersom ändamålet med publiceringen befunnits vara journalistiskt, har publiceringen inte ansetts strida mot personuppgiftslagen.12
3.3.9. Näthat
Vad användare av sociala medier kan skriva och publicera om andra enskilda personer på nätet är en annan, betydande risk för den personliga integriteten.
De senaste åren har det allt oftare rapporterats om olika former av hatkampanjer på nätet. Företeelsen kallas ofta för näthat. Exempelvis framgår det av organisationens Friends senaste rapport om barns och ungdomars erfarenhet av internet, att så många som var tredje person i åldersgruppen 10–16 blivit utsatt för kränkningar på nätet under det senaste året.13
I alla åldersgrupper är det vanligare att kvinnor utsätts för kränkningar på nätet än män. I betänkandet Integritet och straffskydd14 görs en sammanställning över forskning om kränkningar av den personliga integriteten på nätet. I sammanställningen sägs bl.a. att det finns forskare på området som menar att många hatkampanjer på internet har en tydlig könsaspekt där kvinnor utsätts för sexualiserade kränkningar i avsevärt större utsträckning än män. Enligt dessa forskare kan det i förlängningen leda till en självcensur som skulle kunna ses som ett hot mot jämställdheten och yttrandefriheten.
Näthat kan även bedrivas av organisationer. Det har exempelvis förekommit att enskilda journalister blivit utsatta för upprepade och systematiska kränkningar på nätet av organisationer som de granskar, med det tydliga syftet att få granskningen att upphöra.15
Nätet beskrivs ibland som en ny arena för hot och kränkningar. Genom internet och annan elektronisk kommunikation har möjligheterna för enskilda att sprida integritetskränkande uppgifter om andra ökat väsentligt. Nya skyddsintressen har därför uppkommit
12NJA 2001 s. 409.13 Friends nätrapport 2016. 14 Utredningens om ett modernt och starkt straffrättsligt skydd för den personliga integriteten betänkande Integritet och straffskydd, SOU 2016:7.15 I media har t.ex. nyligen rapporterats om ett fall i Finland, se artikeln Grävande journalist
blev måltavla för proryska troll, publicerad på svt.se den 13 mars 2016 och författad av Ulf
Mattmar och Hedvig Eriksson.
och medfört ett väsentligt ökat behov av ett bättre utformat straffrättsligt skydd för privatlivet och den personliga integriteten. Med den motiveringen föreslås i betänkandet Integritet och straffskydd16 en ny straffbestämmelse om olaga integritetsintrång i 4 kap. brottsbalken. Den föreslagna bestämmelsen innebär ett straffansvar för den som gör intrång i någon annans privatliv genom att sprida bild eller annan uppgift på ett sätt som är ägnat att medföra kännbar skada för den som uppgiften rör.
Eftersom näthat som företeelse således nyligen analyserats, och då detta även lett till att det lämnats ett förslag som syftar till att angripa problemet, avstår kommittén från att fördjupa sig i företeelsen.
3.3.10. Offentlighetsprincipen
I och med 1766 års tryckfrihetsförordning infördes offentlighetsprincipen i svensk rätt. Den stadgar att all myndighetsutövning ska vara transparent och att den som så önskar har rätt att ta del av myndigheters offentliga handlingar. Sedan införandet har offentlighetsprincipen haft en i huvudsak obruten kontinuitet och den har ett brett och starkt stöd i riksdagen. Principen utgör i dag en hörnsten för demokratin i Sverige.
Offentlighetsprincipen har handlingsoffentlighet som utgångspunkt, varifrån avsteg endast får göras i särskild ordning och efter att lagstiftaren för varje avsteg gjort en noggrann intresseavvägning mellan behovet av offentlighet å ena sidan och behovet av sekretess å andra sidan.
I takt med digitaliseringen uppkommer nya konsekvenser för offentlighets principen. Ju bättre och billigare de tekniska möjligheterna att sprida och sambearbeta olika uppgifter blir, desto större blir det kommersiella värdet av de personuppgifter som finns hos myndigheterna. Många företag vill därför få åtkomst till uppgifterna. En del myndigheter kan ta betalt för vissa utlämnanden. Uppgifterna får därmed en ekonomisk betydelse även för myndigheterna. När före tag har fått ut uppgifter med stöd av offentlighetsprincipen, kan de sprida och hantera uppgifterna för helt andra ändamål än dem för vilka myndigheten ursprungligen samlade in uppgifterna. Ibland kan företagen även publicera integritetskänsliga uppgifter på nätet med
16SOU 2016:7.
grundlagsskydd genom s.k. frivilliga utgivningsbevis, med den följden att vissa delar av det integritetsskyddande regelverket inte längre gäller. Frågan om de frivilliga utgivningsbevisens innebörd för den personliga integriteten, är för närvarande föremål för utredning i Mediegrundlagskommittén.17
Den svenska offentlighetsprincipen och det europeiska dataskyddsregelverket kan sägas verka i olika riktningar på ett prin cipiellt plan: offentlighetsprincipen har offentlighet som utgångspunkt (och sekretessbestämmelser som reglerar undantagen), medan data skyddsdirektivets huvudregel är att personuppgifter inte får spridas (om inte spridningen har stöd i någon av direktivets bestämmelser). Kommittén bedömer dock att de principiella skillnaderna har kunnat hanteras i den praktiska tillämpningen.
3.3.11. Personlig integritet ett viktigt värde för hela samhället
Det är inte bara för individen som den personliga integriteten är av betydelse. Även för samhället i stort är det avgörande att invånarna kan vara fria i sin åsiktbildning och i sina yttranden samt att de som utgångspunkt kan ägna sig åt vad de vill och umgås med vem de vill, utan inblandning och insyn från utomstående. Rätten till personlig integritet (som i sig är en grundlagsskyddad mänsklig rättighet) är därmed en viktig faktor även för andra, centrala och grundlagsskyddade rättigheter, dvs. för sådana rättigheter som är grunden för ett demokratiskt samhälle, särskilt rätten till yttrandefrihet, men även rätten till informationsfrihet och meddelarfrihet.
Vi har de senaste åren sett flera exempel på kränkningar av enskilda personer i syfte att tysta dem i deras opinionsbildning, politiska verksamhet eller journalistiska granskningsarbete. Om det här slaget av kränkningar av våra grundläggande rättigheter får sådana effekter att det på bredden påverkar enskildas vilja att kommunicera sin mening och delta i det offentliga samtalet, innebär det ett hot mot demokratin.
På samma sätt kan grundläggande värden hotas om enskilda avstår från aktiviteter på grund av förlorad tillit eller oro för att de ska bli registrerade, kartlagda eller övervakade på ett sätt som på sikt skulle kunna skada dem.
17 Ju 2014:17.
Det finns inget tvivel om att det i enskilda fall finns personer som har valt att avstå från att utnyttja sina rättigheter, efter att ha utsatts för diverse kränkningar, hot och påtryckningar. Kommittén har dock inte underlag för att säkert kunna fastställa att befolkningen i stort har påverkats i sitt beteende med anledning av en ökad oro för att bli angripen på nätet, kartlagd eller övervakad.
Ett annat rättighetsrelaterat problem är den massiva datainsamling som möjliggör profilering och individanpassad marknadsföring eller individanpassade sökresultat (uppkomsten av s.k. filter bubblor)18, vilket kan leda till diskriminering och exkludering i strid med 1 kap. 2 § regeringsformen.
Ytterligare en risk består i ett eventuellt framtida, men långt ifrån omöjligt, scenario där mänskliga rättigheter inte längre upprätthålls på samma sätt som i dag, i Sverige eller i länder som vi samarbetar med och till vilka uppgifter flödar relativt fritt. De stora möjligheter som finns för myndigheter och företag att kartlägga enskilda, kan då komma att användas på sätt som kan vara mycket negativa för den enskilde.
3.4. Teknikutvecklingen
I vår granskning har vi särskilt noterat vissa företeelser av mer teknisk natur som återkommer inom flera områden. Dessa företeelser ökar rent generellt i användning. Enligt vår mening är de av stor betydelse för integritetsskyddet redan i dag, men kan förväntas få ännu större betydelse i en inte alltför avlägsen framtid. De kan även komma att rita om spelplanen på flera sätt.
Big data och sakernas internet (Internet of things) är två sådana företeelser som vi behandlar i delbetänkandet.19
18 Företeelsen beskrivs närmare i kapitel 12 om konsumentområdet.19 Kapitel 21 om några särskilda företeelser och kapitel 12 om konsumentområdet.
Två andra företeelser är av ännu mer teknisk natur, men kommer att förändra förutsättningarna för hur vi kan hantera personuppgifter i framtiden: utvecklingen av artificiella neurala nätverk20 och utvecklingen av kvantdatorn21.
Vi har också noterat att vissa företeelser inte har fått den be tydelse för den personliga integriteten som de en gång förutspåddes få. Ett exempel på detta är RFID-taggar som vi visserligen nämner som en möjlig risk för den personliga integriteten, men som för några år sedan förväntades få betydligt större konsekvenser för den personliga integriteten än vad vi bedömer att den faktiskt har fått. Det visar att det är svårt att med någon större exakthet förutspå vilka företeelser som kommer ha störst genomslag och inverkan även inom en nära framtid.
En annan iakttagelse som vi har gjort är att integritetsskyddande teknik skulle kunna användas i betydligt större omfattning än vad som är fallet i dag. Flera goda exempel tas upp i den tidigare nämnda översikten.22 Översikten har som utgångspunkt bl.a. att användandet av väl utformad integritetsfrämjande teknik gör det möjligt att uppnå en mer fördelaktig jämvikt i avvägningen mellan nyttoeffekter och risker för den personliga integriteten. Detta är enligt vår mening ett tydligt förbättringsområde.
En annan genomgående iakttagelse är att staten inte har någon helhets bild över utvecklingen i stort på det här området, varken när det gäller teknikutvecklingen eller när det gäller nya arbetssätt som involverar personuppgiftsbehandling. Staten har enligt flera gransk-
20 Nationalencykopedin förklarar neurala nätverk som nätverk av enkla summerande enheter som kommunicerar via kopplingar. I biologiska neuronnätverk är enheterna nervceller (neuroner) och kopplingarna synaptiska förbindelser. Biologiska neuronnätverk har utgjort förebilder vid utvecklingen av artificiella neuronnätverk, vilka realiseras som datorprogram, som integrerade kretsar (neurochips) eller med hjälp av analog optisk teknik, t.ex. holografi. Utmärkande för artificiella neuronnätverk är bl.a. inlärningsförmåga, parallellitet som medger hög beräkningshastighet och robusthet med avseende på felaktigheter och brus i indata och i nätverket självt. Exempel på användningsområden för neurala nätverk är mönster- och bildigenkänning, medicinska prognoser och artificiell intelligens. 21 Enligt Nationalencykopedin är den stora skillnaden mellan en vanlig dator och en kvantdator, att en sträng av kvantbitar i en kvantdator kan befinna sig i en (koherent) överlagring av alla kvantbitar som ingår i strängen, s.k. parallellism. Kvantbitarna kan också vara hoptvinnade, vilket medger mycket speciella möjligheter för en kvantdator att utföra beräkningar. Det är dessa två egenskaper, parallellism och framför allt hoptvinning, som ger en kvantdator dess unika egenskaper jämfört med en vanlig dator. En kvantdator kan inte utföra andra beräkningar än en vanlig dator, bara på ett annat sätt, men skulle kunna utför vissa beräkningar mycket snabbare än en vanlig dator.22 Bilaga 4.
nings rapporter inte heller en samlad överblick och kontroll över hur den egna förvaltningen utvecklas inom området, dvs. inom den statliga e-förvaltningen.
3.5. Kunskapsläget
Flera generalla iakttagelser görs i den tidigare nämnda kunskapsöversikten från Lunds universitet beträffande kunskapsbildningen på forskningsområdet digitalisering och personlig integritet.23 Vi tror att deras iakttagelser har betydelse även utanför de akademiska miljöerna och återspeglar generella tendenser.
Översikten visar att det råder en tämligen strikt indelning av forskningen om digitalisering och personlig integritet mellan huvudsakligen tre vetenskapliga fält. Det första är ett tekniskt fält som i hög grad handlar om systemutveckling. Det andra är ett juridiskt fält med fokus på frågor om författningsskydd för den personliga integriteten. Det tredje är ett mer allmänt samhällsvetenskapligt fält som samlar bl.a. informatik, psykologi, marketing och managementforskning. Gemensamt för alla tre fälten är att forskare inom respektive fält endast sällan visar intresse för vad som görs inom något av de andra fälten. Något annat som också framkommit är att det, i forskning som rör personlig integritet, saknas en gemensam begreppsapparat och gemensamma metoder för de olika vetenskapliga fälten och disciplinerna.
Iakttagelserna i översikten kan hjälpa till att förklara varför problem ställningar som förekommer inom juridiken (exempelvis att uppgifter hanteras för nya ändamål som är oförenliga med de ursprungliga ändamål för vilka uppgifterna samlades in) inte i högre utsträckning hämtar idéer till lösningar från teknikfältet (exempelvis att uppgifterna anonymiseras på ett sätt som minimerar integritetsriskerna utan att försämra möjligheten att få ny kunskap ur datasamlingen).
23 Bilaga 3.
3.6. Drivkrafter bakom utvecklingen
Det är viktigt att förstå vilka drivkrafter som ligger bakom utvecklingen för att kunna återkomma till rätt slags åtgärder för att försöka komma till rätta med problemen eller bristerna. En generell drivkraft är t.ex. ambitionen att i så hög grad som möjligt nyttogöra den information man har tillgång till. Vi har sett att den drivkraften ofta leder till att grundläggande principer som att uppgifter ska användas för särskilt angivna ändamål (finalitetsprincipen) och skyldigheten att gallra uppgifter, urholkas. En annan generell drivkraft hos alla aktörer – oavsett om det rör sig om företag eller myndigheter – är att alltid göra uppgifter så användbara som möjligt för så många som möjligt, i syfte att uppnå maximal flexibilitet i den egna organisationen. Vissa integritetskyddande åtgärder, som t.ex. att begränsa den interna åtkomsten till personuppgifter inom organisationen, kan innebära att det blir svårare att snabbt flytta personal mellan olika arbetsuppgifter och därmed påverkas effektiviteten i organisationen. Andra drivkrafter är mer specifika för sina områden. Exempelvis innebär affärsmodellerna för annonsering på nätet respektive för molntjänster, att hanteringen av personuppgifter styrs i en riktning som kan försämra den personliga integriteten.
3.7. Kommitténs bedömning av respektive område
Nedan återges vad kommittén framfört under rubriken Kommitténs
samlade bedömning av området i kapitel 7–21.
3.7.1. Skolan (kapitel 7)
Av det här kapitlet framgår att det genereras allt fler och allt mer detalje rade uppgifter om eleverna i skolan, alltifrån hur de använder sig av läromedel och chattar med klasskamraterna, till vilka kamrater de helst syns tillsammans med i skolan.
Uppgifterna kan användas på ett sätt som innebär stor nytta för eleverna, t.ex. när de används för att utforma det stöd den enskilde eleven behöver i skolarbetet. Samtidigt finns det ett antal olika risker med den ökande mängden uppgifter om eleverna.
Det mesta av den tilltagande personuppgiftsmassan om eleverna hanteras utan deras eller vårdnadshavarnas samtycke. Det kan också hända att uppgifterna hanteras med stöd av samtycken vars lämplighet eller giltighet kan ifrågasättas.
Det finns oftast tydliga regler om att elever eller vårdnadshavare ska informeras om hanteringen av elevernas uppgifter. Men många gånger har inte ens den ansvarige, dvs. skolhuvudmannen, överblick över vilka uppgifter som hanteras av vem och hur. Den information som sedan ges vidare till elever och vårdnadshavare kan därför ofta antas vara mer eller mindre bristfällig.
De företeelser som nämns i det här kapitlet har inte granskats ur ett integritetsskyddsperspektiv på senare år, förutom när det gäller kameraövervakning och molntjänster. Det finns inte heller någon myndighet eller annan aktör som kan sägas ha en helhetsbild av vad som försiggår med bäring på integritetsskyddet i landets tusentals skolor – i vad mån kameraövervakning används, molntjänster anlitas, vilka sociala medier som används osv.
I sammanhanget är av betydelse att det rör sig om barns rätt till personlig integritet. Barn måste anses som särskilt viktiga när det gäller att skyddas mot otillbörliga intrång i den personliga integriteten, på samma sätt som de anses särskilt skyddsvärda i konsumenträttsliga sammanhang. Barn kan behöva stöd när det gäller att freda sin personliga sfär eller när de behöver fatta beslut som rör deras nutid och framtid.
Ytterligare skäl till att vara särskilt försiktig med en närgången digital kartläggning av barn, är att erfarenheterna från skolan kommer att prägla dem för resten av livet – även när det gäller frågor om vilka intrång som ska accepteras och vad den enskilde kan förvänta sig att få veta och möjlighet att påverka när det gäller den personliga integriteten.
Det talas ibland också om att elever ges ”digitala tatueringar”, som följer dem under hela deras vandring genom utbildnings systemet och kanske även hänger med ut i arbetslivet. Eleverna ges ingen möjlighet att börja om när de byter skola och kanske inte ens när de slutar skolan.24 Tatueringarna består i personuppgifter och de analyser som gjorts med hjälp av uppgifterna, och som kanske aldrig gallras. Frågan om digitala tatueringar kan antas växa i betydelse i takt med att in-
24 Se rapporten Personvern 2015 – tilstand og trender, från norska Teknologirådet och Datatillsynet, januari 2015.
lärningsanalytiska metoder och arbetssätt vinner terräng och börjar användas av skolorna och systemleverantörerna. Problematiken är snar lik den som brukar anföras i samband med sökmotorernas algoritmer, vilket ibland omtalas som nätets ”filterbubblor” eller ”ekokammare”.25
Digitala lärplattformar och digitala läromedel
Det är skolornas huvudmän som är personuppgiftsansvariga för hanteringen av personuppgifter i de digitala lärplattformar och digitala läromedel som används vid skolan, men viktiga beslut som handlar om hantering av elevernas personuppgifter kan många gånger i praktiken fattas av enskilda lärare. Huvudmannen har sällan en full ständig överblick över eller insyn i vilka uppgifter som hanteras i systemen, hur de används och hur länge de sparas. Ibland känner huvudmannen över huvud taget inte till vilka system som används i skolan. Det är kommitténs uppfattning att detta är ett allmänt förekommande problem i skolorna i dag.26
Därtill kommer att det för elever i grundskolan och gymnasieskolan inte finns någon sekretess eller tystnadsplikt för större delen av den växande uppgiftsmassan.
En stor andel av undervisningen för landets elever hanteras i digitala lärplattformar och i digitala läromedel. Det rör sig om allt fler och detaljerade uppgifter om varje enskild elev. Dessa uppgifter är av stort intresse för både skolhuvudmän och leverantörer för att dessa ska kunna lära sig mer om eleven, om inlärningsprocesser generellt och om hur plattformar och läromedel fungerar och kan förbättras. Uppgifterna kan därför komma att användas för helt nya ändamål, som eleven och ibland inte heller skolan, känner till och kan påverka. Elevuppgifternas värde innebär också att de kan komma att spridas till exempelvis leverantörernas samarbetsparter. Sekretesskyddet är relativt svagt och det saknas särskild lagstiftning för hanteringen av elevuppgifter, här gäller endast personuppgiftslagen. Sammantaget anser kommittén att användningen av digitala lärplattformar och läro medel innebär en allvarlig risk för den personliga integriteten.
25 Se kapitel 12 om konsumentområdet. 26 Denna iakttagelse görs avseende norska förhållanden, som i detta avseende bör vara mycket lika de svenska, se rapporten Personvern 2015 – tilstand og trender, från norska Teknologirådet och Datatillsynet, januari 2015.
Samtidigt måste också beaktas att digitala lärplattformar och läromedel kan förbättra undervisningen avsevärt och hjälpa eleverna att uppnå skolans mål.
Sociala medier i undervisningen
Fyra av tio lärare i gymnasieskolan använder sociala medier för att kommunicera med elever. I kommitténs kontakter med skolföreträdare, har uppgetts att det blir allt vanligare att sociala medier används i undervisningen i svenska skolor.
Användningen av sociala medier kan medföra att ett stort antal närgångna uppgifter om den enskilde oavsiktligen exponeras för andra. Vidare förekommer det att sociala medier använder upp gifterna för egna ändamål och sprider dem vidare till andra företag. Det är också svårt för användarna att få klarhet i hur uppgifterna faktiskt hanteras när användarvillkoren väl har godkänts. Den enskildes valmöjlighet är oftast begränsad till att antingen godkänna samtliga villkor, eller att avböja och därmed helt ställa sig utanför det sociala mediet. I avsnittet om sociala medier, bedömer kommittén därför att användningen av vissa sociala medier innebär en allvarlig risk för den personliga integriteten. Risken blir inte mindre vid använd ning i skolan. Vid sådan användning tillkommer som risk faktorer att eleverna inte själva får bestämma över det. De blir i stället uppmanade av skolan att använda sociala medier. Skolan bestämmer också hur eleven ska använda sig av det. Det kan bl.a. leda till en oönskad samman blandning av uppgifter från elevens privata respektive skol relaterade verksamheter i det sociala mediet.
Samtidigt måste också beaktas att användningen av sociala medier i skolan kan bidra till undervisningen på ett mycket positivt sätt, bl.a. genom att göra det enklare att omvärldsbevaka, kommunicera och dela material med andra elever, lärare och föräldrar.
Elevhälsan
Inom elevhälsan hanteras känsliga uppgifter om alla elever i skolan. Uppgifterna har ett relativt starkt sekretesskydd och elevhälsans hantering av uppgifter omfattas av patientdatalagen. Det saknas under sökningar ur ett integritetsskyddsperspektiv från senare år om
hur personuppgifter från eller inom elevhälsan hanteras i skolorna. Kommittén anser att hanteringen av uppgifter i elevhälsan innebär en viss risk för den personliga integriteten.
Samtidigt måste också beaktas att det är av vikt för elevhälsan, och därmed även för eleverna, att verksamheten kan dra nytta av de fördelar som dokumentation i digitala system kan medföra.
Skolfederationen
Skolfederationen är en tjänst som, använd på rätt sätt, kan innebära att uppgifter ges ett bättre skydd och exponeras för leverantörer i mindre omfattning än vad som annars hade varit fallet. Emellertid är skyddet beroende på skolhuvudmännens och leverantörernas kunskaper och val av inställningar i tjänsten, samt deras medvetenhet om personuppgiftsansvarets placering och innebörd. Mot bakgrund av de bristande kunskaperna om integritetsskydd hos många skolhuvudmän, anser kommittén att Skolfederationen innebär en viss risk för den personliga integriteten.
Kameraövervakning i skolor
Kameraövervakning inomhus förekommer sannolikt i ett betydande antal skolor i dag. Det finns skolor som har ett stort antal kameror inomhus. Det kan därför vara svårt för elever att hitta områden som inte övervakas. Men, det får antas att en så omfattande kameraövervakning inte är vanligt förekommande i landets skolor.
Besluten att införa kameraövervakning delegeras inte sällan långt ner i organisationen och dokumentationen av anledningen till övervakningen är ofta bristfällig. De som övervakas i skolorna tillfrågas sällan om kameraövervakningen och om var och för vilka syften det ska få förekomma. Härtill kommer att teknikutvecklingen har gjort det möjligt att hantera bilderna i exempelvis ansiktsigenkänningsprogram. Kameraövervakning är särskilt reglerad i kamera övervaknings lagen. Där regleras bl.a. hur information ska lämnas och hur länge bilderna får lagras. Sammantaget anser kommittén att kameraövervakning inomhus i skolor utgör en påtaglig risk för den personliga integriteten.
Samtidigt måste också beaktas att kameraövervakning inomhus i skolor kan vara ett betydelsefullt verktyg för att uppnå säkerhet och trygghet för eleverna. Det saknas dock svenska undersökningar om detta.
3.7.2. Arbetsliv (kapitel 8)
Ett tydligt och problematiskt fenomen som gäller generellt inom arbets livet, är risken för ändamålsglidningar när arbetsgivare digitalt hanterar uppgifter om arbetstagare. Det kan också konstateras att Datainspektionens praxis har varit relativt tillåtande inför ändamålsglidningar inom arbetslivet.
Positionering samt annan övervakning av aktiviteter och beteenden
Arbetstagare avsätter allt fler och mer detaljerade elektroniska spår, samtidigt som utrustning och system för att övervaka och kontrollera blir allt billigare och enklare att använda.
En annan del av utvecklingen är att uppgifter om arbetstagare i allt större utsträckning hamnar hos externa leverantörer, inte sällan i molntjänster, som kan innebära en omfattande och svårkontrollerad spridning, lagring och vidareanvändning av uppgifterna. Flera led i den hanteringen görs många gånger utan vare sig arbetsgivarens eller arbetstagarnas kännedom.
Arbetstagaras möjligheter att påverka hanteringen är begränsade redan initialt, pga. arbetsledningsrätten, men försämras ytterligare av bristen på kunskap om hanteringen.
Det sagda, i kombinationen med faran för ändamålsglidningar i arbetslivet, medför att kommittén anser att det finns allvarliga risker för den personliga integriteten när arbetsgivare använder sig av positionering och annan övervakning för att kontrollera arbetstagarnas aktiviteter och beteenden på arbetet.
Samtidigt måste beaktas att arbetsgivaren för att leda, organisera och följa upp arbetet kan behöva relativt detaljerade uppgifter om var arbetstagarna befinner sig, hur de använder sig av arbetsgivarens utrustning och vad de ägnar sin arbetstid åt.
Sociala medier
När arbetsgivare skannar av sociala medier för att bilda sig en uppfattning om vad arbetstagarna gör på nätet, innebär det att arbetsgivaren träder in på en arena som den enskilde vanligen kan betrakta som privat snarare än arbetsrelaterad. Emellertid finns det oftast möjligheter för arbetstagare att begränsa åtkomsten till uttalanden som skulle kunna uppfattas som känsliga eller kontroversiella i förhållande till arbetsgivaren. Därför anser kommittén att arbetsgivares granskningar av vad arbetstagare skriver på sociala medier, innebär en viss risk för den personliga integriteten.
Samtidigt måste anses rimligt att arbetsgivare i sin omvärldsbevakning, inhämtar information från många olika källor, däribland publik information i sociala medier.
Kompetensdatabaser och bakgrundskontroller
Både kompetensdatabaser och utförande av bakgrundskontroller, kan innebära att många olika slags uppgifter om arbetstagarna hanteras. Ibland kan redan enskilda uppgifter vara integritetskänsliga, medan det i andra situationer är sammanställningar av många uppgifter som tillsammans ger en närgången och detaljerad bild av arbetstagaren. Samtidigt är det troligen inte vanligt förekommande med omfattande och detaljerade kompetensdatabaser och bak grundskontroller. Vidare är spridningen av uppgifterna sannolikt begränsad, liksom många gånger åtkomsten till dem. Kommittén anser därför att kompetensdatabaser och bakgrundskontroller innebär en viss risk för den personliga integriteten.
Samtidigt måste beaktas att arbetsgivare kan behöva dokumentera arbetstagarnas kompetenser och genomföra bakgrunds kontroller för att effektivt kunna leda och fördela arbetet och så långt som möjligt undvika felrekryteringar som både kan bli kostsamma och ha negativa effekter för andra arbetstagare hos arbets givaren.
Kameraövervakning
Kameraövervakning omfattar allt fler arbetstagare samtidigt som det finns granskningar som visar att många arbetsgivare tillämpar den skyddande lagstiftningen på ett felaktigt sätt. Vidare finns det rappor ter om att bilder från kameraövervakning använts för helt andra ändamål än dem för vilka kamerorna installerades. Kommittén anser därför att kameraövervakning på arbetsplatser innebär en allvarlig risk för den personliga integriteten.
Samtidigt måste beaktas att kameraövervakning kan medföra direkta fördelar för enskilda arbetstagare, främst när säkerheten på arbetsplatsen förbättras av kameraövervakningen.
Företagshälsovård
När en vårdgivare ska tillhandahålla både hälso- och sjukvård och personal administrativa tjänster, kan det uppstå en sammanblandning av vårdgivarens olika roller, som kan få till följd att arbetsgivaren får ta del av uppgifter som hör till hälso- och sjukvårdsdelen av vårdgivarens uppdrag och som omfattas av tystnadsplikt även i förhållande till arbets givaren. Det finns emellertid ett tydligt regelverk både för tystnads plikt gentemot arbetsgivare i dessa situationer, och för hur en vårdgivare får hantera personuppgifter (patientdatalagen). Kommittén anser att det finns en viss risk för den personliga integriteten när vårdgivare ska tillhandahålla såväl hälso- och sjukvård som personaladministrativa tjänster.
Samtidigt kan det finnas fördelar även för den enskilde arbetstagaren om både företagshälsovård och personaladministrativa tjänster tillhandahålls av samma företag, i form av snabbare och enklare kontakt och hjälp vid sjukfall.
Personuppgiftslagen och tillsynen
I kommitténs möten med arbetsmarknadens parter har vidare framkommit att såväl fackliga organisationer som arbetsgivarorganisationer anser att personuppgiftslagen är svår att tillämpa på arbetslivs-
området. Det har också gjorts gällande att Datainspektionens vägledning, i den mån den efterfrågats, inte alltid är tillräckligt tydlig för att ge parterna den hjälp som de behöver.
Brister i kunskap och i den vägledning som ges, kan vara en del av förklaringen till att personuppgiftslagen mycket sällan används som sanktionsmedel av arbetstagarna eller deras organisationer. Det är anmärkningsvärt att det, trots den enorma tekniska utvecklingen, inte har uppkommit särskilt många tvister om personlig integritet inom arbetslivet i samband med användning av informationsteknik.
I likhet med vad som konstaterades i betänkandet Integritetsskydd
i arbetslivet27, kan det fortfarande i dag sägas att bestämmelserna i
person uppgiftslagen inte förefaller ha fått det genomslag på arbetslivets område som man hade kunnat förvänta sig. I betänkandet kunde vid en internationell jämförelse också konstateras att de finländska och norska motsvarigheterna till personuppgiftslagen haft ett större genomslag på arbetslivets område, utan att några av görande skillnader finns mellan ländernas dataskyddsrättsliga och arbetsrättsliga lagstiftning. Förklaringen antogs vara att aktiviteten helt enkelt varit högre i dessa grannländer och att man tidigare än i Sverige hade förstått att utnyttja dataskyddsreglerna på arbetslivets område.28
Ett särskilt regelverk för integritetsskydd i arbetslivet skulle kunna medföra att det blir lättare för parterna att förstå hur regel verket ska tillämpas på förhållandena i arbetslivet, och därmed kanske skulle kunna leda till att reglerna börjar användas oftare i parternas förhandlingar och tvister.
Kommittén kan också konstatera att Datainspektionens tillsyn görs av enstaka företeelser, men att tillsynen inte leder till att myndigheten får en övergripande uppfattning av hur omfattande övervakningen faktiskt är av landets arbetstagare och i vilka former den bedrivs.
Beträffande kameraövervakning bedömer vi att det inte förefaller troligt att dagens tillsynsinsatser ensamma skulle kunna åstadkomma någon generell förbättring av arbetsgivarnas tillämpning.
Kommittén kan också konstatera att Datainspektionen inte används av parterna i den utsträckning som faktiskt vore möjligt – exempelvis skulle myndighetens bedömning av olika övervaknings-
27SOU 2009:44.28SOU 2009:44.
åtgärder kunna inhämtas vid MBL-förhandlingar i samband med införandet av nya system som kan innebära övervakning eller inför tecknandet av nya kollektivavtal.
Sammanfattning
Det är tydligt att ny teknik och nya arbetssätt ökar möjligheterna att kartlägga och övervaka arbetstagare på ett mycket närgånget och detalje rat sätt.
Ny teknik i kombination med nya arbetssätt innebär också risk för en ökande och oönskad sammanblandning av arbetstagarnas privat liv och arbetsliv.
Till detta kommer att den ökande användningen av övervakningstekniker i samhället i stort, träffar arbetstagare även när den egentliga avsikten med övervakningen inte är att kontrollera arbetstagarna, utan verksamhetens kunder, patienter eller brukare. Även när detta görs oavsiktligen, bidrar det ändå till att öka övervakningen av arbetstagarna. Sådan övervakning omfattar särskilt vissa yrken, t.ex. säljare i butik, vårdbiträden samt personal i restauranger och caféer, vilka känne tecknas bl.a. av att de sysselsätter en betydligt högre andel kvinnor än män. Å andra sidan är andra, mer direkt övervakade yrken van ligare för män, t.ex. lastbils- och långtradarförare samt lagerarbetare. Dessa yrken sysselsätter dock färre arbetstagare än i de tidigare nämnda kvinnodominerade yrkesgrupperna.29
De ökade möjligheterna till detaljerad kontroll, kartläggning och övervakning i realtid riskerar att förskjuta styrkeförhållandena inom arbetslivet och att försvaga arbetstagarnas ställning.30
Samtidigt är det viktigt att beakta att arbetsgivare har en rätt att vidta sådana åtgärder som är rimliga och som faller inom rätten att leda och fördela arbetet. Arbetsgivaren har också en skyldighet att upprätthålla säkerheten för både arbetstagare och utrustning. Effektiva och säkra arbetsplatser har många fördelar även ur den enskilde arbetstagarens perspektiv.
29 Enligt Statistiska centralbyråns yrkesregister med yrkesstatistik (december 2015).30 Norska Datatilsynet uttrycker detta i följande ordalag: ”Den totale mengden av kontrolltiltak og registreringer kan også gjøre at balansen mellom partene i arbeidslivet forskyves ytter ligere. Arbeidsgiveren vet mye om hver og enkelt av oss, men vi vet ikke nødvendigvis hva som registreres, hvem som ser hva, og hva opplysningene kan og skal brukes til” Datatilsynets rapport ”En vanlig dag på jobb” Arbeidshverdagens elektroniske spor, oktober 2012.
Digitaliseringen i samhället innebär att stora mängder uppgifter om arbetstagare kommer att sparas under oöverskådlig tid och att uppgifterna lätt kan spridas, bearbetas och vara tillgängliga för många. Det är inte förvånande att många arbetsgivare använder sig av olika kontroll- och övervakningsfunktioner för att minska riskerna för felaktiga beslut i verksamheten och vid rekrytering. Samtidigt riskerar denna utveckling att leda till en exkludering från arbetslivet av allt fler individer.
3.7.3. Hälso- och sjukvården och socialtjänsten (kapitel 9)
Hälso- och sjukvård
Tillgången till relevant information är en förutsättning för en god och säker hälso- och sjukvård för alla medborgare. Ett säkert och väl fungerande utbyte av information är en nödvändighet för att medborgarna ska få goda insatser i ett komplext system med många inblandade aktörer. Tillgång till nya informationstjänster har en stor potential att göra patienter långt mer delaktiga i sin vård. Ändamålsenliga och användbara informationssystem är också en förutsättning för att professionerna ska kunna använda sin kompetens och sin tid på det mest effektiva sättet. Funktionella informationssystem är en avgörande faktor för att vården ska kunna hantera framtidens utmaningar.
Kommittén anser att ett gott integritetsskydd också är en nödvändig faktor för att åstadkomma en god och säker hälso- och sjukvård.
Det finns integritetsrisker förknippade med den digitala hanteringen av personuppgifter inom hälso- och sjukvården. Det är nödvändigt att utforma informationsutbytet inom och mellan vårdgivare på ett sådant sätt att det kan göras på ett säkert sätt. Vården måste såväl kunna uppfylla de krav på kvalitet som ställs på de medicinska insatserna som de som ställs på informationshanteringen.
Ökad kunskap, ledning och styrning ifråga om möjligheterna att hantera och utbyta information har stor betydelse för målsättningen att skapa en mer säker, ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården. Enligt utredningen om
rätt information i vård och omsorg31 utgör okunskap om lagstiftningens möjligheter och avsaknad av aktiv rättstillämpning från vårdgivarnas sida en del av problemen med informationshanteringen i hälso- och sjukvården. Detta bekräftas av SLIT-rapporten 2015 som redogör för att det fortfarande återstår anpassning av system, regler och rutiner samt utbildning av personal för att uppfylla patientdatalagens krav.
Kommittén anser att det är anmärkningsvärt att lagen ännu inte implementerats fullt ut och att Datainspektionen flera år efter patient datalagens ikraftträdande, har hittat allvarliga och systematiska brister även hos stora och resursstarka vårdgivare.
Sammanfattningsvis konstaterar kommittén att risker uppstår i samband med informationshantering inom hälso- och sjukvården till följd av
- bristande ledning och ansvarstagande över informationssystemen och de personuppgifter som hanteras i dessa,
- komplexa miljöer med många olika system för hantering av information,
- brist på gemensamma lösningar, t.ex. gemensam infrastruktur,
- bristande regelefterlevnad,
- bristande kunskaper hos både personal och ledning samt
- bristande informationssäkerhet.
I hälso- och sjukvården hanteras stora mängder känslig information om i stort sett hela befolkningen. Effekten av de brister vid hanteringen som iakttagits kan vara stora för enskilda individer och för hela befolkningen. Flera aktörer uppfyller ännu flera år efter att patient datalagen trätt i kraft inte de krav på säkerhet som måste ställas vid hantering av känsliga personuppgifter. Mot denna bakgrund bedömer kommittén att det föreligger allvarliga risker för den personliga integriteten i samband med hantering av personuppgifter inom hälso- och sjukvården.
31SOU 2014:23, s. 121 och s. 218 i bilaga 4.
Välfärdsteknik och digitala tjänster inom socialtjänsten
Användning av olika digitala och tekniska lösningar i socialtjänsten såsom kameraövervakning, GPS-sändare och sensorer m.m. innefattar hantering av mycket närgångna och känsliga uppgifter om enskilda personer med stort hjälpbehov. Socialtjänsten berör stora delar av befolkningen. Det finns oklarheter i lagstiftningen om på vilket sätt personer med nedsatt beslutsförmåga kan erbjudas tjänster med hjälp av välfärdsteknik. Det finns också risker för bristande informationssäkerhet och bristande ansvarstagande för hur uppgifter hanteras. Kommittén bedömer sammantaget att det föreligger allvarliga risker för den personliga integriteten i samband med hantering av personuppgifter inom socialtjänstens användning av välfärdsteknik.
3.7.4. Forskning och statistik (kapitel 10)
Den övergripande bilden av området är att svenska myndigheter förfogar över ett betydande antal databaser för forsknings- och statistikändamål som tillsammans täcker hela landets totala befolkning. På så sätt utmärker sig Sverige – det finns inte många andra länder som kan jämföra sig med oss när det gäller möjligheten för det allmänna att undersöka sina invånares liv.
Det finns både inom forskningen och inom statistikverksamheten ett stort intresse för att dra nytta av att allt mer data genereras om enskilda och att det samtidigt har blivit möjligt att sammanföra och analysera data från varierande datakällor.
Inom forskningen rör det sig ofta om stora samlingar uppgifter som kan vara synnerligen integritetskänsliga. Inte sällan får uppgifterna hanteras utan information till den enskilde och utan samtycke från denne. Den enskilde har i dessa fall små möjligheter att påverka hur uppgifterna används. De samtycken som inhämtas kan ibland vara mycket breda och endast ge den enskilde en diffus uppfattning om hur uppgifterna faktiskt kan komma att hanteras. Uppgifterna kan också komma att spridas utan den enskildes vetskap. Vidare är det många olika huvudmän med varierande kunskap om integritetsskydd som bedriver forskning. Tillsynen visar också på vissa återkommande brister i hanteringen av personuppgifter inom forskningsprojekt. Sammantaget anser kommittén därför att hantering av integritetskänsliga personuppgifter för forskningsändamål
innebär en allvarlig risk för den personliga integriteten, särskilt när uppgifterna hanteras utan stöd av samtycken eller med stöd av samtycken som är brett formulerade eller som lämnats tidigare i livet.
Även inom den statliga statistikverksamheten rör det sig ofta om stora samlingar uppgifter som kan vara integritetskänsliga. Inte sällan får uppgifterna hanteras utan information till den enskilde och utan samtycke från denne. Den enskilde har i dessa fall inga möjligheter att påverka hur uppgifterna används. Officiell statistik pro duceras av en rad olika statliga myndigheter, vilka måste kunna skilja mellan hantering av uppgifter i myndighetens kärnverksamhet, och hanteringen inom myndighetens statistikverksamhet. Landets största och känsligaste statistikdatabaser finns emellertid hos två statliga myndig heter: SCB och Socialstyrelsen. Hos dessa två finns tämligen goda förutsättningar att kontrollera hur uppgifterna lagras, lämnas ut och används. Det finns också särskild lagstiftning för den statistikrelaterade hanteringen av personuppgifter hos dessa två och hos övriga statistikansvariga myndigheter. Det saknas tillsyns rapporter som vittnar om brister i samband med statistikverksamhet hos någon statlig myndighet när det gäller integritetsskyddet. Samman taget anser kommittén att statens hantering av integritetskänsliga personuppgifter för statistikändamål innebär en viss risk för den personliga integriteten.
Samtidigt måste beaktas, beträffande såväl forskning som den statliga statistikverksamheten, att resultaten av dessa verksamheter bidrar med viktiga värden inom en rad olika samhällsområden. Verksamheterna är ur ett samhällsperspektiv mycket viktiga för att kunna planera och utvärdera reformer, för att skapa transparens i samhällsstyret och för att ge bättre underlag för analys, debatt och beslut.
3.7.5. E-förvaltning (kapitel 11)
Digitaliseringen i den offentliga förvaltningen har redan skapat betydande värden i form av bättre service till medborgarna och en effek tivare förvaltning. Nyttoeffekten av de olika företeelserna i e-förvaltningen varierar emellertid till art och omfång. Det finns även stora variationer i riskerna för den personliga integriteten som företeelserna innebär.
Inom såväl statlig som kommunal förvaltning hanterar myndigheterna ett stort antal uppgifter om enskilda. Många gånger rör det sig om uppgifter som är känsliga i personuppgiftslagens mening, t.ex. om hälsa, eller som på annat sätt är närgångna och därmed integritetskänsliga, t.ex. uppgifter om enskildas inkomster, sociala problem, skuldsättningar och familjeförhållanden.
Oftast har de enskilda inget inflytande över myndigheternas hantering – den görs i regel utan deras samtycke. Det innebär att det vilar ett särskilt ansvar på det allmänna att se till att uppgifter bara hanteras när det verkligen är nödvändigt för att förvaltningen ska kunna utföra sitt uppdrag och att se till att hanteringen är så säker som möjligt.
Teknikutvecklingen gör det möjligt för den offentliga förvaltningen att utveckla och effektivisera sin hantering av personuppgifter. Det innebär för det första en möjlighet att öka spridningen och vidareanvändningen av uppgifter, dvs. att öka hanteringen rent generellt. Men för det andra innebär utvecklingen också en möjlighet att skydda uppgifterna på ett bättre sätt genom att använda tekniker som stärker den personliga integriteten, t.ex. anonymisering.32 Dessa två möjligheter går i praktiken ofta att förverkliga samtidigt.
En generell iakttagelse som kommittén gör, är dock att myndigheter och regeringen fokuserar sitt utvecklings- och författningsarbete på den första möjligheten, medan man arbetar betydligt mindre på den andra. Det innebär att offentlig sektor riskerar att bygga in egenskaper i system, arbetsformer och i författningar, som kan bli mycket svåra och dyra att ändra på, om följderna för den person liga integriteten visar sig bli allvarliga.
Informationshantering inom och mellan olika myndigheter
Myndigheterna hanterar i dag fler uppgifter om enskilda än någonsin tidigare. Det finns i dag teknik som gör det enkelt att sprida, vidareanvända och sambearbeta uppgifter, såväl inom en myndighet som myndigheter emellan, eller mellan myndighet och enskilda.
Redan komplexiteten och de tekniska utmaningarna i några av de system som byggts upp för att dela information, kan innebära att utvecklingsresurserna används enbart åt funktionalitet och inte till att analysera frågor som är av betydelse för integritetsskyddet. Det
32 Se vidare i bilaga 4 om integritetsstärkande tekniker.
förekommer att frågor om t.ex. personuppgiftsansvar, behörighetstilldelning och förenlighet med registerförfattningar behandlas långt senare i utvecklingsprocessen – först när systemet tagits i skarp drift eller inte alls. Anmärkningsvärt är också att det i dessa sammanhang kan finnas brister i viljan hos myndigheter att ta ansvar för både hanteringen av och säkerheten för uppgifter om enskilda personer.
Faktorer som i detta sammanhang är av betydelse för risken för den personliga integriteten, är att det hos vissa myndigheter finns databaser som omfattar hela eller en stor del av befolkningen med uppgifter som kan vara mycket integritetskänsliga. Uppgifter kan spridas till handläggare, inom den egna myndigheten eller på en annan myndighet, som egentligen inte behöver kunna ta del av uppgifterna för att utföra sitt arbete. Enskilda kan i regel inte motsätta sig att deras uppgifter hanteras av myndigheterna. Vi anser därför att den ökade informationsdelningen inom och mellan myndigheter innebär en påtaglig risk för den personliga integriteten.
Samtidigt måste också beaktas att det finns en stor potential för att dessa företeelser både kan användas för att ge bättre service till allmänheten och för att effektivisera förvaltningen.
Informationsutbyte med enskilda
När det gäller e-tjänster som direkt vänder sig till enskilda, exempelvis s.k. egna utrymmen hos myndigheterna, anser kommittén att det finns en viss risk för den personliga integriteten. Faktorer som här är av betydelse för risken för den personliga integriteten, består främst i oklarheter kring personuppgiftsansvaret och i att e-tjänsterna kan ges en teknisk utformning som inte ger ett tillräckligt gott skydd för uppgifterna. Uppgifter kan spridas av misstag eller efter ett antagonistiskt angrepp (hacker-attack) riktat mot myndigheten.
Samtidigt måste också beaktas att det finns en tydlig potential för att sådana tjänster kan vara till stor och direkt nytta för enskilda personer.
Emellertid har vi noterat att myndigheter när det gäller vissa företeelser har en benägenhet att lägga över personuppgiftsansvaret på den enskilde. Det gäller till exempel möjligheten att använda smstjänster eller e-post i kontakten med en myndighet. Det innebär att myndigheten inte fullt ut tar ansvar för att uppgifterna hanteras bara
för de avsedda ändamålen och på ett tillräckligt säkert sätt. Den enskilde förväntas ta ansvar för en hantering som de flesta inte förmår överblicka i sin helhet. När sådana försök till förskjutning av ansvaret förekommer, kan det enligt kommitténs mening medföra att risken potentiellt ökar för den personliga integriteten.
Myndigheter med uppgifter i molnet och bristen på beställarkompetens
Vi har i avsnitt 21.1 om molntjänster gått igenom både risker och fördelar med användningen av molntjänster generellt. Dessa gäller i högsta grad även för myndigheter. Faktorer som för myndigheter är av särskild betydelse för risken för den personliga integriteten, är att myndigheterna kan hantera ett stort antal personuppgifter som kan vara mycket integritetskänsliga, ingå i allmänna handlingar och även omfattas av sekretess. Vidare måste myndigheter veta hur relevanta register- och arkivförfattningar ska tillämpas. Även andra integritetsskyddande regler kan vara av betydelse för myndigheterna, som exempelvis säkerhetsskyddslagen och Myndighetens för samhällsskydd och beredskap föreskrifter om informationssäkerhet hos statliga myndigheter. Många små myndigheter saknar kompetens att välja rätt slags molntjänst som fungerar juridiskt och säkerhets mässigt för just den aktuella verksamheten. Vi anser att dessa faktorer sammantagna medför att det för myndigheter finns allvarliga risker med molntjänster, i synnerhet i s.k. publika moln (uttrycket förklaras närmare i avsnitt 21.1 om molntjänster).
Samtidigt måste också beaktas att det finns en stor potential för att effektivisera förvaltningen med hjälp av molntjänster, dvs. genom att låta företag lagra och hantera myndigheters data.33
Rent generellt för alla slags tjänster inom e-förvaltningen anser vi att det innebär en påtaglig risk för den personliga integriteten, att det alltjämt konstateras stora bister i myndigheters kompetens avseende juridik, informationssäkerhet och kravställning, samtidigt som myndig heterna förväntas börja använda och utveckla nya system och tjänster.
33 Pensionsmyndigheten utvecklar i en nyligen utgiven rapport de potentiella fördelarna för statliga myndigheter med molntjänster, se Molntjänster i staten, En ny generation av out-
sourcing, Pensionsmyndigheten, 2015.
Myndigheter i sociala medier och med gilla-knappar på webben
Faktorer som i detta sammanhang är av betydelse för risken för den personliga integriteten, är att det finns myndigheter som i för hållande till sociala medier präglas av ett visst mått av naivitet. Myndigheter inser inte alltid att den i onödan kan hjälpa sociala medier, deras samarbetsparter eller företagen bakom sökmotorerna, att kartlägga vad allmänheten gör på nätet. När myndighetens kunskap om detta är begränsad, får besökarna på webbplatsen naturligtvis inte heller tillräckligt med information om att uppgifter om deras aktiviteter på nätet kommer att lämnas ut till företag i tredje land för andra ändamål än att möjliggöra deras besök på myndighetens webbplats. Myndigheternas användning av tjänster från sociala medier och sökmotorföretagen (t.ex. att ha myndighetskonton eller gilla-knappar på den egna webbplatsen), kan innebära att integritetskänsliga personuppgifter lämnas ut till företag i tredje land, även om detta troligen bara görs undantagsvis. Sammanfattningsvis anser vi att myndigheternas användning av tjänster från sociala medier och sökmotorföretagen innebär en viss risk för den personliga integriteten.
Samtidigt är det viktigt att myndigheter kan använda sig av olika media och metoder för att informera brett och effektivt om sina verksamheter, i synnerhet som verksamheterna kan medföra både rättigheter och skyldigheter för den enskilde.
PSI-lagstiftningen
I likhet med PSI-utredningen anser vi att insatserna för att öka spridningen av information från myndigheter till resten av samhället, i kombination med en svårtillämpad och delvis oklar lagstiftning (i första hand PSI-lagstiftningen) innebär en påtaglig risk för den personliga integriteten.
Medborgarprofilering och kontroller på nätet
Av stort intresse för integritetsskyddet är sådan kontrollverksamhet hos myndigheter, som syftar till att i förväg bedöma vilken sannolikhet det finns för att en viss individ ska begå någon form av felaktighet. Av betydelse för risken för den personliga integriteten är att
denna kontrollverksamhet präglas av frånvaro av transparens i förhållande till allmänheten. Detsamma gäller för myndigheters efterforskande verksamhet på öppna eller slutna delar av nätet. Här finns också en rad juridiska, bl.a. grundlagsrelaterade, frågetecken, både avseende de interna kontrollerna och kontrollerna på nätet. Vi anser därför att dessa kontrollverksamheter innebär allvarliga risker för den personliga integritetet.
Samtidigt måste också beaktas att det är synnerligen angeläget, både ur det allmännas och ur medborgarnas perspektiv, att myndigheterna på ett effektivt sätt kan använda sig av egna data och av nätet för att förebygga misstag och oegentligheter.
Informationssäkerhet
De brister i myndigheters informationssäkerhet som vid upprepade tillfällen har konstaterats av flera olika kontrollinstanser, måste sägas medföra en allvarlig risk för den personliga integriteten. Av be tydelse i sammanhanget är förstås att myndigheterna hanterar en stor mängd uppgifter som kan vara både känsliga och närgångna och därmed synnerligen skyddsvärda. Brister i informationssäkerheten kan också rent generellt försämra allmänhetens tillit till den offentliga förvaltningen.
Kapitel 22, Informationssäkerhet och integritet, innehåller en redo görelse för informationssäkerhetens betydelse för skyddet av den personliga integriteten.
Brister i regelverket
Brister i regelverket för hantering av personuppgifter inom e-förvaltningen uppmärksammades redan år 2007 av Integritetsskyddskommittén. Kommittén pekade på att det var en genomgående brist att konsekvenserna för den enskildes integritetsskydd inte hade analyse rats och beaktats tillräckligt i arbetet, som under senare år har bedrivits för att underlätta myndigheters möjligheter att använda ny teknik och för att främja ett ökat informationsutbyte mellan myndig-
heter. I den mån överväganden av detta slag förekommit, menade kommittén att de inte dokumenterats tillräckligt i förarbetena till lagstiftningen.34
Även E-delegationen har i sitt slutbetänkande uppmärksammat att det finns brister i regleringen av förutsättningarna för en effektiv e-förvaltning och ett välavvägt integritetsskydd. E-delegationen bedömer att detta även påverkar enskildas tilltro till myndigheterna, vilket innebär att det är angeläget att regeringen har ett helhetsperspektiv när resultaten av tillsatta utredningar bereds.35 Även Data inspektionen pekar i sina remissvar regelbundet på brister i nya författningsförslag när det gäller integritetsskyddet.36
Vår analys av e-förvaltningen utgår i detta delbetänkande från före teelser som kan ha betydelse för den personliga integriteteten, snarare än från det rättsliga skyddet på området. Emellertid har, som framgår ovan, andra granskningar konstaterat systematiska brister i såväl det befintliga regelverket som i de förslag till nya författningar som framförs på området. Ett genomtänkt regelverk kan bidra till att skydda den personliga integriteten, genom att tydligt peka ut ramar för vad myndigheterna får och ska göra med uppgifterna. Ett sådant regelverk kan också bidra till att myndigheterna känner sig trygga att utveckla nya e-tjänster inom lagstiftningens ramar. Kommittén befarar att bristerna i regelverket för e-förvaltningen kan medföra försämringar i integritetsskyddet.
Datainspektionens roll
Under arbetets gång har flera myndigheter efterlyst tydligare och mer konkret vägledning från Datainspektionen i frågor som rör e-förvaltning och integritetsskydd. Vi avser att återkomma till Datainspektionens uppdrag i slutbetänkandet.
34 Integritetsskyddskommitténs delbetänkande Skyddet för den personliga integriteten – Kart-
läggning och analys, SOU 2007:22.
35SOU 2015:66.36 Se t.ex. Datainspektionens remissvar den 4 maj 2015 avseende SOU 2015:5, En ny svensk tullagstiftning, myndighetens dnr 404-2015.
Sveriges världsledande roll
I regeringens digitala agenda och e-förvaltningsstrategi sägs att Sverige ska bli världsledande när det gäller digitalisering. Det finns dock inga uttalanden om att skyddet för den personliga integriteten också bör nå en liknande världsledande ställning. En sådan ambition för integritetsskyddet inom e-förvaltningen vore inte orimlig, eftersom det inte alls behöver innebära ett onödigt försvårande av utveckling av nya tjänster som förbättrar servicen till de enskilda och effektiviserar förvaltningen.
Samordning och styrning av utvecklingen
Sammanfattningsvis kan sägas att alla initiativ inom e-förvaltningen – till nya arbetssätt, tillämpning av ny teknik eller ändringar i regelverket – präglas av regeringens höga ambitioner för att påskynda utvecklingen. Samtidigt visar redan kommitténs översiktliga granskning av integritetsrisker inom e-förvaltningen att det på flera punkter finns betydande brister när det gäller både integritetsskydd och informationssäkerhet. Det är också tydligt att det i dag inte finns någon aktör i offentlig sektor som både har övergripande kunskap om vad som händer inom området, och i realiteten utövar en övergripande styrning över e-förvaltningen. Som flera andra, exempelvis E-delegationen och Riksrevisionen, har påpekat, innebär avsaknaden av samordning och styrning en risk för att utvecklingen bromsas och inte uppnår de önskade service- och effektiviseringsnivåerna. Men det innebär också en allvarlig risk för att den personliga integriteten inte skyddas tillräckligt. Risken förstärks av att de satsningar regeringen nu gör för att förstärka samordning och styrning för att utveckla området, inte motsvaras av någon satsning för att förstärka integritetsskyddet inom e-förvaltningen, och inte heller innehåller några direktiv eller tankar kring hur både e-förvaltning och ett gott integritetsskydd ska utvecklas tillsammans i medborgarnas intresse.
3.7.6. Konsumentområdet (kapitel 12)
De senare årens teknikutveckling i kombination med nya användningsområden och nya vanor, har inneburit att det genereras allt mer data om våra konsumtionsrelaterade beteenden.
Det är en allt mindre del av all data i världen som skrivs in eller på annat sätt medvetet genereras direkt av användarna. Mer och mer data genereras i stället rent maskinellt, utan mänsklig inblandning.
Utvecklingen har också inneburit att alla dessa uppgifter i större utsträckning faktiskt går att bearbeta och analysera samlat i realtid.
Den här utvecklingen kan självklart vara till nytta för den enskilde konsumenten på många sätt, men möjliggör samtidigt en allt mer omfattande kartläggning på individnivå. Kartläggningen ökar både på bredden och på djupet genom att fler och nya slags uppgifter samlas in och samkörs.
Ett grundläggande problem är att enskilda användare – trots ett i många delar tydligt regelverk – inte informeras om den ökande hanteringen på ett heltäckande men ändå lättfattligt sätt. Därtill kommer att det rent allmänt finns en relativt låg medvetenhet i befolkningen om hur vardagsgöromål som inte uppfattas som ett uppgiftslämnande, faktiskt genererar elektroniska spår och hur dessa spår samlas in, sparas och används. Det finns inte heller någon större medvetenhet om att personuppgifter faktiskt är en värdefull handelsvara, särskilt i tjänster som marknadsförs som ”gratis”.
Ett annat grundläggande problem är att uppgifter i allt större utsträckning börjar användas för andra ändamål än dem för vilka de ursprungligen samlades in, vilket brukar kallas för ”ändamålsglidning”. Det är inte förenligt med personuppgiftslagen, om det nya ändamålet är oförenligt med det ursprungliga. När ett stort antal i sig harmlösa uppgifter från olika sammanhang bearbetas och analyseras samlat, kan de tillsammans ge nya och tidigare oanade kunskaper om enskildas personligheter och användas för att göra antaganden om deras framtida beteende. Dessa nya kunskaper kan i sin tur väcka intresse för uppgifterna hos aktörer som exempelvis försäkringsbolag och kreditgivare.
Frågan om ändamålet med en hantering är nära förknippad med frågan om de samtycken som enskilda lämnar i olika sammanhang. Det sägs ibland vara den vanligaste lögnen på internet att svara ja på frågan om man läst och förstått företagets (dvs. webbplatsens, kund-
klubbens, betalningsföretagets, appleverantörens) användarvillkor och därmed samtyckt till hur ens personuppgifter kommer hanteras.37 De långa och invecklade användarvillkoren kan vara i stort sett omöjliga att förstå för gemene man, och särskilt för barn eller personer som har en funktionsnedsättning.
En viktig faktor i sammanhanget är de inblandade aktörernas intresse att samla in så mycket data som möjligt om användarna. Det finns i dag en allmänt spridd och mycket stark tro på att även uppgifter som i dagsläget egentligen inte kan användas på något vettigt sätt, i en snar framtid kan förvandlas till avgörande tillgångar, både rent affärsmässigt och för att lösa svåra problem i samhället. Det har uppstått nya affärsmodeller och nya aktörer som har person uppgifter som främsta eller enda handelsvara, som exempelvis datamäklare.
Intresset av att samla in så stora mängder uppgifter som möjligt är således mycket starkt. Det framstår därmed inte som sannolikt att aktörerna eller marknaden på eget initiativ skulle begränsa kartläggningen av konsumenter och ge enskilda reell insyn i hur deras uppgifter hanteras och ge dem möjlighet att påverka hanteringen.
En annan risk för konsumenter avser informationssäkerhet. Som framgått av detta avsnitt är det inte alltid som nya teknik användningar möjliggör ett tillräckligt starkt skydd för personuppgifterna.
Det finns emellertid vissa tecken på att allmänheten i samband med Edward Snowdens avslöjanden kan ha blivit något mer medveten när det gäller informationssäkerhetsfrågor och skyddet för de egna personuppgifterna i olika webbtjänster. Avslöjandena har även föranlett många tjänsteleverantörer att förbättra skyddet i sina tjänster genom att exempelvis införa kryptering som bara kunden har nyckeln till.38
Men även om det finns enstaka, lovvärda initiativ från aktörerna till att stärka integritetsskyddet för konsumenter, är dessa inte tillräckliga om man betraktar den pågående utvecklingen i sin helhet. Det krävs mer systemövergripande och grundläggande åtgärder för att stärka skyddet – redan i dag och ännu mer i en snar framtid.
37 En studie från år 2008 visade att en genomsnittlig användare skulle behöva 244 timmar för att läsa igenom samtliga användarvillkor för de sajter hon eller han besökte under loppet av ett år. I USA har presidentens vetenskaps- och teknologiråd sammanfattat situationen med att det bara är i en fantasivärld som enskilda faktiskt läser och förstår villkoren och klickar i att de samtycker.38 Norska Teknologirådets och Datatilsynets gemensamma rapport Personvern 2015 – tillstand
og trender, januari 2015.
Det kan också konstateras att flertalet företeelser som nämns i det här kapitlet inte har granskats ur ett integritetsskyddsperspektiv på senare år. De granskningar som görs av Post- och telestyrelsen (kakor) och av Datainspektionen (elektroniska betalningar och WiFitracking) är tillsynsaktiviteter riktade mot vissa specifika aktörer.
Konsumentverket omnämner i sin omvärldsrapport för år 2014 digitaliseringens påverkan på konsumenternas ställning, men har därutöver hittills inte varit aktivt när det gäller integritetsskyddsfrågor, t.ex. beträffande frågor om de sociala mediernas avtalsvillkor om personuppgifter.39
Det finns således i dagsläget ingen myndighet eller organisation som har en uppdaterad och allmän överblick över vilka företeelser som innebär risker för konsumenter, hur spridda företeelserna är, vilka aktörer de används av osv. och som därmed kan sägas ha en överblick över utvecklingen för konsumenters personliga integritet.
En tillkommande risk är att alla uppgifter som genereras av sakernas internet, kan komma att begäras in av olika företag, som exempelvis försäkringsbolag. När de många och detaljerade uppgifterna väl finns, kommer de att attrahera många olika intressenter.
Det är redan i dag mycket svårt att som konsument använda sig av digitaliseringens och teknikutvecklingens alla fördelar utan att, mer eller mindre ofrivilligt, kartläggas på en detaljerad nivå. Det finns en överhängande risk för att det i framtiden kommer att bli ännu svårare.
Bristen på information, samtyckets urholkning, den stora spridningen av uppgifter för nya ändamål och den ökade totala mängden av uppgifter om den enskilde, innebär att kommittén sammantaget anser att det finns allvarliga risker för konsumenters personliga integritet.
Samtidigt måste beaktas att utvecklingen för med sig stora fördelar för den enskilde konsumenten, exempelvis i form av nya tjänster, ökad tillgång till produkter samt större möjlighet till delaktighet och till att själv skapa tjänster och produkter. Utvecklingen visar också vissa tecken på att enskilda blivit mer medvetna och bättre på att tillvarata de möjligheter som faktiskt finns att vidta egna åtgärder för att skydda sin personliga integritet.
39 Konsumentverkets rapport 2014:13, Vår omvärld 2014 – rapport till regeringen 2014-11-30.
3.7.7. Sociala medier och e-post (kapitel 13)
En stor del av landets befolkning, särskilt yngre och kvinnor, använder dagligen sociala medier för att lagra och publicera en mycket stor mängd uppgifter och för att utbyta privat information med andra användare.
Sociala medier kan föra med sig många fördelar för de enskilda användarna, i form av exempelvis nya möjligheter till både kunskap och utbyte med andra. Ur ett integritetsskyddsperspektiv finns det emellertid även en rad risker med användningen av sociala medier.
Användarvillkor är ofta långa och krångligt skrivna. Även i de få fall då användaren faktiskt tagit del av villkoren, är dessa inte sällan så otydliga att många användare inte ens förstår vilka andra användare som kan ta del av uppgifterna han eller hon har publicerat på det sociala mediet, och än mindre för vilka egna ändamål som det sociala mediet kan använda sig av uppgifterna. Användarvillkoren är också ofta vaga när det gäller till vilka samarbetsparter det sociala mediet får sprida uppgifterna och hur dessa får vidareanvändas. Användarvillkoren kan också innehålla oklarheter beträffande hur länge uppgifterna lagras i någon form hos det sociala mediet. Mot den bakgrunden kan det ofta vara mycket svårt för en enskild användare att bilda sig en egen uppfattning om vilka konsekvenser för den personliga integriteten som användningen av det sociala mediet faktiskt innebär.
Särskilt allvarlig är den risken när det gäller unga, som i dag kan vilja lagra och publicera texter och bilder som de senare i livet skulle vilja radera från nätet. De kommer kanske inte att ha den möjligheten, på grund av villkor som en gång har accepterats, eller på grund av att uppgifterna har spridits till tredje parter hos vilka varken användaren eller det sociala mediet har något som helst inflytande.
Ett specialfall av detta är situationen då uppgifter om mycket unga personer lagras eller publiceras av deras föräldrar. När barnen efter hand blir medvetna om hanteringen av uppgifter om dem, kommer det i de flesta fall vara omöjligt för dem att hindra eller ens överblicka spridningen och användningen av uppgifterna.
Förutom att hanteringen är svår att överblicka utifrån användarvillkoren, ger villkoren ofta mycket fria händer åt det sociala mediet att använda sig av uppgifterna för egna ändamål. Särskilt när möjlighet finns att tillföra andra stora mängder uppgifter till uppgifterna
från det sociala mediet och sambearbeta dessa, blir det i praktiken omöjligt för användaren att i förväg veta för vilka ändamål uppgifterna kan komma att användas.
I och med att ny teknik utvecklas kommer alla uppgifter som lagras och publiceras i sociala medier att kunna användas för en allt mer detaljerad och närgången kartläggning bortom användarnas kännedom eller kontroll.
Eftersom sociala medier oftast är baserade på molntjänster som hanterar uppgifterna utanför EES, finns det också en stor risk för att uppgifter om användarna hamnar i länder där lagstiftningen ger ett otillräckligt skydd. Det kan leda till att exempelvis underrättelsetjänster eller andra myndigheter och organisationer utanför EES lagligen kan få åtkomst till uppgifterna för ändamål och på ett sätt som inte hade varit lagligt i Sverige eller i ett annat land inom EES.
Användningen av vissa sociala medier kan medföra att ett stort antal närgångna uppgifter om den enskilde oavsiktligen exponeras för andra användare. Vidare förekommer det att sociala medier använder uppgifterna för egna ändamål och sprider dem vidare till andra företag. Vanligtvis är det också svårt för användarna att få klarhet i vilken hantering som kan förekomma, när användarvillkoren väl har godkänts. Den enskildes valmöjlighet är ofta begränsad till att antingen godkänna samtliga villkor, eller att avböja och därmed helt ställa sig utanför det sociala mediet. Sammantaget anser kommittén att användningen av sociala medier som har de nyss nämnda egenskaperna innebär en allvarlig risk för den personliga integriteten.
Samtidigt måste också beaktas att även sådana sociala medier kan medföra en mycket stor nytta för den enskilde och för samhället i stort, och att många tjänster är mycket populära bland användarna.
En annan risk för den enskildes personliga integritet ligger i vad användare av sociala medier kan skriva och publicera om andra personer. Genom internet och annan elektronisk kommunikation har möjligheterna för enskilda att sprida integritetskränkande uppgifter om andra ökat väsentligt. Nya skyddsintressen har därför uppkommit och medfört ett väsentligt ökat behov av ett bättre utformat straffrättsligt skydd för privatlivet och den personliga integriteten. Med den motiveringen föreslås i betänkandet Integritet och straff-
skydd40 en ny straffbestämmelse om s.k. olaga integritetsintrång som
tar sikte på kränkningar som enskilda personer begår mot andra enskilda.
Om oskyddad e-post används för att skicka integritetskänsliga uppgifter, innebär det att uppgifterna kan användas för egna ändamål av de företag som vidarebefordrar meddelandet, även om det görs i strid mot lag. Vidare kan antagonistiska aktörer få åtkomst till uppgifterna genom t.ex. avlyssning. Många organisationer har policyer som ska begränsa möjligheterna att i mejl skicka integritetskänsliga uppgifter om enskilda, men dessa policyer är inte sällan otydliga och dessutom är det svårt att kontrollera hur de följs. Sammantaget bedömer kommittén därför att användning av e-post innebär en påtaglig risk för den personliga integriteten.
3.7.8. Försäkringsverksamhet (kapitel 14)
Numera hanteras en stor del av försäkringsbolagens verksamhet med hjälp av informationsteknik. Den ökade mängden information som finns tillgänglig om enskilda personer ger försäkringsföretagen möjlig het att få bättre underlag för riskbedömning, skadebedömning och för utredning av oklara försäkringsfall. Företeelsen att med hjälp av sensorer mäta rörelse och aktivitet i bilar och hos personer ger möjlighet att göra riskbedömningen säkrare och mer individ anpassad. Detta kan vara både en fördel och en nackdel beroende på hur man ser på hur risken ska fördelas i ett större kollektiv.
Den enskildes måste ge sitt samtycke för att ett försäkringsföretag ska få hämta in uppgifter om dennes hälsa från hälso- och sjukvården. Ett samtycke kan dock lämnas utan att den enskilde har tillräcklig insikt om vad samtycket innebär. Försäkringstagaren saknar dessutom i praktiken någon reell möjlighet att vägra lämna samtycke om han eller hon vill ha det aktuella försäkringsskyddet. Om det är oklart vilken ytterligare information som försäkringsföretagen har tillgång till blir det än svårare för den enskilde att förstå konsekvenserna av ett lämnat samtycke.
De nya möjligheterna att genom olika former av digitala egenmätningar lämna underlag för beräkning av försäkringspremier, t.ex. för fordonsförsäkring och personförsäkring ger upphov till nya
40SOU 2016:7.
integritets risker. Uppgifterna måste hanteras säkert i varje led för att det inte ska uppstå risker för obehörig spridning. Det innebär också ett stort ansvar för bolagen att inte hantera mer känsliga uppgifter än nödvändigt, eftersom tekniken i sig innefattar stora möjligheter till kartläggning av enskilda individers rörelsemönster och livsstil m.m.
När enskilda erbjuds nya möjligheter att få tillgång till uppgifter om sin hälsa genom att t.ex. kunna ta del av sin patientjournal via inter net eller genom att samla sådan information på olika hälsokonton uppkommer risker för att tredjepartsintressenter vill ta del av denna information. Försäkringsföretag kan komma att vilja ta del av upp gifter om kundernas hälsa digitalt genom någon form av app knuten till ett hälsokonto, i stället för att få utskrifter ur patientjournalen. En sådan hantering förutsätter höga krav på säkerhet vid överföring av uppgifterna och ställer andra krav på den enskilde när det gäller insikter om vad överföringen av uppgifterna kan få för konsekvenser. Detta ställer i sin tur krav på företagen när det gäller ansvar för han teringen och för information till kunderna. De risker som hör samman med användning av molntjänster uppstår också i samband med att personuppgifter kommer att behandlas av de företag som erbjuder app-tjänsterna, se vidare avsnittet om molntjänster (21.1).
Av betydelse i detta sammanhang är också att det måste finns ändamålsenliga rutiner som begränsar vilka anställda inom försäkringsföretagen som ska ha tillgång till olika uppgifter om enskilda.
Den stora mängden uppgifter som finns hos försäkringsföretagen representerar ett betydande ekonomiskt värde och skulle kunna sam köras med annan information. Det kan därför finnas en risk för handel med uppgifterna. Försäkringsföretagen omfattas inte av några generella regler om tystnadsplikt. Mot denna bakgrund bedömer kommittén att det i dag finns påtagliga risker för den personliga in tegriteten i samband med försäkringsföretagens verksamhet.
Kommittén anser därtill att det finns särskild anledning att följa försäkringsbranschens framtida inriktning. Förutom den tekniska utvecklingen i stort, i kombination med en tänkbar förändring av branschens policyer och arbetssätt, ser kommittén en utveckling, där helt nya informationskällor uppstår, ibland som en följd av potentiella försäkringstagares egna åtgärder och tillgång till delvis ny information. Den här informationen är många gånger av stort intresse för försäkringsbolagen, samtidigt som den kan vara av mycket käns-
lig natur för den enskilde. Integritetskommittén ser en risk att den här utvecklingen ytterligare rubbar balansen mellan den enskilde försäkringstagaren och dennes försäkringsgivare.
Med tanke på den stora potentiella ökningen av nya informationskällor med känslig information och den tekniska utvecklingen i stort, bedömer kommittén att den framtida hanteringen av personuppgifter inom försäkringsverksamheten kan innefatta allvarliga risker för den personliga integriteten.
3.7.9. Bank- och kreditmarknaden (kapitel 15)
Numera hanteras en stor del av bankernas och kreditmarknadsföretagens verksamhet med hjälp av informationsteknik. Användningen av sådan teknik har också gett dessa företag tillgång till nya typer av uppgifter, som kan användas vid exempelvis kreditprövningar. Detta är på många sätt en positiv utveckling och har bl.a. lett till effektivitetsvinster. Utvecklingen har dessutom medfört en rad förbättringar för kunderna, inte minst när det gäller tillgänglighet. Ett exempel på detta är möjligheterna att använda appar och internet bank för många transaktioner.
Samtidigt gäller de uppgifter som bankerna och kreditmarknadsbolagen behandlar i stor utsträckning enskildas personliga och ekonomiska förhållanden. Sådana uppgifter är normalt att anse som integritets känsliga. Ett uttryck för detta är att uppgifterna omfattas av tystnadsplikt eller sekretess. Den information om enskilda som finns hos dessa banker och kreditmarknadsbolag ger stora möjligheter att göra en detaljerad kartläggning av en persons liv. Med utgångs punkt från en individs inköpsmönster kan det vara möjligt att dra slutsatser om dennes personlighet. Det har också visat sig att det även i anonymiserade uppgiftssamlingar kan vara lätt att identifiera enskilda individer.
I detta kapitel har vi analyserat risker för integritetsintrång som hör ihop med bankers och kreditmarknadsbolags behandling av person uppgifter i samband med: – kreditprövning och rådgivning, – enskildas användning av kreditkort och transaktioner på internet, och – i samband med rapporteringskrav.
Kreditprövning och rådgivning
Möjligheten att basera kreditprövning på information som normalt inte behandlas hos kreditupplysningsbolagen, exempelvis uppgifter om inköpsmönster, ökar risken för att prövningen blir mindre transparent och för att ovidkommande faktorer beaktas. Om kreditgivare samlar in uppgifter om sina kunder utan att kunderna informeras om vilka uppgifter som behandlas, förlorar den enskilde också möjligheten att kontrollera uppgifterna och att begära rättelse av eventuella felaktiga uppgifter. De s.k. svarta listor som uppges ha förekommit hos en av storbankerna illustrerar detta problem.
Den stora mängden uppgifter som finns hos banker och kreditmarknadsbolag representerar dessutom ett betydande ekonomiskt värde, och kan samköras med annan information. Det finns av dessa skäl en risk för handel med uppgifterna, trots sekretess. Som framgått ovan har det också förekommit att banker har fört vidare uppgifter om kunder som nekats lån.
Av betydelse i detta sammanhang är också att det måste finns ända målsenliga rutiner som begränsar vilka inom banken eller kreditmarknadsföretaget som ska ha tillgång till olika uppgifter. Huvudregeln bör vara att endast den som behöver uppgifterna i sitt arbete ska ha tillgång till dem. Såvitt framkommit tillämpar banker och kredit givare allt oftare olika former av åtkomstkontroll inom verksamheten.
I sin kreditgivnings- och rådgivningsverksamhet behandlar banker och kreditgivare en stor mängd uppgifter om en stor del av befolkningen. Uppgifter som sammantaget kan upplevas som närgångna. Det är svårt för en enskild person att veta vilka uppgifter som ligger till grund för en kreditbedömning. Uppgifterna har ett ekonomiskt värde. Kommittén bedömer därför att det föreligger påtagliga risker för den personliga integriteten i samband med kreditprövning och rådgivning.
Kreditkort och transaktioner på internet
När det gäller kreditkort och transaktioner på internet konstaterar kommittén att de digitala spår som skapas genom sådana transaktioner gör det möjligt att kartlägga enskilda personers konsumtionsmönster på ett närgånget sätt. Sådana uppgifter har ett högt kommersiellt värde
och kan komma att användas på sätt som den enskilde inte kan förutse. När det gäller användningen av banktjänster som internetbank och olika appar konstaterar kommittén att det är nödvändigt med hög säker het vid sådan behandling på grund av risken för att närgångna uppgifter blir åtkomliga för obehöriga. Digitala banktjänster är också förknippade med risken för den enskilde att bli utsatt för identitetsstölder.
Behandling av personuppgifter i samband med användning av kredit kort och andra transaktioner på internet gör det möjligt att kartlägga enskilda personers konsumtionsmönster. Det handlar om stora mängder uppgifter om i stort sett alla människor. Företeelsen är förknippad med risker för bedrägerier och identitetsstölder. Kommittén bedömer därför att det finns allvarliga risker för integritets intrång förknippade med användningen av kreditkort och andra digitala transaktioner.
Rapporteringskrav
Det bör vidare understrykas att bankernas och kreditmarknadsbolagen har fått en roll i arbetet mot bl.a. penningtvätt och mot finansiering av terrorism som innebär ett stort avsteg från principen att endast myndigheter får behandla uppgifter om lagöverträdelser som innefattar brott. I arbetet mot sådan brottslighet finns också en risk att helt oskyldiga personer placeras på olika former av sanktionslistor, vilket kan få stora konsekvenser för den enskilde. Den enskilde har i praktiken inte heller någon möjlighet att påverka sådana åtgärder.
Vid spridning av uppgifter till andra länder tillkommer problemet att det i praktiken inte längre går att kontrollera hur uppgifterna används och i övrigt behandlas. De amerikanska myndigheternas behandling av Swift-transaktionerna är ett exempel på detta.
Riskerna i samband med hantering av personuppgifter på grund av olika rapporteringskrav består bl.a. i att uppgiftssamlandet kan påverka helt oskyldiga. Det kan vara svårt att kontrollera uppgifter som lämnats ut internationellt. Men området är reglerat och rimligen drabbas bara ett begränsat antal personer. Kommittén bedömer därför att det finns påtagliga risker för den personliga integriteten i samband med att banker och kreditmarknadsbolag lämnar ut personuppgifter på grund av olika rapporteringskrav.
3.7.10. Kronofogdemyndighetens verksamhet, kreditupplysning och inkasso (kapitel 16)
I detta kapitel har kommittén analyserat integritetsrisker i samband med Kronofogdemyndighetens, kreditupplysningsföretagens och inkassobolagens verksamhet.
Kronofogdemyndigheten behandlar en stor mängd uppgifter om
många enskildas personliga och ekonomiska förhållanden. Det är därför nödvändigt att den interna åtkomsten till uppgifterna begränsas på lämpligt sätt. Myndigheten lämnar dagligen ut information om förändringar i utsöknings- och indrivningsdatabaserna samt om gäldenärernas totala skuldsaldo i elektronisk form till kredit upplysningsföretagen. Uppgifterna måste skyddas från en större spridning än vad som är motiverad samt att inte vilka aktörer som helst får tillgång till uppgifterna i digital form. Kronofogdemyndigheten behandlar känsliga uppgifter om gäldenärer, men behandlar inte uppgifter om hela befolkningen. Kommittén har inte fått information om stora brister i myndighetens hantering av personuppgifter. Mot den bakgrunden bedömer kommittén att det finns vissa risker den personliga integriteten i kronofogdemyndighetens verksamhet.
Kreditupplysningsföretagens verksamhet bygger på att de samlar in
stora mängder känsliga uppgifter om hela befolkningen som på olika sätt kan ha betydelse vid kreditgivning. Det ligger i sakens natur att det finns en risk att de samlar in fler uppgifter än vad som verkligen är motiverat. Det finns också en risk att vissa insamlade uppgifter inte är korrekta och aktuella samt för att de lagras längre än nödvändigt.
Den enskilde har i vart fall i teorin vissa möjligheter att påverka kreditupplysningsföretagens utlämnande av uppgifter, genom att undvika lån och krediter, men saknar i princip möjlighet att påverka vilka uppgifter som samlas in.
För att minimera riskerna med kreditupplysningsföretagens verksamhet innehåller lagstiftningen olika typer av integritets skyddande regler. Ett exempel på detta är kravet på att uppgifter som är oriktiga eller missvisande ska rättas, kompletteras eller uteslutas ur registret. Ett annat exempel är kravet på att obehörig tillgång till registren ska motverkas. I detta ligger bl.a. att företagen måste kontrollera att mottagaren har ett legitimt behov av uppgifterna och att utlämnandet görs på ett säkert sätt. Även kravet på att en kreditupplysnings-
kopia ska lämnas till den som upplysningarna avser är viktigt för att minimera risken för integritetsintrång. Tack vare denna kopia får den enskilde bl.a. en möjlighet att kontrollera att de uppgifter som lämnas är korrekta och fullständiga, och att bl.a. kravet på legitimt behov följs.
För närvarande gäller de integritetsskyddande bestämmelserna i kreditupplysningslagen inte vid vissa former av offentliggörande enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Det gäller t.ex. utlämnanden av uppgifter på tekniska upptagningar, t.ex. på usbminnen. Sådana utlämnanden innebär en avsevärd risk från integritetssynpunkt. Det är angeläget att de integritetsskyddande bestämmelserna görs tillämpliga även på sådana utlämnanden. Mot bakgrund av de ovannämnda riskerna i samband med hantering av känsliga uppgifter om hela befolkningen bedömer kommittén att det föreligger allvarliga risker den personliga integriteten i kreditupplysnings företagens verksamhet. Kommittén noterar dock att frågan har utretts och för närvarande bereds i regeringskanslitet.
Även inkassobolag behandlar stora mängder uppgifter som är känsliga från integritetssynpunkt. De behandlar dock inte uppgifter om lika många personer som kreditupplysningsföretagen. Det finns dock också i sådan verksamhet en risk att behandlingen avser fler uppgifter än nödvändigt, att vissa uppgifter är felaktiga eller in aktuella och, framför allt, att uppgifterna sprids på ett oönskat sätt. I det sistnämnda ligger bl.a. att det måste säkerställas att uppgifterna inte skickas till, eller är åtkomliga för, utomstående. I denna verksamhet är därför personuppgiftslagens krav på säkerhetsåtgärder – och Datainspektionens tillsynsverksamhet – av särskild betydelse.
Kommittén bedömer att det föreligger vissa risker för intrång i den enskildes integritet på grund av behandling av personuppgifter i inkassobolagens verksamhet.
3.7.11. Domstolarnas verksamhet (kapitel 17)
I domstolarna behandlas en stor mängd uppgifter som rör enskildas personliga förhållanden. I många mål- och ärendetyper är det fråga om känsliga personuppgifter. Det ligger dessutom i sakens natur att domstolarna har mycket begränsade möjligheter att själva avgöra vilka personuppgifter som ska behandlas där. Om en part ger in ett
dokument till domstolen, är domstolen – oavsett handlingens innehåll – i regel skyldig att registrera handlingen och kommunicera den med motparten. Även den enskilde har i många fall begränsade möjligheter att påverka vilka personuppgifter som behandlas i domstolen.
Det finns ett starkt intresse av att säkerställa att allmänheten har goda möjligheter till insyn i domstolarnas rättsvårdande och rättsskipande verksamhet. Medborgarna tycks också förvänta sig en enkel tillgänglighet, på samma sätt som när det gäller kontakter med andra aktörer i samhället. Det finns även ett starkt intresse av att domstolarnas verksamhet bedrivs effektivt, så att domar och beslut kan meddelas inom rimlig tid. Allt detta förutsätter bl.a. en ändamålsenlig användning av modern teknik.
I detta kapitel om integritetsrisker som hör ihop med dom stolarnas hantering av personuppgifter har kommittén framför allt behandlat riskerna med verksamhetsregister, besöksterminaler, filmade förhör, informationsutbyte med andra myndigheter och utlämnande av uppgifter på medium för automatiserad behandling.
Verksamhetsregister
En risk med domstolarnas verksamhetsregister är att fler uppgifter än nödvändig behandlas i registren och att känsliga personuppgifter behandlas på ett felaktigt sätt. Från och med januari 2016 finns dock en lag som reglerar domstolarnas behandling av personuppgifter. Kommittén bedömer att det finns en viss risk för att behandling av personuppgifter i domstolarnas verksamhetsregister leder till intrång i den personliga integriteten.
Ljud- och bildupptagningar
Risken med ljud- och bildupptagningar i domstol är att känsliga uppgifter sprids till obehöriga. Om en sådan upptagning lämnas ut i strid mot den sekretess som gäller, skulle uppgifterna enkelt kunna spridas på internet. Det finns också risker för att personal som inte är be hörig tar del av upptagningarna av nyfikenhet. Det finns dock sekretessbestämmelser som skyddar uppgifterna. I domstolsdata lagen finns bestämmelser om att tillgången till personuppgifter ska begränsas till det som varje tjänsteman behöver för att kunna fullgöra sina arbets-
uppgifter. Kommittén bedömer att det finns en viss risk för intrång i den personliga integriteten i samband med ljud- och bildupptagningar i domstol.
Digitalt informationsutbyte med andra myndigheter
Risken för kränkningar av den personliga integriteten i samband med domstolarnas informationsutbyte med andra myndigheter inom rättsväsendet består i att känsliga uppgifter kan spridas till obehöriga inom eller utanför myndigheterna. Varje deltagande myndighet måste ansvara för sin behandling och upprätthålla rätt säkerhetsnivå. Domstolsdatalagen reglerar under vilka förutsättningar direkt åtkomst till domstolens personuppgifter är tillåten. Kommittén bedömer att det finns en viss risk för intrång i den personliga integriteten i samband med detta informationsutbyte.
Utlämnande av uppgifter på medium för automatiserad behandling
Vid utlämnande av uppgifter i elektronisk form, per e-post eller på ett usb-minne finns det en risk för att känsliga personuppgifter kan spridas till obehöriga. Den elektroniska formen innebär större möjligheter för mottagaren att på olika sätt bearbeta uppgifter och sprida informationen än om utlämnande görs på papper.41 Det kan t.ex. göra det möjligt för enskilda att sammanställa uppgifter till egna belastningsregister. Kommittén bedömer att det föreligger påtagliga risker för intrång i den personliga integriteten i samband med utlämnande av uppgifter på medium för automatiserad behandling.
Skydda integriteten med sekretess
En viktig del i skyddet för den personliga integriteten är möjligheterna att låta sekretess gälla för vissa uppgifter om enskilda. En alltför långtgående offentlighet kan medföra skador på såväl enskilda som allmänna intressen. Intresset av offentlighet i domstol måste exempel vis vägas mot rätten till skydd för privat- och familjeliv enligt artikel 8 i Europakonventionen. En konsekvens av en långt gående
41Domstolsdatalag, Ds 2013:10 s. 117 f.
offentlighet kan också bli att domstolarna av integritetsskäl låter bli att i sina avgöranden närmare gå in på vissa uppgifter som är av betydelse i målet. Därigenom riskerar en ofullständig bild ges av de skäl som lett domstolen fram till sitt ställningstagande, vilket i sin tur kan ha en negativ inverkan på medborgarnas förtroende för dom stolarnas verksamhet.42
3.7.12. De brottsbekämpande myndigheternas verksamhet (kapitel 18)
De brottsbekämpande myndigheterna inhämtar information om enskilda på en rad olika sätt och ofta information som är känslig från integritetssynpunkt. Mycket av informationen behandlas därefter bl.a. i olika register. Åtgärderna motiveras av intressen att förebygga, utreda eller beivra brott. Dessa intressen måste anses vara legitima och centrala i en rättsstat. Dessutom syftar brottsbekämpningen i många fall till att skydda just enskildas personliga integritet i olika avseenden.
I detta kapitel om brottsbekämpande verksamhet har kommittén behandlat risker för integritetsintrång i samband med dessa företeelser:
- Hemliga tvångsmedel med stöd av 27 kap. rättegångsbalken (hemlig rumsavlyssning, hemlig kameraövervakning, hemlig avlyssning och övervakning av elektronisk kommunikation samt genomsökning och kopiering av mobiler och datorer).
- Användning av spaningsmetoder som främst regleras av polis lagen.
- Polisens aktivitet på internet.
- Behandling av personuppgifter i register.
- Tillgång till uppgifter i flygbolagens register.
- Internationellt informationsutbyte.
42 Regeringens proposition med förslag till sekretesslag, prop. 1979/80:2 Del A, s. 102; se även Ds 2014:33 s. 37 f.
Behovet av, nyttan med och risken för integritetsintrång på grund av olika tvångsmedel har varit föremål för en omfattande kartläggning, framför allt inom ramen för Utredningen om vissa hemliga tvångsmedel.43 Utredningen gjorde dels en totalundersökning där man inhämtade uppgifter från de brottsbekämpande myndigheterna om varje enskilt ärende där den aktuella lagstiftningen tillämpats, dels djupundersökningar av vissa ärenden. Av kartläggningen framgår bl.a. att det överlag finns ett stort behov av tvångsmedlen samt att vissa tvångsmedel anses vara av särskild nytta, men att det framför allt i utredningar om organiserad brottslighet är av avgörande betydelse att information kan inhämtas på många olika sätt. Samtidigt konstaterades att tvångsmedlen medför integritetsintrång, som dock såväl de brottsbekämpande myndigheterna som domstolarna på olika sätt försökt begränsa vid den praktiska tillämpningen. Det har alltså gjorts en grundlig genomgång där intresset av en effektiv brottsbekämpning har vägts mot intresset av skydd för den enskildes personliga integritet.
Under de senaste åren har det dock mer eller mindre kontinuerligt pågått en rad olika och delvis överlappande lagstiftningsprojekt på området. Så är fallet även i dag. Dessa ständigt pågående för ändringar av regelverket gör det svårt att bedöma den samlade effekten av åtgärderna från ett integritetsperspektiv. Samtidigt har vissa lagändringar under senare tid inneburit att regleringen i ökande grad har samlats i 27 kap. rättegångsbalken44 och därmed gjorts mer överblickbart, vilket får anses vara positivt även ur ett integritets perspektiv. Vidare har i större utsträckning uppställts krav på beslut från domstol för användning av tvångsmedlen. För dessa ärenden hos domstol har också införts ett ökat krav på offentliga ombud som ska bevaka enskildas integritetsintressen.
Hemliga tvångsmedel med stöd av 27 kap. rättegångsbalken
Tvångsmedlen som utförs med stöd av 27 kap. rättegångsbalken är alltså väl reglerade och innefattar olika skyddsfunktioner för den personliga integriteten. När det gäller hur gällande regelverk följs har dock Säkerhets- och integritetsskyddsnämnden i sin tillsyns-
43SOU 2012:44.44Prop. 2011/12:55 och prop. 2013/14:237.
verksamhet uppmärksammat att även om de brottsbekämpande myndigheterna hanterar hemliga tvångsmedel på ett i huvudsak tillfredsställande sätt, föreligger vissa brister i verksamheten. En brist som uppmärksammats är att det material (upptagningar eller uppteckningar) som erhållits genom hemlig tvångsmedelanvändning i vissa fall inte har förstörts tillräckligt snabbt.45 Det har vidare konstaterats brister bl.a. i myndigheters dokumentation som inneburit att det inte alltid varit möjligt att följa handläggningen av tvångsmedelsärendena samt att hantering av underrättelser till enskilda i flera avseenden varit undermålig.46
Kommittén bedömer ur ett riskperspektiv att det föreligger viss risk för den personliga integriteten i samband med användning av olika tvångsmedel med stöd av 27 kap. rättegångsbalken. Vid denna bedömning har kommittén beaktat sannolikheten för att gemene man ska träffas av åtgärden, liksom att företeelserna är väl reglerade och att risken för oönskad spridning är låg.
Ett hemligt tvångsmedel innebär dock ett mycket närgånget intrång i den personliga integriteten för den enskilda person som är föremål för åtgärden.
När det gäller den generella skyldigheten för teleoperatörer att lagra vissa trafikuppgifter gör kommittén bedömningen att denna företeelse utgör ett väsentligt avsteg från den väl etablerade principen att personuppgiftsansvariga bara får lagra personuppgifter som de själva har ett behov av.
Användning av spaningsmetoder som främst regleras av polislagen .
Det finns även ett antal företeelser som är av beaktansvärd betydelse från integritetssynpunkt men som trots detta är mer eller mindre oreglerade i dag, bl.a. användningen av dolda kroppsmikrofoner och handmanövrerade kameror samt möjligheterna att kopiera hela innehållet i datorer och mobiltelefoner. Dessa spaningsmetoder regleras i dag främst av 8 § polislagen. När det gäller dessa företeelser gör
45 Se t.ex. redovisning den 23 maj 2012 (dnr 97-2012) den 22 maj 2013, dnr 96-2013 respektive den 22 maj 2014 (dnr 891-2014).46 Se t.ex. SIN:s uttalanden den 25 mars 2015, dnr 137-2014 och 2088-2014).
kommittén bedömningen att användningen av dessa metoder generellt sett är förknippade med påtaglig risk för intrång i den personliga integriteten.
Polisens spaningsverksamhet på internet och utåtriktade verksamhet i sociala medier
Denna företeelse hör också till ett område med svag reglering.47 Riskerna handlar t.ex. om bristande insyn över vilka uppgifter som samlas in och behandlas. Kommittén gör bedömningen att dessa företeelser är förknippade med vissa risker för den personliga integriteten.
Behandling av personuppgifter i register
Även när det gäller Polismyndighetens behandling av person uppgifter i register har bl.a. Säkerhets- och integritetsskydds nämnden uppmärksammat brister. Nuvarande brister förefaller handla om att gällande bestämmelser inte följs snarare än om utformningen av lagstiftningen som sådan. I det avseendet konstaterar kommittén att det finns utrymme för förbättringar. Den stora organisation som Polismyndigheten utgör innebär att en ännu större mängd uppgifter samlas hos en och samma myndighet samt att fler personer kan få tillgång till dessa uppgifter. Det ökar behovet av åtgärder för att säkerställa att uppgifter inte sprids till obehöriga personer i och utanför organisationen. När det gäller polisens behandling av personuppgifter i register bedömer kommittén att företeelsen är förknippade med påtagliga risker för intrång i den personliga integriteten.
Tillgång till uppgifter i flygbolagens register.
Vissa uppgifter från flygbolagen överförs på begäran till de brottsbekämpande myndigheterna. Vidare för Polismyndigheten ett register över passagerare som ankommer direkt från länder som varken ingår i EU eller Schengensamarbetet. Polisen hämtar i viss utsträckning in uppgifter även från EU:s gemensamma system för viseringar. Denna behandling av uppgifter om resenärer är förknippade med risk
47 Se även kapitel 11 om E-förvaltning.
för att fler uppgifter än nödvändigt samlas in och även med en risk för att de används för andra ändamål än det för vilket de samlades in. Denna risk ökar om uppgifterna inte gallras på ett ändamålsenligt sätt. Det rör sig här om uppgifter om en stor mängd människor som reser och som inte ägnar sig åt brottslig verksamhet. Företeelsen är dessutom internationell. Det finns dock ett skyddande regelverk. Kommittén gör bedömningen att denna företeelse är förknippade med en viss risk för intrång i den personliga integriteten.
Internationellt informationsutbyte
Polisens deltar även i annat internationellt samarbete om utbyte av uppgifter i brottsbekämpande verksamhet. Vid informationsutbyte finns risk för att det leder till en förlorad kontroll över flödet av person uppgifter och att den nationella lagstiftningen inte kan säkerställa ett skydd för informationen. Informationen kan t.ex. komma att användas för andra syften eller få en större spridning än vad som varit avsett. Det kan vidare vara svårt att åstadkomma rättelse och utplåning m.m. avseende uppgifter som har överförts till andra länder. Kommittén bedömer att denna företeelse är förknippad med en viss risk för intrång i den personliga integriteten.
Kommitténs övriga synpunkter
Utöver vikten av intern uppföljning bör också framhållas betydelsen av en effektiv och ändamålsenlig tillsyn. När det gäller den frågan har regeringen tillsatt en särskild utredning – Utredningen om en myndighet med ett samlat ansvar för tillsyn över den personliga in tegriteten – som har i uppdrag att bl.a. överväga hur ett i högre grad samlat integritetsskydd kan fungera inom en och samma myndighetsstruktur genom att tillsynen över behandling av personuppgifter samlas hos en myndighet. Uppdraget ska redovisas i september 2016.48
Ett annat problem är att myndigheterna i vissa fall inte uppfyller de krav som följer av ny lagstiftning på grund av att det föreligger tekniska problem på it-området. Som exempel på detta kan nämnas att bl.a. 10–11 §§ i gamla polisdatalagen aldrig fick genomslag på
48 Dir. 2014:164 och dir. 2015:139.
grund av att polisens it-system inte hade de funktioner som krävdes för att kunna uppfylla lagens bestämmelser. Motsvarande reglering finns i 3 kap. 10–13 §§ i nya polisdatalagen. Men dessa bestämmelser behöver inte börja tillämpas förrän den 1 januari 2018.
Avslutningsvis kan konstateras att när det gäller det brottsbekämpande arbetet har den enskilde, av naturliga skäl, begränsade möjligheter att bestämma vilken information som myndigheterna får behandla. Systemet med underrättelse om användningen av hemliga tvångsmedel i efterhand kan i viss mån anses väga upp denna brist. På så sätt får den enskilde åtminstone möjlighet att bedöma vilket integritetsintrång som förekommit och möjlighet att reagera mot sådant som han eller hon anser vara rättsstridigt. Det finns dock undan tag från skyldigheten att underrätta den enskilde. I dessa fall finns däremot krav på att det i stället är Säkerhets- och integritetsskyddsnämnden som ska underrättas och som också ska underrättas vid inhämtning av uppgifter om elektronisk kommunikation enligt den s.k. inhämtningslagen. Nämnden ska även på begäran av en enskild kontrollera om han eller hon har utsatts för hemliga tvångsmedel eller har varit föremål för polisens personuppgiftsbehandling. Nämnden ska även kontrollera om tvångsmedelsanvändningen och personuppgiftsbehandlingen har genomförts i enlighet med lag eller annan författning. Dessutom finns möjligheten för en registrerad att få ersättning för den skada eller kränkning av den personliga integriteten som en personuppgiftsbehandling i strid med lagen har orsakat.
3.7.13. Försvarsunderrättelseverksamhet och militär säkerhetstjänst (kapitel 19)
Kommittén har i detta kapitel främst behandlat risker för intrång i den personliga integriteten vid behandling av personuppgifter vid signalspaning och vid behandling av personuppgifter i den militära underrättelsetjänstens it-system.
Inhämtningen av uppgifter i försvarsunderrättelseverksamhet och militär säkerhetstjänst syftar till att skydda Sverige och svenska intressen mot yttre hot, vilket är ett angeläget intresse. Säker ställandet av nationella säkerhetsintressen får i sig anses vara ett sådant ända mål som kan motivera inskränkningar av enskildas fri- och rättig heter.
Att landet har en egen säkerhetpolitisk underrättelsesförmåga är också en förutsättning för att vi inte ska vara beroende av andra länders säkerhetsorgan.
Underrättelser hämtas in på en rad olika sätt, men signal spaningen är en av de grundläggande metoderna. Den tekniska utvecklingen på senare tid har inneburit att viktig information som tidigare kunde infångas genom signalspaning i etern, numera i allt högre utsträckning infångas via kabel.49 Det finns mot den bakgrunden ett starkt intresse av att signalspaning även kan utföras i kabel, särskilt eftersom det saknas alternativa metoder för att uppnå motsvarande resultat.
Försvarsunderrättelsemyndigheterna hanterar dock en mycket stor mängd uppgifter, som många gånger är av privat natur. Det görs dessutom i en verksamhet som omgärdas av stark sekretess vilket innebär mycket begränsade möjligheter till insyn för allmänheten. Myndigheterna har också långtgående befogenheter i sin verksamhet. Detta innebär risker ur ett integritetsperspektiv, men kan i längden även få betydelse när det gäller medborgarnas tilltro till myndigheternas verksamhet. Mycket av den oro som framförts beträffande signalspaning har också handlat om bristande insyn och risken för missbruk.
Den enskilde har av naturliga skäl mycket begränsad insyn i och få möjligheter att påverka om och hur uppgifter behandlas i underrättelseverksamheten. Det finns visserligen en skyldighet för FRA att lämna underrättelser till enskild när det använts sökbegrepp som är direkt hänförliga till en viss fysisk person. Med hänsyn till den sekre tess som personuppgifter i försvarsunderrättelseverksamheten och den militära säkerhetstjänsten normalt sett omfattas av, måste dock denna skyldighet anses sakna en praktisk funktion som skydd för enskildas integritet.
När allmänhetens möjligheter till insyn är begränsade, är det desto viktigare med framför allt externa kontrollfunktioner. En viktig sådan funktion när det gäller signalspaningen är till att börja med den tillståndsprövning som görs av en självständig domstol och där en behovs- och proportionalitetsprövning ska göras. I den bedömningen ligger en prövning ur ett integritetsskyddsperspektiv.
49 I 11:e septemberutredningens betänkande Vår beredskap efter den 11 september, SOU 2003:32
s. 129, angavs att 98 procent av trafik till och från Sverige då gick genom kabel, enligt vad FRA
upplyst.
Det finns också ett särskilt stort behov av effektiv efterhandsgranskning genom extern tillsyn. Utifrån vad som redovisas i nämnda rapporter och redovisningar från Siun och Datainspektionen framstår det som att de tillämpande myndigheterna tar integritetsfrågan på stort allvar och att följsamheten till gällande regelverk är god, även om vissa brister har uppmärksammats. Riksrevisionen har också bedömt att Siuns granskningsverksamhet i sin tur är effektiv och att försvarsunderrättelsemyndigheterna tar nämndens synpunkter på allvar och genomför åtgärder i enlighet med Siuns beslut.
Vid signalspaning överförs all gränsöverskridande trafik i kabel till vissa samverkanspunkter, men det lagras inga uppgifter vid dessa punkter och endast en begränsad trafikmängd förs vidare till FRA via s.k. signalbärare. Trots detta innebär den verksamhet som bedrivs vid FRA att det i stor utsträckning inhämtas och bearbetas personuppgifter som kan vara av mycket privat och känslig natur. Mot bakgrund av att uppgifterna hämtas in och behandlas av myndigheter som omgärdas av stark sekretess och stora befogenheter skulle kunna göras gällande att riskerna för den personliga integriteten i samband med signalspaning ska bedömas som allvarliga. Intrånget i den personliga integriteten är tveklöst mycket omfattande för de enskilda personer som faktiskt blir föremål för granskning. Mot bakgrund av att det finns tydliga regler om på vilket sätt denna spaning får bedrivas, att kontrollfunktionerna förefaller att fungera och att endast en ytterst liten del av den totala informationen blir granskad, gör kommittén ändå den sammanvägda bedömningen att riskerna inom det här området ska betraktas som påtagliga.
När det gäller behandling av personuppgifter i Must:s it-system handlar det också om behandling av en stor mängd personuppgifter i en verksamhet med liten insyn. Intrånget i den personliga integriteten är tveklöst mycket omfattande för de enskilda personer vars personuppgifter behandlas. Kommittén bedömer dock att det är låg sannolikhet för gemene man att utsättas för denna risk. Kommittén bedömer även att det handlar om en begränsad spridning av de person uppgifter som behandlas. Kommittén bedömer därför att det föreligger en viss risk för intrång i den personliga integriteten i samband med denna typ av personuppgiftsbehandling.
Ovanstående bedömningar bygger på det underlag som kommittén har haft tillgång till.
Avslutningsvis ska nämnas att vissa utländska myndigheter samlar in och bearbetar information om Sverige och om personer som är bosatta i Sverige, på samma sätt som svenska myndigheter gör detta beträffande utländska förhållanden. Denna utländska verksamhet kan även ha andra syften, exempelvis att kartlägga egna medborgare som har flytt till Sverige (s.k. flyktingspionage). De utländska myndig heterna samlar in uppgifter bl.a. genom signalspaning, utan hänsyn till de begränsningar som gäller enligt svensk lagstiftning.
I vissa fall kan sådan utländsk verksamhet upplevas som mer in tegritetskränkande än om en svensk myndighet skulle ha agerat på motsvarande sätt, exempelvis om den utländska myndigheten arbetar åt en diktatur. I andra fall kan utländska myndigheters behandling av uppgifter upplevas som mindre integritetskränkande än mot svarande nationella behandling, t.ex. på grund av att den enskilde typiskt sätt inte behöver konfronteras med uppgifter som finns hos utländska myndigheter. Oavsett vilket är det uppenbart att även sådan utländsk verksamhet utgör en betydande risk för den personliga integriteten i Sverige. Det är dock svårt för kommittén att närmare bedöma hur och i vilken omfattning sådana intrång förekommer.
3.7.14. Övervakning med kamera (kapitel 20)
Diskussionen om kameraövervakning och personlig integritet är på intet sätt ny. De senaste årens teknikutveckling har dock ändrat förut sättningarna för övervakningen och aktualiserat nya aspekter. Det finns anledning att anta att teknikutvecklingen även har inneburit att kameraövervakningen i samhället har ökat väsentligt. I dags läget är det dock ingen myndighet som har en samlad bild över hur omfattande kameraövervakningen är. Det finns inte ens någon samlad statistik avseende sådan kameraövervakning som kräver tillstånd eller anmälan. Denna avsaknad av statistik är en brist som gör det svårt att upptäcka förändringar när det gäller användningen av kameraövervakning. Avsaknaden gör det också svårt att bedöma hur omfattande kameraövervakningen faktiskt är.
Redan den omständigheten att kameraövervakning förekommer anses innebära ett intrång i den personliga integriteten, även om övervakningen endast görs i realtid och ingen inspelning förekommer. Om övervakningen spelas in blir intrånget större, beroende
på hur länge materialet bevaras, vilka som har tillgång till det och vad det används till. Om olika kamerasystem kopplas samman med varandra eller om inspelade bilder kopplas samman med information i stora databaser och biometriska funktioner som t.ex. ansiktsigenkänning, möjliggörs en omfattande kartläggning och intrånget i den personliga integriteten kan bli mycket stort. Det ökade antalet kameror, även bland privatpersoner, i kombination med bättre upplösning, billigare lagringsutrymme och möjligheterna till sam körning med uppgifter i andra databaser, innebär stora risker för intrång i den personliga integriteten. Med drönare och kroppsburna kameror är det dessutom större risk än tidigare att man, avsiktligt eller oavsiktligt, filmar känsliga situationer, exempelvis i en trädgård eller ett omklädningsrum. Därtill kommer risken för publicering eller annan otillbörlig spridning av bilder, som ofta innebär ett särskilt stort intrång i den personliga integriteten. När det gäller etablerade former för kameraövervakning finns dock ett skyddande regelverk och en aktiv tillsyn. För närvarande pågår en översyn av kameraövervakningslagen och hur den ska förhålla sig till den nya tekniken. Kommittén gör bedömning att kameraövervakning innebär påtagliga risker för den personliga integriteten.
Kameraövervakningen har övergått från fysiskt avgränsade analoga system till uppkopplade datoriserade installationer. Tekniken utsätts därför för samma typer av risker som alla andra it-system. Det innebär bl.a. att det material som kamerorna överför eller spelar in måste skyddas från intrångsförsök från utsidan och att innehållet måste skyddas från avlyssning när det överförs från kameror till servrarna där materialet lagras. Används s.k. molntjänster uppkommer ytterligare säkerhetsproblem.
Vid lagring av omfattande material ökar också risken för s.k. ändamålsglidning, dvs. för att materialet kommer till annan användning än den för vilken inspelningen ursprungligen gjordes.
Lagring, bildanalys och annan vidareanvändning av bilder och film ökar alltså riskerna som är förknippade med kameraövervakning. Kommittén bedömer därför att lagring och vidarebearbetning av sådana uppgifter är förknippade med allvarliga risker för den personliga integriteten.
Kamerövervakningslagen har till syfte att tillgodose behovet av kameraövervakning, men också att samtidigt skydda enskilda mot otillbörliga intrång i den personliga integriteten. För att åstadkomma
detta skydd innehåller lagen detaljerade bestämmelser om när kameraövervakning är tillåten samt om upplysningsplikt, säkerhet och bevarande av material. Som framgår ovan är det ännu inte helt klarlagt om den regleringen är tillämplig vid användning av vindrutekameror och drönare, vilket i sig är en risk för den personliga integriteten. Det kan även i andra fall vara svårt för en enskild att avgöra om en planerad övervakning omfattas av kameraövervakningslagen, eller om verksamheten anses vara av rent privat natur.50
Sammantaget är kameraövervakning ett område där det finns särskild anledning att följa den tekniska utvecklingen, t.ex. i fråga om möjligheter att koppla samman kamerasystem och databaser samt när det gäller risker för otillåten spridning och annat missbruk av material.
3.7.15. Molntjänster (avsnitt 21.1)
Molntjänster har vissa fördelar även ur ett integritetsskydds perspektiv. Främst genom att säkerheten för personuppgifterna kan vara bättre hos en molntjänstleverantör än i den personuppgifts ansvariges egen it-miljö.
Det förutsätter dock att den personuppgiftsansvariga organisationen har gjort en grundlig risk- och sårbarhetsanalys och ställt krav på säkerheten som motsvarar uppgifternas känslighet. Redan i detta led kan det finnas brister, exempelvis när den personuppgifts ansvarige felaktigt utgår från att det är molntjänstleverantören som ska göra en risk- och sårbarhetsanalys och sedan anpassa säkerhetsåtgärderna därefter. Resultatet kan då exempelvis bli att känsliga hälso uppgifter hanteras över internet med en säkerhet som är anpassad för uppgifter av helt annan, trivial natur. Det innebär i sin tur en risk för att de känsliga uppgifterna läcker ut och blir åtkomliga på internet. En härmed relaterad risk är att den personuppgiftsansvarige kunden gör underförstådda, men felaktiga, antaganden om att tjänste leverantören genom för olika typer av säkerhetsaktiviteter, som exempelvis regelbundna tester med återläsning av säkerhets kopierad information, penetrationstester och skydd mot skadlig kod.51
50 Jfr EU-domstolens dom den 11 december 2014 i mål nr C-212/13.51 Jfr Molntjänster i staten, En ny generation av outsourcing, Pensionsmyndigheten, 2015, s. 44.
De största integritetsrelaterade riskerna med molntjänster hänger emellertid ihop med förlusten av insyn och förlusten av kontroll som användningen av molntjänster i regel innebär.
Förlusten av insyn och kontroll innebär att det finns stora risker för att uppgifter kan komma att hanteras för biträdets eller underbiträdets egna ändamål Det finns också en risk för obehörig åtkomst hos leverantörer och underleverantörer. Leverantörer av molntjänster som är gratis eller mycket billiga grundar oftast sin verksamhet på att uppgifterna som hanteras har ett värde i sig. Uppgifterna kan exempelvis användas för att ta fram information om användarna. Efter sambearbetning med andra uppgifter går dessa att använda som annonsunderlag eller för att utveckla nya tjänster. Betalningen för molntjänsten utgörs då i praktiken av det värde som det innebär för leverantören att få åtkomst till uppgifterna. Det innebär att affärs modellen i sig rymmer en inneboende drivkraft att använda kundernas uppgifter för egna ändamål och att dela med sig av dem till andra företag. I en rapport från år 2012 nämns just molnföretagens affärsmodeller som en av de största utmaningarna för användarnas integritet.52
Förlusten av insyn och kontroll innebär också att det finns stora risker för att uppgifterna hamnar hos underleverantörer som är okända för den personuppgiftsansvarige kunden. Det kan innebära att kunden i slutändan inte kan uppfylla sin skyldighet att se till att uppgifterna hanteras för rätt ändamål och på ett tillräckligt säkert sätt. Det finns likaså en risk att uppgifterna hamnar i länder där lagstiftningen ger ett otillräckligt skydd. Det kan exempelvis leda till att myndigheter och andra organisationer utanför EES lagligen kan få åtkomst till uppgifterna för ändamål och på ett sätt som inte hade varit lagligt i Sverige eller i något annat land inom EES.
Risken för detta uppstår så snart molntjänstleverantören är etable rad i ett tredje land, även om uppgifterna rent fysiskt hanteras på servrar i ett EES-land. Det visade sig i juli 2014 när en domstol i USA godkände ett föreläggande för Microsoft från rättsvårdande myndigheter i USA om att lämna ut uppgifter om en persons e-postkonto, utan att behöva begära rättshjälp från myndigheter i Irland.53Microsoft uppger sig ha fått liknande propåer från kinesiska myndigheter.
52Privacy in Cloud Computing, 2012, International Telecommunication Union.53 Avgörande den 31 juli 2014 av Chief U.S. District Judge Loretta A. Preska vid United States District Court, Southern District of New York, avgörandet har överklagats.
Många gånger presenteras molntjänster som färdigförpackade lösningar där den potentiella kunden bara har två valmöjligheter: att acceptera standardavtalen eller låta bli att använda tjänsten. Av Datainspektionens praxis framgår att standardavtal för molntjänster ofta ger leverantören goda möjligheter att hantera uppgifter för egna ända mål, även om sådana avtal strider mot 30 § personuppgiftslagen.
Personuppgiftslagen utgår från att det är den personuppgiftansvariga organisationen som bestämmer ändamål och medel för hanteringen av personuppgifter och som ger instruktioner till person uppgiftsbiträdet. Men när personuppgiftsbiträdet är en global moln tjänstleverantör, blir förhållandet i praktiken vanligtvis det omvända, dvs. att biträdet bestämmer ändamål och medel som den person uppgiftsanvarige har att rätta sig efter om den vill använda sig av tjänsten.
Det kan vara mycket svårt för små aktörer, exempelvis mindre kommuner, att ha den kunskap som behövs för att bedöma vilka krav som gäller för att det ska vara möjligt att använda sig av en molntjänst på ett lagligt sätt. När kunskapen finns, kan det ändå vara mycket svårt att förmå en global molntjänstleverantör att anpassa sina avtalsvillkor till en liten kommuns krav.
Även om ett avtal med en molntjänstleverantör uppfyller kraven i personuppgiftslagen, är det i praktiken oftast omöjligt för den personuppgiftsanvarige att utöva någon reell kontroll av om upp gifterna verkligen hanteras i enlighet med avtalet.
En annan risk med molntjänster kommer sig av att många av de populäraste tjänsterna är så billiga att det inte krävs någon upphandling eller ens en kontakt med den personuppgiftsansvariga organisationens it-avdelning innan tjänsten börjar användas. Tjänsterna är ofta enkla att använda och kan bidra till att effektivisera arbetet. Anställda kan därför välja att använda tjänsterna utan att organisationens ledning känner till det, eftersom det underlättar arbetsuppgifterna. Ansvaret enligt personuppgiftslagen för hur uppgifterna hanteras kan emellertid inte delegeras, utan ligger kvar på ledningen som helt saknar möjlighet att kontrollera en hantering vars förekomst i organisationen den inte ens känner till.
En komplikation som är specifik för Sverige, är det osäkra rättsläget när det gäller tillämpningen av offentlighets- och sekretesslagen på molntjänster, som uppstått efter det JO-beslut som nämns ovan i avsnittet om det skyddande regelverket.
När det gäller tillsyn var Datainspektionen i en jämförelse med andra EU-länder tidigt ute med att granska molntjänster och har sedan dess varit fortsatt aktiv i tillsynen av molntjänster. Tillsynsverksamheten har av allt att döma resulterat i att de stora molntjänstleverantörerna successivt blivit bättre på att anpassa sina standardavtal till kraven i personuppgiftslagen. Ännu har emellertid ingen hantering granskats som involverar känsliga personuppgifter, såsom molnbaserade journalsystem inom hälso- och sjukvården, försäkringsbranschen eller socialtjänsten.
Ur ett integritetsskyddsperspektiv utmärker sig särskilt publika molntjänster där flera leverantörer är inblandade. Vid användningen av dessa tjänster finns det en stor sannolikhet för att den personuppgiftsansvarige förlorar insyn och kontroll över uppgifterna. Den enskilde vars uppgifter flyttas till molnet har då förstås ännu mindre vetskap om eller möjlighet att påverka hur uppgifterna hanteras. Molntjänstleverantörerna får i praktiken ett större inflytande över hanteringen än den som bär det legala ansvaret gentemot den enskilde. Den personuppgiftsansvarige hamnar inte sällan i ett underläge i förhållande till leverantören, både i fråga om kompetens att bedöma hur tjänsterna fungerar och i fråga om vilka krav som bör ställas på tjänsterna. Publika molntjänster är vanligt förekommande och kan innehålla mycket stora informationsmängder. När en tjänst är gratis eller mycket billig, grundas erbjudandet många gånger på leverantörens vilja och möjlighet att använda uppgifterna i tjänsten för egna ändamål. Sammantaget anser kommittén att publika molntjänster där flera leverantörer är inblandade, innebär en allvarlig risk för den personliga integriteten.
Samtidigt måste också beaktas att molntjänster bidrar till att effek tivisera många verksamheter och möjliggöra nya tjänster. Molntjänster kan också ha fördelar ur ett integritetsskyddsperspektiv, främst genom att säkerheten för personuppgifterna kan vara bättre hos en molntjänstleverantör än i den personuppgiftsansvariges egen it-miljö.
3.7.16. Big data (avsnitt 21.2)
Grundtankarna med big data framstår som svårförenliga med de allmänt vedertagna dataskyddsprinciper som kodifierats i dataskyddsdirektivet och som i svensk rätt återfinns i personuppgiftslagen. Frågan är därför i vad mån metoder och affärsmodeller som involverar big data överhuvudtaget kan anses som förenliga med lagstiftning som bygger på dessa dataskyddsprinciper.
Till att börja med bygger big data på en tro på att de flesta datamängder på något sätt kan komma till nytta i framtiden. Det betyder åtminstone på sikt att fler uppgifter kommer att samlas in än vad som noga taget skulle räcka för att tillgodose det egentliga och ursprungliga ändamålet med insamlingen och att dessa uppgifter inte heller kommer att gallras förrän det står helt klart att de inte länge behövs, om ens då. Det kommer sannolikt att leda till att det bildas allt större och detaljerade samlingar av uppgifter om enskilda.
En annan grundläggande tanke med big data är att nya och oväntade samband och förklaringar förväntas uppkomma när tidigare sepa rata uppgiftssamlingar sambearbetas. Det fordrar att uppgifterna hanteras för helt nya ändamål som de enskilda i praktiken varken känner till, kanske inte ens hade kunnat föreställa sig och långt mindre har samtyckt till. Det kan leda till att enskilda fullständigt tappar kontrollen över hur och för vilka ändamål deras uppgifter hanteras.
Sambearbetning av stora mängder uppgifter i olika datasamlingar, som var för sig inte möjliggör identifiering av enskilda, kan leda till att det blir möjligt att identifiera enskilda som finns registrerade bland uppgifterna. På samma sätt blir det också allt svårare att åstadkomma en beständig anonymisering av datasamlingar, eftersom möjlig heterna till återidentifiering blir allt bättre.
Vidare kommer ny kunskap om enskilda att uppstå när datasamlingar sambearbetas och okända samband och mönster fram träder som har bäring på enskilda. Eftersom det kan röra sig om väldigt stora datamängder, kan resultatet innebära en mycket närgången kartläggning.
En annan risk består i de många möjliga felkällorna i big data. Det som utmärker uppgifterna i dessa sammanhang är volym och variation i typer av uppgifter, men kvalitet (i bemärkelsen riktighet och
aktualitet) är sällan möjlig att upprätthålla eller ens att kontrollera. Det innebär en risk för att det skapas felaktiga uppgifter, och därmed också felaktiga slutsatser, om många personer.
En annan risk är att drivkraften att göra prognoser om enskilda med utgångspunkt i stora mängder historiska data, kan medföra en förstärkning och fördjupning av redan existerande fördomar och leda till diskriminering. Den risken blir ännu allvarligare om prognoserna används till att fatta automatiserade beslut som rör enskildas rättigheter och skyldigheter, utan att någon mänsklig beslutsfattare är inblandad.
Big data har ännu inte varit föremål för någon närmare granskning utifrån ett integritetsskyddsperspektiv i Sverige. Här har dataskyddsmyndigheterna i exempelvis Storbritannien och Norge kommit längre.
Faktorer som i detta sammanhang är av betydelse för risken för den personliga integriteten, är att big data innebär att uppgifter hanteras för nya ändamål som inte är kända vid insamlingen. Det medför att den enskilde förlorar både kännedom om och inflytande över hur uppgifterna hanteras. Med big data blir det särskilt tydligt att personuppgifter betraktas som en handelsvara med ett högt kommersiellt värde. Det medför en avsevärt ökad risk för spridning av uppgifterna till parter som inte är kända för den enskilde.
Kommittén anser därför att big data för med sig en allvarlig risk för den personliga integriteten.
Samtidigt måste också beaktas att big data på ett genomgripande sätt kan komma att effektivisera och förbättra verksamheter i många delar av samhället.
3.7.17. Biometri (avsnitt 21.3)
Användningen av biometriska tekniker innebär flera olika risker för den personliga integriteten. Vissa av de risker som nämns här, behandlas utförligt i Artikel 29-gruppens yttrande från år 2012 om utvecklingen i fråga om biometrisk teknik.54
54 Artikel 29-gruppens yttrande 3/2012 om utvecklingen i fråga om biometrisk teknik, WP 193, antaget den 27 april 2012.
En risk är att biometriska uppgifter behandlas för nya ändamål som är oförenliga med de ändamål för vilka uppgifterna ursprungligen samlades in. Exempelvis kan biometriska uppgifter om gångstil och ansikte användas inte bara för att identifiera enskilda, utan också för att hitta oönskade beteenden eller särskilda behov hos enskilda.
En annan risk är att fler biometriska uppgifter hanteras än vad som behövs för ändamålet, t.ex. att hela fingeravtryck samlas in och lagras när det i själva verket hade varit tillräckligt att bara hantera vissa mätpunkter från fingeravtrycket. Detsamma kan inträffa när uppgifter om DNA inte bara möjliggör identifiering, utan även avslöjar något om den registrerades hälsotillstånd, sjukdomsbenägenhet eller etniska ursprung.
Ytterligare en risk är att biometriska uppgifter inte skyddas tillräckligt och som en följd av detta blir tillgängliga för personer som kan använda uppgifterna för exempelvis identitetsstöld.
Det finns också en risk för att biometriska uppgifter kan användas utan att den enskilde känner till det eller lämnar sitt samtycke, t.ex. vid publicering av bilder på nätet eller i sociala medier där det finns särskild programvara för ansiktsigenkänning.
Det finns slutligen också en risk för överutnyttjande av biometri när tekniken blir billigare, enklare och därmed mer lättillgänglig. Alla sammanhang kräver inte den höga precision som biometri kan erbjuda.
En ökad användning av olika biometriska tekniker i samhället, riskerar att göra det mycket svårt att någonstans i det offentliga rummet kunna vara helt anonym. När kameror och annan utrustning i omvärlden kan läsa av och identifiera den enskildes kropp eller personliga beteende och koppla ihop de biometriska uppgifterna med uppgifter från andra datakällor blir detta avsevärt mycket svårare.
Sammantaget anser kommittén att användningen av tekniker som involverar många och detaljerade biometriska uppgifter, innebär en påtaglig risk för den personliga integriteten.
Samtidigt måste beaktas att biometriska tekniker kan medföra stora fördelar t.ex. genom att bidra till att höja säkerhetsnivån vid åtkomst- eller tillträdeskontroller och genom att göra identifierings- och autentiseringsförfaranden säkrare genom kombination med andra metoder, men också enkla, snabba och bekväma för den enskilde.
4. Overall assessment
In May 2014 the Swedish Government decided to appoint a parliamentary committee to survey and analyse the actual and potential risks of breaches of privacy that may arise in conjunction with the use of information technology in the private and public sector. The Government appointed Göran Gräslund to chair the committee. The Privacy Committee is now submitting its interim report Hur står det till med den personliga integriteten? (What is the privacy situation?) This is a translation of the chapter of the report in which the committee sums up the situation with regard to privacy.
In this section we attempt to assess what the combined impact will be on an individual of all the collection and storage of personal data, surveying and surveillance in which he or she participates or to which he or she is subject in today’s increasingly digitised society.
We also examine the general problems that we have identified as encroaching on several areas of society.
In our final report we intend to investigate the steps that could be taken to counteract the risks that we have identified. Here, methods other than legislation may be relevant, such as industry agreements or proactive measures on the part of the supervisory authorities.
4.1. The combined impact on the individual
In Chapter 5, Privacy, we describe how we use the term privacy. In somewhat simplified terms, we understand privacy to mean everything that it would normally seem relevant to safeguard in order for an individual to be assured a reasonable, protected, private sphere. It
is our mission to show, from the perspective of the individual, the combined impact that recent technological and social developments, in all areas, have had on the privacy of individuals.
The development is sometimes termed “the digital revolution”, drawing a comparison with the industrial revolution, or “the third industrial revolution”, drawing a comparison with mechanisation and the development of steam power, followed by the development of electricity and the combustion engine.1
Whatever term or detailed description is chosen, the shift means a comprehensive change to society and the conditions in which individuals live. This trend naturally brings with it a huge potential benefit, but the task of the committee is to focus on actual and potential risks.
Today digital personal data is generated and used to an ever increasing extent in all areas of society. The number of actors is growing, areas of use are increasing, storage times lengthening, more information is being disseminated and exchanged between actors, further processing of data by the respective actors is growing, and dissemination beyond national borders and the ability to process data in real time are on the rise. We are also seeing that some major actors, as a consequence of the development as a whole and their own business strategies, are gaining access to an ever increasing amount of personal data, so giving them the opportunity to draw increasingly complete pictures of individuals.
This trend is due to digitisation and to a gradual change in the way information processing is viewed, both in public administration and in the business sector.
The trend can be described using the following simplified image:
- Previously organisations had one specific purpose for building up a personal data register or a database. Now there is a wide range of purposes.
- Previously data was collected because there was a clear need to do so. Now it is collected because it “might come in useful one day”.
- Previously it was important, partly for reasons of cost, to keep storage times low. Now major benefits are seen in retaining data.
1 Cf. the final report of the Digitalisation Commission, Digitaliseringens transformerande kraft
– vägval för framtiden (The transformative power of digitisation – choices for the future),
SOU 2015:91, p. 68.
- Previously searches and analyses of personal data were done with a particular purpose in mind. Now big data and data mining are a reality.
- Previously personal data was gathered through a specific registration process. Now it happens more or less automatically by an individual taking action and using digital tools.
- Personal data has increasingly become a commodity.
This trend has been made possible despite the fact that basic data protection principles such as duty to inform, obtain consent, erase and what is known as the “purpose principle” continue to apply.
From the point of view of the individual, the trend means that knowledge of how the information will be processed, and the opportunity to influence this, is constantly shrinking in relation to the growth in processing of personal data in society.
Correspondingly, the individual’s opportunity to decide, in a truly free choice, how information about him or her is to be handled is also restricted.
The general conclusion of the Privacy Committee is therefore that in a number of areas the individual is suffering a gradual erosion of privacy.
We can see a shift in influence over how the data is handled – from the individual to the personal data controllers and from the personal data controllers to service providers. Service providers often tend to be large, global companies, even though in a formal sense they are only personal data processors and thereby obliged to follow the instructions of the data controllers. The global companies are very big, but few in number and usually based in the United States. This shift therefore also means a concentration and geographical relocation of influence, beyond the jurisdiction of Sweden and the EU.
Regulation of how data may be handled is largely conducted at EU level. National influence from the Government and the Riksdag must thus be exercised through the EU partnership, with the limitations that this involves. On top of this, as stated above, comes the fact that the actual data processing often takes place outside the EU, which in turn reduces the EU’s opportunities to influence it. In this context it
is significant that the EU’s data protection provisions tend to provide stronger protection than equivalent rules in other parts of the world, such as the United States.
The overall picture of how data is handled today is a challenge to which individuals may react in different ways.
However, it is clear that when knowledge and control are proportionally reduced, the conclusion must be that the situation for privacy is getting worse, irrespective in fact of how one chooses to define the concept of privacy.
The scenario of the individual’s declining self-determination in this respect is also a challenge that the state may react to in different ways. It can accept the individual’s relatively diminishing awareness and opportunities to exert influence as a given. It may work to increase individuals’ awareness and influence. It may also work to prevent such data processing that is not desirable for some reason. The Swedish state has so far chosen a mixture of all three options.
The scenario also raises a question of a different type – are people and their behaviour changed by the accelerating digital processing of their information and their private lives? And if so, how? We commissioned Lund University to produce a systematic review of the literature on digitisation and privacy. It shows that both internationally and in Sweden, there is surprisingly little knowledge of the effect that digital surveillance has on people’s behaviour and their view of the world and themselves. There are some studies indicating a risk that a lack of respect for privacy can lead to lower internet usage and lower political engagement (at least online).2 However, at the moment there is no scientifically valid and empirical evidence that this is the case.
4.2. General problems
Some of the problems are not restricted to any particular part of society but may be encountered by the individual in many different situations. We therefore wish to highlight these and treat them separately.
2 See the articles listed in the literature review, particularly in the section on the knowledge and behaviour of young people. There are other reports on this too, such as Global Chilling – The
Impact of Mass Surveillance on International Writers, Results from PEN’s International Survey
of Writers (January 2015).
4.2.1. Knowledge of how data is handled
One recurring observation is that individuals are largely unaware of and have little knowledge of why and how their personal data is being processed in equipment and services in different contexts. This is confirmed by a number of surveys. For example, in one work-related survey, only 21 per cent of the employees questioned said that they knew what data their employer collected about their internet use.3 In another survey, 8 out of 10 Swedes questioned considered that they were not in complete control of their data.4 The committee made a similar observation on companies or agencies that are data controllers. Where these are concerned there are no surveys equivalent to those on the knowledge and attitudes of individuals, but in our contacts with different parties and in our overview of the prevailing situation it has emerged that a lack of knowledge is not uncommon among those responsible either. One clear example of this is agencies that purchase cloud services without looking in more detail into how the data is handled and disseminated within the service.
4.2.2. Opportunity for the individual to exert influence
Several factors make it harder for individuals to influence how their own data is stored and disseminated. This is firstly made more difficult by the growing further processing of data for new purposes in different parts of society, e.g. through big data. Secondly, it is more difficult for people to have control over their own data because we use equipment that generates and disseminates increasing amounts of personal data – through apps and sensors installed in mobile phones and vehicles, for example.
When the individual is unaware of this and is unable to influence how this personal data is handled, the importance of consent is undermined. The consent obtained for different types of data processing increasingly appears to be chimerical. Even in situations where the way in which data is processed is crystal-clear to the individual and clear consent is requested, in practice the individual may often lack a choice because saying no would demand a high price in terms
3 Report of 26 June 2014 on a survey of its members carried out by the trade union Unionen.4 Special Eurobarometer 431, Data Protection, published in June 2015 and the Swedish Data Protection Authority’s annual report for 2015, p. 4.
of, e.g. ceasing to consume online media, ceasing to communicate using social networks, being unable to use credit cards and unable to contact certain care providers, for example. Humans are social animals and exist in a technological context that it is very difficult to opt out of in practice. Refusing to consent means being excluded, and is thus rarely a realistic alternative. Consent questions are often worded as binary options, i.e. either the individual consents to everything that the body responsible wants to do with the data in order to provide a particular service or the individual does not consent and cannot therefore use the service at all. There are rarely graduated options. In some contexts, such as public administration, there is also legislation that does not require consent, and the individual has no legal opportunity to oppose their data being handled in this area. This can have far-reaching effects when information from the administrative sphere reaches the private sector, e.g. through cloud services or the principle of public access to official documents.
4.2.3. The individual’s own protective measures
The individual’s opportunity to take protective measures requires knowledge of how the data is processed and disseminated by companies and agencies, but also knowledge of how information is disseminated by other individuals, e.g. when pictures of individuals are published on social media by other users.
Furthermore, in practice it is often time-consuming and complicated to protect oneself in ways other than non-participation, e.g. by using encrypted e-mail or other technological solutions available to the individual. This does not seem a realistic option for the vast majority. We commissioned a data security specialist to produce an overview of privacy protection technology. The committee shares the assessment made in the report on the opportunities that individuals have available for protecting themselves against breaches of privacy.
Many day-to-day services that rest on modern information technology and are seen as indispensable, often involve an in-depth survey of the individual. (…) It is hardly possible, as an individual citizen, to defend oneself against the breach of privacy that occurs by using these technologies, other than by actively choosing not to use the majority of them. Few people are likely to consider stopping buying electricity or stopping using a mobile phone, however. The alternative, as a consumer attempting to protect their private
sphere by various means, is often so impractical and expensive that it rarely seems a realistic option other than for those engaged in gross criminal offences. This group of individuals may well take far-reaching steps to avoid leaving an electronic footprint, including solely using cash, always using anonymisation services on the internet and randomly swapping mobile phones and unregistered SIM cards in different places, as well as turning devices off when they are not needed.
4.2.4. What do individuals think?
The fact that individuals – without having any real alternatives – give away their personal data and do not to any major extent take the measures and steps that do nevertheless exist to protect their data, does not mean that individuals in general care nothing for their privacy. In several surveys respondents answer on the contrary that how their data is handled is important to them, that they would like a clear regulatory framework that is upheld and that their trust in different actors varies considerably in this respect. In a major European survey conducted in 2015 on public attitudes to privacy, 52 per cent of the Swedish respondents disagreed with the statement “providing personal information is not a big issue for you”.5
In another survey, carried out by a trade union, a clear majority of the members questioned answered that they were neither concerned about breaches of privacy at work nor had ever experienced such breaches.6 When, on the other hand, they were asked to read some examples of surveillance and then state whether they thought the union should push for stronger privacy protection, an equally clear majority thought that the union should do so.
4.2.5. Insufficient supervision
Supervision of how personal data is handled covers only a fraction of all the phenomena that pose a risk in terms of privacy protection. The greatest responsibility for supervision lies with the Swedish Data Protection Authority, whose job has largely remained the same since the agency was founded in 1973. Today the authority has a
5 Special Eurobarometer 431, Data Protection, published in June 2015 and the Swedish Data Protection Authority’s publication Integritet i fokus (Privacy in focus), no. 4, 2015.6 Report of 26 June 2014 on a survey of its members carried out by the trade union Unionen.
workforce of approximately 45 people, who are also charged with exercising supervision over debt recovery and credit information. The size of the agency and its mandate means that many new phenomena and actors, for obvious reasons, are not examined or assessed at all from a privacy protection point of view, or that this only happens once they have been on the market for a while.
In recent years the situation has been affected by the fact that the Data Protection Authority has gradually cut back its supervisory activities. This is partly explained by a marked increase in the number of reports and documents submitted for consultation by the Government, which has taken resources away from its supervisory operations.7
In this area supervision can be said to be particularly important. Firstly, new phenomena arise at a very rapid pace. There is reason to assess many of these from a legal perspective. Secondly, the regulations are relatively imprecise and intentionally general. It is therefore only once the supervisory authority has assessed a new phenomenon that suppliers and users receive any guidance. The result of the supervision can then be used in the outward, proactive work of the supervisory authority to disseminate awareness.
The Swedish Consumer Agency has said that it has experienced certain difficulties exercising supervision in the digital environment. The problems partly concern digital and individually tailored marketing, e.g. on social media, based on more or less detailed profiling. The phenomenon has not been subject to supervision by the Swedish Consumer Agency. Similarly, user conditions for social media have not yet been examined by the Swedish Consumer Agency.
In its survey the committee found that supervision of privacy today is split between several different agencies. Besides the Swedish Data Protection Authority and the Swedish Consumer Agency, supervision in the privacy arena is also carried out by the Swedish Post and Telecom Authority, the Swedish Commission on Security and Integrity Protection, and the county administrative boards. Split supervision can result in a loss of efficiency regarding supervision overall. However, we have refrained from addressing this issue in any greater depth at this time, as it is currently being analysed in
Utredningen om tillsynen över den personliga integriteten (the Inquiry
7 Swedish Data Protection Authority annual report for 2015, p. 4.
into supervision of privacy).8 With the aim of strengthening protection of privacy, the inquiry will consider how more coherent privacy protection could work within a single agency structure by gathering all supervision of the processing of personal data within one agency.
4.2.6. Sanctions
A general issue for the whole area is that the sanction system, both in criminal law and tort law, does not appear to be used to any great extent. Very few cases reach the courts in any case. For example, in the period 2012–2015 we have found only five disputes that came before the district courts in which the case involved damages under the Personal Data Act. The situation in criminal law is no different. In 2014 in Sweden as a whole, a decision was reached in a total of only four cases of breach of the Personal Data Act (by a judicial ruling, imposition of a penalty or decision not to prosecute).
When the system is used at all, it concerns mild punishments and low amounts of damages.
In summary, the sanction system cannot be said to work to its full capacity, as it has not had the effect that was intended when the provisions were introduced.
4.2.7. Globalisation
Another general observation is that digital services are increasingly characterised by globalisation. Many different actors in different countries work together, for example, in providing all the components and programs in a mobile phone. Personal data about the user can sometimes by processed by those who manufactured the phone, the operating system, or the apps it contains. It is not uncommon for the different manufacturers to be located in different continents. The apps in turn are often cloud-based and it is the nature of cloud services that data is moved between different data centres across the world. This also leads to the legislation of these countries being applied to how the data may be handled, which may involve provisions that provide considerably poorer data protection than that in the
8 Ju 2015:02.
rules in Sweden and the EU, e.g. on the right of the state to access the data. Processing in other countries also means that it is usually impossible in practice to exercise control over and supervise how the data is actually being handled.
Another consequence of globalisation is that agencies need to give out information to companies that are based in other countries, where accordingly it is the other country’s laws that regulate how the data may be handled and disseminated further.9
4.2.8. Journalistic purposes under the Personal Data Act
One question we do not address in further detail in the examination is that today’s Swedish framework legislation, the Personal Data Act, sets out that significant parts of the regulations do not need to be applied in certain situations as this would restrict freedom of expression. Here we are not concerned with publication on the internet using what is known as a voluntary certificate of no legal impediment to publication, which provides protection under the Fundamental Law on Freedom of Expression and thus overrides parts of the Personal Data Act. Publication without a voluntary certificate of no legal impediment to publication also falls outside the remit of the Personal Data Act if publication is for “journalistic purposes”. The provision originates in Article 9 of the Data Protection Directive, which contains a corresponding clause. When the provision was tested by the Swedish Supreme Court, the court judged that activities that involve informing, levelling criticism and initiating debate on social issues of importance to the general public must be considered to have a journalistic purpose in the sense of the Personal Data Act. It may also be a journalistic purpose to inform, criticise and debate on certain issues even if this is done in a manner which offends other individuals.10
9 See e.g. Supreme Administrative Court ruling HFD 2014 ref. 66, where the circumstance that a company was based in Norway meant poorer confidentiality protection for data held by the National Board of Health and Welfare in a question of handing over data, because the Norwegian company was not bound by the Personal Data Act. 10 NJA 2001 p. 409 and Öman & Lindblom, Personuppgiftslagen (The Personal Data Act) (15 October 2015, Zeteo), comment on Section 7, paragraph 2 of the Personal Data Act.
In its application the provision has been broadly interpreted and has been applied, for example, to publication online in the form of blogs which contain personal data and which are seen as an infringement of privacy by the people mentioned in them. Because the purpose of publication was judged to be journalistic, publication was not considered to be in breach of the Personal Data Act.11
4.2.9. Internet hate
Another significant risk to the privacy of an individual lies in what users of social media may write and publish about other people online.
In recent years an increasing number of different kinds of online hate campaigns have been reported. The phenomenon is often called
internet hate. For example, the most recent report from the organisa-
tion Friends on children’s and young people’s experience of the internet shows that as many as one in three of those aged 10–16 have been the victim of online harassment in the past year.12
In all age groups it is more common for women to face harassment online than men. The Swedish Government report Integritet
och straffskydd 13 (Privacy and protection provided by criminal law)
summarises research into breaches of privacy online. The summary states that there are researchers in the field who consider that many internet hate campaigns have a clear gender aspect in which women are exposed to sexualised harassment to a considerably greater extent than men. According to these researchers, in the long run this can lead to self-censorship, which could be seen as a threat to gender equality and freedom of expression.
Internet hate can also be carried out by organisations. For example, individual journalists have suffered repeated and systematic online harassment from the organisations they are scrutinising, with the clear purpose of forcing this scrutiny to stop.14
11 NJA 2001 p. 409.12 Friends’ internet report 2016. 13SOU 2016:7.14 In the media, for example, a case in Finland was recently reported; see the article Grävande
journalist blev måltavla för proryska troll (Investigative journalist targeted by pro-Russian
trolls), published on svt.se on 13 March 2016 and written by Ulf Mattmar and Hedvig Eriksson.
The internet is sometimes described as a new arena for threats and harassment. Through the internet and other electronic communication, opportunities for individuals to disseminate information that breaches the privacy of others have increased considerably. New protective interests have therefore arisen, bringing with them a considerably increased need for better designed protection in criminal law for private life and privacy. With this in mind, the report Integritet
och straffskydd15 proposes that a new penalty provision for unlawful
violation of privacy be introduced in Chapter 4 of the Swedish Penal Code. The proposed provision would mean criminal liability for a person who violates another person’s private life by disseminating images or other information in a way that is intended to cause tangible harm to the person who is the subject of the information.
Because internet hate as a phenomenon has thus recently been analysed and as this has also led to a proposal being submitted which seeks to tackle the problem, the committee will refrain from studying the phenomenon in any greater depth.
4.2.10. Principle of public access to official documents
The Freedom of the Press Act of 1766 introduced the principle of public access into Swedish law. It states that all exercising of authority is to be transparent and that anyone who wishes to do so has the right to read the authorities’ official documents. Since its introduction the principle of public access to official documents has remained in force virtually continuously, with broad and strong support in the Riksdag. Today the principle is a cornerstone of Swedish democracy.
The principle of public access to official documents takes as its starting point the fact that documents should be public, and that deviation from this may only be made under special circumstances and after the legislator has carefully weighed up the interests of the need for publicity on the one hand and the need for confidentiality on the other, in each individual case.
With the growth of digitalisation new consequences have arisen for the principle of public access. The better and cheaper the technical opportunities for processing data in combination with other data and for disseminating information over the internet become, the
15SOU 2016:7.
greater the commercial value of the personal data that government agencies possess. Many companies therefore want to access this data. Some agencies may charge a fee for handing over certain data, whereupon the data gains economic importance for the agency too. Once companies have obtained data with the support of the principle of public access to official documents, they can disseminate and process the information for purposes completely different from those for which the agency originally gathered the data. Sometimes the companies may also publish personally sensitive data on the internet with the protection of the Fundamental Law on Freedom of Expression through a voluntary certificate of no legal impediment to publication, with the consequence that some of the regulatory framework that protects privacy ceases to apply. The issue of the import of voluntary certificates of no legal impediment to publication as regards privacy is currently the subject of an inquiry by the Committee on the Fundamental Laws on the Media.16
The Swedish principle of public access to official documents and the European data protection rules can be said to work in principle in different directions – the principle of public access to official documents takes as its starting point publicity (and confidentiality provisions that regulate exceptions), while the main rule of the Data Protection Directive is that personal data must not be disseminated (unless this is supported by any of the provisions of the Directive). The committee judges that the differences in principle have nevertheless been able to be addressed when applying the legislation in practice.
4.2.11. Privacy an important value for the whole of society
Privacy is not merely important for the individual. It is essential for society in general that its population can be free to form opinions and make statements; that they can, fundamentally, spend time doing what they want to do with people they want to spend time with, without outside involvement or interference. The right to privacy (which is a human right enshrined in the Swedish Constitution in its own right) is thus also an important factor for other central and constitutional rights, i.e. for those rights that form the foundation of
16 Ju 2014:17.
a democratic society, particularly the right to freedom of expression but also the right to freedom of information and freedom to disclose information.
In recent years we have seen several examples of individuals being harassed in order to silence them from creating public opinion, or from engaging in political activity or journalistic scrutiny. If this type of infringement of our fundamental rights has the wider effect of affecting individuals’ willingness to communicate their opinion and take part in public debate, this constitutes a threat to democracy.
In the same way, fundamental values can be damaged if individuals refrain from activities due to loss of trust or concern that they will be registered, surveyed or the object of surveillance in a way which could harm them in the longer term.
There is no doubt that in individual cases there are people who have chosen to refrain from exercising their rights after having been the victim of various forms of harassment, threats or pressure. However, the committee has no evidence to definitively determine that the behaviour of the population in general has been affected by increased concern over being attacked on the internet, surveyed or the object of surveillance.
Another rights-related problem is the massive collection of data that enables profiling and individually tailored marketing or individually tailored search results (known as filter bubbles, described in more detail in the section addressing consumers) which can lead to discrimination and exclusion contravening Chapter 1, section 2 of the Instrument of Government, one of the fundamental laws that form the Swedish Constitution.
A further risk involves a potential but far from impossible future scenario in which human rights are no longer upheld in the same way as today, in Sweden or in countries with which we cooperate and to which information flows relatively freely. The major opportunities that exist for agencies and companies to survey individuals might then be used in completely different ways that might be extremely negative for the individual.
4.3. The development of technology
In our examination we have particularly noted certain phenomena of a more technical nature which recur in several areas. These are increasing in use in purely general terms. In our view these are already of vital importance to the protection of privacy but can be expected to have an even greater significance in a not too distant future and may also re-draw the playing field in several ways.
Big data and the internet of things are two such phenomena that we have addressed in the interim report.
Two other phenomena are of an even more technical nature but will move the goalposts for how we will be able to handle personal data in the future: the development of artificial neural networks17and the development of the quantum computer.18
We have also noted that some other phenomena have not had the impact on privacy that was once predicted. One example of this is RFID tags, which we do mention as a potential risk to privacy, but which a few years ago were expected to have a considerably greater impact on privacy than we judge has actually been the case. This shows that it is hard to predict with any great accuracy which phenomena will have the greatest impact and influence even over a short time frame.
Another observation we have made is that privacy protection technology could be used to a considerably greater extent than is currently the case. Several good examples are addressed in the over-
17 Sweden’s encyclopaedia Nationalencyklopedin explains neural networks as networks of simple additive units that communicate by connections. In biological neural networks the units are nerve cells (neurons) and the links are synaptic connections. Biological neural networks have served as role models for the development of artificial neural networks, which are realised as computer programs, as integrated circuits (neurochips) or with the help of analogue optical technology, e.g. holography. What makes artificial neural networks stand out is partly their ability to learn, the parallelity that results in a high calculation speed and robustness in terms of errors and noise in input data and in the network itself. Examples of areas of application for neural networks include pattern and image recognition, medical forecasts and artificial intelligence. 18 According to Nationalencyklopedin the major difference between an ordinary computer and a quantum computer is that a string of quantum bits in a quantum computer may be found in a (coherent) superposition of all the quantum bits included in the string, known as parallelism. The quantum bits may also be entangled, which brings very unique opportunities for a quantum computer to carry out calculations. It is these two characteristics, parallelism and especially entanglement, that give a quantum computer its unique properties compared with an ordinary computer. A quantum computer cannot carry out different calculations from an ordinary computer, it can merely perform them in a different way, but it would be able to carry out some calculations much faster than an ordinary computer.
view of privacy protection technology referred to above. The starting point of the overview is that the use of well-designed privacy protection technology makes it possible to achieve a more beneficial equilibrium in weighing up benefits and risks to privacy. In our view this is a clear area for improvement.
Another observation that runs through the entire examination is that the state does not have any overall picture of development in general in this area, either in terms of the development of technology or regarding new working methods that involve processing personal data. According to several reports examining the issue, nor does the state have an overall overview or control over how its own administration is developing in this area, i.e. within government e-administration.
4.4. The knowledge situation
Several general observations are made in the literature review carried out by Lund University referred to above concerning knowledge in the research field of digitalisation and privacy. We believe that their observations are also significant outside the academic environments and reflect general tendencies.
The review shows that research into digitalisation and privacy is relatively strictly divided between three main academic fields. The first is a technical field that is largely about systems development. The second is a legal field focusing on questions of legislative protection for privacy. The third is a more general field in the social sciences which encompasses subjects including informatics, psychology, marketing and management research. What all three fields have in common is that researchers in each respective field only rarely show interest in what is going on in any of the others. Another issue that has also emerged is that in research into privacy there is no shared conceptual apparatus or shared methods for the different scientific fields and disciplines.
The observations in the review may partly help to explain why problems that arise in law (e.g. data being processed for new purposes that are incompatible with the original purposes for which they were gathered) do not to a greater extent draw on the field of technology
in finding solutions (e.g. anonymising data in a way that minimises privacy risks without impairing the ability to gain new knowledge from the data collection).
4.5. Drivers behind development
It is important to understand the drivers that lie behind the development in order to later be able to return to the right kinds of measures to attempt to resolve problems or deficiencies. One general driver is, for example, to make the most use of the information to which one has access. This driver unavoidably leads to fundamental principles such that data must be used for particularly stated purposes (the finality principle) and the obligation to delete data being undermined. Another general driver among all actors – whether this concerns companies or government agencies – is to always make information as usable as possible for as many people as possible, with the aim of achieving maximum flexibility in the organisation concerned. Certain privacy protection measures, such as limiting internal access to personal data in the organisation, can make it more difficult to quickly switch staff between different duties, so affecting the efficiency of the organisation. Other drivers are more specific to their areas. For example, the business models for online advertising and for cloud services respectively mean that the processing of personal data is steered in a direction that may damage privacy.
5. Den personliga integriteten
5.1. Inledning
I kommitténs uppdrag ingår att utifrån ett individperspektiv kartlägga och analysera sådana faktiska och potentiella risker för intrång i den personliga integriteten som kan uppkomma i samband med användning av informationsteknik i såväl privat som offentlig verksamhet.
Vad som egentligen avses med begreppet personlig integritet är en ständigt återkommande fråga. Någon allmängiltig definition av begreppet finns inte i svensk lagstiftning. Inte heller direktiven innehåller någon definition av vad som avses. Den engelska termen privacy1, som många gånger anses motsvara det svenska begreppet personlig integritet, har beskrivits som ett kameleontliknande ord som används för att ge goodwill åt ett stort antal olika intressen – från sekretess för personuppgifter till reproduktiv autonomi.2 Judith Jarvis Thomson3 har till och med gett uttryck för uppfattningen att det mest slående med ”the right to privacy” kanske är att ingen verkar ha en klar bild av vad det är.
Ordet integritet kommer från det latinska ordet integer som betyder orörd, hel.4 I Svenska Akademiens ordlista beskrivs ordet integritet som ”orubbat tillstånd; okränkbarhet; oberoende”. Som anges i direktiven brukar begreppet personlig integritet i vardagligt tal användas för att beteckna individens värde och värdighet.
1 Dock torde termen privacy egentligen ha en något vidare mening än vad som oftast åsyftas med begreppet personlig integritet, och även innefatta personligt oberoende och självständighet (Integritetsskyddskommitténs betänkande Skyddet för den personliga integriteten, SOU 2007:22 s. 53).2 Lilian R. BeVier, Information About Individuals in the Hands of Government: Some Reflections
on Mechanisms for Privacy Protection.
3The Right to Privacy ur Philosofical Dimensions of Privacy: An Anthology.4 Se t.ex. Kommitténs om genetisk integritet betänkande Genetik, integritet och etik, SOU 2004:20 s. 106.
Detta kapitel innehåller en beskrivning av ett antal teorier om personlig integritet samt en redogörelse för hur det har tolkats i vissa tidigare lagstiftningsarbeten. Slutligen redovisas hur begreppet används i detta betänkande.
5.2. Teorier om personlig integritet
5.2.1. Inledning
Personlig integritet diskuteras ofta utifrån ett rättighetsperspektiv och utifrån vad som utgör en kränkning av den. Uppfattningen om vad som omfattas av den personliga integriteten har varierat över tid. En vid tolkning utifrån rättighetskatalogen i regeringsformen eller Europakonventionen brukar omfatta rumslig integritet (hemfrid), materiell integritet (egendomsskyddet), kroppslig integritet (skydd för liv och hälsa, mot ingrepp i eller mot kroppen, kroppsvisitation, kroppsbesiktning m.m.), personlig integritet i fysisk mening (personlig frihet och rörelsefrihet) och den personliga integriteten i ideell mening (skyddet för personligheten och för privatlivet inklusive den privata ekonomin). I konsekvens med detta brukar rätten till personlig integritet beskrivas som den enskildes rätt till en privat sfär som är skyddad från fysiska och psykiska intrång.
Många gånger handlar personlig integritet om möjligheten att kontrollera spridning och användning av personlig information. Vilken information som vi vill hålla för oss själva eller dela med andra varierar efter sammanhang. En uppgift som inte är känslig i det samman hang där den lämnas ut, kan vidare bli känslig t.ex. om den sammanställs med andra uppgifter. Även skälen till att vi vill hålla information för oss själva varierar. Det kan bl.a. handla om vardagliga och sociala behov som att göra skillnad mellan olika relationer och skydda oss från generande situationer, men också i mer utsatta situationer om skydd för t.ex. vår åsiktsfrihet, vår fysiska säkerhet eller rättssäkerhet. Ibland vill vi också begränsa tillgången till information om oss av strategiska skäl, t.ex. i en förhandlingssituation.5 Vad vi anser höra till vår personliga sfär varierar också mellan individer, och förändras dessutom över tid.
5 Se vidare Markus Bylund, Personlig integritet på nätet, s. 8 f.
Inom filosofin har olika aspekter på syftet med den personliga integriteten behandlats. Från ett libertarianskt perspektiv har ansetts att det är en fråga om individens makt över sitt eget liv och ett begränsande av myndigheters godtyckliga makt, av självförverkligande skäl. Det egalitära perspektivet har däremot framhållit att den person liga friheten även gynnar kollektivet, genom att den möjliggör utövandet av grundläggande rättigheter som yttrande- och organisations frihet.6
Daniel J. Solove7 vid George Washington University Law School har delat in olika teoribildningar kring den personliga integriteten i ett antal kategorier. Kategorierna innebär en generalisering och överlappar till viss del varandra, men visar ändå på skillnader i de olika synsätten.
5.2.2. Rätten att bli lämnad i fred
Det första synsättet handlar om rätten att bli lämnad i fred (the right to be let alone). Detta synsätt genomsyrar Samuel D. Warrens och Louis D. Brandels artikel i Harvard Law Review år 1890 med titeln
The Right to Privacy, vilken torde vara en av de mest kända skrifterna
om personlig integritet. Bakgrunden till artikeln var den teknikutveckling som då var aktuell. Tillgängligheten av kameror för privatpersoner, mindre och billigare än tidigare, och tryckpressar hade möjliggjort en ökad spridning av information om enskildas privatliv. Tillsammans med tidningarnas ”affärsmetoder” – på bara några årtionden hade antalet tidningar ökat från 100 som lästes av 800 000 personer till 800 tidningar med 8 000 000 läsare – ledde detta enligt Warren och Brandels till ett ökat behov av skydd för privatlivet och, som det uttrycktes, ”the right to be let alone”. Vad som ansågs omfattas av denna rätt att vara i fred framgick dock mindre klart.8 Synen på vad som är privat har sedan dess förändrats och dagens tekniska företeelser – t.ex. sakernas internet (Internet of Things), big data, möjligheterna till avlyssning och lagring av trafikdata – innebär helt andra utmaningar.
6 Bylund, s. 18.7 Daniel J. Solove, Understanding Privacy.8 Se vidare Understanding privacy s. 17.
5.2.3. Oönskad tillgång till jaget
Ett annat sätt att se på integritet innebär att individen ska ha möjlighet att värja sig mot oönskad tillgång till ”jaget” (limited access to the self). Sissela Bok har beskrivit detta som ett skydd mot att andra får oönskad åtkomst genom fysiskt tillträde, personlig information, eller uppmärksamhet.9 Ernest Van Den Haag har uttryckt sig på liknande sätt. Enligt honom är rätten till privatliv en persons exklusiva rätt till en privat sfär där han eller hon har rätt att hindra andra från att titta, utnyttja eller invadera (inkräkta på, eller på annat sätt påverka). Något förenklat kan personlig integritet enligt detta synsätt sägas handla om att begränsa andras tillgång till det som är privat.10
Skyddet för den privata sfären har ibland betraktats som något vi har en slags moralisk äganderätt till. Det vi äger får vi hantera som vi vill, så länge vi inte kränker andras motsvarande rätt. Vi kan dock ge upp denna rätt, t.ex. genom att exponera oss för andra i en offentlig miljö.11
5.2.4. Hemlig information
I tredje kategorin ryms teorier som går ut på att offentliggörande av information som inte tidigare avslöjats innebär en kränkning av den personliga integriteten (secrecy, the concealment of certain matters from others). Mot detta synsätt har riktats kritik bl.a. på den grunden att vilken information som är känslig, dvs. som vi vill hålla för oss själva, kan variera efter sammanhang och dessutom fylla olika syften. Att vi har delat med oss uppgifter om oss själva till en viss begränsad krets innebär inte nödvändigtvis att vi vill dela den med andra personer.12
Bland annat Helen Nissenbaum förespråkar en mer kontextuell syn på integritet, eftersom vad som är känsligt kan variera över tid, i olika situationer och mellan personer.13 Det har även anförts att den
9 Sissela Bok, Secrets: On the Ethics of Concealment and Revelation, s. 10 f.10 Se vidare Solove s. 18 f.11 Torbjörn Tännsjö, Privatliv, s. 53 f. med hänvisningar.12 Se vidare Solove s. 21 f.13A Contextual Approach to Privacy Online.
personliga integriteten snarare är en process än något statiskt, där frågan om vad som ska vara publikt eller privat avgörs med utgångspunkt i varje enskild situation.14
5.2.5. Kontroll över egna uppgifter och Strömholms kränkningsförteckning
Många teorier om personlig integritet handlar om individens kontroll över uppgifter om henne eller honom (control over personal information – the ability to exercise control over information about oneself).15Ett känt exempel är Alan Westin, som tog sin utgångspunkt i den enskildes rätt att kontrollera utflödet av personlig information och som såg utflöde av personlig information som en in tegritets förlust. Westin anför bl.a. att ”privacy” är individers, gruppers eller institutioners anspråk på att själva bestämma när, hur, och i vilken utsträckning information om dem kommuniceras till andra.16 Från detta synsätt på in tegritet kan paralleller dras till det juridiska krav på samtycke för behandling av personuppgifter, som många gånger uppställs i lagstiftning. Krav på samtycke kan vara ett sätt att ge individen kontroll över hur personuppgifter behandlas.
Alan Westin pekade ut fyra speciella funktioner som ett rättsligt skydd för individens privata sfär bör tillgodose, och som återgavs av Stig Strömholm.17 Enligt vad som anfördes behövs en ”right to privacy” för känslan av personlig självbestämmanderätt, för att uppnå känslomässig avkoppling, för att kunna genomföra en fri värder ing av andras och inte minst eget handlande, och slutligen för att kommunicera fritt med andra efter eget val. Strömholm pekade på olika faktorer som innebär ökade risker för integritetsintrång, där ibland de utökade möjligheter till övervakning och behandling av obegränsade informationsmängder som den tekniska utvecklingen inneburit. Som en negativ bestämning av integritetsbegreppet gjorde Strömholm en förteckning över vad han ansåg kunde utgöra integritetskränkningar, vilka i sin tur kan delas in i tre huvudgrupper:
14 Se bl.a. Markus Bylund, a.a., s. 24 f. med hänvisningar.15 Solove s. 24 f.16 Alan Westin, Privacy and Freedom, 1967.17Individens skyddade personlighetssfär (ur antologin Om våra rättigheter; se även SvJT 1971
s. 698 f).
1. intrång i en annan persons privata sfär,
2. insamlande av uppgifter om en persons privata förhållanden, och
3. offentliggörande och annat utnyttjande av material om en per-
sons privata förhållanden.
Enligt Strömholm kunde ”privatsfären” eller ”integritetssfären” kränkas genom 14 närmare angivna handlingar.18 Grovt sammanfattat skulle denna privata sfär vara
en beteckning för den enskildes intresse av att själv och ensam så att säga reglera dels flödet av den information som utgår beträffande hans förhållanden, dels utnyttjandet av sådan information samt av speciella identifikationsdata (namn, bild, röst).
5.2.6. Det att vara människa
Det finns även en teori enligt vilken den personliga integriteten ses som ett sätt att skydda ”det att vara människa” (personhood).19 Edward Bloustein har beskrivit det som att det är individualiteten som skyddas, medan Jeffrey Reiman har gett uttryck för uppfattningen att den personliga integriteten skyddar individens intresse av att bli, vara och förbli en person. Stanley Benn betonar att den person liga integriteten handlar om att respektera individens beslut. Även USA:s högsta domstol har framhållit att den personliga integriteten bl.a. innebär att det ska finnas utrymme att själv fatta vissa viktigare beslut.20
18 De 14 handlingarna som kan kränka den privata sfären är enligt Strömholm 1) tillträde till och genomsökande av privata lokaler eller annan egendom, 2) kroppsundersökning, 3) medicinska undersökningar, psykologiska tester osv., 4) intrång i en persons privata sfär genom skuggning, spionerande, telefonterror o.d., 5) som ett speciellt kvalificerat eller, genom sina möjliga konsekvenser, speciellt farligt särfall till grupperna 1 och 4, ofredande genom företrädare för massmedierna, t.ex. i form av ”snokreportage”, men även påträngande och brutala intervjuer av olycksoffer, dessas anhöriga eller eljest personer, som har svårt att värja sig, 6) olovlig ljudupptagning, fotografering eller filmupptagning, 7) brytande av brevhemlighet, 8) telefonavlyssning, 9) utnyttjande av elektronisk avlyssningsapparatur, 10) spridande av förtroliga uppgifter (t.ex. genom advokater, läkare, själasörjare), 11) avslöjande inför offentligheten av annans privata förhållanden, 12) olika former av utnyttjande av annans namn, bild eller liknande identifieringsmedel, 13) missbruk av annans ord eller meddelanden (exempelvis genom förvrängda eller helt uppdiktade intervjuer), och 14) angrepp på annans heder och ära.19 Översättningen av termen personhood från engelska till svenska, ”det att vara människa”, är hämtad från Nationalencyklopedin.20 Se vidare Solove s. 29 f.
5.2.7. Förhållandet mellan människor
En annan teori som har blivit allt populärare brukar kallas ”intimacy”, dvs. intimitet. Enligt den teorin handlar personlig integritet inte bara om individens självförverkligande, utan också förhållandet mellan människor. Robert Gerstein hävdar t.ex. att intima förhållanden inte skulle kunna existera om vi inte höll fast vid att de skulle vara privata.21
Irvin Altman har beskrivit samvaron med andra människor som en funktion av personlig integritet. Enligt Altmans synsätt är integriteten en process, snarare än ett tillstånd, där målet är att i varje stund uppnå optimal balans mellan det publika och det privata. Individen behöver ha möjlighet att i varje ögonblick avgöra vad som är privat respektive publikt, eftersom det är något som varierar utifrån förutsättningarna som råder för stunden. Processen bestäms inte bara utifrån individens subjektiva preferenser utan även i samspel med övriga inblandade parter. Synen på personlig integritet som process sätter alltså fokus på att skapa handlingsutrymme för att kontinuerligt reglera vad som är privat respektive publikt. Att på förhand bestämma att en viss sorts personuppgifter ska vara privat eller publikt är ointressant, eftersom det beror på så många olika faktorer i sammanhanget.22
5.3. Behandling av begreppet i tidigare lagstiftningsarbeten
5.3.1. Inledning
Det kan konstateras att synen på den personliga integriteten skiljer sig åt, såväl när det gäller vad som omfattas som vilka syften den har. Begreppets innebörd har behandlats i olika lagstiftningssammanhang. Fram till den grundlagsändring som gjordes år 2011 var utvecklingen av integritetsskyddet framför allt inriktad på att förbjuda företeelser som inte ansågs försvarbara efter beaktande av dels den skada de skulle innebära för den personliga integriteten, dels de motstående intressen – t.ex. brottsbekämpning och intresset av offent-
21 Se vidare Solove s. 34 f.22 Se vidare Bylund s. 24 f.
lighet – som funnits att beakta.23 I detta avsnitt redovisar vi ett antal utredningar som har övervägt innebörden av begreppet personlig integritet ur ett mer generellt perspektiv.
5.3.2 1966 års integritetsskyddskommitté och Yttrandefrihetsutredningen
Bland äldre utredningar kan särskilt nämnas 1966 års integritets-
skyddskommitté som hade i uppdrag att utreda frågor om förstärkt
integritetsskydd på personrättens område. Utöver sitt slutbetänkande Privatlivets fred24 lämnade kommittén tre delbetänkanden om skydd mot avlyssning, olovlig fotografering och kameraövervakning samt reklam och integritet. I slutbetänkandet behandlades problem som är förenade med intrång i privatlivet genom användning och spridning av integritetskränkande material. Kommittén lyfte särskilt fram intrång i privatlivet som uppstår genom att uppgifter av privat natur sprids av massmedierna press, radio och TV samt den konflikt som ofta uppstår mellan intresset att skydda den enskildes privatliv å ena sidan, och massmediernas intresse och uppgift att säkerställa ett fritt meningsutbyte och en allsidig upplysning i samhället å andra sidan. Enligt kommittén torde grundtanken med personlig integritet kunna uttryckas så, att den enskilde kan göra anspråk på en fredad privat sektor inom vilken han kan avvisa inblandning från utomstående. Integritetsbegreppet ansågs i det sammanhanget vara liktydigt med den enskildes anspråk på att information om hans privata angelägenheter inte ska vara tillgänglig för eller få begagnas av utomstående utan hans vilja.25
Slutbetänkandet lämnades vidare till Yttrandefrihetsutredningen för att beaktas i denna kommittés arbete. I deras betänkande26 behandlades bl.a. frågan om kriminalisering av kränkningar av privatlivets fred. Kommitténs bedömning var att en sådan kriminalisering inte borde införas och framhöll att hänsynen till den personliga integriteten hade fått stort utrymme i olika lagstiftningssammanhang, bl.a. den dåvarande sekretesslagen (1980:100).
23SOU 2007:22 s. 52.24 1966 års integritetsskyddskommittés slutbetänkande Privatlivets fred, SOU 1980:8.25SOU 1980:8 s. 9.26 Yttrandefrihetsutredningens betänkande Värna yttrandefriheten, SOU 1983:70.
5.3.3. Data- och offentlighetskommittén
Data- och offentlighetskommittén hade i uppdrag att utreda bl.a. användningen av personnummer inom den offentliga och den enskilda sektorn samt problem som var förenade med offentlighetsprincipens tillämpning på upptagningar för automatisk databehandling. I delbetänkandet27 föreslog kommittén bl.a. att ett skydd för den enskildes personliga integritet i datasammanhang skulle skrivas in i regeringsformens fri- och rättighetskatalog, vilket senare också gjordes. Kommittén framhöll att det rests krav på ett stärkt skydd mot intrång i medborgarnas personliga integritet, i takt med att den tekniska utvecklingen på dataområdet fortskridit och uppgifter om medborgarna samlas och bearbetas med hjälp av automatisk databehandling i allt fler sammanhang och allt större uträckning. Mot bakgrund av risken för otillbörliga intrång i den personliga integriteten ansågs det vara väsentligt att visa vilken vikt samhället tillmäter integritetsfrågorna.
Efter en kort genomgång av olika försök i lagstiftning och doktrin att definiera begreppet personlig integritet konstaterade kommittén att det i dessa nästan alltid framhålls ett moment av själv bestämmande för den enskilde, inbegripet en rätt för den enskilde att själv bestämma vilka uppgifter om sig själv och sina personliga förhållanden som han ska lämna ifrån sig och även hur dessa uppgifter ska användas och spridas. En annan gemensam utgångspunkt som konstaterades var den enskildes rätt till en fredad sektor.28
I betänkandet lyftes fram omständigheter som ansågs vara av betydelse för att få en uppfattning om begreppet integritet. Mot dessa faktorer skulle ställas de krav som samhället har och en rimlig avvägning göras från fall till fall. Enligt kommittén var de omständigheter som främst gjorde sig gällande för den personliga integriteten arten av de personuppgifter som inhämtas och registreras, hur dessa uppgifter används, av vem de används, varför de används, hur de sprids samt mängden av uppgifter som samlas på ett och samma ställe. Vidare framhöll kommittén betydelsen av att de insamlade uppgifterna var korrekta och aktuella.29
27 Data och offentlighetskommitténs delbetänkande Integritetsskyddet i informationssamhället 3,
Grundlagsfrågor Ds Ju 1987:8.
28 Ds Ju 1987:8. s. 25.29 Ds Ju 1987:8, s. 32.
5.3.4. Skyddet för enskilda personers privatliv – En studie
Justitierådet Per Jermsten fick 1992 i uppdrag att utreda vissa frågor angående skyddet för enskilda personers privatliv. Uppdraget redovisades i departementspromemorian Skyddet för enskilda personers
privatliv – En studie30 och inriktades på den personliga integriteten i
ideell mening. En särskild anledning till den ökande oron gällande den personliga integriteten som lyftes fram i promemorian var den insamling, lagring och användning av uppgifter om enskilda personer och deras förhållanden som pågick inom både offentlig och privat verksamhet, liksom den ökande ansamlingen av personrelaterade data i register och arkiv. Sett mot bakgrund särskilt av den snabba tekniska utvecklingen i fråga om bl.a. bearbetning och överföring av uppgifter var det enligt utredaren knappast förvånande att oron för ett otillbörligt och kränkande utnyttjande av uppgifterna ökade.
När det sedan gäller den återkommande frågan om vad som avses med begreppet personlig integritet anfördes följande.31
Ifrågavarande problem, som ingalunda är specifikt hos oss, har till en början sin grund i den mångfald förfaranden som kan utgöra eller upplevas som ett angrepp på någons person eller privata sfär. När det sedan gäller att avgränsa vad som ytterst bör ingå i det skyddsvärda området tillkommer den komplikationen att det inte sällan blir fråga om avvägningar som i viss mån beror på upplevelser, känslor och värderingar, dvs. som kan vara påfallande subjektiva. Till detta kommer att uppfattningen om vad som hör, eller bör höra till den personliga integriteten, privatlivets helgd, den privata sfären – eller andra liknande, sammanfattande termer för vad det här ungefär är fråga om – förändras med tidens gång och den allmänna samhällsutvecklingen. Det är med andra ord svårt att ge ett sådant begrepp en tydligare avgränsning än att det innefattar vad som normalt framstår som angeläget att värna om för att den enskilde skall vara tillförsäkrad en rimlig, fredad, privat zon.
5.3.5. Integritetsutredningen
I betänkandet Personlig integritet i arbetslivet anförde Integritetsutredningen följande angående vad som egentligen innefattas i begreppet personlig integritet.32
30Ds 1994:51.31Ds 1994:51 s. 8 f.32 Integritetsutredningens betänkande Personlig integritet i arbetslivet, SOU 2002:18.
Utredningen har gjort en genomgång av åtskillig svensk och utländsk litteratur i ämnet för att söka finna svaret på denna fråga. Det har emellertid visat sig att begreppet personlig integritet inte är så lättfångat. Stora ansträngningar har gjorts för att definiera det men någon kortfattad generell konkretisering av begreppets språkliga innebörd har utredningen inte kunnat finna. Men som en klar gemensam nämnare framstår i vart fall uppfattningen att begreppet personlig integritet innebär att alla människor har rätt till en personlig sfär där ett oönskat intrång, såväl fysiskt som psykiskt, kan avvisas.
De flesta människor har också en bestämd uppfattning om vad personlig integritet innebär för deras egen del och de uttrycker detta mestadels på motsvarande sätt som nyss nämnts. Men uppfattningen om storleken av den privata sfären kan variera kraftigt mellan olika människor beroende framför allt på deras kulturella, etniska, religiösa och sociala bakgrund. Omfånget av den personliga sfären uppfattas inte heller som statiskt, inte ens för den egna individen, utan kan förändras med hänsyn till bl.a. vunna erfarenheter och den aktuella situationen.
5.3.6. Personuppgiftslagsutredningen
I betänkandet Översyn av personuppgiftslagen33 behandlade Personuppgiftslagsutredningen begreppet personlig integritet, med en särskild inriktning på automatiserad behandling av personuppgifter. Utred ningen pekade bl.a. på resultat från undersökningar som visat att människor upplevde det som obehagligt att deras personuppgifter flödade fritt utom deras kontroll, oavsett om uppgifterna i någon mening missbrukades eller om de själva råkade ut för något negativt på grund av att uppgifterna användes.34 Det framhölls att personlig integritet kan vara att slippa få vissa personliga uppgifter – sådana som det finns rimliga skäl att beteckna som integritetskänsliga – om sig själv spridda till andra människor. Som så många andra konstaterade dock utredningen att svårigheten att definiera begreppet positivt ofta lett till att man i stället försöker identifiera vad som konstituerar en kränkning av den personliga integriteten. Vidare konstaterades att rätten till personlig integritet inte är absolut, utan att skyddet måste vägas mot andra grundläggande rättigheter och värden och under vissa förutsättningar bli föremål för inskränkningar.35
33 Personuppgiftslagsutredningens betänkande Översyn av personuppgiftslagen, SOU 2004:6.34 Se även Datalagskommitténs betänkande Integritet, offentlighet, informationsteknik, SOU 1997:39 s. 183 f.35SOU 2004:6, s 28 f.
5.3.7. Integritetsskyddskommittén
Integritetsskyddskommittén hade i uppdrag att kartlägga och analysera sådan lagstiftning som rör den personliga integriteten, att överväga om regeringsformens bestämmelse om skydd för den personliga integriteten i 2 kap. 3 § andra stycket borde ändras samt att överväga om det vid sidan av befintlig lagstiftning borde finnas generellt tilllämpliga bestämmelser till skydd för den personliga integri teten. Efter en redogörelse över hur begreppet behandlats i tidigare sammanhang, framför allt i olika lagstiftningsarbeten, konstaterade kommittén i sitt slutbetänkande36 att det inte är möjligt eller i vart fall inte meningsfullt att försöka ge en positiv bestämning av den personliga integriteten, dvs. att formulera en beskrivning som pekar ut alla de situationer i vilka individen har en rätt att få sin integritet respekterad och skyddad. Enligt kommitténs mening kunde det däremot urskiljas vissa moment i den personliga integriteten som är av grundläggande betydelse när rättighetsinskränkande åtgärder övervägs.
Det måste för det första alltid finnas en rätt till skydd som tar sikte på individens kroppsliga integritet, på den enskildes privata tankar och förtroliga kommunikation med andra samt på den enskildes möjligheter att själv avgöra om andra skall få ta del av känsliga uppgifter som rör t.ex. hälsa eller sexualliv. För det andra måste det alltid finnas ett skydd för rätten att stänga om sig, dvs. utgångspunkten måste vara att den enskilde skall vara fri att kunna avskärma sig från omgivningen. Dessa särskilt viktiga beståndsdelar i skyddet för en människa integritet har utgjort kommitténs principiella utgångspunkter för dess överväganden rörande behovet av ny lagstiftning och vad denna bör ta sikte på.37
Efter att ha analyserat lagstiftning som berör den personliga integriteten föreslog Integritetsskyddskommittén bl.a. ett stärkt grundlagsskydd för den personliga integriteten, på så sätt att rätten till person lig integritet gavs självständig betydelse och inte bara – som tidigare – var en funktion av skyddet för främst den fria åsiktsbildningen. Förslaget ledde sedan till att det i 2 kap. 6 § andra stycket regeringsformen infördes en bestämmelse som anger att var och en, utöver vad som i övrigt gäller enligt paragrafen, gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten som görs utan samtycke och innebär övervakning eller kart-
36 Integritetsskyddskommitténs slutbetänkande Skyddet för den personliga integriteten,
Bedömningar och förslag, SOU 2008:3.
37SOU 2008:3, s. 14 f.
läggning av den enskildes personliga förhållanden. I propositionen anslöt sig regeringen till kommitténs utgångspunkter och anförde bl.a. följande.
Någon entydig och allmänt accepterad definition av begreppet synes svår att finna. Möjligen kan det sägas att kränkningar av den personliga integriteten utgör intrång i den fredade sfär som den enskilde bör vara tillförsäkrad och där intrång bör kunna avvisas. Som Integritetsskyddskommittén framhåller är det emellertid knappast nödvändigt att formulera en allmängiltig definition av begreppet personlig integritet för att kunna bedöma vilka intressen som har ett sådant skyddsvärde att de bör omfattas av ett särskilt starkt skydd mot omotiverade ingrepp. Integritetsskyddskommittén bedömer behovet av ett utökat skydd för den personliga integriteten i första hand utifrån den enskildes intresse av att skydda information om sina personliga förhållanden. Regeringen anser att detta är en rimlig utgångspunkt för en utvidgning av integritetsskyddet i regeringsformen.38
Regeringen anförde även att uttrycket information om enskildas personliga förhållanden var avsett att ha samma innebörd som i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400). Som exempel på sådant som kunde omfattas av regler ingen nämndes personliga identifikationsuppgifter samt uppgifter om adress, familjeförhållanden, hälsa och vandel, anställning och ekonomi samt fotografiska bilder.39
5.4. Personlig integritet i detta betänkande
5.4.1. Begreppets innebörd
Det framstår som mycket tveksamt om någon precis men ändå allmängiltig definition av begreppet personlig integritet är möjlig att slå fast. Än svårare är det att åstadkomma detta i lagstiftning. Skälet till att begreppet inte låter sig fångas i en tydlig sentens är att rätten till en privat sfär inte är absolut, utan relaterad till en rad olika omständigheter, som dessutom kan variera över tid. Kommittén delar därför slutsatsen i tidigare omnämnda Ds 1994:51:
Det är svårt att ge ett sådant begrepp en tydligare avgränsning än att det innefattar vad som normalt framstår som angeläget att värna om för att den enskilde skall vara tillförsäkrad en rimlig, fredad, privat zon.
38 Regeringens proposition En reformerad grundlag, prop. 2009/10:80 s. 175.39Prop. 2009/10:80 s. 177.
Det kan också konstateras att de flesta länders rättsordningar saknar en sådan definition, även om försök har gjorts på vissa håll.40 Det kan även ifrågasättas om det finns behov av en exakt definition eller om det mest ändamålsenliga är att från fall till fall avgöra omfattningen av det skydd för integriteten som numera finns uttryckt i regeringsformen.41 Samtidigt måste innebörden vara tillräckligt tydlig för att det ska vara möjligt att avgöra vad som innebär en kränkning eller ett otillbörligt intrång.
Kommitténs uppdrag att utifrån ett individperspektiv kartlägga och analysera faktiska och potentiella risker för intrång i den personliga integriteten är enligt direktiven begränsat till att omfatta sådana intrång i den personliga integriteten som kan uppkomma i samband med användning av informationsteknik, dvs. i samband med användning av de tekniska möjligheter som skapats genom framsteg inom datorteknik och telekommunikation. Kommitténs kartläggning ska således ta sikte på faktiska och potentiella risker för intrång i den
personliga integriteten i ideell mening, dvs. i första hand digital insam-
ling, användning och spridning av uppgifter – inklusive bilder – om enskilda och deras personliga förhållanden.
En utgångspunkt för kartläggningen har varit den enskildes rätt till privata tankar och förtrolig kommunikation med andra, samt den enskildes möjligheter att själv avgöra vem som i olika sammanhang ska få ta del av uppgifter som rör denne. I den rätten ligger även ett skydd mot registrering, spridning eller annan behandling av felaktiga, kränkande eller påhittade uppgifter.
5.4.2. Intrång i den personliga integriteten
Modern teknik gör det möjligt att behandla omfattande mängder uppgifter, som förhållandevis enkelt och snabbt också kan få en nära på obegränsad spridning över t.ex. internet. Behandling av person uppgifter med informationsteknik innebär därför särskilt stora risker ur ett integritetsperspektiv.
Intrång i den personliga integriteten kan ha olika syften, göras på olika sätt och av olika aktörer. Ett intrång kan vara såväl legitimt som otillbörligt och det kan också vara förenligt eller oförenligt med
40 Jfr bl.a. Ds Ju 1987:8 s. 27 f. och SOU 2008:3 s. 14.41 Jfr SOU 2007:22 Del 1 s. 52.
gällande lagstiftning. Intrång kan förekomma internt inom en organisation eller göras utifrån. Det kan också göras med uppsåt eller oavsiktligt.
Statens intrång i den personliga integriteten kan, med de utgångspunkter som nämns ovan, bestå i exempelvis en alltför omfattande insamling av uppgifter eller att insamlade uppgifter används för ett ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in. Det kan också handla om att uppgifter behandlas för länge på grund av att gallring inte görs i tid. Staten skulle även kunna begå sådana intrång genom t.ex. hemlig avlyssning, filmning/kameraövervakning och fotografering, övervakning av elektronisk kommunika tion samt registrering, spridning och annan behandling av käns liga person uppgifter om t.ex. hälsa och sexualliv.
Privata aktörer, bl.a. enskilda personer och företag, kan begå intrång i den personliga integriteten på motsvarande sätt. En tjänsteleverantör som överför eller lagrar elektronisk kommunikation (t.ex. e-post eller inlägg på sociala medier) kan t.ex. begå intrång genom att samla in, använda eller sprida kundernas kommunikation. Vidare kan enskilda personer kränka andra enskildas personliga integritet genom att exempelvis sprida nedsättande uppgifter om dem, oavsett om uppgifterna i sig är sanna eller påhittade.
Kommitténs bedömning av intrång i den personliga integriteten
När ett intrång i den personliga integriteten ska bedömas måste en avvägning göras utifrån berörda intressen. Faktorer som kommittén avser att beakta vid denna avvägning är bl.a. syftet med och behovet av det aktuella intrånget samt vilken nytta intrånget kan förväntas innebära. Detta ska ställas mot den inverkan som intrånget har för den enskilde. Denna inverkan är bl.a. beroende av graden av känslighet, både avseende uppgifterna som sådana men också intrångets karak tär, jfr t.ex. rumsavlyssning. Sammanhanget och intrångets omfattning är också av betydelse, dvs. hur många drabbas och ifall åtgärden är riktad mot en viss krets eller är helt urskillningslös. Möjlig heten att uppnå det önskvärda syftet med hjälp av andra mindre ingripande alternativ bör också bedömas.
Det har betydelse vilken spridning av uppgifter som intrånget innebär. Risken för oönskad spridning har också betydelse för riskbedömningen.
En faktor, som bör vägas in, är risken för att en viss behandling negativt påverkar allmänhetens förtroende i de fall den personuppgifts ansvarige till exempel är en statlig myndighet.
Den enskildes egen inställning till hanteringen av person uppgifter har stor betydelse. När det gäller denna fråga är det förutom frågan om samtycke bl.a. av intresse om den enskilde har rätt till insyn i behandlingen av personuppgifter och möjligheterna till rättelse vid felaktig behandling.
Många intrång i den personliga integriteten är i och för sig befogade. I sådana sammanhang är det av stor vikt att t.ex. lagstiftaren eller en tillämpande myndighet på olika sätt ändå försöker begränsa intrånget. Det kan t.ex. handla om krav på proportionalitet för att en åtgärd ska få vidtas, interna och externa kontrollfunktioner, hur verksamheten organiseras och teknisk säkerhet för information.
I det här delbetänkandet fokuserar vi på risker för den personliga integriteten. I slutbetänkandet återkommer vi med förslag till åtgärder för att hantera riskerna. Då ingår det att väga in flera av de faktorer som nämnts här, som t.ex. nyttan med intrånget.
6. Det grundläggande rättsliga skyddet
6.1. Inledning
Det finns ett stort antal konventioner, EU-direktiv och nationella regleringar som på olika sätt syftar till att skydda den personliga integriteten. I det följande finns en kort beskrivning av de mest grundläggande regleringarna.
6.2. Europakonventionen
Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, som gäller som lag i Sverige (se även 2 kap. 19 § regeringsformen), innehåller bestämmelser om skydd mot bl.a. kroppsliga ingrepp samt om personlig frihet, rörelsefrihet och egendomsskydd (det sistnämnda i ett tilläggsprotokoll). Enligt artikel 8 gäller vidare att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Rätten till skydd för privatlivet har av Europadomstolen getts en vid tolkning. Skyddet omfattar bl.a. uppgifter om den enskildes identitet, inklusive namn och kön, uppgifter om hälsa och sexuell läggning samt information som rör den personliga utveckningen och relationer till andra individer. Det krävs inte att det är fråga om rent privata relationer, utan skyddet kan även omfatta relationer och aktiviteter som är relaterade till den enskildes yrkesliv.1 Skyddet gäller även mot angrepp av den enskildes ära och ryktbarhet och mot spridning av information som rör privata förhållanden.2 Vidare omfattar rätten till
1 Se t.ex. Rotaru mot Rumänien [GC], nr 28341/95.2 Se t.ex. K.U. mot Finland, nr 2872/02, och von Hannover mot Tyskland, nr 59320/00.
respekt för privatlivet ett skydd mot registrering och utlämnande av uppgifter ur allmänna register.3 Av Europadomstolens praxis framgår vidare att artikel 8 ålägger staten såväl en negativ förpliktelse att avstå från att göra intrång i rätten till respekt för privat- och familjelivet som en positiv förpliktelse att skydda enskilda mot att andra enskilda handlar på ett sätt som innebär integritetsintrång.4
Inom Europarådet har även antagits en särskild konvention om skydd för enskilda vid automatisk databehandling av person uppgifter (den s.k. dataskyddskonventionen).
6.3. EU:s rättighetsstadga
Europeiska unionens stadga om de grundläggande rättigheterna, som fogats till Lissabonfördraget, innehåller bestämmelser som är tänkta att återspegla medlemsstaternas gemensamma konstitu tionella traditioner och internationella åtaganden när det gäller grund läggande fri- och rättigheter. Stadgan innehåller bl.a. bestämmel ser om skydd för den personliga integriteten.
I artikel 3 finns ett generellt stadgande om att var och en har rätt till fysisk och mental integritet. Där finns även vissa mer specifika bestämmelser om integritetsskydd inom medicin och biologi, bl.a. ett förbud mot reproduktiv kloning av människor. Enligt artikel 7 har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Vidare innehåller artikel 8 bestämmelser om skydd för personuppgifter. Där anges att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har vidare rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler följs.
3 Leander mot Sverige, nr 9248/81, och Segerstedt-Wiberg m.fl. mot Sverige, nr 62332/00.4 Se t.ex. Airey mot Irland, dom den 9 oktober 1979, Serie A nr 32, samt X och Y mot Nederländerna, dom den 26 mars 1985, Serie A nr 91 och målet E.S mot Sverige, appl. no. 5786/08.
6.4. Regeringsformen
Av målsättningsstadgandet i 1 kap. 2 § regeringsformen framgår att den offentliga makten ska utövas med respekt för den enskilda människans frihet och värdighet samt att det allmänna ska värna den enskildes privatliv och familjeliv. Vidare innehåller 2 kap. regeringsformen bl.a. bestämmelser om skydd mot kroppsliga ingrepp samt om personlig frihet, rörelsefrihet och egendomsskydd. I 2 kap. 6 § föreskrivs ett skydd mot bl.a. husrannsakan och liknande intrång samt mot undersökning av brev eller annan förtrolig försändelse och mot hemlig avlyssning eller upptagning av telefonsamtal eller annat förtroligt meddelande. Även i övrigt är var och en, enligt samma para graf, gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten som görs utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. I förarbetena till denna bestämmelse anförs bl.a. att kränkningar av den personliga integriteten utgör intrång i den fredade sfär som den enskilde bör vara tillförsäkrad och där ett oönskat intrång bör kunna avvisas.5
6.5. Personuppgiftslagen
6.5.1. Dataskyddsdirektivet
Personuppgiftslagen (1998:204) har sin grund i det s.k. dataskyddsdirektivet6 som antogs 1995. Direktivet genomfördes i Sverige genom personuppgiftslagen och ett antal särregleringar i förhållande till denna lag. Syftet med direktivet är att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av person uppgifter samt att underlätta ett fritt flöde av personuppgifter mellan medlemsstaterna.
På EU-nivå finns även vissa kompletterande rättsakter, bl.a. när det gäller skydd av personuppgifter i frågor som rör polisiärt och straffrättsligt samarbete. Ett exempel på detta är rådets rambeslut
5 Regeringens proposition En reformerad grundlag, prop. 2009/10:80 s. 175; se även Regeringens proposition Översyn av personuppgiftslagen, prop. 2005/06:173 s. 15.6 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.
2008/977/RIF om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet).
6.5.2. Lagens tillämpningsområde
Genom personuppgiftslagen har dataskyddsdirektivet genomförts i svensk rätt. Personuppgiftslagen gäller vid behandling av personuppgifter i verksamheter som bedrivs av såväl enskilda som av myndig heter. Den gäller däremot inte om en fysisk person behandlar upp gifter helt privat. Lagen innehåller allmänna riktlinjer för behandlingen av person uppgifter, oavsett ändamålet med behandlingen. Person uppgiftslagen ersatte den tidigare datalagen (1973:289).
Personuppgiftslagen är subsidiär i förhållande till annan lagstiftning, vilket innebär att om det i en annan lag eller i en förordning finns bestämmelser som avviker från denna lag, ska de andra bestämmelserna gälla. Sådana avvikande bestämmelser finns på en rad olika områden och är ofta begränsade till ett visst verksamhetsområde, en viss typ av register eller för ett särskilt register. Som exempel på sådana registerförfattningar kan nämnas lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, patientdatalagen (2008:355) och polisdatalagen (2010:361). Utgångspunkten har varit att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag.7
6.5.3. Grundläggande krav för behandlingen
I 9 § personuppgiftslagen anges vissa grundläggande krav för all behandling av personuppgifter. Det är den personuppgiftsansvarige som gentemot den registrerade ansvarar för att dessa grundläggande krav alltid uppfylls vid behandlingen.
Personuppgifter får behandlas bara om det är lagligt och behandlingen ska alltid göras på ett korrekt sätt och i enlighet med god sed. Insamling och annan behandling av personuppgifter får endast göras för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålen med en behandling av personuppgifter måste alltså bestämmas
7 Se t.ex. Regeringens proposition Om offentlighet, integritet och ADB, prop. 1990/91:60 s. 58.
redan när uppgifterna samlas in. Det eller de ändamål som anges får inte vara alltför allmänt hållna. Som exempel kan nämnas att det har ansetts otillräckligt att ange kontroller som ändamål för loggning och övervakning; även syftet med kontrollerna måste anges med t.ex. övervakning av tekniska och säkerhetsmässiga skäl eller uppföljning av att interna regler följs.8
Enligt den s.k. finalitetsprincipen får uppgifterna efter att de samlats in inte behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in. Det innebär t.ex. att uppgifter om anställda som samlas in för att utgöra underlag för prestationslön inte får användas för att i realtid övervaka hur de utför sina arbetsuppgifter och när de tar raster.9 Det innebär också att möjligheterna till s.k. samkörning av register begränsas. Vidare följer en skyldighet för den personuppgiftsansvarige att under hela tiden som uppgifterna behandlas hålla reda på för vilka ändamål varje personuppgift har samlats in.10 Den personuppgiftsansvarige anses vara skyldig att se till att personuppgifter för olika ändamål inte blandas.11
Det krävs inte att en registrerad samtycker till eventuell behandling för nya ändamål som inte är oförenliga med det ursprungliga ändamålet eller att ny information lämnas till den registrerade. Ett utlämnande av personuppgifterna till annan måste emellertid vara förenligt med de ursprungliga ändamålen. Vid bedömningen av detta krävs att man beaktar vad den som vill ha ut uppgifterna ska använda dem till och jämföra den tilltänkta användningen med de ursprungliga ändamålen.12 Den som har fått ut uppgifterna anses däremot inte vara bunden av de ändamål som ursprungligen bestämts av den person uppgiftsansvarige som lämnat ut uppgifterna.13
Det finns vidare krav på att personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Det innebär att ovidkommande uppgifter inte får behandlas. De behandlade personuppgifterna ska vidare vara riktiga och aktu-
8 Datainspektionens rapport 2005:3 s. 14.9 Datainspektionens beslut den 27 juni 2007, dnr 87-2207.10 Sören Öman och Hans-Olof Lindblom, Personuppgiftslagen – En kommentar, fjärde upplagan, s. 203.11 Regeringens proposition Omreglering av apoteksmarknaden, prop. 2008/09:145 s. 336.12 Regeringens proposition Effektivare pantbrevshantering m.m, prop. 2002/03:57 s. 26).13 Öman och Lindblom, s. 204.
ella. Uppgifterna får inte heller vara fler än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Även för bedömningen av detta krävs att ändamålet har preciserats i tillräcklig grad.
Om kraven på behandlingen av personuppgifter inte uppfylls ska den personuppgiftsansvarige vidta alla rimliga åtgärder för att utplåna, blockera eller rätta uppgifterna.
Slutligen gäller att personuppgifter inte får sparas längre än nödvändigt med hänsyn till de ändamål för vilka de behandlas. Därefter ska uppgifterna avidentifieras eller förstöras. Behandling för historiska, statistiska eller vetenskapliga ändamål får dock pågå under längre tid än vad som är nödvändigt med hänsyn till de ursprungliga ändamålen.
6.5.4. Tillåten behandling
Personuppgiftslagen innehåller en uttömmande uppräkning av under vilka förutsättningar behandling av personuppgifter är tillåten (10– 12 §§). Som utgångspunkt gäller att personuppgifter endast får behandlas om den registrerade har lämnat sitt samtycke till det. Samtycket måste lämnas innan behandlingen påbörjas.14 Har den regi strerade inte lämnat sitt samtycke till behandlingen krävs att den är nödvändig för något av vissa i lagen angivna ändamål. Det kan vara för att fullgöra ett avtal med den registrerade eller för att fullgöra en rättslig skyldighet, men också när det krävs för att vitala intressen för den regi strerade ska kunna skyddas eller för att en arbetsuppgift av allmänt intresse ska kunna utföras. Slutligen får personuppgifter även behandlas om en intresseavvägning ger vid handen att den person uppgiftsansvariges berättigade intresse av en behandling väger tyngre än den regi strerades intresse av integritetsskydd. Som exempel på tillämpning av nämnda bestämmelse kan nämnas att Datainspek tionen efter en intresseavvägning har ansett att det av trafiksäkerhets skäl är tillåtet att logga personuppgifter om utandningsprov som lämnats av bl.a. bussförare i samband med arbetspass.15
Av 13 § personuppgiftslagen följer ett förbud mot behandling av känsliga personuppgifter. Känsliga personuppgifter definieras som uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter,
14 Jfr NJA 2005 s. 361.15 Datainspektionens beslut den 12 januari 2011, dnr 500-2010.
reli giös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Förbudet omfattar enligt 5 a § inte personuppgifter som inte ingår i eller är avsedda att ingå i strukturerat material, dvs. en samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier.
I 14–19 §§ anges ett antal fall då känsliga uppgifter får behandlas trots förbudet i 13 §. Känsliga personuppgifter får till att börja med behandlas om den registrerade har samtyckt till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Vidare får känsliga personuppgifter behandlas om det är nödvändigt med hänsyn till vissa särskilt angivna ändamål, t.ex. för att den registrerades eller någon annans vitala intressen ska kunna skyddas och den regi strerade inte kan lämna samtycke till behandlingen, eller för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras. Det finns även undantag för ideella organisationer med vissa syften. Om fattande undan tag gäller också i fråga om behandling av känsliga personuppgifter för hälso- och sjukvårdsändamål samt för forsknings- och statistikändamål. Dessutom finns utrymme för regeringen, eller den myndighet regeringen bestämmer, att enligt 20 § meddela föreskrifter om ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse. Sådana föreskrifter finns i 8 § person uppgiftsförordningen (1998:1191). Enligt den bestämmelsen får myndigheter generellt behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ärendet.
Enligt 21 § personuppgiftslagen är det som huvudregel förbjudet för andra än myndigheter att behandla sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Upp gifter om person nummer och samordningsnummer får enligt 22 § behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifier ing eller något annat beaktansvärt skäl. Med hänsyn till vikten av säker identifiering har det t.ex. ansetts motiverat att behandla person nummer i bl.a. vårdregister, inom socialtjänsten och i kreditupplysningsverksamhet.16
16 Öman och Lindblom s. 347 med hänvisningar.
6.5.5. Information och rättelse
I 23–27 §§personuppgiftslagen finns bestämmelser som syftar till att trygga den enskildes rätt att kontrollera om behandling av personuppgifter om honom eller henne pågår. Om uppgifterna samlas in från personen själv ska den personuppgiftsansvarige självmant lämna information till den registrerade om behandlingen av uppgifterna. Har uppgifterna samlats in från någon annan än den enskilde, ska han eller hon informeras när uppgifterna registreras, eller, om avsikten med behandlingen är att lämna ut dem till tredje man, när upp gifterna lämnas ut första gången. Information behöver dock inte lämnas om det finns bestämmelser om registrerandet eller ut lämnande av uppgifterna i författning eller om det skulle vara omöjligt eller kräva en oproportionerligt stor arbetsinsats att informera. Informationen ska omfatta uppgift om vem som är personuppgiftsansvarig, ändamålet med behandlingen samt all övrig information som den registrerade behöver för att kunna ta tillvara sina rättigheter i samband med behandlingen. Den personuppgiftsansvarige är vidare skyldig att efter ansökan, en gång per år, gratis informera om ifall, och i så fall vilka uppgifter om sökanden som behandlas, ändamålet med behandlingen, varifrån uppgifterna kommer och till vem de lämnas ut. Uppgiftsskyldigheten omfattar dock inte alla uppgifter, bl.a. inte uppgifter som omfattas av sekretess eller tystnadsplikt gentemot den registrerade.
Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen, ska enligt 28 § på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige. Om felaktiga personuppgifter har lämnats ut till tredje man, ska denne i vissa fall informeras om korrigeringen.
6.5.6. Säkerhet vid behandlingen
I 31 § personuppgiftslagen finns bestämmelser om säkerhet vid behandling av personuppgifter. Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de person uppgifter som behandlas. Åtgärderna ska åstadkomma en säker hetsnivå som är lämplig med beaktande av de tekniska möjlig-
heter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur känsliga de behandlade personuppgifterna är.
De tekniska möjligheterna handlar om vilka hjälpmedel som finns tillgängliga på marknaden. Tekniska system kan bl.a. innehålla funktioner för behörighetskontroll, förande av behandlingshistorik såsom loggning, och kryptering. De särskilda risker som finns med en behandling kan exempelvis vara beroende av antalet personer som de behandlade uppgifterna rör.17 Känsligheten hos personuppgifterna kan handla om arten hos de personuppgifter som behandlas, men även om andra faktorer som t.ex. mängden av uppgifter om enskilda personer.
Datainspektionen har utfärdat allmänna råd om säkerhet för
personuppgifter. I dessa råd anges bl.a. att en personuppgiftsansvarig
bör ha en fastställd säkerhetspolicy, i vart fall om en omfattande behandling av personuppgifter utförs eller om känsliga person uppgifter behandlas, samt att kontroller bör genomföras för att säkerställa att riktlinjer och regler följs. Det kan bl.a. handla om system för behörighetskontroll, för att säkerställa vilka anställda som får del av åtkomstskyddade personuppgifter. Det bör vidare finnas rutiner för rapportering och uppföljning av säkerhetsincidenter.18
Det är den personuppgiftsansvarige som ansvarar för säkerheten. Om ett personuppgiftsbiträde anlitas ska den personuppgiftsansvarige förvissa sig om att biträdet kan genomföra de säkerhetsåtgärder som måste vidtas och att se till att det verkligen görs. Även om den faktiska behandlingen av uppgifterna överlåts, så kvarstår alltid det yttersta ansvaret hos den personuppgiftsansvarige.
6.5.7. Överföring av personuppgifter till tredje land
Enligt 33 § personuppgiftslagen är det förbjudet att föra över personuppgifter till tredje land om landet inte har en adekvat nivå för skyddet av personuppgifter. Förbudet gäller också överföring av personuppgifter för behandling i tredje land. Bestämmelsen gäller däremot inte vid behandling av personuppgifter i ostrukturerat material. Den som uppsåtligen eller av grov oaktsamhet kränker den registrerades
17 Öman och Lindblom s. 437 f.18 Se vidare Datainspektionens allmänna råd – Säkerhet för personuppgifter.
personliga integritet genom att föra över personuppgifter till tredje land som inte har en adekvat skyddsnivå kan göra sig skyldig till brott mot personuppgiftslagen (se nedan).
Frågan om skyddsnivån är adekvat ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen i det enskilda fallet. I paragrafen anges att särskild vikt ska läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet.
I 34 § anges ett antal undantag från förbudet i 33 §. Det är bl.a. tillåtet att föra över personuppgifter till tredje land om den registrerade har lämnat sitt samtycke därtill eller om överföringen är nödvändig för vissa närmare angivna syften, bl.a. för att den registrerades vitala intressen ska kunna skyddas. Vidare är det tillåtet att föra över personuppgifter för användning i en stat som har anslutit sig till Europa rådets dataskyddskonvention. I 35 § finns bemyndiganden som framför allt ger regeringen möjlighet att besluta om ytterligare undantag från förbudet i 33 §.
6.5.8. Kommande lagstiftning
Den 15 december 2015 kom EU-kommissionen, Europaparlamentet och EU:s ministerråd överens om ett förslag till ny EU-förordning om dataskydd som ska ersätta såväl dataskyddsdirektivet som person uppgiftslagen. Europaparlamentet beslutade den 16 april 2016 att anta förordningen. Förordningen publicerades den 4 maj 2016 i Europeiska unionens officiella tidning med den korta benämningen ”allmän dataskyddsförordning”.19 Förordningen ska tillämpas från och med den 25 maj 2018. Syftet med förordningen har framför allt varit att ytterligare harmonisera och effektivisera skyddet av personuppgifter för att förbättre den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Förordningen är direkt tillämplig i medlemsstaterna.
19 Den fullständiga benämningen är Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Den 4 maj 2016 publicerades även det direktiv som ska ersätta dataskyddsrambeslutet (rambeslut 2008/977/RIF).20 Direktivet omfattar, till skillnad från dataskyddsrambeslutet, inte endast utbyte av information över gränserna, utan även nationell person uppgifts behandling inom den brottsbekämpande sektorn. Medlemsstaterna ska, som huvud regel, senast den 6 maj 2018 anta och offentliggöra de lagar och andra författningar som är nödvändiga för att följa direktivet samt börja tillämpa dessa bestämmelser från och med den 6 maj 2018.
6.6. Lagen om elektronisk kommunikation
I lagen (2003:389) om elektronisk kommunikation finns bl.a. bestämmelser om integritetsskydd vid tillhandahållande av elektroniska kommunikationsnät och elektroniska kommunikationstjänster samt vid abonnentupplysning. Regleringen bygger på Europa parlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktivet om integritet och elektronisk kommunikation).
Av 6 kap. 5, 6 och 8 §§ lagen om elektronisk kommunikation framgår att bl.a. tele- och internetleverantörer enligt huvudregeln ska utplåna eller avidentifiera trafikuppgifter när de inte längre behövs för att överföra ett elektroniskt meddelande. Det finns dock flera undantag från denna princip. Uppgifterna får bl.a. sparas när det är nödvändigt för att kunna förhindra och avslöja obehörig användning av ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst. De får även sparas om de behövs för abonnent fakturering eller för betalning av avgifter för samtrafik. Om en abonnent eller användare har samtyckt till det, får upp gifterna också behandlas för att marknadsföra elektroniska kommunikationstjänster. Lagen om elektronisk kommunikation innehåller även bestämmelser om bl.a. säkerhet och tystnadsplikt samt ett förbud mot avlyssning. Av regleringen framgår bl.a. att många lagrade uppgifter endast får lämnas ut när domstol har beslutat om det.
20 Det nya direktivets fullständiga benämning är Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndig heters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.
I direktivet om integritet och elektronisk kommunikation finns även bestämmelser som innebär att medlemsstaterna under vissa närmare angivna förutsättningar får införa andra undantag från skyldig heten att utplåna eller avidentifiera trafikuppgifterna när de inte längre behövs för att överföra ett elektroniskt meddelande. Det var med stöd av den regleringen som bl.a. Sverige införde en skyldighet för bl.a. tele- och internetleverantörer att under viss tid lagra trafik uppgifter för brottsbekämpande ändamål (se 6 kap. 16 a § lagen om elektronisk kommunikation samt t.ex. Ds 2014:23).
Europaparlamentets och rådets direktiv (2006/24/EG) om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät (Datalagringsdirektivet) införlivades den 1 maj 2012 i svensk rätt. Datalagringsdirektivet syftar till att harmonisera medlemsstaternas regler om skyldigheter för leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät att lagra trafik- och lokaliseringsuppgifter samt uppgifter som behövs för att identifiera en abonnent eller användare för att säkerställa att uppgifterna finns tillgängliga för avslöjande, utredning och åtal av allvarliga brott.
Den 8 april 2014 ogiltigförklarade EU-domstolen21 Datalagringsdirektivet i sin helhet. Domstolens ogiltigförklaring gäller med retro aktiv verkan från den dag direktivet trädde i kraft. Domstolen anser att Datalagringsdirektivet utgör ett synnerligen allvarligt ingrepp i den grundläggande rätten till respekt för privatlivet och skydd för personuppgifter genom att kräva att dessa uppgifter ska lagras och genom att ge behöriga nationella myndigheter tillgång till dessa uppgifter. Lagringen av uppgifter i syfte att eventuellt överlämna dem till behöriga nationella myndigheter svarar mot ett mål av allmänt intresse nämligen bekämpningen av grov brottslighet som syftar till allmän säkerhet. Domstolen anser dock att unionslagstiftaren genom att anta Datalagringsdirektivet har överskridit de gränser som följer av proportionalitetsprincipen.
Datalagringsutredningen22 har därefter gjort bedömningen att det svenska regelverket om lagring och utlämnande av uppgifter ryms inom de ramar som ställs upp av unions- och europarättens allmänna principer och kravet på respekt för grundläggande rättigheter. I be-
21 Dom den 8 april 2014 i målen C-293/12 och C-594/12, Digital Rights Ireland m.fl.22Datalagring, EU-rätten och svensk rätt (Ds 2014:23).
tänkandet Datalagring och integritet23 har dock utredningen före slagit vissa lagändringar i syfte att stärka skyddet för den personliga integriteten när det gäller lagring av uppgifter om elektronisk kommuni ka tion för brottsbekämpande ändamål.
6.7. Tillsyn
6.7.1. Inledning
Datainspektionen har det övergripande ansvaret för att värna skyddet för enskildas personliga integritet vid behandling av person uppgifter. Som framgår av det följande utövas dock viss tillsyn primärt av andra myndigheter.
6.7.2. Datainspektionen
Datainspektionen är tillsynsmyndighet enligt personuppgiftslagen och har bl.a. i uppgift att värna skyddet för enskildas personliga integritet vid behandling av personuppgifter. Myndigheten har också ett centralt tillsynsansvar för all kameraövervakning.
Datainspektionen har för sin tillsyn rätt att på begäran få tillgång till de personuppgifter som behandlas samt upplysningar och dokumentation av behandlingen och säkerheten vid denna. Datainspektionen har även rätt att få tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. Om Datainspektionen inte efter begäran kan få tillräckligt underlag för att konstatera att behandlingen är laglig får den vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på annat sätt än att lagra dem. Vite används dock i regel inte mot statliga myndigheter.24
Om Datainspektionen konstaterar att uppgifter behandlas eller kan komma att behandlas på ett olagligt sätt ska tillsynsmyndigheten, genom påpekanden eller liknande förfaranden, försöka åstadkomma rättelse. Går det inte att få rättelse på annat sätt, eller om saken är brådskande, får myndigheten på motsvarande sätt förbjuda
23 Datalagringsutredningens betänkande Datalagring och integritet, SOU 2015:31.24 Regeringens propositioner Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling. prop. 2004/05:164 s. 54 och Personuppgiftsbehandling hos Försvarsmakten och Försvarets radio-
anstalt, prop. 2006/07:46 s. 105; jfr Regeringens proposition Effektivare sanktioner för arbetsmiljö- och arbetstidsreglerna prop. 2012/13:143 s. 67 f.
annan behandling än lagring. Datainspektionen får också ansöka hos förvaltningsrätten om att sådana uppgifter som har behandlats på olagligt sätt ska utplånas.
6.7.3. Övriga tillsynsmyndigheter
Konsumentverket utövar tillsyn enligt lagen (1994:1512) om avtals-
villkor i konsumentförhållanden. Konsumentombudsmannen kan utfärda förelägganden och inleda rättsprocesser mot företag som bryter mot den lagen.
Riksdagens ombudsmän (Justitieombudsmannen) är en myndighet
under riksdagen och en del av riksdagens kontrollmakt. Justitieombudsmannen har bl.a. i uppgift att se till att myndigheter och domstolar följer regeringsformens bestämmelser om opartiskhet och saklighet samt att den offentliga verksamheten inte gör intrång i medborgarnas grundläggande fri- och rättigheter. I tillsynsarbetet ingår bl.a. att kontrollera att myndigheterna handlägger sina ärenden och i övrigt utför sina uppgifter enligt gällande författningar.
Justitiekanslern (JK) utövar tillsyn över myndigheter och deras
tjänstemän. Tillsynen syftar till att kontrollera att lagar och andra författningar följs och är främst inriktad på att upptäcka systematiska fel i den offentliga verksamheten.
Post- och telestyrelsen har i uppdrag att utöva tillsyn över behand-
ling av uppgifter vid elektronisk kommunikation. Länsstyrelserna utöver tillsyn när det gäller kameraövervakning av platser dit allmänheten har tillträde. Det finns även sektorsspecifika myndigheter som utövar tillsyn, t.ex. Inspektionen för vård och omsorg, Säkerhets- och
integritetsskyddsnämnden samt Statens inspektion för försvarsunderrättelseverksamheten.
6.7.4. Pågående arbete
Regeringen har tillsatt Utredningen om en myndighet med ett samlat
ansvar för tillsyn över den personliga integriteten25, som har i uppdrag
att bl.a. överväga hur ett i högre grad samlat integritetsskydd kan fungera inom en och samma myndighetsstruktur. Uppdraget ska redo visas senast den 30 september 2016.
6.8. Sanktioner
6.8.1. Inledning
I svensk rätt finns inte något generellt straffskydd mot integritetskränkningar.26 Som framgår av det följande finns däremot straffbestämmelser i framför allt brottsbalken och personuppgiftslagen som omfattar vissa överträdelser. Antalet polisanmälningar som rör brott mot personuppgiftslagen är dock förhållandevis få. Se vidare kapitel 24. När det gäller förhållandet mellan enskilda är därför de generella straffbestämmelserna i framför allt brottsbalken av störst praktisk betydelse för skyddet för den personliga integriteten. Som framgår nedan finns därutöver vissa möjligheter för den som utsatts för ett integritetsintrång att få skadestånd.
6.8.2. Brott mot personuppgiftslagen
I 49 § personuppgiftslagen finns en bestämmelse om straff för den som bryter mot vissa bestämmelser i lagen. För brott mot person-
uppgiftslagen döms till att börja med den som behandlar känsliga
person uppgifter och uppgifter om lagöverträdelser i strid med bestämmelserna i 13–21 §§. Det är även straffbart att i ostrukturerat material behandla sådana uppgifter om det innebär att den registrerades personliga integritet kränks (jfr 5 a § andra stycket). Vidare kan den som för över personuppgifter till tredje land i strid med bestämmelserna i 33–35 §§ dömas för brott mot personuppgiftslagen. Även
25 Dir. 2014:164 och dir. 2015:139.26 Yttrandefrihetskommittén har däremot i betänkandet En översyn av tryck- och yttrande-
friheten (SOU 2012:55) gjort bedömningen att det finns ett tydligt behov av en generell straff-
bestämmelse utanför det grundlagsskyddade området och att det finns skäl för regeringen att överväga en sådan bestämmelse (s. 433 f.).
när det gäller personuppgifter i ostrukturerat material kan en överföring till tredje land utan adekvat skyddsnivå vara straffbar, om den innebär en kränkning av den registrerades personliga integritet. Slutligen döms den för brott mot personuppgiftslagen som lämnar osann uppgift i sådan information till registrerade som föreskrivs i lagen, i anmälan till tillsynsmyndighet eller till tillsynsmyndighet som begär information (43 §). Detsamma gäller den som låter bli att fullgöra skyldigheten enligt framför allt 36 § att anmäla personuppgiftsbehandling till tillsynsmyndighet.
För straffbarhet krävs uppsåt eller grov oaktsamhet. Det är den fysiska personen som har gjort sig skyldig till förfarandet, eller i vissa fall underlåtenheten, som döms för brott, oavsett om han eller hon är personuppgiftsansvarig. Om ett brott har begåtts inom ramen för en näringsverksamhet kan företagsbot enligt 36 kap. 7 § brotts balken bli aktuellt för näringsidkaren.
Påföljden för brott mot personuppgiftslagen är böter eller fängelse i högst sex månader eller, om brottet är grovt, fängelse i högst två år. I ringa fall döms inte till ansvar.
Straffansvaret gäller inte i medier som omfattas av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Genom att ansöka om utgivningsbevis hos Myndigheten för radio och tv för en databas som innehåller personuppgifter, kan var och en få grundlagsskydd för databasen och därigenom utesluta en tillämpning av personuppgiftslagen. Mediegrundlagskommittén27 har dock i uppdrag att bl.a. överväga om någon förändring bör göras i detta avseende.
6.8.3. Straffbestämmelser i bl.a. brottsbalken
Behandling av personuppgifter kan i vissa fall utgöra brott enligt annan lagstiftning, t.ex. brottsbalken. Det gäller framför allt brott som innebär ett angrepp på annans frid, anseende eller ära. Vissa bestämmelser straffbelägger anskaffning, användning eller spridning av information om privata förhållanden. Andra bestämmelser straffbelägger själva intrånget i den fredade sektor där enskilda anses ha rätt att avvisa utomståendes inblandning.
27 Dir. 2014:97.
När det gäller anskaffning av information kan till att börja med nämnas bestämmelsen i 4 kap. 9 c § brottsbalken om dataintrång. Där framgår att det är straffbart att olovligen bereda sig tillgång till uppgift som är föremål för automatisk behandling. Det är vidare straffbart att olovligen ändra, utplåna, blockera eller i register föra in en sådan uppgift. Med uppgift som är avsedd för automatiserad be-
handling avses alla uppgifter, dvs. fakta, information eller begrepp,
som uttrycks i en för dator anpassad och läsbar form, men också program av olika slag och uppgifter som finns i en dators temporära minne, liksom uppgifter som är under befordran, oavsett på vilket sätt en sådan befordran görs.28 Bestämmelsen förutsätter inte att intrånget görs i ett visst syfte, t.ex. för att hämta information eller för att åstadkomma skada eller någon annan följd. Vad som beläggs med straff är själva intrånget. För straffansvar förutsätts inte heller att någon säkerhetsåtgärd kringgås.29 Exempelvis en anställd som av nyfiken het olovligen läser uppgifter i en databas, kan alltså göra sig skyldig till dataintrång.
Enligt 4 kap. 9 a § brottsbalken döms den som olovligen, med hjälp av ett tekniskt hjälpmedel för återgivning av ljud, i hemlighet avlyssnar eller upptar tal i enrum, samtal mellan andra eller förhandlingar vid sammanträde eller annan sammankomst, till vilken allmänheten inte äger tillträde och som han själv inte deltar i eller som han har berett sig tillträde till utan att ha behörighet till detta för olovlig
avlyssning. Bestämmelsens skyddar alltså dels mot avlyssning eller
upptagning av tal i enrum – t.ex. diktamen eller bön – dels samtal mellan andra. Det är inte straffbart att spela in samtal som man själv deltar i, oavsett om de andra deltagarna känner till inspelningen eller inte. Straffet för olovlig avlyssning är böter eller fängelse i högst två år.
Sedan år 2013 är det även straffbart att olovligen och i hemlighet fotografera den som befinner sig i en bostad eller på en toalett, i ett omklädningsrum eller ett liknande utrymme (4 kap. 6 a § brottsbalken). Sådan kränkande fotografering anses innebära ett intrång i den fredade sfär som enskilda personer bör ha rätt till i förhållande till andra enskilda. Straffet är böter eller fängelse i högst två år.
28 Regeringens proposition Angrepp på informationssystem, Prop. 2006/07:66 s. 49.29 Nils-Olof Berggren m.fl., Brottsbalken – en kommentar, kommentar till BrB 4:9 c s. 5.
Gärningen är dock ansvarsfri om den med hänsyn till syftet och övriga omständigheter är försvarlig. Det är inte heller brottsligt att i som led i en myndighets verksamhet ta upp bild av någon.
Den som olovligen bereder sig tillgång till ett meddelande som ett post- eller telebefordringsföretag förmedlar som postförsändelse eller i ett elektroniskt kommunikationsnät döms för brytande av
post- och telehemlighet till böter eller fängelse i högst två år (4 kap. 8 §
Den som ”lyfter vapen mot annan eller eljest hotar med brottslig gärning på sätt som är ägnat att hos den hotade framkalla allvarlig fruktan för egen eller annans säkerhet till person eller egendom” döms enligt 4 kap. 5 § brottsbalken för olaga hot till böter eller fängelse i högst ett år. Gärningen kan bl.a. begås med hjälp av informationsteknik, exempelvis via e-post. Om brottet är grovt är straffet fängelse lägst sex månader och högst fyra år.
För ofredande döms den som ”handgripligen antastar eller medelst skottlossning, stenkastning, oljud eller annat hänsynslöst beteende ofredar annan”, till böter eller fängelse i högst ett år (4 kap. 7 § brottsbalken). En gärning ska anses innebära ett ofredande genom hänsynslöst beteende om den enligt en vanlig värdering kan sägas utgöra en kännbar integritetskränkning.30
Det finns inte något generellt förbud för enskilda att lämna eller sprida integritetskänsliga uppgifter. I vissa fall kan dock spridning av nedsättande uppgifter eller integritetskänsliga bilder däremot straffas som förtal. Enligt 5 kap. 1 § brottsbalken döms den för förtal som pekar ut en annan person som brottslig eller klandervärd i sitt levnads sätt eller som på något annat sätt lämnar en uppgift som är ägnad att utsätta denne för andras missaktning. Brottet består alltså i att en person till en annan person lämnar en nedsättande uppgift om en tredje person. En uppgift kan lämnas genom tal och skrift men även genom t.ex. en bild.31 Från straffansvaret undantas fall när den som lämnat uppgiften varit skyldig att uttala sig eller om det annars med hänsyn till omständigheterna varit försvarligt att lämna uppgiften. I båda fallen måste den som lämnat uppgiften visa att upp-
30 NJA II 1962 s. 134.31 I NJA 1992 s. 594 hade den tilltalade utan målsägandens vetskap videofilmat ett samlag mellan dem och därefter visat filmen för flera personer. Visandet av filmen bedömdes som grovt förtal.
giften varit sann eller att uppgiftslämnaren hade skälig grund för den. Straffet för förtal är böter. För grovt förtal döms till böter eller fängelse i högst två år.
För förolämpning döms den som ”smädar annan genom kränkande tillmäle eller beskyllning eller genom annat skymfligt beteende mot honom” till böter, eller om brottet är grovt till böter eller fängelse i högst sex månader. Bestämmelsen tar sikte på kränkningar av någons ära som riktar sig direkt till den som berörs.
Även andra brott kan begås med användning av informationsteknik, exempelvis sexuellt ofredande, olaga förföljelse, övergrepp i rättssak, brott mot tystnadsplikt, överträdelse av kontaktförbud, barn-
pornografibrott och olaga våldskildring.
Därutöver har den som tillhandahåller en tjänst för elektronisk förmedling av meddelanden ett ansvar för att ta bort meddelanden från tjänsten, eller på annat sätt förhindra vidare spridning av meddelanden som bl.a. uppenbart utgör hets mot folkgrupp eller barnpornografibrott (5 § lagen [1998:112] om ansvar för elektroniska
anslags tavlor). Den som uppsåtligen eller av grov oaktsamhet bryter
mot nämnda skyldighet döms enligt 7 § till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år. I ringa fall döms dock inte till ansvar.
När det gäller medier som omfattas av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen gäller dock vissa begränsningar av straffansvaret, se 7 och 8 kap. tryckfrihetsförordningen respektive 5 och 6 kap. yttrandefrihetsgrundlagen.
Slutligen bör nämnas att Utredningen om ett modernt och starkt
straffrättsligt skydd för den personliga integriteten32 har haft i uppdrag att
se över det straffrättsliga skyddet för enskildas personliga integritet, särskilt när det gäller hot och andra kränkningar. Utöver befintliga regler om olaga hot, ofredande, förtal och förolämpning har utredningen ta ställning till om det straffrättsliga skyddet bör kom pletteras när det gäller spridning av integritetskränkande uppgifter utanför det grundlagsskyddade området (dvs. sådant som inte regleras i tryck frihets förordningen och yttrandefrihetsgrundlagen). Utredningen har vidare övervägt om det bör införas ett straffansvar för den som tillhandahåller en elektronisk anslagstavla och som inte tar bort
32 Ju 2014:10, dir. 2014:74.
eller på annat sätt förhindrar spridning av meddelanden som kränker enskildas personliga integritet. Utredningens förslag presenterades i februari 2016.33 Mer om utredningens förslag redovisas i avsnitt 23.1.
6.8.4. Skadestånd
Om behandling av personuppgifter i strid med personuppgiftslagen orsakar skada eller kränkning av den personliga integriteten för den registrerade har han eller hon, enligt 48 § personuppgiftslagen, rätt till skadestånd från den personuppgiftsansvarige. Skadestånds ansvaret åligger som huvudregel just den personuppgiftsansvariga och inte t.ex. den anställda som vidtagit en viss åtgärd, eventuella personuppgiftsbiträden eller personuppgiftsombud. Skadeståndsansvaret är i princip strikt, vilket innebär att det inte krävs att den personuppgiftsansvarige eller någon annan har haft uppsåt att handla i strid med lagen eller varit oaktsam. Den registrerade behöver bara visa att det förekommit en felaktig behandling och att denna skadat eller kränkt honom eller henne. Omständigheter som kan ha betydelse vid bedömningen av om det har förekommit en kränkning är bl.a. vilka personuppgifter som behandlas, graden av känslighet hos upp gifterna, i vilket sammanhang uppgifterna förekommer, för vilket syfte uppgifterna behandlas, vilken spridning uppgifterna har fått eller riskerat att få samt vad behandlingen kan leda till.
Ersättningen kan i den utsträckning det är skäligt sättas ned, helt eller delvis, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. Det kan t.ex. handla om att det är den registrerade som har t.ex. lämnat felaktiga eller ofullständiga personuppgifter vilket lett till den olagliga behandlingen.
Det finns även möjlighet att erhålla skadestånd för kränkning vid brottslig gärning, enligt den allmänna regleringen i 2 kap. 3 § skade-
ståndslagen (1972:207). För att sådant skadeståndsansvar ska komma
i fråga krävs att kränkning varit allvarlig. Vidare gäller ansvaret endast vid vissa typer av brott, nämligen angrepp på annans person, mot annans frihet samt mot annans frid eller ära. De två sistnämnda kategorierna är av störst intresse här. Brott mot annans frid avser den enskildes rätt att vara i fred och hålla sitt privatliv okänt för andra.
33 Utredningens om ett modernt och starkt straffrättsligt skydd för den personliga integriteten betänkande Integritet och straffskydd, SOU 2016:7.
Som exempel kan nämnas olaga hot, ofredande, brytande av post- och telehemlighet samt olovlig avlyssning. Angrepp mot annans ära avser i första hand ärekränkningsbrott, t.ex. förtal.
Om den personliga integriteten har kränkts på ett sätt som strider mot Regeringsformen eller Europakonventionen kan det även finnas en rätt till skadestånd som grundas direkt på dessa regelverk.34
När det gäller medier som omfattas av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen gäller dock vissa begränsningar i skade ståndsansvaret, se 11 kap. tryckfrihetsförordningen respektive 8 kap. yttrandefrihetsgrundlagen.
34NJA 2005 s. 462 och NJA 2014 s. 323.
DEL III
Riskbedömning av olika områden
och företeelser
7. Skolan
Kommitténs bedömning: De olika företeelser som vi har kart-
lagt inom skolans område är förknippade med risker av olika allvarlighets grad; såväl vissa risker, påtagliga risker och allvarliga risker kan konstateras. Läs mer om hur vi bedömt riskerna avseende de olika företeelserna i avsnitt 7.7.
7.1. Inledning
7.1.1. Beskrivning av området
Det här kapitlet är inriktat på skolan. Det berör endast i mycket liten utsträckning förhållandena vid universitet och högskolor.
Skolan är snabbt på väg att digitaliseras, i den meningen att allt fler IKT-verktyg1 börjar användas av allt fler elever och lärare. Det rör sig om en uppsjö av sinsemellan helt olika verktyg som digitala lärplattformar, digitala läromedel, sociala medier osv.
Verktygen används för praktiska och pedagogiska ändamål och syftar till att förbättra undervisningen och underlätta lärandet, både för den enskilde eleven och för elevkollektivet. Men en ökad användning av digitala verktyg innebär också att fler uppgifter om eleverna hanteras av skolorna och tjänsteleverantörerna.
Digitaliseringen av skolan kan mätas på olika sätt – ett vanligt före kommande mått är antalet datorer i skolan och hur dessa används i undervisningen.
1 IKT står för informations- och kommunikationsteknik.
Skolverkets senaste uppföljning av it-användning och it-kompetens visar att det under de senaste åren skett en stor ökning av antalet datorer i såväl förskola, grundskola som gymnasieskola.2
Antalet skolor som använder sig av internetbaserade lär plattformar för samarbetet mellan elever och lärare har också ökat. År 2015 användes sådana av 67 procent av de kommunala grund skolorna (56 procent av de fristående grundskolorna) och av 95 procent av de kommunala gymnasieskolorna (84 procent av de fri stående gymnasieskolorna).
Många skolor, sju av tio grundskolor och åtta av tio gymnasieskolor, använder i dag s.k. molntjänster som t.ex. Google apps, Office 365 och iCloud.
Vanligt förekommande tjänster i skolorna är möjligheten att via skolans webbplats få åtkomst till bl.a. schema, skolresultat och funktioner för frånvaroanmälan.
En del lärare kommunicerar med elever via sociala medier. Detta är vanligare i gymnasieskolan än i grundskolan. Fyra av tio lärare i gymnasieskolan använder sociala medier för att kommunicera med elever, medan motsvarande i grundskolan är två av tio lärare. I grundskolan är det dock vanligare att lärare i de högre årskurserna använder sociala medier för kommunikation med elever jämfört med lärare i de lägre årkurserna.
Skolverkets undersökning visar sammantaget att digitaliseringen av skolan är relativt långt kommen i Sverige, även med interna tionella mått mätt.3
Det görs dessutom satsningar för att ytterligare påskynda digitaliseringen av skolan, både från kommunalt och statligt håll. Vid Sveriges kommuner och landsting fanns fram till slutet av år 2015 ett s.k. Nationellt forum för skolans digitalisering som var en brett sammansatt grupp som arbetade för att underlätta digitaliseringen av skolan.
Vidare har Skolverket, på uppdrag av regeringen, tagit fram ett förslag till it-strategi som vänder sig till förskolan, förskoleklassen, fritidshemmet och den obligatoriska skolan.4 Skolverket föreslår att det ska vara en vision att skolväsendet präglas av att digitaliseringens möjligheter tas tillvara, så att de digitala verktygen och resurserna
2 Skolverkets rapport IT-användning och IT-kompetens i skolan, Skolverkets IT-uppföljning 2015, dnr 2015:00067.3 Se även Digitaliseringskommissionens delbetänkande En digital agenda i människans tjänst
– en ljusnande framtid kan bli vår,SOU 2014:13, s. 129 f.
4Redovisning av uppdraget om att föreslå nationella IT-strategier för skolväsendet, Skolverkets redovisning den 4 april 2016 av regeringsuppdrag, dnr 2015:01153.
bidrar till att resultaten förbättras och verksamheten effektiviseras. Enligt förslaget behöver lärarna enkelt kunna samla in uppgifter om elever som genereras när dessa arbetar med digitala läromedel, digitala prov, resultat från nationella prov, bedömningsunderlag och motsvarande. Förhoppningen är att uppgifterna ska underlätta för läraren att individualisera undervisningen och ge eleven underlag för reflektion kring det egna lärandet. Skolverket lyfter också fram att samlandet av uppgifter långt ifrån är problemfritt och att det särskilt reser frågor som har med personlig integritet att göra. Hur uppgifter av detta slag ska hanteras när det gäller skydd av integritet, lagring och åtkomst kommer enligt Skolverket att behöva lösas samlat på nationell nivå. I förslaget sägs också att skolorna står inför ett växande behov att skydda elevernas integritet, samtidigt som man bör använda uppgifterna till att individualisera lärandet, främja forskning och tydlig göra elevens utbildningsframgångar för föräldrar och lärare.
Mot bakgrund av den tilltagande digitaliseringen av skolan och ambitionerna att ytterligare påskynda densamma, är det några resultat i Skolverkets uppföljning som är särskilt värda att notera ur ett integritetsskyddsperspektiv:
- De ökade satsningarna på it i skolan har av undersökningen att döma, inte lett till en lika stor ökning av övergripande styrning och planering. Undersökningen år 2012 visade att färre grundskolor hade en it-plan jämfört med 2008. År 2015 har antalet grundskolor med it-plan ökat och är nu ungefär på samma nivå som 2008. Av alla grundskolor har nu 60 procent en it-plan. Av gymnasie skolorna har 67 procent en it-plan. Av de skolor som har en it-plan, anger 51 procent av grundskolorna och 56 procent av gymnasie skolorna att det i it-planen beskrivs hur skolan ska beakta och hantera elevers integritet i olika it-verktyg och plattformar.
- Omkring fyra av tio lärare uppger att de inte alls arbetar med sina elever för att främja en säker användning av internet (t.ex. gällande utlämnande av personliga uppgifter, bilder, köp av tjänster och varor), och inte heller arbetar något med att förebygga olika formar av kränkningar via mobiltelefon och internet.
- Omkring hälften av lärarna i grundskolan anser sig ha ett stort behov av kompetensutveckling inom olika it-områden:
– 55 procent av grundskolelärarna anser att de har ett stort be-
hov av kompetensutveckling beträffande hur man ska arbeta förebyggande mot kränkningar. – 51 procent av grundskolelärarna anser sig ha ett stort behov av
mer kunskap om säker it-användning, och – 47 procent av grundskolelärarna anser sig ha ett stort behov av
kunskap om ”lag och rätt” gällande it-användning.5
Intressant ur integritetsskyddsperspektiv är även en rapport från Sveriges kommuner och landsting om rektorers bedömningar i självskattningsverktyget LIKA.6
- För 16 procent av skolorna som hade använt sig av LIKA-verktyget gjordes bedömningen att skolan när det gäller digitala verktyg saknade god beställarkompetens och ett bra samarbete med leverantörer om vad skolan behöver. För 48 procent av skolorna gjordes bedömningen att beställarkompetens och bra samarbeta var något som hade påbörjats eller nästan uppnåtts. Övriga bedömde att detta redan uppnåtts.
- För 19 procent av skolorna som hade använt sig av verktyget gjordes bedömningen att skolan när det gäller digitala verktyg saknade tydliggjorda centrala riktlinjer eller rutiner för hur itrelate rade projekt ska redogöras, vem som ansvarar för vad och hur processen går till vid inköp och beställningar. För 46 procent av skolorna gjordes bedömningen att tydliga riktlinjer eller rutiner var något som hade påbörjats eller nästan uppnåtts. Övriga bedömde att detta redan uppnåtts.
Även från statligt håll visar man, som redan nämnts ovan, intresse för skolans digitalisering. Ett aktuellt betänkande som bland annat rör skolans digitalisering är En digital agenda i människans tjänst – en
ljusnande framtid kan bli vår.7 Betänkandet är en del av Digitali-
5 Gymnasielärarna ligger mellan 3 och 6 procent lägre i sina uppskattningar av behovet av kompetensutveckling på samma områden. 6 Rapporten Skolans digitalisering – Hur långt har vi kommit?, Sveriges Kommuner och Landsting, september 2015. LIKA har tagits fram av SKL och är ett nätbaserat självvärderingsverktyg för utvärdering och utveckling av skolans digitalisering. LIKA står för Ledning, Infrastruktur, Kompetens och Användning. Rapporten baserar sig på de självskattningar som i augusti 2015 hade gjorts i LIKA för 873 skolor. 7SOU 2014:13.
seringskommissionens uppdrag att verka för att målet i regeringens it-politiska strategi It i människans tjänst – en digital agenda för Sverige uppnås.
I betänkandet föreslås en rad åtgärder som syftar till att främja skolans digitalisering. I korthet innebär förslagen ett tydliggörande av digitala hjälpmedels roll i läroplaner och kursplaner, insatser för att höja it-kompetensen hos skolans personal samt åtgärder för bättre kunskap om effekterna av skolans it-användning.
Det är enligt vår uppfattning anmärkningsvärt att när personlig integritet nämns i betänkandet, avses – liksom i många andra sammanhang som rör skolans digitalisering – endast kränkningar på internet, dvs. behovet av att skydda elever från att bli kränkta på inter net av andra elever eller av vuxna. Det berörs inte alls i betänkandet att digitaliseringen av skolan medför en ofantlig ökning av möjligheterna för företag, organisationer och myndigheter att kartlägga eleverna.
I sitt remissvar på betänkandet påpekar Datainspektionen att det är viktigt att regeringen i det fortsatta arbetet med utredningens förslag noggrant analyserar vilka konsekvenser behandlingen av personuppgifter har för den enskildes personliga integritet. Datainspektionen lyfter bl.a. fram sin erfarenhet att kunskapen inom skol väsendet om hur personuppgifter får behandlas ofta är bristfällig, och pekar på att det är av central betydelse att kunskap om gällande integritetsskyddslagstiftning också måste finnas hos skolhuvudmännen, dvs. inte bara hos enskilda lärare och rektorer.
7.1.2. Regelverk och tillsyn
Hanteringen av personuppgifter inom utbildningsväsendet regleras av olika författningar, i huvudsak i enlighet med följande:
- Personuppgiftslagen (1998:204). Här kan nämnas att skolornas utbildningsverksamhet anses vara en sådan ”arbetsuppgift av allmänt intresse” som enligt 10 § personuppgiftslagen möjliggör att personuppgifter får behandlas utan den enskildes samtycke.8
8 Se bl.a. Utredningens om offentlighet och sekretess i skolan betänkande Sekretess i elevernas
intresse – Dokumentation, samverkan och integritet i skolan, SOU 2003: 103 s. 199. Särskilda
krav gäller emellertid när det är fråga om känsliga uppgifter i personuppgiftslagens mening, uppgifter om lagöverträdelser eller personnummer.
- Generellt inom offentlig verksamhet gäller offentlighets- och sekretess lagen (2009:400). För fristående skolor finns motsvarande bestämmelser i 29 kap. 14 § skollagen (2010:800). Det bör dock noteras att den mest grundläggande delen av skolverksamheten över huvud taget inte omfattas av offentlighets- och sekretesslagens bestämmelser (eller av motsvande bestämmelser i skollagen). Det är den normala dagliga pedagogiska verksamheten – dvs. den vanliga undervisningen – som inte alls är underkastad sekretess. Uppgifter som rör elevers studieresultat, närvaro och scheman m.m. är med andra ord i princip alltid offentliga. Det är först när verksamheten inriktas på andra åtgärder för elever, t.ex. hälsoundersökningar eller som ett led i s.k. särskild elevstödjande verksamhet, som uppgifter av hänsyn till elevernas och deras närståendes integritet kan vara sekretessbelagda.9
- Skollagen.
- Patientdatalagen (2008:355) gäller för den hälso- och sjukvård som bedrivs på skolorna. För uppgifter i hälso- och sjukvården i skolorna gäller offentlighets- och sekretesslagen. För privata vårdgivare som bedriver hälso- och sjukvård i skolan finns motsvarande bestämmelser i patientsäkerhetslagen (2010:659).
I första hand följande tillsynsmyndigheter kontrollerar hanteringen av personuppgifter inom utbildningsväsendet: Datainspektionen (utövar tillsyn enligt personuppgiftslagen), Skolinspektionen (utövar tillsyn enligt skollagen), Barn- och elevombudet (som är en del av Skolinspektionen och bl.a. kan begära skadestånd för barn och elever som varit utsatta för kränkningar i skolan), Inspektionen för vård och omsorg (utövar tillsyn enligt hälso- och sjukvårdslagstiftningen med inriktning på patientsäkerhet inom skolhälsovården).
Därtill utövar Riksdagens ombudsmän (Justitieombudsmannen) och i viss mån Justitiekanslern tillsyn över det allmänna utbildningsväsendet.
9SOU 2003:103, s. 65 f. I ett senare betänkande, Utredningens om sekretess för uppgifter i skolväsendet och vissa andra utbildningsformer och verksamheter betänkande Skolans doku-
ment – insyn och sekretess, SOU 2011:58, har vissa ändringar föreslagits, bl.a. att individuella
utvecklingsplaner skulle omfattas av sekretess, men förslagen har inte lett till lagstiftning.
Den enskilde som anser att hennes eller hans uppgifter hanterats på ett felaktigt sätt, kan således vända sig till olika tillsynsmyndigheter med ett klagomål. Beroende på vad klagomålet rör, är det olika myndigheter som ansvarar för tillsynen. Exempelvis ansvarar Datainspektionen för frågor som rör vilka uppgifter om eleverna som får hanteras och hur länge de får sparas. Skolinspektionen ansvarar för frågor som rör hur skolorna dokumenterar elevernas arbete. Barn- och elevombudet kan i tvister om skadestånd enligt skollagens sjätte kapitel (med förbud mot kränkande behandling) föra talan för en elev som samtycker till det. Inspektionen för vård och omsorg ansvarar t.ex. för frågor om tillsyn av om dokumentationen uppfyller patientdatalagens krav.
Vidare finns det en möjlighet för eleven att själv begära skadestånd för den ideella skada (dvs. kränkningen) som hon eller han anser sig ha lidit på grund av integritetsintrång, och att i så fall väcka talan vid allmän domstol.
7.2. Digitala lärplattformar och läromedel
7.2.1. Företeelserna
Digitala lärplattformar
Digitala lärplattformar är internetbaserade system som möjliggör olika sorters interaktivitet och kommunikation mellan elever, lärare och vårdnadshavare. Den vanliga engelska beteckningen för dem är
Learning Management Systems (LMS).
De digitala lärplattformarna kallas ibland för virtuella klassrum, och innehåller vanligen funktioner för:
- att skapa grupper och klasser,
- att visa schema och närvaro eller frånvaro,
- att visa betyg, omdömen och individuella utvecklingsplaner,
- att genomföra prov,
- diskussionsforum och chattfunktion,
- virtuella rum där lärare och elever kan skicka meddelanden och läraren kan lägga ut planering, undervisningsmaterial, länkar osv. och eleverna kan lösa och lämna in uppgifter, och
- åtkomst för vårdnadshavare för att kunna kommunicera med skolan och följa det egna barnets arbete.
Digitala lärplattformar kan möjliggöra en detaljerad loggning av elevens aktiviteter med information om exempelvis när på dygnet eleven arbetar i systemet, hur eleven arbetar med en viss uppgift, hur eleven interagerar och kommunicerar med lärare och andra elever och hur aktivt eleven arbetar med sina olika ämnen i systemet.
Informationen om elevens aktiviteter i den digitala lär plattformen kan användas för att få veta mer om elevens inlärningsprocesser. Kunskap om elevens inlärning gör det möjligt både att anpassa uppgifter och arbetssätt till den individuella eleven, att identifiera elever som behöver särskilt stöd, och till att allmänt förbättra systemen. Det här området kallas ibland för inlärningsanalys (på engelska lear-
ning analytics), vilket kan sägas vara en tillämpning av big data-
analyser på utbildningsområdet, i vilket uppgifter från lärplattformar är en av flera möjliga datakällor.
Inlärningsanalys är ännu i sin linda, men spås bli viktigt i en nära framtid. Vissa lärplattformar med stor spridning i Sverige förbereder redan i dag sina lärplattformar för att kunna stödja inlärnings analys.10
Ofta finns lärplattformen i molnet. Det är alltså en annan organisation än skolan som lagrar personuppgifterna och står för systemets drift. Det innebär att de frågeställningar som uppkommer för molntjänster är aktuella även för lärplattformarna. Faktum är att de molntjänster som i Sverige granskats mest ingående av Datainspektionen, har varit just lärplattformar Exempelvis har den molnbaserade lärplattformen Google Apps for Education granskats och kritiserats i en rad beslut.
Några exempel på andra i Sverige vanligt förekommande lärplattformar är Fronter, Pingpong och Infomentor. Det är inte ovanligt att mindre lärplattformar delvis är integrerade med andra, större plattformar, som exempelvis nämnda Google Apps for Education.
10Personvern 2015 – tillstand og trender, rapport från Datatilsynet och Teknologirådet i Norge.
På universitet och högskolor används lärplattformar för s.k. MOOC-kurser (vilket står för Massive Open Online Course) som är webbaserade kurser som oftast både är gratis och öppna för allmänheten. MOOC-kurser har i USA uppmärksammats för oklarheter kring vilken lagstiftning som skyddar det stora antal personuppgifter som behandlas om studenterna när de genomgår MOOC-kurser.11
Digitala läromedel
Det finns många olika digitala läromedel på marknaden. Ofta handlar det om material som kombinerar text, ljud och bild, som är interaktivt och som är åtkomligt över nätet. Digitala läromedel kan under lätta inlärningen och göra undervisningen effektivare eftersom läraren inte behöver delta i de moment där läromedlet kan instruera eleven. Läraren kan i stället fokusera på de delar som absolut kräver hans eller hennes handledning.
Ofta förutsätter användningen av digitala läromedel att varje enskild elev registreras som användare hos leverantören, dvs. hos förlaget. Leverantören kan då vanligen följa elevens användning av läromedlet på en mycket detaljerad nivå. Även data från elevernas användning av läromedel är förstås av stort intresse för inlärningsanalys.
Digitala läromedel ges i Sverige ut av förlag som även ger ut pappers baserade läroböcker och av förlag som enbart sysslar med digi tala läromedel.
7.2.2. Det skyddande regelverket
Personuppgiftslagens bestämmelser gäller för hanteringen av personuppgifter i digitala lärplattformar och läromedel. Av särskild be tydelse är i detta sammanhang är personuppgiftslagens bestämmelser om personuppgiftsansvaret, ändamålsbegränsning, samtycke, information och säkerhetsåtgärder.
11 Steve Kolowich, Are MOOC-Takers ‘Students’? Not When It Comes to the Feds Protecting
Their Data, publicerad den 3 december 2014 i The Chronicle of Higher Education.
7.2.3. Risker för den personliga integriteten
När alla funktioner i digitala lärplattformar och läromedel används av eleverna, genereras en stor mängd mycket detaljerade uppgifter om vad de arbetar med, hur de arbetar och om deras relationer till andra elever och till lärare.
Det generella gapet mellan det formella ansvaret för hanteringen av personuppgifterna och kunskapen och kontrollen över hur uppgifterna faktiskt hanteras, medför förstås en rad olika risker ur ett integritetsskyddsperspektiv.
Det finns en risk för att onödigt många uppgifter om eleverna hanteras i systemen och för att uppgifterna sprids och hanteras för andra ändamål än de som huvudmannen ursprungligen bestämt och informerat elever och vårdnadshavare om. Det strider i så fall mot personuppgiftslagen och kanske även mot de avtal som finns mellan huvudmanen och personuppgiftsbiträdena.
En faktor som driver på och ökar dessa risker är det stora intresset hos leverantörer, systemutvecklare och förlag av att hantera så många olika uppgifter som möjligt från de digitala lärplattformarna och läromedlen. Syftet med det är att kunna använda inlärningsanalytiska metoder för att utveckla och förbättra system och läromedel. Här är verkligen alla uppgifter som över huvud taget kan lagras av intresse, även innehållet i chattar mellan eleverna och likaså samtal i den mån ljud lagras i systemet och kan analyseras (jfr s.k.
social metrics).
Skolverket är medvetet om utvecklingen och skriver följande på sin webbsida.
Under de senaste åren har möjligheterna att göra detta [samla kunskap om elevernas sätt att lära] med digitalt stöd ökat till exempel genom användningen av lärplattformar och verktyg för individuella utvecklingsplaner. Samtidigt som vi ser hur den tekniska utvecklingen kraftigt ökar möjligheterna för att samla data aktualiseras frågor om vad som är önskvärt och lämpligt.12
12Samla och analysera. Skolverket. http://www.skolverket.se/skolutveckling/resurser-for- larande/itiskolan/digitala-larresurser/learning-analytics-1.223404 Hämtat 2016-05-09.
Om det finns brister i huvudmännens kunskap om, och kontroll över hur uppgifter hanteras i lärplattformarna, finns det naturligtvis också en stor risk för att elever och vårdnadshavarna varken får tillräcklig information om hanteringen eller får möjlighet att påverka hanteringen.
Vissa av de största och mest populära lärplattformarna i molnet är ”gratis” för skolan, på så sätt att någon direkt ekonomisk ersättning inte begärs för tjänsterna. I den rådande affärsmodellen får dock leveran törerna sin ersättning i form av användbara uppgifter om de elever vars uppgifter hanteras i systemen, som leverantörerna driftar för skolhuvudmannans räkning.
Digitala lärplattformar hämtar vanligen grunduppgifter om eleverna från något av skolhuvudmannens elevregister. Dessa kan vara rent administrativa databaser eller kommungemensamma befolkningsregister. Det finns då en risk för att det förs över fler uppgifter än vad lärplattformen egentligen behöver. Det finns också en risk för att uppgifter om elever med skyddad identitet förs över och får en spridning i lärplattformen som innebär att personernas identiteter röjs.
7.3. Sociala medier i undervisningen
7.3.1. Företeelsen
Sociala medier är ett sätt att kommunicera, skapa relationer, främja dialog och dela kunskap. Exempel på sociala medier är:
- webbplatser med nyhetskommentarer, länkar, chatt och kommentars fält,
- Facebook, LinkedIn, Twitter, YouTube, Flickr och många andra,
- bloggar, och
- wikier, där användarna hjälps åt att skapa innehållet.13
Under senare år har det blivit populärt att använda sociala medier i skolan, som ett inslag i undervisningen eller som ett sätt att hålla kontakt lärare emellan. Sociala medier är snabba, lättanvända och gör det enklare att omvärldsbevaka, kommunicera och dela material med
13 E-delegationens riktlinjer Myndigheters användning av sociala medier, version 1.0, 2010-12-30.
elever, föräldrar och kollegor. Vissa lärare menar att deras elever blir motiverade att skriva och skapa när deras material blir synligt för en vidare krets än klasskamraterna. Andra lyfter fram betydelsen av att lärarna får ett stort professionellt nätverk för kollegialt lärande och diskussion.
Facebook, bloggar och wikier14 är populära redskap i skolan för samarbete, kommunikation och publicering av text, bild och ljudfiler.
7.3.2. Det skyddande regelverket
Personuppgiftslagens bestämmelser gäller för hanteringen av personuppgifter i sociala medier. Av särskild betydelse i detta sammanhang är personuppgiftslagens bestämmelser om personuppgiftsansvaret, ändamålsbegränsning, samtycke, information och säkerhets åtgärder.
Ibland krävs samtycke för att hanteringen ska vara förenlig med personuppgiftslagen, exempelvis vid ingående av avtal med det sociala mediet om personuppgiftshanteringen. Av betydelse är då att personuppgiftslagen saknar bestämmelser om från vilken ålder unga personer själva kan samtycka till att uppgifterna publiceras. Datainspektionen anger följande i frågan:
Också den som är underårig (det vill säga under 18 år) kan lämna giltigt samtycke till en tilltänkt behandling om han eller hon är kapabel att förstå innebörden av samtycket. (…) Om uppgifter om underåriga ska behandlas är det särskilt viktigt att göra en seriös bedömning av den unges förmåga att förstå de totala konsekvenserna av en behandling. En tumregel kan vara att den som fyllt 15 år normalt är kapabel att ta ställning i samtyckesfrågan. Många gånger är det dock så att andra regler än de som finns i personuppgiftslagen hindrar att personuppgifter om barn behandlas. Det finns till exempel begränsningar när det gäller att skicka direktreklam till barn.15
Här kan också föräldrabalkens bestämmelser om möjligheten att ingå avtal med underåriga bli tillämpliga.
I Konsumentverkets Vägledning om marknadsföring riktad till barn och unga, berörs möjligheten att ingå avtal med underåriga:
14 En wiki är en webbplats där besökarna själva skapar innehållet, ett känt exempel är Wikipedia.15 Datainspektionens informationsskrift Samtycke enligt personuppgiftslagen. Se även Artikel 29-gruppens yttrande 1/2008 on the protection of children’s personal data (General guidelines
and the special case of schools).
Barns behörighet att ingå avtal regleras i föräldrabalkens 9 kap. Den som är under 18 år är omyndig och får inte själv ingå avtal. Barn som fyllt 16 år får dock själva bestämma över pengar som de tjänat. Avtalsparten måste i varje enskilt fall ta reda på om den andra avtalsparten är myndig och behörig att ingå avtal. Det räcker alltså inte med att ett företag tror att motparten är myndig för att ett avtal ska bli giltigt. För att ett avtal med en minderårig ska bli giltigt krävs att förmyndare, normalt föräldern, samtyckt till det.
I vägledningen berörs emellertid varken personuppgiftslagen eller avtal som reglerar just hanteringen av personuppgifter.
I Frankrike har konsumentskyddsmyndigheten Commission des clauses abusives år 2014 formulerat rekommendationer för hur sociala medier bör utforma sina avtalsvillkor. Flera av rekommen da tionerna rör avtalsvillkor om hanteringen av personuppgifter. Myndig heten pekar inledningsvis på problemet att sociala medier vanligen fel aktigen utgår från att underåriga har sina legala ställ företrädares godkännande till att ingå avtal med det sociala mediet. Därefter rekommenderar myndigheten att sociala mediers avtals villkor ska föreskriva uttryckligt samtycke från den underåriges legala ställföreträdare beträffande behandlingen av uppgifter om under åriga som saknar kapacitet att själva lämna ett giltigt samtycke.16
Det finns inga motsvarande rekommendationer om sociala mediers avtalsvillkor om personuppgifter från det svenska Konsumentverket.
7.3.3. Risker för den personliga integriteten
I kommitténs kontakter med skolföreträdare har framförts att användningen av sociala medier i undervisningen kan medföra många fördelar för eleverna, exempelvis att elever kan uppleva det som stimule rande och positivt när deras skolarbeten kan ses av en större publik på sociala medier. Samtidigt innebär de sociala mediernas hantering av uppgifter om eleverna en rad olika risker ur ett integritetsperspektiv.
Sociala medier kan även användas av elever för att sprida kränkande uppgifter om andra. Nya skyddsintressen har därför uppkommit och medfört ett väsentligt ökat behov av ett bättre utformat straffrättsligt skydd för privatlivet och den personliga integriteten.
16 Recommandation n°2014-02 relative aux contrats proposés par les fournisseurs de services de
réseaux sociaux http://www.clauses-abusives.fr/recom/index.htm Hämtat 2016-05-09.
Med den motiveringen föreslås i betänkandet Integritet och straff-
skydd17 en ny straffbestämmelse om s.k. olaga integritetsintrång som
tar sikte på kränkningar som enskilda personer begår mot andra enskilda. Eftersom detta område nyligen varit föremål för en grundlig granskning och analys, avstår vi från att undersöka det.
Generella risker
Användning av sociala medier i skolan medför, liksom användning av sociala medier på andra områden, vissa generella risker.
Uppgifter om elever kan komma att spridas och hanteras för ändamål som eleverna eller deras vårdnadshavare inte känner till eller har samtyckt till. Det sociala mediet kan exempelvis skanna av material för att kunna meddela upphovsrättsinnehavare om möjliga intrång i upphovsrätten (såsom otillåten spridning), eller ge okända tredjepartsapplikationer åtkomst till uppgifter eller av misstag publicera uppgifter öppet på internet.
Sammanblandning med elevernas privatliv
Om skolan använder sig av sociala medier i undervisningen, kan det innebära att den, med stöd av skolplikten, mer eller mindre tvingar elever att skaffa sig personliga konton i sociala medier. För många elever är detta inget problem eftersom de redan själva valt att skaffa eget konto och att vara aktiva. Kunskaper om sociala medier hör också till det som skolan förväntas lära ut till eleverna. Men vissa elever skulle kanske inte själva välja just det sociala mediet som skolan använder sig av, eller så skulle de kanske välja att inte alls vara aktiva på något socialt medium överhuvudtaget.
I skolmiljö är det också ett omtalat problem att användning av sociala medier i undervisningen innebär att eleverna förutsätts ingå egna, individuella avtal med de sociala medierna, i stället för att exempelvis ansluta sig till ett gruppkonto eller en gruppinloggning som delas av hela klassen. Om eleven redan har ett personligt konto, blandas elevens privata förehavanden på mediet med det eleven gör på
17 Utredningens om ett modernt och starkt straffrättsligt skydd för den personliga integriteten betänkande Integritet och straffskydd, SOU 2016:7.
mediet som ett led i undervisningen. Företaget som tillhandahåller det sociala mediet kommer då enkelt att kunna använda sig av både privata och skolrelaterade uppgifter om eleven för att genomföra en så detaljerad profilering som möjligt.
Sociala medier i molnet
Datainspektionen har i ett ärende granskat en skolas användning av bloggar.18 Varje klass i skolan hade en egen blogg, med syftet att informera och kommunicera med elever och vårdnadshavare. Eleverna kunde med hjälp av bloggarna visa egna arbeten och se vad kamraterna på skolan arbetade med. Inläggen i bloggarna skrevs av eleverna på lektionstid. De personuppgifter som normalt publicerades var förnamn och bild, och lärarna modererade kommentarer i bloggarna. Datainspektionen hade inga invändningar mot bloggarna när de användes för att informera och kommunicera med elever och vårdnadshavare. Tvärtom uttalade Datainspektionen att
Det finns många positiva aspekter av att låta elever arbeta med sociala medier i skolan. Under överinseende av ansvariga lärare kan eleverna exempelvis få möjlighet att lära sig använda webbverktyg som tillhandahålls via internet och parallellt föra en dialog om vad som är viktigt att tänka på när information publiceras på internet och vilka konsekvenser en otillåten eller olämplig publicering kan få.
Datainspektionen lyfte emellertid fram att bloggar vanligen är molnbaserade och att det därmed uppstår särskilda skyldigheter för den personuppgiftsansvarige skolhuvudmannen, som i detta fall var Kunskapsnämnden i kommunen.19 I så fall måste nämnden ha regler för vilka personuppgifter som är tillåtna att publicera. En förutsättning för att reglerna ska få nödvändigt genomslag i organisationen är enligt Datainspektionen att de regelbundet kommuniceras och diskuteras med ansvariga lärare och elever. Slutligen pekade Datainspektionen på att all skolverksamhet måste se till att elever som lever med skyddade personuppgifter skyddas på ett adekvat sätt.
18 Datainspektionens dnr 1707-2013.19 I ärendet hade skolan i samband med Datainspektionens tillsyn slutat använda bloggarna, vilket kan vara anledningen till att Datainspektionen inte ställde frågan om bloggen i fråga verkligen var molnbaserad.
Skolan använde sig även av en enkätfunktion som fanns inbyggd i bloggen. I enkäterna ställde skolan frågor bl.a. om eleverna hade kompisar på rasterna och om de kände sig trygga på skolans toaletter, samt om en rad mindre känsliga ämnen. Eleverna kunde också svara på frågor i fritextfält, och där själva komma in på andra känsliga ämnen. Enkäterna och elevernas svar lagrades i bloggens enkätfunktion. Datainspektionen konstaterade att det rörde sig om integritetskänsliga uppgifter som hanterades i enkäterna, och att det medförde ett krav på bättre skydd (kryptering och stark autentisering) för person uppgifterna är vad som faktiskt användes i bloggen. Därutöver kom Datainspektionen åter in på den omständigheten att bloggar vanligen lagras och behandlas i molnet. Eftersom de personuppgiftsansvariga normalt sett saknar insyn och kontroll över uppgifter som hanteras i molnet framhöll Datainspektionen att det under alla omständigheter var olämpligt att behandla känsliga eller integritetskänsliga personuppgifter i skolbloggar och enkätverktyg.
Liksom för molntjänster generellt (se kapitel 21 om moln tjänster) finns det en risk med molnbaserade social medier att de enskilda inte kan få information om vem som faktiskt hanterar deras uppgifter och vilka uppgifter dessa okända personuppgiftsansvariga får åtkomst till. Det kan också förekomma att uppgifter om enskilda användare sprids till underleverantörer utanför EES i länder med en dataskyddsreglering som inte når upp till en tillfredsställande skyddsnivå.
7.4. Elevhälsan
7.4.1. Företeelsen
I och med att skollagen började tillämpas den 1 juli 2011 samlades skolhälsovården, den särskilda elevvården och de specialpedagogiska insatserna i en samlad elevhälsa. Elevhälsan omfattar medicinska, psykologiska, psykosociala och specialpedagogiska insatser. Syftet med att samla insatserna var bland annat att öka samverkan och att betona det hälsofrämjande och förebyggande arbetet. Elevhälsans mål är att skapa en så positiv lärandesituation som möjligt för eleven.20
20 Socialstyrelsens och Skolverkets Vägledning för elevhälsan, oktober 2014.
Elevhälsans arbete kräver ofta att personalen har ett fungerande informationsutbyte med annan personal på skolan, liksom externt med till exempel hälso- och sjukvården och socialtjänsten.
7.4.2. Det skyddande regelverket
Patientdatalagens bestämmelser gäller för den verksamhet inom elevhälsan som handlar om dokumentation av hälso- och sjukvård.
För skolor som bedrivs i det offentligas regi gäller offentlighets- och sekretesslagen. För friskolor finns motsvarande bestämmelser om tystnadsplikt i 29 kap. 14 § skollagen.
Varje kommunal nämnd som bedriver utbildning är en egen myndig het. Personal inom en och samma myndighet kan lämna sekretess belagda uppgifter mellan sig om det behövs för att handlägga ett ärende eller bedriva verksamheten. Om det finns självständiga verksamhetsgrenar inom en myndighet gäller dock sekretess mellan de olika verksamheterna. Inom skolan är den medicinska insatsen inom elevhälsan en självständig verksamhetsgren. Det innebär att sekretess gäller för uppgifter i elevhälsans medicinska insats och att en sekretessprövning måste göras om man vill lämna ut uppgifter till elevhälsans övriga delar eller till övrig personal inom skolan.
För skolläkare och skolsköterskor gäller samma sekretess som för annan hälso- och sjukvårdspersonal. Detta innebär att det finns en sekretessgräns gentemot övrig skolpersonal. Uppgifter om en enskild elev får dock lämnas från elevhälsans medicinska insatser till rektorn, någon annan inom elevhälsan eller en särskild elevstödjande verksamhet inom samma kommunala nämnd, om det krävs för att eleven ska få nödvändigt stöd. Bestämmelsen ska dock tillämpas re striktivt och i första hand ska samtycke inhämtas. I de sällsynta undantags fall som bestämmelsen är avsedd för måste elevens rätt till utbildning och behov av särskilt stöd kunna ges företräde framför skyddet för elevens integritet som patient.21
21 Socialstyrelsens och Skolverkets Vägledning för elevhälsan, oktober 2014.
7.4.3. Risker för den personliga integriteten
Det ställs långtgående krav på skolorna att de ska dokumentera sin verksamhet och sina insatser för enskilda elever, inte minst på elevhälsans område. Det innebär att det kan hanteras mycket känsliga uppgifter om eleverna i skolorna.
Samtidigt ställs också långtgående krav på samverkan mellan olika yrkeskategorier i skolan för att tillsammans uppnå god hälsa för eleverna, vilket kan innebära ett krav på spridning av känsliga uppgifter.
Likaså finns det ett detaljerat regelverk för sekretess och personuppgiftsbehandling inom elevhälsan och särskilt inom den hälso- och sjukvård som bedrivs inom ramen för elevhälsan.
Det kan rimligen antas att det i den dagliga verksamheten på skolorna uppstår svåra frågor om tillämpningen av regelverket angående hur olika befattningshavare får dela information om eleverna med varandra.
Det saknas emellertid undersökningar ur ett integritetsskyddsperspektiv från senare år om hur personuppgifter från eller inom elevhälsan hanteras i skolorna.
Det förefaller inte osannolikt att området på grund av sitt relativt komplexa regelverk tillsammans med kraven på samarbete, kräver kontinuerliga kunskapshöjande insatser för berörd personal på skolorna.
Skolinspektionen avslutade år 2015 ett tillsynsprojekt inom vilket man granskade på elevhälsans arbete för att motverka risker för att elever ska hamna i psykisk ohälsa. Tillsynens fokus låg således inte på sekretess och integritetsskydd, även om det i granskningsrapporten poängteras att eleverna behöver kunna känna sig säkra på att förtroende och sekretess respekteras.22
Skolinspektionens erfarenheter från tidigare tillsynsaktiviteter på området har varit att olika befattningshavare i skolan samverkar för litet i arbetet för att främja elevernas hälsa.23
22 Skolinspektionens rapport 2015:05, Elevhälsa – Elevers behov och skolans insatser.23 Se Skolinspektionens kunskapsöversikt för kvalitetsgranskning av elevhälsans arbete med dnr 2014:2123.
7.5. Skolfederationen
7.5.1. Företeelsen
Ett intressant initiativ för att möta digitaliseringen av skolan, är i Sverige den s.k. Skolfederationen. Skolfederationen är en identitetsfederation, dvs. en samarbetsform där tanken är att de samverkande parterna ska lita på varandras användaridentifiering.
Skolfederationen har tagits fram under ledning av SIS, Swedish Standards Institute, och drivs av IIS (Internetstiftelsen).
Nyttan med Skolfederationen ligger i att alla olika IKT-tjänster som används i en skola och som har olika leverantörer, ska presenteras i ett och samma konto för eleven. Eleven ska därmed bara behöva ett användarnamn och ett lösenord för åtkomst till samtliga tjänster.
Skolfederationen beskriver på sin webbsida den typiskt förekommande situationen i skolan i dag när man inte tillämpar någon federativ identitetslösning. I en skola kan finnas externt driftade tjänster för digital lärplattform, system för schemaläggning och frånvarorapportering, digitala läromedel, media/streamingtjänster och bloggportaler. I dagsläget, utan någon federativ identitetslösning, har alla externa tjänster sin egen kontohantering. En elev behöver alltså hålla reda på användarnamn och lösenord för ett flertal personliga konton och klasskonton. Det medför en risk för att eleverna ska glömma sina lösenord och få problem med inloggningen. Om skolan och tjänsteleverantörerna är anslutna till Skolfederationen samlar man allt till ett konto per elev.
Syftet med Skolfederationen är således att underlätta elevernas och skolornas användning av digitala tjänster och läromedel.
I syfte att kunna minimera exponeringen av personuppgifter, finns det inom Skolfederationen en möjlighet för skolhuvudmännen att bestämma hur många och vilka uppgifter om eleverna som ska visas för andra aktörer som är anslutna till Skolfederationen. Utgångspunkten är att det i normalfallet inte ska vara möjligt för andra anslutna aktörer att överhuvudtaget identifiera enskilda elever.
7.5.2. Det skyddande regelverket
Personuppgiftslagens bestämmelser gäller för hanteringen av personuppgifter i Skolfederationen. Av särskild betydelse är i detta sammanhang är personuppgiftslagens bestämmelser om personuppgiftsansvarets placering och omfattning, om ändamålsbegränsning, samtycke, information och säkerhetsåtgärder.
7.5.3. Risker för den personliga integriteten
Skolfederationen är ett intressant exempel eftersom den kan ge ett förbättrat integritetsskydd för eleverna samtidigt som den också under lättar skolsektorns hantering av elevernas personuppgifter.
Skolfederationen omfattar i dag många av Sveriges elever i grund- och gymnasieskolan. Skolfederationen har dock inte granskats av Datainspektionen ur ett integritetsskyddsperspektiv.
En risk som kan uppstå vid en anslutning till Skolfederationen är att skolhuvudmännen av misstag eller okunskap kan välja en nivå för kommunikationen där integritetskänsliga uppgifter om enskilda elever onödigtvis visas för anslutna aktörer, dvs. att integritetskänsliga uppgifter får en större spridning av än vad som är fallet utan federativ identitetslösning.
En annan risk är att vissa integritetsskyddande åtgärder, rörande exempelvis gallring av uppgifter som inte längre behövs eller skyddet för personuppgifterna (informationssäkerheten), generellt sett har en benägenhet att falla mellan stolarna i komplexa samarbeten kring personuppgifter och systemintegreringar. Frågan om personuppgiftansvarets placering och omfattning, blir ofta svårare ju fler olika aktörer som blir inblandade i samarbeten av detta slag.
Single-sign-on-lösningar ger åtkomst till flera system med hjälp av en och samma inloggning. De anses därmed rent generellt innebära en risk för den personliga integriteten, eftersom de kan innebära att ett stort antal uppgifter blir tillgängliga genom en inloggning.
Det bör samtidigt noteras att en genomtänkt användning av Skolfederationen (liksom av andra federativa lösningar där medverkande organisationer litar på varandras användaridentifiering) kan skapa bättre förutsättningar för utveckling av gemensamma principer och praxis kring gallring och skydd för personuppgifterna än vad som har varit fallet tidigare.
7.6. Kameraövervakning i skolor
7.6.1. Företeelsen
Kameraövervakning är sedan några år tillbaka relativt vanligt förekommande i skolor.
Det finns både kameror som övervakar området utomhus utanför skolbyggnaden och kameror som övervakar det inre av skolbyggnaderna. Det saknas aktuella uppgifter om hur många skolor som har någon form av kameraövervakning.
År 2008 redovisade Datainspektionen en undersökning som visade att antalet skolor som använde kameraövervakning då hade ökat med över 150 procent jämfört med år 2005. Enligt enkätsvaren år 2008 använde mer än var femte skola kameraövervakning. Av de skolor som ännu inte hade börjat med kameraövervakning övervägde mer än var femte att installera kameror.24
Vanliga skäl till att vilja införa kameraövervakning inomhus i skolan är stölder från elevskåp eller skadegörelse och klotter.
Utanför skolan är skadegörelse på skolans egendom ett vanligt skäl till att införa kameraövervakning. Ofta görs sådan övervakning utanför ordinarie skoltider, dvs. på kvällar, nätter och helger då risken för skadegörelse anses vara högst.
Enligt Brottförebyggande rådet saknas det svenska utvärderingar av kameraövervakningens brottsförebyggande effekt i skolor.
7.6.2. Det skyddande regelverket
Kameraövervakningslagen (2013:460) gäller oavsett om allmänheten har tillträde till den övervakade platsen eller inte. Huvudregeln är att det krävs tillstånd för kameraövervakning av platser dit allmänheten har tillträde, men ibland räcker det med endast en anmälan.
Den som planerar att bedriva kameraövervakning av platser dit allmänheten inte har tillträde behöver inget tillstånd. Men övervakningen måste följa kameraövervakningslagens bestämmelser. Lagen ger två möjligheter: Den ena är att den som ska övervakas lämnar sitt samtycke till övervakningen. Den andra möjligheten är att
24Kameraövervakning på skolor ökar med över 150 procent. Datainspektionen, 2008. http://www.datainspektionen.se/press/nyheter/2008/kameraovervakning-pa-skolor-okar-medover-150-procent/ Hämtat 2016-05-09.
övervakningen görs efter att man tillämpat överviktsprincipen, vilken innebär att kameraövervakningen är tillåten om övervakningsintresset väger tyngre än den enskildes intresse av att inte bli övervakad. Exempel på övervakningsintressen kan vara att förebygga, utreda och avslöja brott och förhindra olyckor.
Lagen innehåller också bestämmelser om hur länge bild och ljud från kameraövervakning får sparas och hur inspelningarna ska skyddas.
Det finns praxis från Högsta förvaltningsdomstolen avseende kamera övervakning i skolor inomhus. Domstolen konstaterade i en dom25 att kameraövervakning av lektionssalar, korridorer, bibliotek, uppehållsrum och liknande i en skola under skoltid generellt sett måste betraktas som ett intrång i de registrerades integritet. För att en sådan övervakning inte ska vara kränkande i den mening som avses i 5 a § personuppgiftslagen bör det därför enligt domstolen krävas att det i det enskilda fallet står klart att det finns ett påtagligt behov av övervakningen och att detta väger tyngre än den enskildes intresse av att inte bli övervakad. I målet befanns den aktuella kameraövervakningen inte vara förenlig med personuppgiftslagens bestämmelser.
Även om domen meddelades innan den nuvarande kameraövervakningslagen trädde i kraft, kan domstolens ställningstagande fortsatt vara vägledande för hur den numera lagstadgade avvägningen ska göras.
För närvarande pågår en översyn av kameraövervakningslagen i Utredningen om kameraövervakning – brottsbekämpning och integritetsskydd.26 Utredaren ska enligt direktiven bl.a. ta ställning till om integritetsskyddet på vissa platser dit allmänheten inte har tillträde, till exempel arbetsplatser och skolor, behöver förbättras. Uppdraget ska redovisas senast den 28 februari 2017.
7.6.3. Risker för den personliga integriteten
Många elever vistas i skolan under större delen av dagen. Många har också en stor del av sin umgänges- och vänkrets bland andra elever i samma skola. Därtill kommer att elever i grundskolan har en lag-
25HFD 2012 ref. 16.26 Ju 2015:14.
stadgad skyldighet att vistas i skolan på grund av skolplikten. Det gör att övervakning av elever inomhus i skolan måste anses som relativt närgången.
Även om det som nämnts saknas aktuella siffor för hur vanlig kamera övervakning i skolorna är i dag, kan på grundval av äldre under sökningar och medieuppgifter antas att det i vart fall rör sig om ett betydande antal skolor i landet som använder sig av kameraövervakning.
Antalet kameror som sitter uppe i skolor där man använder sig av kameraövervakning inomhus, varierar kraftigt mellan skolorna. Även på denna punkt saknas aktuella siffor. Det är dock inte ovanligt med ett relativt stort antal kameror, exempelvis fanns 60 kameror inomhus i det ärende som slutligen avgjordes av Högsta förvaltnings domstolen, även om ett så stort antal kameror säkerligen hör till ovanligheterna.
I skolor med ett stort antal kameror, kan det vara svårt för eleverna att hitta områden där de inte övervakas. I dessa fall är övervakningen både ingående och omfattande på så vis att många av elevernas vardags situationer fångas av någon kamera.
Enligt vad kommittén känner till förekommer det inte i dagsläget att någon skola använder sig av samtycke som grund för kameraövervakningen.
Erfarenheten från Datainspektionens tillsyn är att det inte alltid är skolhuvudmannen eller skolledningen som fattar beslutet om att sätta upp kameror och om hur många kameror det ska finnas samt var de ska vara placerade. Dessa beslut kan många gånger i praktiken fattas på en lägre nivå i organisationen, även om beslutsrätten inte delegerats formellt. Besluten ifråga är oftast inte skriftligen dokumenterade.
I en undersökning som Datainspektionen år 2010 lät genomföra om ungdomars inställning till personlig integritet, visade det sig att kameraövervakning generellt sett var den mest accepterade formen av övervakning, men att man däremot inte ville ha övervakningskameror i klassrum och i uppehållsrum i skolan.27
27 Datainspektionens rapport 2011:1 Ungdomar och integritet 2011.
7.7. Kommitténs samlade bedömning av området
Av det här kapitlet framgår att det genereras allt fler och allt mer detalje rade uppgifter om eleverna i skolan, alltifrån hur de använder sig av läromedel och chattar med klasskamraterna, till vilka kamrater de helst syns tillsammans med i skolan.
Uppgifterna kan användas på ett sätt som innebär stor nytta för eleverna, t.ex. när de används för att utforma det stöd den enskilde eleven behöver i skolarbetet. Samtidigt finns det ett antal olika risker med den ökande mängden uppgifter om eleverna.
Det mesta av den tilltagande personuppgiftsmassan om eleverna hanteras utan deras eller vårdnadshavarnas samtycke. Det kan också hända att uppgifterna hanteras med stöd av samtycken vars lämplighet eller giltighet kan ifrågasättas.
Det finns oftast tydliga regler om att elever eller vårdnadshavare ska informeras om hanteringen av elevernas uppgifter. Men många gånger har inte ens den ansvarige, dvs. skolhuvudmannen, överblick över vilka uppgifter som hanteras av vem och hur. Den information som sedan ges vidare till elever och vårdnadshavare kan därför ofta antas vara mer eller mindre bristfällig.
De företeelser som nämns i det här kapitlet har inte granskats ur ett integritetsskyddsperspektiv på senare år, förutom när det gäller kameraövervakning och molntjänster. Det finns inte heller någon myndighet eller annan aktör som kan sägas ha en helhetsbild av vad som försiggår med bäring på integritetsskyddet i landets tusentals skolor – i vad mån kameraövervakning används, molntjänster anlitas, vilka sociala medier som används osv.
I sammanhanget är av betydelse att det rör sig om barns rätt till personlig integritet. Barn måste anses som särskilt viktiga när det gäller att skyddas mot otillbörliga intrång i den personliga integriteten, på samma sätt som de anses särskilt skyddsvärda i konsumenträttsliga sammanhang. Barn kan behöva stöd när det gäller att freda sin personliga sfär eller när de behöver fatta beslut som rör deras nutid och framtid.
Ytterligare skäl till att vara särskilt försiktig med en närgången digital kartläggning av barn, är att erfarenheterna från skolan kommer att prägla dem för resten av livet – även när det gäller frågor om
vilka intrång som ska accepteras och vad den enskilde kan förvänta sig att få veta och möjlighet att påverka när det gäller den personliga integriteten.
Det talas ibland också om att elever ges ”digitala tatueringar”, som följer dem under hela deras vandring genom utbildningssystemet och kanske även hänger med ut i arbetslivet. Eleverna ges ingen möjlighet att börja om när de byter skola och kanske inte ens när de slutar skolan.28 Tatueringarna består i personuppgifter och de analyser som gjorts med hjälp av uppgifterna, och som kanske aldrig gallras. Frågan om digitala tatueringar kan antas växa i betydelse i takt med att inlärningsanalytiska metoder och arbetssätt vinner terräng och börjar användas av skolorna och systemleverantörerna. Problematiken är snarlik den som brukar anföras i samband med sökmotorernas algoritmer, vilket ibland omtalas som nätets ”filterbubblor” eller ”ekokammare”.29
Digitala lärplattformar och digitala läromedel
Det är skolornas huvudmän som är personuppgiftsansvariga för hanteringen av personuppgifter i de digitala lärplattformar och digitala läromedel som används vid skolan, men viktiga beslut som handlar om hantering av elevernas personuppgifter kan många gånger i praktiken fattas av enskilda lärare. Huvudmannen har sällan en fullständig överblick över eller insyn i vilka uppgifter som hanteras i systemen, hur de används och hur länge de sparas. Ibland känner huvudmannen över huvud taget inte till vilka system som används i skolan. Det är kommitténs uppfattning att detta är ett allmänt förekommande problem i skolorna i dag.30
Därtill kommer att det för elever i grundskolan och gymnasieskolan inte finns någon sekretess eller tystnadsplikt för större delen av den växande uppgiftsmassan.
28 Se rapporten Personvern 2015 – tilstand og trender, från norska Teknologirådet och Datatillsynet, januari 2015.29 Se kapitel 12 om konsumentområdet.30 Denna iakttagelse görs avseende norska förhållanden, som i detta avseende bör vara mycket lika de svenska, se rapporten Personvern 2015 – tilstand og trender, från norska Teknologirådet och Datatillsynet, januari 2015.
En stor andel av undervisningen för landets elever hanteras i digitala lärplattformar och i digitala läromedel. Det rör sig om allt fler och detaljerade uppgifter om varje enskild elev. Dessa uppgifter är av stort intresse för både skolhuvudmän och leverantörer för att dessa ska kunna lära sig mer om eleven, om inlärningsprocesser generellt och om hur plattformar och läromedel fungerar och kan förbättras. Uppgifterna kan därför komma att användas för helt nya ändamål, som eleven och ibland inte heller skolan, känner till och kan påverka. Elevuppgifternas värde innebär också att de kan komma att spridas till exempelvis leverantörernas samarbetsparter. Sekretesskyddet är relativt svagt och det saknas särskild lagstiftning för hanteringen av elevuppgifter, här gäller endast personuppgiftslagen. Sammantaget anser kommittén att användningen av digitala lärplattformar och läro medel innebär en allvarlig risk för den personliga integriteten.
Samtidigt måste också beaktas att digitala lärplattformar och läromedel kan förbättra undervisningen avsevärt och hjälpa eleverna att uppnå sina mål.
Sociala medier i undervisningen
Fyra av tio lärare i gymnasieskolan använder sociala medier för att kommunicera med elever. I kommitténs kontakter med skolföreträdare, har uppgetts att det blir allt vanligare att sociala medier används i undervisningen i svenska skolor.
Användningen av sociala medier kan medföra att ett stort antal närgångna uppgifter om den enskilde oavsiktligen exponeras för andra. Vidare förekommer det att sociala medier använder upp gifterna för egna ändamål och sprider dem vidare till andra företag. Det är också svårt för användarna att få klarhet i hur uppgifterna faktiskt hanteras när användarvillkoren väl har godkänts. Den enskildes valmöjlighet är oftast begränsad till att antingen godkänna samtliga villkor, eller att avböja och därmed helt ställa sig utanför det sociala mediet. I kapitel 13 om sociala medier, bedömer kommittén därför att användningen av vissa sociala medier innebär en allvarlig risk för den personliga integriteten. Risken blir inte mindre vid användning i skolan. Vid sådan användning tillkommer som risk faktorer att eleverna inte själva får bestämma över det. De blir i stället upp manade av skolan att använda sociala medier. Skolan bestämmer också hur
eleven ska använda sig av det. Det kan bl.a. leda till en oönskad samman blandning av uppgifter från elevens privata respektive skolrelaterade verksamheter i det sociala mediet.
Samtidigt måste också beaktas att användningen av sociala medier i skolan kan bidra till undervisningen på ett mycket positivt sätt, bl.a. genom att göra det enklare att omvärldsbevaka, kommunicera och dela material med andra elever, lärare och föräldrar.
Elevhälsan
Inom elevhälsan hanteras känsliga uppgifter om alla elever i skolan. Uppgifterna har ett relativt starkt sekretesskydd och elevhälsans hantering av uppgifter omfattas av patientdatalagen. Det saknas under sökningar ur ett integritetsskyddsperspektiv från senare år om hur personuppgifter från eller inom elevhälsan hanteras i skolorna. Kommittén anser att hanteringen av uppgifter i elevhälsan innebär en viss risk för den personliga integriteten.
Samtidigt måste också beaktas att det är av vikt för elevhälsan, och därmed även för eleverna, att verksamheten kan dra nytta av de fördelar som t.ex. dokumentation i digitala system kan medföra.
Skolfederationen
Skolfederationen är en tjänst som, använd på rätt sätt, kan innebära att uppgifter ges ett bättre skydd och exponeras för leverantörer i mindre omfattning än vad som annars hade varit fallet. Emellertid är skyddet beroende på skolhuvudmännens och leverantörernas kunskaper och val av inställningar i tjänsten, samt deras medvetenhet om personuppgiftsansvarets placering och innebörd. Mot bakgrund av de bristande kunskaperna om integritetsskydd hos många skolhuvudmän, anser kommittén att Skolfederationen innebär en viss risk för den personliga integriteten.
Kameraövervakning i skolor
Kameraövervakning inomhus förekommer sannolikt i ett betydande antal skolor i dag. Det finns skolor som har ett stort antal kameror inomhus. Det kan därför vara svårt för elever att hitta områden som inte övervakas. Men, det får antas att en så omfattande kameraövervakning inte är vanligt förekommande i landets skolor.
Besluten att införa kameraövervakning delegeras inte sällan långt ner i organisationen och dokumentationen av anledningen till övervakningen är ofta bristfällig. De som övervakas i skolorna tillfrågas sällan om kameraövervakningen och om var och för vilka syften det ska få förekomma. Härtill kommer att teknikutvecklingen har gjort det möjligt att hantera bilderna i exempelvis ansiktsigenkänningsprogram. Kameraövervakning är särskilt reglerad i kameraövervakningslagen. Där regleras bl.a. hur information ska lämnas och hur länge bilderna får lagras. Sammantaget anser kommittén att kameraövervakning inomhus i skolor utgör en påtaglig risk för den personliga integriteten.
Samtidigt måste också beaktas att kameraövervakning inomhus i skolor kan vara ett betydelsefullt verktyg för att uppnå säkerhet och trygghet för eleverna. Det saknas dock svenska undersökningar om detta.
8. Arbetslivet
Kommitténs bedömning: Inom arbetslivsområdet finns det såväl
företeelser som innebär vissa risker för den personliga integriteten, som företeelser som är förknippade med allvarliga risker. Läs mer om vår bedömning av de olika företeelserna inom området i avsnitt 8.10.
8.1. Inledning
8.1.1. Beskrivning av området
Det här kapitlet handlar om personlig integritet för arbetstagare i vid mening, som t.ex. anställda, arbetssökande, de som söker eller fullgör praktik eller som utför arbete som inhyrd eller inlånad arbetskraft.1
Integritetsskyddet i arbetslivet har varit föremål för tre olika utredningar sedan år 2002, som samtliga har konstaterat brister i integritetsskyddet för arbetstagare och föreslagit ändringar och förtydliganden i regelverket. Hittills har emellertid inget av förslagen lett till lagstiftning.2
Karaktäristiskt för övervakning inom arbetslivet är att endast få system marknadsförs med det uttalade syftet att övervaka arbetstagarna. Vanligen är det angivna syftet ett annat, men tekniken gör det även möjligt att i detalj övervaka personalen. Ett bra sådant exempel är lösningar för elektronisk körjournal. Dessa bygger på att en GPS hela tiden positionsbestämmer arbetsgivarens bilar. Informa-
1 Jfr Utredningens om registerutdrag i arbetslivet betänkande Registerutdrag i arbetslivet, SOU 2014:48.2 Integritetsutredningens betänkande Personlig integritet i arbetslivet,SOU 2002:18, Utredningens om integritetsskydd i arbetslivet betänkande Integritetsskydd i arbetslivet,SOU 2009:44.
tionen kan arbetstagaren använda för att redovisa till Skatteverket att bilen inte används för privat bruk. Men samtidigt gör tekniken det möjligt för arbetsgivaren att i realtid se var arbetstagaren som framför fordonet befinner sig.
8.1.2. Regelverk och tillsyn
Hanteringen av personuppgifter om arbetstagare regleras i huvudsak av personuppgiftslagen (1998:204), med Datainspektionen som tillsynsmyndighet.3 Men även arbetsmarknadens parter spelar en viktig roll inom området. De kan exempelvis förhandla om kontrollåtgärder som har inverkan på arbetstagarnas personliga integritet, enligt lagen (1976:580) om medbestämmande i arbetslivet eller ingå kollektivavtal i frågor om personlig integritet.
Den bestämmelse i personuppgiftslagen som oftast aktualiseras inom arbetslivet är 10 § punkten f. Bestämmelsen gör det möjligt för en arbetsgivare att behandla personuppgifter om det är nödvändigt och intresset av att behandla uppgifterna är större än arbetstagarens intresse av att uppgifterna inte behandlas. Bedömningen ska avgöras efter en avvägning. Hur den utfaller beror bland annat på förhållandena på den aktuella arbetsplatsen, vilken slags verksamhet som bedrivs, för vilket ändamål behandlingen ska utföras, vilka regler och riktlinjer som utfärdats av arbetsgivaren och vilken information arbets tagarna har fått.4
All behandling av personuppgifter måste vara laglig och ska dessutom utföras på ett korrekt sätt och i enlighet med god sed på arbetsmarknaden. Vad som är god sed kan avgöras mot bakgrund av bland annat överenskommelser inom arbetsmarknaden.
Det kan ofta vara svårt för arbetsgivare att stödja en behandling av personuppgifter på samtycken från arbetstagarna. Det beror på att arbetstagare ofta befinner sig i en beroendeställning gentemot sina arbetsgivare och därför inte kan lämna sådana frivilliga samtycken som personuppgiftslagen kräver. Behandling av personuppgifter i arbets livet med stöd av samtycke begränsas därför till sådana situationer där arbetstagaren har ett verkligt fritt val och senare kan ta
3 Även annan lagstiftning kan bli aktuell, såsom exempelvis brottsbalkens bestämmelser om dataintrång. En utförlig redogörelse för regler som kan bli tillämpliga ges i SOU 2009:44, s. 69 f.4 Se Datainspektionens informationsbroschyr Personuppgifter i arbetslivet, version maj 2014.
tillbaka sitt samtycke utan att det medför några nackdelar. Om de anställda erbjuds rimliga alternativ och inte utsätts för någon direkt eller indirekt påtryckning att samtycka kan det vara tillåtet för arbets givaren att behandla personuppgifter med stöd av samtycken från de anställda.5
Personuppgiftslagen ställer stora krav på att arbetsgivaren självmant informerar de anställda om vilka personuppgifter som samlas in och vad de ska användas till.6
Även lagen om medbestämmande i arbetslivet har betydelse i sammanhanget. Det framgår av lagens 11 § att en arbetsgivare, innan den beslutar om viktigare förändring av sin verksamhet, på eget initia tiv ska förhandla med arbetstagarorganisation i förhållande till vilken arbetsgivaren är bunden av kollektivavtal. En sådan viktig förändring kan vara införandet av system, arbetssätt eller andra åtgärder som medför möjligheter till övervakning.
Det förekommer också att kollektivavtal närmare reglerar vilken övervakning av arbetstagarna som får förekomma. Om arbetsgivaren avviker från kollektivavtalet kan en facklig organisation som har kollektiv avtal med arbetsgivaren begära allmänt skadestånd för kollektiv avtalsbrott.
Rätten att leda och fördela arbetet, den s.k. arbetsledningsrätten, är en allmän rättsgrundsats som innebär att arbetsgivaren inom ramen för anställningsavtalet t.ex. bestämmer om arbetets utförande, platsen för arbetet och arbetsmetoder. Arbetsledningsrätten innebär också att arbetsgivaren bestämmer om vilken teknisk utrustning som ska finnas och hur den ska användas. Arbetsledningsrätten kan också innefatta en rätt att vidta kontrollåtgärder, t.ex. genom kameraövervakning. Arbetsledningsrätten får dock inte utövas i strid mot lag eller god sed på arbetsmarknaden.
För myndigheter finns även särskilda bestämmelser i offentlighets- och sekretesslagen (2009:400) som rör arbetslivet samt bestämmelser om bevarande och gallring i tryckfrihetsförordningen och arkivlagen (1990:782). Även bestämmelsen i regeringsformens 2 kap. 6 § kan bli aktuell när arbetsgivaren är en myndighet.7 Enligt bestämmelsen är var och en är gentemot det allmänna skyddad mot påtvingat kroppsligt ingrepp, kroppsvisitation, husrannsakan och
5 Se Datainspektionens informationsbroschyr Personuppgifter i arbetslivet, version maj 2014.6Personuppgifter i arbetslivet.7 Se t.ex. AD 1984 nr 94.
liknande intrång samt mot undersökning av brev eller annan förtrolig försändelse och mot hemlig avlyssning eller upptagning av telefon samtal eller annat förtroligt meddelande. Enligt bestämmelsen är också var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.
Om en enskild arbetstagare anser att hans eller hennes personuppgifter hanterats på ett felaktigt sätt och vill vända sig till en statlig myndighet med sitt klagomål, bör han eller hon i första hand vända sig till Datainspektionen.
Därtill utövar Riksdagens ombudsmän (Justitieombudsmannen) och i viss mån Justitiekanslern tillsyn över det allmännas verksamhet. Polis och åklagare kan utreda misstänkta brott.
Vid behandling av en arbetstagares personuppgifter i strid mot personuppgiftslagen blir skadeståndsbestämmelsen i 48 § personuppgiftslagen tillämplig. Enligt den bestämmelsen är den personuppgiftsansvarige skyldig att ersätta den registrerade för skada och kränkning av den personliga integriteten som orsakats av en behandling i strid med lagen.
Vidare kan det finnas en viss möjlighet för en arbetstagare att begära skadestånd för den skada som hon eller han anser sig ha lidit på grund av integritetsintrång enligt 2 kap. 3 § skadeståndslagen (se vidare kapitel 23 om vilket skydd samhället erbjuder).8
Den praxis som finns från Arbetsdomstolen rörande tillämpning av personuppgiftslagen handlar om alkoholkontroller9, bärande av namnskylt10 samt om arbetsgivares utlämnande av löneuppgifter och anställningsbevis till fackliga organisationer.11
Det finns också möjlighet för en arbetstagare att få allmänt och ekonomiskt skadestånd om denne blivit föremål för disciplinära åtgärder, t.ex. vid en uppsägning som grundar sig på att en arbetstagare vägrat att underkasta sig kontrollåtgärder om dessa utförts i strid mot gällande rätt.12
8 Utredningen om personlig integritet i arbetslivet uttryckte emellertid tveksamhet till att bestämmelsen i skadeståndslagen kunde medföra rätt till skadestånd avseende brott mot den personliga integriteten i arbetslivet, se SOU 2012:18.9AD 2009 nr 63 och AD 2013 nr 19.10AD 2013 nr 29.11AD 2009 nr 3 och AD 2010 nr 87.12 Se regler om skadestånd i LAS 38–39 §§.
Europakonventionens artikel 8 om rätt till respekt för en enskilds privat- och familjeliv, hem och korrespondens ger ett skydd mot olika former av intrång i den enskildes sfär och är tillämplig på förhållanden i arbetslivet.13 I Arbetsdomstolens praxis finns avgöranden som direkt grundar sig på Europakonventionen och som berör såväl privata som offentliga arbetsgivare.14 Rätten till skydd för den personliga integriteten får inskränkas genom lag om det i ett demokratiskt samhälle är nödvändigt med hänsyn till de syften som anges i artikel 8.2. Enligt konventionen får rätten till skydd för den personliga integriteten inskränkas, om inskränkningen står i rimlig proportion till det syfte som ska uppnå med den. Varje konventionsstat ges ett visst handlingsutrymme att besluta om en inskränkning är nödvändig. Omfattningen av handlingsutrymmet varierar beroende på frågans natur och de berörda intressenas vikt. Ett sådant intresse kan till exempel vara arbetsgivarens arbetsledningsrätt som innefattar en rätt att vidta kontrollåtgärder. I målet Wretlund mot Sverige som berörde en arbetstagares skyldighet att underkasta sig drogtestning fann Europadomstolen att drogtestningen kunde rättfärdigas med stöd av artikel 8.2.15
Vidare finns det en rekommendation från Europarådet om integritetsskydd i arbetslivet, antagen den 1 april 2015 av ministerkommittén, som innehåller detaljerade rekommendationer för behandlingen av personuppgifter i arbetslivet.16 Rekommendationen tar sin utgångspunkt i globaliseringen och den ökade användningen av IKT (informations- och kommunikationsteknik) på arbetslivets område. Rekommendationen berör bl.a. när och hur arbetsgivare får hantera uppgifter om arbetstagares hälsa och genetiska data, uppgifter om arbetstagares användning av internet samt uppgifter om arbetstagares privata användning av arbetsplatsens mejlsystem. I rekommenda tionen uttalas att det inte bör vara tillåtet för arbetsgivare att använda sig av system vars främsta syfte är att övervaka arbetstagarnas aktiviteter och beteenden. Nya ändamål för han-
13 Se t.ex. SOU 2009:44 s. 195 ff.14 Se t.ex. AD 1998 nr 17 och AD 2011 nr 15.15 Se Application no. 46210/99.16Recommendation CM/Rec (2015) 5 of the Committee of Ministers to member States on the
processing of personal data in the context of employment. Rekommendationen är en revidering av
den tidigare Recommendation Rec (89) 2 of the Committee of Ministers to member States on the
protection of personal data for employment purposes. Den nya rekommendationen ersätter den
äldre rekommendationen.
teringen av arbetstagarnas uppgifter, bör enligt rekommendationen inte förekomma annat än under särskilda omständigheter. I rekommendationen behandlas flera av de frågor som tas upp i författningsförslaget som lämnades i betänkandet Integritetsskydd i arbetslivet.17
8.2. Positionering
8.2.1. Företeelsen
Många system som används i arbetslivet i dag innehåller funktioner för att kunna positionera utrustningen och därmed den arbetstagare som använder utrustningen.
Positioneringstekniken kan ha många fördelar för både arbetsgivare och arbetstagare. Positionering gör det möjligt att på ett enkelt sätt redovisa till olika myndigheter hur t.ex. fordon används. Den gör det också möjligt att styra arbetstagare och fordon till rätt platser i realtid, spåra borttappad eller stulen utrustning och att snabbt kunna hitta och hjälpa arbetstagare som hamnar i hotfulla situationer m.m.
8.2.2. Elektroniska körjournaler
Det finns skatterättsliga bestämmelser som kräver att arbetstagare som har dispositionsrätten till en bil måste kunna visa att bilen används endast i ringa omfattning för privat körning. Ett sätt att visa detta är att dokumentera samtliga resor (både i tjänsten och privata) i en körjournal, som enklast förs elektroniskt.
I system för elektronisk körjournal installeras en GPS-enhet (inte mycket större än en tändsticksask) i bilen som löpande registrerar bilens position. Uppgifter om körningarna kan sparas i åtskilliga år hos systemleverantörerna.
Vissa lösningar använder mobiltelefonteknik för att hela tiden rapportera bilarnas position till en central server. Andra lösningar registrerar bara körningarna i ett internt minne, som arbetsgivaren sedan måste ansluta till en persondator för att kunna tömma på data. Med den sistnämnda lösningen går det inte att övervaka bilens position i realtid.
17SOU 2009:44.
Det finns lösningar som har stöd för att hantera bilar som har olika förare. Föraren loggar då in med sitt digitala ID-kort eller passer bricka för att identifiera sig. Kortet innehåller ett chip som kan registreras av en läsare i bilen. När föraren håller kortet framför avläsaren, skickas en signal till den centrala databasen, som verifierar att föraren är inloggad.
Datainspektionen har granskat användningen av ett system för elektroniska körjournaler. I granskningen kom Datainspektionen fram till att företaget som använde GPS-positionering av fordon för elektroniska körjournaler fick göra det utan att först få förarnas godkännande. Det förutsatte dock att ett antal villkor måste vara uppfyllda, bland annat fick inte fler uppgifter än nödvändigt samlas in av systemet.18
8.2.3. Fordonskontroll
Fordonskontroll, eller fleet management som det också kallas, bygger på samma princip som elektronisk körjournal. Syftet med fordonskontroll är dock ett annat. Här handlar det om att kunna dirigera bilar effektivt, så att man skickar det fordon som är närmast en aktuell kund.
Även i system för fordonskontroll monteras en GPS-enhet i alla fordon som arbetsgivaren vill bevaka. Arbetsgivaren kan sedan i realtid se positionen för varje fordon.
8.2.4. Digitala färdskrivare
Det finns regler som kräver att nytillverkade bussar och tunga lastbilar är utrustade med digitala färdskrivare.19 I färdskrivarna registreras uppgifter om förarens kör- och vilotider. I flera system överförs sedan uppgifterna trådlöst till en central dator hos arbetsgivaren.
18 Datainspektionens beslut den 7 februari 2014 i dnr 234-2013.19 Rådets förordning (EEG) nr 3821/85 av den 20 december 1985 om färdskrivare vid väg transporter.
8.2.5. Körstil
Det finns särskilda system som övervakar hur fordonen framförs, om föraren kör på ett ekonomiskt och miljövänligt sätt, eller om föraren är aktiv på de tidpunkter och på det sätt som arbetsgivaren önskar. Samma system som används för att uppfylla kraven i olika regelverk kan också innehålla tilläggsfunktioner som kan användas för att kontrollera hur fordonet framförs.
Systemen fungerar vanligtvis genom att fordonet i fråga förses med en sändare som skickar uppgifter om fordonet till systemleverantören. Det kan röra sig om uppgifter om fordonets position, dess rörelser (såsom acceleration, svängar och inbromsningar som registreras av en gyroskopisk sensor), bränsleförbrukning, hastighet och förarens identitet m.m.
Arbetsgivaren kan få åtkomst till uppgifterna både i realtid och i form av sammanställningar. Inte sällan ges åtkomst till uppgifterna genom en mobilapp, vilket innebär att uppgifterna kan komma att spridas till ännu fler aktörer, exempelvis till appens eller mobiltelefonens tillverkare.
Utöver sådana särskilda system som arbetsgivaren skaffar, kan fordonen redan när de levereras från fabrik vara försedda med system som samlar in uppgifter om fordonet och trådlöst skickar dem vidare till fordonstillverkaren.
Vissa fordon är inte i förväg byggda för att trådlöst kommunicera uppgifter, utan lagrar endast dessa internt. Dessa uppgifter kan sedan laddas ner exempelvis till ett usb-minne av arbetsgivaren eller när fordonet är inne på verkstad för att genomgå service.
Ett system som hanterar uppgifter om körstil behandlades i ett ärende hos Datainspektionen.20 I ärendet ville ett bolag använda sig av en tjänst kallad ”Trafiksäkerhet” som tillhandahölls av en extern leverantör. Tjänsten byggde på s.k. ISA-teknik (intelligent stöd för anpassning av hastighet). Information från nationella vägdatabasen kombinerades med fordonets position för att visa aktuell lagstadgad hastighet på den vägsträcka som fordonet framfördes på samt den aktuella hastighet som fordonet hade.
ISA-tekniken bestod av tre komponenter: en GPS-mottagare, en minidator och en supportenhet med en skärm som visade gällande hastighetsbegränsning och en varningssignal som började låta om
20 Datainspektionens beslut den 18 november 2013 i dnr 768-2013.
hastighetsbegränsningen överträddes. Tekniken innebar att föraren i realtid på sin fordonsskärm kunde se hur stor del av körtiden som han eller hon hade hållit sig till lagstadgad hastighet respektive kört för fort. Bolagets syfte med tjänsten ”Trafiksäkerhet” var att minska riskerna i trafiken genom att föraren skulle framföra fordonet i enlighet med gällande hastighetsbegränsning. Den lägre hastigheten skulle uppnås genom att föraren fick direktåterkoppling via fordonsskärmen. Även sammanställda förarrapporter syftade till att göra föraren uppmärksam på hur han eller hon hade framfört fordon i tjänsten under den gångna arbetsperioden och om det fanns skäl att fundera över sin körstil (hastighet). Eftersom det rörde sig om uppgifter om hastighetsöverträdelser, ansåg Datainspektionen att det var frågan om uppgifter om lagöverträdelser i personuppgiftslagens mening. Därmed krävdes ett beslut om undantag från det principiella förbudet i 21 § personuppgiftslagen från Datainspektionen för att bolagets hantering skulle vara laglig. Vid en samlad bedömning kom Datainspektionen fram till att bolaget skulle få använda sig av den aktuella tjänsten, om bolaget uppfyllde en rad olika krav rörande bl.a. information till förarna, begränsning av hur bolaget använde sig av uppgifterna och ett tillräckligt bra skydd för uppgifterna.
8.2.6. Positionering i annan utrustning
Teknik för positionering kan även finnas i annan utrustning än fordon, såsom i smarta enheter som surfplattor och mobiler eller andra typer av handhållna enheter.
Ett aktuellt exempel är GPS-enheter i surfplattor. Ett mål i Arbetsdomstolen gällde servicemontörer vid ett bolag som upptäckte att GPS-enheter hade installerats och aktiverats i de surf plattor som arbets givaren försett dem med och som användes i tjänsten. GPSfunktionen gick inte att stänga av utan angivande av ett lösenord, vilket bolaget ensamt hade tillgång till. Enligt stämningsansökan hade service montörerna inte informerats i förväg om bolagets åtgärd och inte heller lämnat samtycke till behandling av deras personuppgifter. Bolaget hade före införandet av GPS-positioneringen enligt stämnings ansökan inte heller fullgjort sin skyldighet att genomföra förhandlingar med Svenska Elektrikerförbundet i enlighet med det mellan parterna gällande kollektivavtalet. Svenska Elektrikerförbundet hade i
målet yrkat att bolaget skulle förpliktas att utge allmänt skadestånd till förbundet och till var och en av de berörda servicemontörerna enligt personuppgiftslagen.21
Inom hemtjänsten används positioneringsteknik för att kontrollera insatser som utförs hemma hos brukare. Det finns olika tekniska lösningar för sådan rapportering. Vissa bygger på att personalen vid hemtjänsten använder en smart telefon eller surfplatta, medan andra bygger på en speciell digital penna och etiketter. Principen är dock genomgående att personalen registrerar när man kommit på hembesök, vad man gjort under besöket och när man gick. Via mobiltelefonens GPS bekräftas att personalen verkligen varit på plats. Med en digital penna görs samma sak genom att läsa av en etikett som sitter på dörrkarmen hos den person där man gör hembesök, liknande det förfarande som används av övervakningsföretag. Med vissa av dessa tekniker kan arbetsgivaren i realtid följa arbetstagarnas rörelser ner på meter- och minutnivå.
Inom socialtjänsten i Stockholm har användningen av positioneringen och kontrollen av arbetstagarna lett till diskussioner och det s.k. Hemtjänstupproret på Facebook.22
Enligt uppgifter i media bedömer Sveriges Kommuner och Landsting att hemtjänsten i minst 50 kommuner har elektronisk rapporter ing.23
Vidare använder allt fler företag någon form av verktyg för att hantera arbetstagarnas tjänstemobiler. Sådana lösningar förkortas MDM, vilket står för Mobile Device Management. De fungerar genom att en speciell app installeras på mobilen. Via appen kan en administratör bland annat fjärradera mobiltelefonen om den skulle tappas bort eller bli stulen. Men vanligen går det att göra betydligt mer än så med hjälp av appen. Exempelvis kan administratören se vilka andra appar som är installerade, förhindra att vissa appar installeras och bestämma hur lång pinkod eller lösenord som måste användas för att låsa upp telefonen. Ofta går det också att positionera telefonen vilket innebär att administratören på en karta kan se var telefonen befinner sig i realtid.
21 Arbetsdomstolens mål nr A 92/13. Målet avgjordes inte genom dom, utan talan återkallades och målet avskrevs. 22 Malin Beeck, Storebror ser dig – om du jobbar i hemtjänsten, publicerad den 7 februari 2014 på www.etc.se23 Anna Lena Wallström, Uppror mot kontroll i hemtjänsten, publicerad den 11 augusti 2014 på www.dn.se
Vissa MDM-verktyg stöder dessutom s.k. geo-fencing, vilket innebär att administratören får ett larm om telefonen bärs utanför ett visst geografiskt område som administratören har bestämt. När larmet går ut kan t.ex. mobiltelefonens minne automatiskt raderas.
8.2.7. Risker för den personliga integriteten
Positioneringsteknik blir allt enklare och billigare. Det betyder att det finns en risk för att positionering av arbetstagare kommer att börja användas i ännu större utsträckning än i dag, helt enkelt för att det är möjligt. I vissa fall känner varken arbetsgivare eller arbetstagare till att utrustningen faktiskt positionerar användaren, eftersom dessa uppgifter lagras hos utrustningens tillverkare eller hos en mjukvaruleverantör.
Det finns även en risk för att fler uppgifter än nödvändigt hanteras om arbetstagarna, och att dessa uppgifter får en spridning som inte arbetstagarna och kanske inte ens arbetsgivarna är fullt medvetna om. Det är därmed också svårt för arbetstagarna att kunna veta för vilka ändamål uppgifterna hanteras.
När detaljerade uppgifter om arbetstagarnas rörelser blir åtkomliga för arbetsgivaren i realtid, finns det också en risk för att uppgifterna kommer att börja användas för helt andra ändamål än vad som ursprungligen var avsikten. Risken för detta förefaller vara särskilt stor när det gäller arbetstagare som utför ensamarbete, såsom chaufförer och hemtjänstpersonal. I media har rapporterats om flera fall då positioneringsutrustning i fordon som ursprungligen installerats för att exempelvis underlätta logistik, öka chaufförernas säkerhet eller främja miljön, även kommit att användas för att på detaljnivå kontrollera och ifrågasätta alla chaufförernas aktiviteter som pauser, kortare tids stillastående och val av färdväg m.m.24
Uppgifter om en arbetstagares position kan också sammanställas med andra uppgifter om arbetstagaren och användas för nya ändamål, exempelvis riktade annonser.
24 Johanna Kvarnsell, Gps ger chefen koll i realtid, publicerad i tidningen Transportarbetaren den 31 januari 2014.
Det finns också en risk att uppgifter om arbetstagarens position kan läcka ut på grund av brister i skyddet och användas i syfte att förbereda brott, exempelvis inbrott när arbetstagaren är bortrest i tjänsten, för att förfölja en person eller genom att användas som bakgrundsinformation inför identitetsstöld och bedrägeribrott.
Ofta lagras positioneringsuppgifterna i en molntjänst och kan då komma att hanteras av underleverantörer till systemleverantören. Det innebär en risk för att uppgifterna sprids utanför arbetsgivarens kontroll till tredje land.
8.3. Övervakning av aktiviteter och beteenden
8.3.1. Företeelsen
De system som omnämns i delavsnittet ovan, möjliggör förutom posi tionering även att en rad andra uppgifter om arbetstagaren registreras och hanteras.
Många system som är i bruk på arbetsplatserna i dag, genererar en stor mängd uppgifter om användarna. Ofta behövs uppgifterna för att exempelvis kunna styra behörigheter och i efterhand kunna göra felsökningar eller kontrollera åtkomsten till integritetskänsliga uppgifter om arbetsgivarens kunder.
I dag vistas många arbetstagare på arbetsplatser där det förekommer kontroll eller övervakning av verksamhetens kunder, patienter eller brukare. Men eftersom arbetstagarna befinner sig i samma lokaler, kommer även de att träffas av arbetsgivarens övervakning. Det kan exempelvis röra sig om butiker som använder sig av s.k. WiFi-
Tracking i syfte att få veta hur kunderna rör sig inne i butiken. I dessa
fall kommer även arbetstagarnas mobiltelefoner att inbegripas i kartläggningen av rörelsemönster. Detsamma kan även göras inom exempelvis äldreomsorgen i takt med att det blir vanligare att äldre boenden förses med utrustning såsom rörelsedetektorer eller trycksensorer i golven m.m.
8.3.2. Internet och e-post
Det finns en rad olika verktyg på marknaden för övervakning av hur arbetstagare använder arbetsgivarens utrustning, t.ex. för att surfa på nätet eller skicka och läsa e-post.
Ett exempel som kan nämnas är tjänsten ActivTrak. Den bygger på att ett litet program installeras på varje arbetstagares dator. Programmet installeras dolt och visas aldrig för användaren, men rappor terar hela tiden vad användaren gör till en molntjänst. Där kan arbetsgivaren i ett gränssnitt se en rad uppgifter, som vilka program som körs, vilka webbsidor som besöks m.m. Det går att klassa webb platser som ”produktiva” och ”icke-produktiva”. Det går även att få ut statistik över hur mycket en arbetstagare ägnar åt att besöka ”icke-produktiva” sajter.
Vissa av dessa verktyg är till och med kostnadsfria för arbetsgivaren om bara ett mindre antal personer ska övervakas.
Det finns också särskilda program som gör det möjligt för en arbets givare att upptäcka och förhindra att arbetstagare obehörigen röjer känslig information till utomstående, s.k. Data Loss Prevention
Tools (DLP-verktyg). Dessa program gör det exempelvis tydligt för
arbetsgivaren var känslig information lagras och vilka som hanterar den. Programmen kan också skicka en varning till arbetsgivaren om känslig information används på något ovanligt eller avvikande sätt. I de fall arbetsgivaren tillåter eller rentav uppmanar arbetstagarna att använda sin egen, privata IKT-utrustning i tjänsten (s.k. BYOD-lösningar, från Bring Your Own Device), kommer även arbetstagarens hantering av rent privat information att övervakas och kontrolleras genom DLP-verktyget. Datainspektionen har i ett ärende uttalat att den inte ser några principiella hinder enligt personuppgiftslagen mot att en arbetsgivare använder DLP-verktyg, under förutsättning att arbetsgivaren följer alla relevanta bestämmelser i personuppgiftslagen.25
Det finns ingen statistik eller andra uppgifter om hur pass utbredd användningen av sådana här verktyg är i Sverige. År 2007 genom förde American Management Association en undersökning om arbetsplatser i USA.26 Undersökningen visade att 66 procent av de till-
25 Datainspektionens beslut den 8 oktober 2013 i dnr 1250-2013.26 Se rapporten 2007 Electronic Monitoring & Surveillance Survey från American Management Association.
frågade arbetsgivarna övervakade internettrafiken och att 65 procent använde verktyg för att blockera ”olämpliga” webb platser. 43 procent av de tillfrågade arbetsgivarna övervakade mejltrafiken.
Det blir allt vanligare att arbetsgivare tillåter, och ibland till och med uppmuntrar, arbetstagarna att använda sig av arbetsgivarens utrustning såsom datorer och smarta telefoner även för rent privat kommunikation. Det finns även ekonomisk stimulans från statligt håll för sådant bruk, genom att viss privat användning av utrustning är tillåten utan att det utlöser förmånsbeskattning för arbets tagaren.27
8.3.3. Personliga konton
Många arbetsgivare tillhandahåller utrustning till arbetstagarna i form av datorer och smarta enheter som mobiltelefoner eller surfplattor. Utrustningen innehåller programvaror som behövs för att utföra arbetet, exempelvis operativsystem, program för ordbehandling och för e-post.
Användningen av dessa program kräver emellertid ofta att arbetstagaren registrerar sig som användare hos systemleverantören. Till exempel kräver vissa versioner av Microsofts operativsystem Windows att varje användare (i detta sammanhang varje arbets tagare) skaffar sig ett personligt Microsoft-konto. Androidtelefoner kan kräva att varje användare skaffar sig ett personligt Google-konto. Den senaste versionen av Windows har blivit kritiserad för att den möjliggör för Microsoft att samla in stora mängder uppgifter om enskilda användare.28
Systemen i den utrustning som arbetsgivarna tillhandahåller, är allt oftare molnbaserade.
En annan situation när arbetstagare kan behöva använda sig av ett personligt konto i tjänsten, är då han eller hon som en del i arbetet använder sig av e-tjänster som kräver inloggning med e-legitimation, exempelvis för att elektroniskt lämna arbetsgivarens moms- och arbets givardeklarationer till Skatteverket. Det finns i dagsläget ingen e-legitimation för juridiska personer, utan arbetstagaren måste använda sig av sin personliga e-legitimation för att för arbetsgivarens räkning kunna nyttja myndigheternas e-tjänster.
27 Se exempelvis Skatteverkets ställningstagande Förmånsbeskattning av elektronisk utrustning
eller abonnemang mot fast avgift (Skatteverkets dnr 131 555207-13/111).
28 Olle Nygårds, Nya Windows sågas för massiv datainsamling, publicerad den 6 augusti 2015 på www.svd.se
8.3.4. Ärendehanteringssystem
Vidare används på många arbetsplatser olika slags ärendehanteringssystem, som ofta har funktioner för att kunna visa vilken arbetstagare som varit aktiv i systemet och vad han eller hon har gjort.29Ofta sparas information om alla händelser i systemet i syfte att åstadkomma så stor spårbarhet som möjligt.
I ett ärende hos Datainspektionen användes uppgifter om när en viss arbetstagare loggade in på arbetsplatsens olika it-verktyg, för att kontrollera om arbetstagaren redovisade rätt antal timmar.30 Kontrollen gjordes efter att misstanke om brott mot anställningsavtalet uppkommit. Datainspektionen kom fram till att arbetsgivarens intresse av att kontrollera sina anställda i detta fall vägde tyngre än den anställdes intresse av integritetsskydd. Enligt beslutet måste arbetsgivaren informera alla arbetstagare om vilka kontroller som kan komma att göras och vad syftet med kontrollerna är.
I ett annat ärende granskade Datainspektionen hur uppgifter om arbetstagare vid ett callcenter hanterades.31 Från ärendesystemet sammanställdes veckovis uppgifter om antalet påbörjade och avslutade ärenden som respektive handläggare hade presterat under en vecka. Syftet med detta var att följa upp verksamhetens produktion och inhämta underlag för lönesättning. Vidare lagrades alla uppgifter om telefonin. En gång i månaden gjordes en sammanställning på handläggarnivå, i syfte att kontrollera åtkomst och tillgänglighet i arbetsgivarens tjänster och se till att bemanningen i callcentret var tillräcklig. Datainspektionen ansåg att det är lämpligt att den här typen av frågor i första hand löses mellan arbetsgivaren och de fackliga organisationerna. Därefter gjorde Datainspektionen emellertid bedömningen att arbetsgivaren i detta fall med stöd av en intresseavvägning enligt 10 § personuppgiftslagen fick behandla personuppgifterna på beskrivet sätt och för de angivna ändamålen. Datainspektionen betonade samtidigt att arbetstagarna måste få tillräcklig information om kontrollerna.
29 Ibland finns det integritetsskyddande lagstiftning som kräver detta, t.ex. följer det av patient datalagen att arbetstagares åtkomst till uppgifter om patienter måste följas upp och kontrolleras i efterhand.30 Datainspektionens beslut den 22 september 2006 i dnr 1897-2005.31 Datainspektionens beslut den 13 maj 2009 i dnr 92-2009.
Vid en granskning år 2002 av 57 olika arbetstagares hantering av uppgifter om individuella arbetstagares prestationer i bl.a. ärendesystem och telefoni, konstaterade Datainspektionen bl.a. att flera arbetsgivare inte hade bestämt varför de hanterade dessa uppgifter om arbetstagarna (dvs. att de inte närmare hade bestämt vilka kontroller man planerade att genomföra med hjälp av uppgifterna) och att de därför inte heller kunde ge arbetstagarna tillräcklig information om hanteringen.32 Flertalet arbetsgivare hade heller inte klart för sig med vilket lagligt stöd som personuppgifterna hanterades. Den omfattande granskningsinsatsen hade föranletts av att Datainspektionen fått många frågor och en del klagomål från arbetstagare. Många hade handlat om verksamheter i callcenter.
Överhuvudtaget utmärker sig verksamheter i callcenter för att kontrollera arbetstagarna på flera, mycket detaljerade sätt i realtid. Exempelvis är det i branschen vanligt med realtidsövervakning av hur arbetstagarna svarar på samtal, hur länge samtalen varar och om och när de loggar ur sig från telefonsystemen. Vidare är medlyssning och inspelning av telefonsamtal vanligt förekommande, liksom kontroll av e-post och internetanvändning.33
8.3.5. In- och utpasseringssystem
På de flesta arbetsplatser förekommer i dag elektroniska in- och utpasseringssystem i vilka någon form av kort används som nycklar och där aktiviteter i systemet registreras på individnivå och därefter lagras.
Ändamålet med att hantera personuppgifter i systemen är oftast att kunna styra vem som ska få tillträde till alla eller vissa av arbetsgivarens olika lokaler samt att kunna göra felsökningar och tekniska kontroller.
Uppgifterna från sådana system kan dock även komma att användas för andra syften. I ett ärende hos Datainspektionen användes uppgifter om en anställd som registrerats i in- och utpasseringssystemet för att kontrollera om den flextiden som arbetstagaren rappor terat avvek från de tider som registrerats i in- och utpasserings-
32 Datainspektionens rapport 2003:3, Behandling av personuppgifter om anställda.33 Se Hejlskov, Emma: Integritet i arbetslivet – en studie om övervakning via telefoner, datorer och
positionssystem, Kandidatuppsats i handelsrätt, HT2013, Lunds universitet, Ekonomi högskolan.
systemet.34 Det ändamål som arbetsgivaren hade angett med in- och utpasseringssystemet, var att upprätthålla säkerheten för myndighetens lokaler. De anställda hade inte fått någon tydlig information om att deras uppgifter i in- och utpasseringssystemet kunde komma att i undantagsfall användas i samband med kontroll av redovisad arbets tid. Datainspektionen fann ändå att arbetsgivarens kontroll av arbetstid med hjälp av personuppgifterna i sitt in- och utpasseringssystem var tillåten, under förutsättning att det fanns särskild anledning att misstänka att en anställd begår oegentligheter eller missbrukar tidredovisningen. Datainspektionen förutsatte i sitt beslut att arbetsgivaren fortsättningsvis skulle lämna tydligare information till arbetstagarna om arbetsgivarens personuppgiftsbehandling.
8.3.6. Flödes- och logistiksystem
I flera branscher finns det system för att kontrollera flöden och logistik vilka också innebär en övervakning av arbetstagarna.
I varumottagningar och på lager förekommer exempelvis s.k.
Pick-by-Voice-system. I dessa är det en dator som kontrollerar vilka
varor som ska flyttas, och som med röstinstruktioner styr arbetstagaren till rätt plats och vara. I systemet går det att kontrollera och styra hur arbetstagarna arbetar med flödet av varor. Det går också att ta ut tidsloggar ur systemet, som på individnivå visar hur arbets tagare arbetar och tar raster. Datainspektionen har granskat ett sådant system och kunde inte se något principiellt hinder mot att arbetsgivaren – utan arbetstagarnas samtycke – behandlade deras personuppgifter för att tillämpa prestationsbaserad lönesättning och för att få underlag till individuella uppföljningssamtal.35 Datainspektionen såg inte heller något principiellt hinder mot att bolaget behandlade arbetstagarnas personuppgifter genom realtidsövervakning för att kunna planera och styra arbetet. Däremot ansåg Datainspektionen att det inte var motiverat att använda systemet i syfte att i realtid övervaka hur de anställda utför sina arbetsuppgifter och när de tar raster.
På vissa arbetsplatser tillhandahåller arbetsgivaren särskilda arbetskläder och ser även till att plaggen tvättas. För att kunna kontrollera både det aktuella klädbehovet på arbetsplatsen och tvätt processen,
34 Datainspektionens beslut den 14 januari 2013 i dnr 1369-2012.35 Datainspektionens beslut den 30 november 2011i dnr 695-2011.
förekommer det att varje plagg förses med en RFID-tagg.36 På vissa sjukhus finns det klädautomater där arbetstagaren först drar sitt kort och sedan kan hämta ut de kläder som personen i fråga har rätt att ta ut.37 Systemen kan innehålla funktioner för att visa hur ofta och när arbetstagaren byter kläder.
I delar av restaurangbranschen förekommer kassasystem som regi strerar varje maträtt och dryck som beställs samt alla betalningar som görs, och som kopplar alla sådana data till de arbetstagare som medverkat i beställningen. Vissa kassasystem kan även kompletteras med system som hjälper arbetsgivaren att upptäcka svinn och misstänkta stölder och kan koppla detta till individuella arbetstagare. I en studie som genomfördes i restaurangbranschen i USA, framkom att system av det sistnämnda slaget bidrar både till att reducera svinn och till att öka de övervakade arbetstagarnas produktivitet.38 Det bör dock sägas att det från andra länder och branscher finns forskning som visar på motsatsen, dvs. att arbetstagare som inte övervakas är mer produktiva.39
8.3.7. Risker för den personliga integriteten
Det finns en risk för att systemen genererar fler uppgifter på individnivå än som egentligen behövs för verksamhetens bedrivande.
Det finns också en risk för att onödigt många uppgifter hamnar hos systemleverantörer, när t.ex. ett gemensamt Google-konto för flera arbetstagare egentligen är fullt tillräckligt för att upprätthålla funktionaliteten i systemet. I sammanhanget bör emellertid även sägas att gruppinloggningar kan skapa andra problem på grund av den försämrade spårbarhet som sådan inloggning innebär.
När arbetstagare måste registrera personliga konton hos systemleverantörer innebär det att leverantören kan sammanföra uppgifter om arbetstagaren med uppgifter som kommer från arbetstagarens rent privata aktiviteter hos samma leverantör. Det innebär en risk för sammanblandning av privatliv och artbetsliv och en möjlighet för
36 RFID-taggar berörs närmare i kapitel 12 om konsumentområdet.37 Lina Rosengren, De tvättar kläder med rfid-chip, publicerad den 27 mars 2013 på www.cio.idg.se38 Pierce, Snow & McAfee, Cleaning house: The Impact of Information Technology Monitoring
on Employee Theft and Productivity, MIT Sloan Research Paper, 24 augusti 2013.
39 Se t.ex. forskning som återges i Rosenblat, Kneese & Boyd, Workplace Surveillance, Data & Society Working Paper, 8 oktober 2014.
systemleverantören att göra en heltäckande kartläggning av arbetstagaren. Det finns troligen en låg medvetenhet om denna risk hos arbetstagarna men också hos arbetsgivarna.
Risken för sammanföring av uppgifter från enskildas privatliv och deras arbetsliv blir större med nya arbetssätt, som när det ges möjlighet att distansarbeta och möjlighet att använda arbetsgivarens utrustning, exempelvis smarta telefoner eller bärbara datorer, för privat bruk.
Många system där det förekommer uppgifter om arbetstagarna är molnbaserade, exempelvis system för mejl- och dokumenthantering, och innebär risker för att uppgifterna sprids till underleverantörer och tredje land och används för nya ändamål, inte sällan utan att arbets tagarna får någon information om det från arbetsgivaren.
8.4. Registerkontroller och medicinska undersökningar
8.4.1. Företeelsen
Inom arbetslivet har det på senare år blivit allt vanligare att arbetsgivare vill att arbetstagare, både arbetssökande och redan anställda, ska uppvisa utdrag ur olika register eller genomgå olika slags medicinska kontroller.
Frågan om arbetsgivares lagliga möjligheter att begära sådana register utdrag eller medicinska undersökningar, har på senare år ägnats stor uppmärksamhet och varit föremål för två statliga utredningar.
I betänkandet Integritetsskydd i arbetslivet40 föreslogs bl.a. att arbets givare, utan stöd i lag eller annan författning, inte ska få begära att en arbetstagare uppvisar ett utdrag ur belastningsregistret, ur misstankeregister eller ur register som förs hos Försäkringskassan (om utdraget innehåller uppgifter för vilka sekretess gäller gentemot arbetsgivaren). Vidare uppställdes i betänkandet förslag på villkor som skulle gälla för arbetsgivares möjlighet att begära att en arbetstagare ska genomgå en medicinsk undersökning eller delge arbetsgivaren resultatet av en medicinsk undersökning. Med medicinsk undersökning avsågs här hälsoundersökningar samt alkohol-, narko-
40SOU 2009:44.
tika- eller andra drogtester. Dock omfattades inte alkoholtest som görs med användning av alkolås i fordon. Betänkandet har hittills inte lett till lagstiftning, men bereds i regeringskansliet.
Frågan om uppvisande av utdrag ur belastningsregistret har härefter även utretts av Utredningen om registerutdrag i arbetslivet. I sitt betänkande41 har utredaren föreslagit att arbetsgivare inte ska få begära att arbetstagare uppvisar eller överlämnar ett utdrag ur belastningsregistret om inte en sådan begäran har stöd i lag eller annan författning.
8.4.2. Risker för den personliga integriteten
De risker för den personliga integriteten som behandlas i 2009 års betänkande rör främst registerkontroller samt medicinska kontroller. Bland annat nämns att det finns en risk att arbetsgivaren får ta del av överskottsinformation som kan finnas både i registerutdrag och i resultaten av medicinska kontroller. När det gäller annan övervakning av arbetstagare förs i betänkandet ett mer principiellt resonemang och konkreta risker och företeelser tas bara upp i korthet.
I 2014 års betänkande nämns exempelvis att tendensen med en ökande mängd utdrag som enskilda begär ur belastningsregistret medför en ökad risk för omotiverad registerkontroll, vilket kan leda till att personer som har avtjänat straff helt utestängs från arbetsmarknaden.
Riskerna för den personliga integriteteten vid registerkontroller samt medicinska kontroller har således relativt nyligen utretts. Det har även lämnats konkreta förslag till lagstiftning och andra åtgärder. Inget av de bägge förslagen har ännu skrinlagts, utan kan i dagsläget (maj 2016) fortfarande leda till lagstiftning. Vi fördjupar oss därför inte inom detta område.
41SOU 2014:48.
8.5. Arbetstagare och sociala medier
8.5.1. Företeelsen
Det förekommer att arbetsgivare regelbundet skannar av sociala medier för att bilda sig en uppfattning om vad arbetstagarna skriver om arbetsgivaren. Det har också blivit mycket vanligt att rekryterande chefer och rekryteringsföretag kontrollerar vad arbetssökande skrivit eller lagt upp på sociala medier.42
I media förekommer inte sällan rapporter om arbetsgivare som sagt upp arbetstagare på grund av bilder eller uttalanden som denne lagt ut på nätet. Ett känt exempel rörde tre personer som sades upp från ett it-företag efter uttalanden som de gjort på Facebook i syftet att visa stöd för en annan arbetstagare som arbetsgivaren redan tidigare hade sagt upp. Enligt uppgifter i media ska de tre personerna bl.a. ha skrivit: ”En sjua + AK47 gogogo. Jag är på semester” och ”As long as you shoot the fuckers and not the fuckees …”.43 Fallet nådde Arbetsdomstolen men prövades inte där, eftersom parterna förliktes.44
I ett fall prövade Arbetsdomstolen uppsägningen av en bloggande polis. Polismannen, som hade bloggat under namnet ”Radiobilspolisen farbror blå”, sades upp av Polismyndigheten i Skåne bland annat pga. av vad man menade var olämpliga uttalanden på bloggen:45
Såvitt avser hans syn på kvinnor har bl.a. framkommit att kvinnor som är tillräckligt snygga kan slippa böter, och att man på arbetstid har kunnat spana och ragga på snygga tjejer. Kvinnliga poliser har inte sällan för minskats till att antingen inte vara ”torra bakom öronen”, eller till att vara räddhågsna objekt som man möjligen kan ha sex med i polisbilen eller på personalfesten - och då kan man gärna vara flera män som delar på en kvinna. (…)Vidare har framkommit att han avskyr trafikpoliser vilka enligt honom bara ”djävlas med allmänheten”.
Arbetsdomstolen konstaterade emellertid att sådana följder av polismannens användning av yttrandefriheten som förtroendeförlust, förlorat anseende samt upprördhet och känslor av kränkning bland allmänheten och statsanställda inte i sig kan läggas till grund för att
42 Anders Bolling, Allt fler jobbgranskas på Facebook, publicerad den 21 februari 2013 i Dagens Nyheter.43 Hans L. Olofsson, Skrev på Facebook – tre avskedades, publicerad den 2 september 2011 i Expressen.44 Elinor Torp, Förlikning i Facebook-fallet, publicerad den 23 augusti 2012 i Lag & Avtal. 45AD 2011 nr 74.
avsluta hans anställning hos polisen. I den utsträckning sådant kan ha förekommit ansåg Arbetsdomstolen att staten får tåla det. Det bör tilläggas att det i målet inte påståtts att polismannen utanför bloggen skulle ha uppvisat några av de beteenden som han hade beskrivit i bloggen.
I ett annat mål fann Arbetsdomstolen att uppsägningen av en rektor inte varit sakligt grundad.46 Som skäl för uppsägningen hade arbets givaren uppgett rektorns agerande på sin privata Facebooksida. Arbetsgivaren åberopade att rektorn på sin Facebooksida hade lagt ut dels flera bilder med sexuellt innehåll, dels information om att han var med i ett antal grupper på Facebook med namn som hade anknytning till sex. En av bilderna visade rektorn utklädd till kvinna bärande peruk, en tröja med djup urringning och en kort kjol, med benen brett isär och en servett mellan benen. På en annan bild hade rektorn på sig en tröja, som skapats i ett elevprojekt i skolan, och som hade ett tryck i form av dels en bild av en kvinna i underkläder som står på alla fyra, dels texten NASA, vilket i detta sammanhang stod för ”National Anal Sex Association”.
Rektorn hade haft viss kontakt med elever på Facebook, bl.a. för att bestämma tid för möten och andra sammankomster. Arbetsdomstolen fann dock vid en samlad bedömning och intresse avvägning att rektorn inte enbart genom vad han lagt ut på sin Facebook sida hade gett skolan saklig grund för uppsägningen.
I ett annat fall fann Arbetsdomstolen att det förelåg laglig grund för att avskeda en lokförare som på ett internetforum, i e-post och i samtal till företagsledningen hade framfört hot samt kränkande och nedvärderande uttalanden som var riktade mot personer i ledningen.47
Justitiekanslern har i ett ärende prövat ett beslut av Utrikesdepartementet att i förtid avsluta en praktiktjänstgöring.48 Praktikanten i fråga hade på sin arbetstid och från departementets datorer bloggat och därför enligt departementets uppfattning ägnat sig åt privat verksamhet – en verksamhet som har avsett opinionsbildning i kontroversiella politiska frågor. Praktikanten var partipolitiskt aktiv inom Sverigedemokraterna. Justitiekanslern fann att beslutet att avsluta praktiktjänstgöringen innebar både ett brott mot de arbetsrättsliga reglerna och en allvarlig kränkning av praktikantens grund-
46AD 2012 nr 25.47AD 2011 nr 57.48 JK:s dnr 7068-06-21.
lagsfästa yttrandefrihet. Justitiekanslern nämner, som en av flera rättsliga utgångspunkter för sitt beslut, domen AD 2003 nr 5, och återger dess innehåll i följande ordalag.
En myndighet kan i regel inte ingripa mot en anställd vid myndigheten för att den anställde genom att utnyttja sina grundlagsfästa fri- och rättigheter förorsakat störningar i verksamheten eller skadat myndighetens anseende och allmänhetens förtroende för myndigheten. Annat kan måhända gälla om det är fråga om en arbetstagare med en utpräglad förtroendeställning och direkt ansvar för myndighetens beslut eller i andra ytterlighets situationer. Ett utrymme finns för att vidta åtgärder med anledning av allvarliga samarbetssvårigheter, även om dessa ytterst i viss mån kan ha sin grund i att en arbetstagare utnyttjat sina grundlagsfästa fri- och rättigheter. Givetvis bör en myndighet också kunna ingripa mot en anställd som inte utför sina arbetsuppgifter på ett riktigt sätt.
Ett annat fenomen som också rör arbetstagare och sociala medier, är att det blir allt vanligare att arbetsgivare använder sig av sociala medier för att informera eller kommunicera med arbetstagarna. Exempelvis har Facebook lanserat tjänsten Facebook at Work. Tanken är att arbetsgivarna i den nya tjänsten ska bygga upp sociala nätverk för sina arbets tagare.
8.5.2. Risker för den personliga integriteten
Om arbetsgivare inför anställningar eller under pågående anställningar tar för vana att systematiskt skanna av hela nätet och alla tillgängliga sociala medier, finns det på sikt en risk för att yttrandefriheten i arbetslivet undergrävs och att arbetstagarna mer eller mindre medvetet påverkas att uttrycka sig mindre fritt.
I en undersökning som Stockholms Handelskammare genomfört i samarbete med företaget Bisnode, uppger 25 procent av de medverkande företagen och organisationerna att de någon gång sorterat bort en kandidat med anledning av information de fått om kandidater via sökningar på nätet.49
När det gäller pågående anställningsförhållanden framgår det dock av Arbetsdomstolens praxis att det är endast är relativt allvarliga och hotfulla uttalanden som medfört att laglig grund för uppsägning har ansetts föreligga.
49Så rekryterar företagen i framtiden, Stockholms handelskammares analys 2014-02.
Systematisk skanning av nätet och sociala medier kan också leda till att arbetsgivaren sitter inne med en stor mängd överskottsinformation om arbetstagarna som den egentligen inte behöver för att kunna bedöma arbetstagarnas lämplighet och lojalitet.
En annan effekt kan bli att sökmotorerna och de företag som tillhandahåller sociala medier får en inverkan på anställningar och uppsägningar som en del arbetsgivare troligtvis inte är medvetna om. Effek ten uppstår genom att det är sökmotorerna som sorterar och väljer ut vilka sökträffar som arbetsgivaren ska få upp i sin webbläsare. En annan effekt uppstår genom att det är de sociala medierna som med sina förinställningar kan förmå en arbetstagare att dela med sig av mer information än vad han eller hon kanske egentligen hade velat.
Det riskerar också att uppstå inlåsningseffekter genom att det kan vara svårt för exempelvis en arbetssökande att bli av med gamla texter och bilder på nätet som kan ha publicerats i sökandens ungdom utan en tanke på vilka konsekvenser detta kan ha flera år senare.
8.6. Kompetensdatabaser
8.6.1. Företeelsen
Många företag och organisationer har egna eller gemensamma kompetens databaser i syfte att sammanställa och dokumentera de anställdas kunskaper, erfarenheter och ibland även deras allmänna styrkor och svagheter.
Ett belysande exempel från offentlig sektor är Försvarsmaktens verksamhetsledningssystem PRIO, som innehåller funktioner för bland annat personal- och kompetenshantering. Försvarsmaktens hantering har relativt nyligen granskats av Datainspektionen.50 Hanteringen av anställdas kompetenser i PRIO görs med hjälp av en kvalifikations katalog där medarbetarna själva skattar sin kompetens inom ett i förväg avgränsat område. Medarbetarna registrerar uppgifter om vilka utbildningar och kurser de gått, vilka språkkunskaper de har samt vilka erfarenheter de har från olika arbetsområden inom Försvarsmakten. Skattningen görs i fördefinierade fält med graderade skalor, som antyder vilken nivå den anställde befinner sig på
50 Datainspektionens beslut den 5 april 2013 i dnr 1610-2012.
inom respektive område. Uppgifterna som personalen registrerar om sig själva i PRIO matchas därefter mot de kravprofiler som gäller för olika befattningar inom Försvarsmakten.
Enligt Försvarsmakten är skattningen och den efterföljande matchningen i PRIO en förutsättning för att organisationen ska kunna bemannas effektivt och ändamålsenligt. Uppgifterna som personalen registrerat om sig själva i PRIO gör det också möjligt att identifiera behov av kompetensutveckling hos personalen. Uppgifterna ligger dessutom till grund för utvecklingssamtal.
Ett exempel på en gemensam kompetensdatabas i privat sektor är den s.k. ID06 Kompetensdatabas som har utvecklats av Sveriges Byggindustrier.51 Syftet med databasen är att underlätta för såväl arbets givare som arbetstagare att hantera utbildningsbevis och samtidigt öka säkerheten på arbetsplatserna. Databasen ska i sin första version innehålla de enskilda arbetstagarnas utbildningsbevis inom arbetsmiljöområdet. De inlagda utbildningsbevisen kan komma från olika utbildningsföretag och kopplas i databasen till den enskilde arbets tagaren genom byggbranschens särskilda identitetskort, det s.k. ID06-kortet.
ID06 Kompetensdatabas ska göra det enkelt för arbetsgivare och arbetstagare att kontrollera giltiga utbildningsbevis på arbetsplatsen, med avseende bl.a. på de krav som ställs i Arbetsmiljöverkets föreskrifter om utbildning av arbetstagare. Det är i vissa situationer belagt med sanktionsavgift om rätt utbildningsbevis saknas eller är ogiltigt.
8.6.2. Risker för den personliga integriteten
Kompetensdatabaser kan ibland innehålla många olika uppgifter om de anställda som var för sig eller tillsammans är av integritetskänslig natur. Sådana kompetensdatabaser kan innebära en mycket ingående kartläggning av de anställda.
Det är inte ovanligt att arbetstagare är nyfikna på sina kollegor. Det finns därför en risk för nyfikenhetsläsning av uppgifter om kolle gorna och därmed för obehörig åtkomst till uppgifterna i kompetens databasen, om denna saknar funktioner för att begränsa behörigheter och för kontroll av åtkomst i efterhand.
51 Sveriges Byggindustrier är bransch- och arbetsgivarorganisation för bygg-, anläggnings- och specialföretag verksamma på den svenska byggmarknaden.
Eftersom en enskild arbetstagares kompetens och lämplighet i olika avseenden kan komma att ändras över tid, finns det också en risk för att vissa uppgifter i en kompetensdatabas snabbt kan bli inaktuella och oriktiga och till nackdel för arbetstagaren, om inte innehållet i databasen uppdateras och gallras regelbundet.
Beträffande kompetensdatabaser i offentlig verksamhet innebär det en risk att stora och integritetskänsliga uppgiftssamlingar om den enskilde arbetstagaren kan behöva lämnas ut som allmän handling, om de inte omfattas av sekretess. Den omständigheten var av betydelse i ett ärende där Datainspektionen ansåg att Försvarsmaktens personuppgiftsbehandling i en tidigare version av PRIO inte kunde anses som tillåten med stöd av en intresseavvägning enligt personuppgiftslagen.52
8.7. Bakgrundskontroller och kandidatdatabaser
8.7.1. Företeelserna
Bakgrundskontroller
Det har de senaste åren blivit allt vanligare att göra bakgrundskontroller i samband med rekryteringar, enligt den tidigare nämnda undersökningen från Stockholms Handelskammare och Bisnode.53Av de företag och organisationer som medverkade i undersökningen, svarade 29 procent att bakgrundskontroller görs för samtliga rekryteringar. Nästan alla medverkande kontrollerade de sökandes referenser. Därutöver kontrollerades vanligtvis även tidigare anställningar och utbildningshistorik. Många gör också sökningar på internet och i sociala medier som exempelvis bloggar, Twitter, Linkedin och Facebook. Av de medverkande företagen och organisationerna kontrollerade 26 procent även domar i brottmål och andra ärenden i domstol. Arbetsgivare i offentlig sektor utmärkte sig genom att lägga större vikt vid att undersöka utbildningshistorik, domar i brottmål och andra ärenden i domstol och använde sig även i större utsträckning av sökningar på internet, allt i jämförelse med arbetsgivare inom privat sektor.
52 Datainspektionens beslut den 26 november 2010 i dnr 1454-2010.53Så rekryterar företagen i framtiden, Stockholms handelskammares analys 2014-02.
Som konkret exempel på ingående bakgrundskontroller kan en verksamhet som var aktuellt i ett ärende hos Datainspektionen nämnas.54 Det rörde sig om ett företag som utförde bakgrundskontroller på uppdrag av olika rekryterande arbetsgivare. Företaget inhämtade uppgifter om de sökande rörande: namn, bostadsadress, eventuella namnbyten, tidigare adresser, nationalitet, civilstånd, föräldrar, syskon, barn, nuvarande och tidigare fastighetsinnehav, inkomst uppgifter, regi strerade skulder hos Kronofogdemyndigheten och Centrala studie medelsnämnden, företagsengagemang, utbildningshistorik, körkort, värnpliktstjänstgöring, domar i brottmål och hos förvaltningsdomstolarna, förekomst på nätet och i sociala medier och i bloggar.
Det är också relativt vanligt med olika slags tester i samband med rekryteringar. Det kan röra sig om tester av sökandens personlighet, intelligens eller hälsa. Sådana tester är vanligare inom privat sektor än inom offentlig sektor. När frågan ställdes i den nämnda undersökningen om vilka slags bakgrundskontroller som företaget eller organisationen inte utför i dag, men skulle vilja utföra, uppgav 31 procent att de skulle vilja utföra alkohol- och drogtester för att ge ökad trygghet vid anställning.
På senare år har bakgrundskontroller också kunnat göras med hjälp av material från domar i brottmål som publiceras på nätet under skydd av s.k. frivilliga utgivningsbevis. Ett exempel på företag som tillhandahåller domar på nätet är Lexbase AB som i sin webbaserade tjänst mot en avgift tillhandahåller bl.a. domar i brottmål och tvistemål rörande personer och företag. Hantering av uppgifter som publiceras på nätet med skydd av utgivningsbevis, omfattas inte av reglerna i personuppgiftslagen. Det regelverk som avser att ge skydd för personuppgifter om lagöverträdelser blir därför inte tillämpligt här. Detta innebär att arbetsgivare enkelt kan genomföra bakgrunds kontroller inför anställning eller kontroller av redan anställda. Utred ningen Register utdrag i arbetslivet konstaterar i sitt slutbetänkande att denna utveckling kan medföra att de integritetsskyddande åt gärder som före slås i betänkandet skulle förlora mycket av sin be tydelse.55 Frågan om det rättsliga skyddet för den personliga integriteten är tillräckligt i databaser med utgivningsbevis, utreds för när varande av Mediegrundlagskommittén.56
54 Datainspektionens beslut den 30 november 2011 i dnr 1957-2010.55SOU 2014:48, sid. 20 f.56 Ju 2014:17.
Kandidatdatabaser
De flesta rekryteringsföretag och även vissa arbetsgivare har s.k. kandidatdatabaser där sökande till en viss tjänst kan registrera sina uppgifter, lägga in sitt CV och ibland även göra webbaserade tester. Många sådana databaser är även öppna för intresseanmälningar inför framtida rekryteringar.
Datainspektionen genomförde år 2001 ett projekt för att kontrollera hur rekryteringsföretag hanterar uppgifter om de sökande.57
När Datainspektionen år 2011 granskade företag som erbjuder bakgrundskontroller, var det inget av företagen som hanterade uppgifter om de sökande i ett mer kvalificerat dokument- eller ärendehanteringssystem. Datainspektionen menade ändå att person uppgiftslagens omfattande s.k. hanteringsregler skulle tillämpas på hanteringen, och att undantagsbestämmelsen (den s.k. missbruks regeln) i 5 a § person uppgiftslagen således inte var aktuell. Som skäl för detta angavs att den aktuella hanteringen innebar en omfattande och systematisk kartläggning av den arbetssökande. Datainspektionen menade att det inte kan ha varit lagstiftarens intention att en sådan kartläggning av en individ skulle omfattas av undantaget för vardaglig behandling av person uppgifter. Två av företagen överklagade Datainspektionens beslut och fick till slut rätt i Högsta förvaltningsdomstolen som kom fram till att personuppgifterna hos de aktuella företagen var strukturerade endast på så sätt att de var listade i vad som utgör enkla digitala dokument i kalkyl- och ordbehandlingsprogram. Enligt domstolen hade datorteknikens fördelar således visserligen utnyttjats, men inte i fråga om strukturering i förhållande till manuell hantering. Mot den bakgrunden ansåg domstolen att personuppgifterna inte kunde anses ha strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter, att hanteringen därför omfattades av undantags regeln i 5 a § första stycket personuppgiftslagen och att Data inspektionens och underrätternas avgöranden därför skulle undan röjas.
57 Datainspektionens rapport 2002:3, Behandling av personuppgifter hos rekryteringsföretag.
8.7.2. Det skyddande regelverket
För hanteringen av personuppgifter i kandidatdatabaser gäller hanteringsreglerna i personuppgiftslagen.
I offentlig verksamhet gäller enligt offentlighets- och sekretesslagen sekretess i ärenden om anställning för uppgift som hänför sig till urvalstester, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon närstående till denne lider men.
Sekretess gäller också i ärenden om anställning av myndighetschef vid en förvaltningsmyndighet som lyder omedelbart under reger ingen för uppgift som lämnar eller kan bidra till upplysning om en enskild kandidats identitet, om det inte står klart att uppgiften kan röjas utan att den enskilde lider men.
För myndigheter finns det en möjlighet att gallra allmänna handlingar, exempelvis får hos de flesta statliga myndigheter ansökningar avseende tjänst med tillhörande handlingar (ansökningshandlingar) gallras två år efter det att anställningsbeslutet vunnit laga kraft (Riksarkivets föreskrifter RA-FS 20014:1).
En s.k. säkerhetsprövning ska enligt säkerhetsskyddslagen (1996:627) göras angående personer som deltar i verksamhet som har betydelse för rikets säkerhet eller anlitas för uppgifter som är viktiga för skyddet mot terrorism. Säkerhetsprövningen kan bestå av registerkontroll och särskild personutredning. En särskild personutredning omfattar en undersökning av den kontrollerades ekonomiska förhållanden och ska i övrigt ha den omfattning som behövs. Den som säkerhetsprövningen gäller ska ha gett sitt samtycke innan registerkontroll och särskild personutredning får göras. Även i det nyligen framlagda betänkandet om ny säkerhetsskyddslag, föreslås att samtycke även i fortsättningen ska krävas innan registerkontroll och särskild personutredning får göras.58
8.7.3. Risker för den personliga integriteten
Både hos arbetsgivarna och hos rekryteringsföretagen kan det finnas ett intresse av att spara uppgifter om alla sökande i en avslutad rekrytering inför framtida rekryteringsbehov.
58 Utredningens om säkerhetsskyddslagen betänkande En ny säkerhetsskyddslag, SOU 2015:25.
Det finns en risk för att detta görs utan att de sökande informeras och utan att deras samtycke till detta inhämtas.
I sin granskning av rekryteringsföretag, konstaterade Datainspektionen att det fanns brister i informationen till de sökande. I de flesta fall lämnades ingen information alls. Datainspektionen konstaterade också att de flesta av de granskade rekryterings företagen behöll uppgifterna längre tid än vad ändamålen med han teringen krävde.
Datainspektionen fann också i sin granskning att vissa av rekryteringsföretagens personlighetstest redan år 2001 då granskningen genomfördes, var webbaserade och tillhandahölls av samarbetspartners till rekryteringsföretagen.
I dag är det troligen en ännu större andel av testerna inom arbetslivet som är webbaserade och tillhandahålls av någon annan är arbetsgivaren eller rekryteringsföretaget. Det finns därför en risk för att uppgifter om de sökande sprids utanför arbetsgivarens eller rekryteringsföretagets kontroll och att de sökande varken får tillräcklig information eller tillfrågas om sin inställning till denna spridning. Det finns också en risk för att uppgifterna kan komma att användas för ändamål som inte har något med själva rekryteringen att göra, exempelvis för att förbättra och utveckla testerna.
När det ställs närgångna och därmed integritetskänsliga frågor i testerna, är det inte självklart att arbetsgivare, rekryteringsföretag eller deras underleverantörer tänker på att integritetskänsliga uppgifter kräver ett starkare skydd. Det finns alltså en risk för att dessa uppgifter inte ges tillräckligt bra skydd.
Arbetsgivarverket har i sina kontakter med kommittén framfört att man anser att det finns ett integritetsproblem i och med att sekretess i rekryteringsförfaranden endast gäller för urvalstester och för uppgifter som kan avslöja sökandens identitet i ärenden om anställning av myndighetschefer.
8.8. Kameraövervakning
8.8.1. Företeelsen
I vissa branscher är kameraövervakning av arbetstagare mycket vanligt förekommande. Det kan röra sig om kameraövervakning både på platser dit allmänheten har tillträde och på platser dit allmänheten
inte har tillträde. Ett exempel på det förra är övervakning av butiksytor där både kunder och butikspersonal vistas. Ett exempel på det senare kan i samma butik vara övervakning av områden där bara personal får vistas såsom i lager eller pausutrymmen.
Den kameraövervakning som inbegriper arbetstagare kan i många fall egentligen vara inriktad på att övervaka eller kontrollera verksamhetens kunder, patienter eller brukare. Men eftersom arbetstagarna befinner sig i samma lokaler, träffas även de av arbetsgivarens övervakning.
År 2013 genomförde 19 av länsstyrelserna ett stort antal nationellt samordnade tillsynsinsatser inriktade på kameraövervakning i gallerier och köpcentrum och deras butiker.59 Rapporten från tillsyns insatserna inleds med konstaterandet att vi i dag blir över vakade såväl i utomhusmiljön som i inomhusmiljön, och att det blir allt färre platser i samhället som inte berörs av övervakning. I den samordnade tillsynen besöktes 116 gallerior och 693 butiker och övriga verksam heter. Efter butikerna var de flesta besökta verksamheterna restauranger och caféer. Av totalt 809 besök ledde 327 till anmärkningar. De vanligaste anmärkningarna var att det saknades överenskommelser med personalen om kameraövervakningen, att kameror var felriktade, att övervakning gjordes utanför butikslokal, att skyltningen var bristfällig eller obefintlig samt att anmälan eller tillstånd saknades.
Butiker, restauranger och caféer finns också med bland de arbetsplatser som pekades ut i Sveriges radios programserie om kameraövervakning av arbetsplatser hösten 2014.60 Den mest omtalade bristen som nämns i programserien är olaglig användning av inspelningar från övervakningen. I programserien förekommer exempel på att inspelat material används för att kontrollera om anställda på ett lager står och pratar med varandra eller hur länge butikspersonal samtalar med kunderna. Även övervakningskameror på äldreboenden, som anhöriga sätter upp i sina släktingars rum eller lägenheter, tas i programserien upp som något som personalen kan uppleva som ett intrång.
Under år 2015 granskade Datainspektionen kameraöver vakningen hos fyra butiker tillhörande olika detaljhandelskedjor. Myndig heten granskade specifikt övervakningskameror som var riktade mot platser som lager, lastkajer och liknande, alltså områden där kunder normalt
59 Länsstyrelsernas rapport Tillsyn av kameraövervakning över gallerior/köpcentrum och dess
verk samheter 2013.
60 Övervakad på jobbet, Sveriges radio, 2014, www.sverigesradio.se
sett inte befinner sig. I besluten riktade Datainspektionen kritik mot samtliga fyra butiker för hur dessa kameraövervakade lagerutrymmen, personalingångar och lastkajer och förelade butikerna att se till att sådana utrymmen enbart övervakas under tider då personal inte ska befinna sig i utrymmena.61 Butikerna kritiserades även för att de inte tillräckligt tydligt informerade om den kameraövervakning som förekommer.
På senare år har utrustningar för kameraövervakning blivit mycket bättre, billigare och enklare att använda. Exempelvis kan inspelningar överföras över internet och enkelt visas på en dator eller smart enhet. Bildhanteringen kan också kompletteras med funktioner för ansiktsigenkänning. Kameraövervakning som egen företeelse behandlas närmare i kapitel 20.
För närvarande pågår en översyn av kameraövervakningslagen (2013:460) i Utredningen om kameraövervakning – brottsbekämpning och integritetsskydd.62 Utredaren ska enligt direktiven bl.a. ta ställning till om integritetsskyddet på vissa platser dit allmänheten inte har tillträde, till exempel arbetsplatser och skolor, behöver förbättras. Uppdraget ska redovisas senast den 28 februari 2017.63
8.8.2. Det skyddande regelverket
Enligt kameraövervakningslagen krävs som huvudregel tillstånd till kameraövervakning för att en övervakningskamera ska få vara uppsatt så att den kan riktas mot en plats dit allmänheten har tillträde.
I vissa fall räcker det dock med att den som vill kameraövervaka gör en anmälan om detta till länsstyrelsen. Till exempel får alla allmänna utrymmen i en butik kameraövervakas efter att en anmälan har gjorts, under förutsättning att övervakningen görs i syfte att före bygga, avslöja eller utreda brott.
Kameraövervakning av en plats dit allmänheten inte har tillträde får bedrivas utan tillstånd. Övervakning får då bedrivas med samtycke från dem som övervakas, eller om övervakningen behövs för att förebygga, avslöja eller utreda brott, förhindra olyckor eller andra berättigade ändamål, och övervakningsintresset väger tyngre än den
61 Datainspektionen beslut den 16 december 2015 i ärendena 340-2015, 342-2015, 347-2015 och 351-2015.62 Ju 2015:14.63 Dir. 2015:125.
enskildes intresse av att inte bli övervakad. Det ska även beaktas hur övervakningen ska utföras, om teknik som främjar skyddet av den enskildes personliga integritet används och vilket område som ska övervakas.
När det gäller platser dit allmänheten inte har tillträde, finns det ingen skyldighet för arbetsgivaren att anmäla kameraövervakningen till någon myndighet.
Vidare ska enligt 30 § kameraövervakningslagen den som bedriver kameraövervakning vidta lämpliga tekniska och organisatoriska åtgärder för att skydda det upptagna bild- och ljudmaterialet. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av
1. de tekniska möjligheter som finns,
2. vad det skulle kosta att genomföra åtgärderna,
3. de särskilda risker som finns med behandlingen av materialet, och
4. hur pass känsligt materialet är.
8.8.3. Risker för den personliga integriteten
Kameraövervakning av arbetsplatser och arbetstagare är i vissa branscher mycket vanligt förekommande, företrädesvis i olika serviceyrken, i transportarbeten och vid arbete på lager.
Av såväl länsstyrelsernas ovan nämnda rapport som av uppgifter i media framgår att det i dessa branscher finns allvarliga brister i tillämpningen av kameraövervakningslagens integritetsskyddande regler.
Det kan således konstateras att många arbetstagare i landet övervakas för ändamål och på ett sätt som inte är förenligt med gällande lagstiftning. Om den tilltagande teknikutvecklingen och den nedåtgående prisutvecklingen för kameraövervakningsutrustning håller i sig, finns dessutom en risk för att de redan konstaterade bristerna kommer att öka i takt med att allt fler övervakningskameror installeras på arbetsplatserna.
Det finns en risk att arbetsgivare felaktigt tror sig kunna grunda kameraövervakningen på arbetstagarnas samtycke. I ett tillsynsärende hos Datainspektionen grundade en arbetsgivare kameraövervakningen just på arbetstagarnas samtycke, med hänvisning till att arbetstagare som upplevde obehag med övervakningen hade
”möjlighet att ta kontakt med arbetsledningen för eventuellt byte av arbetsplats”.64 Enligt Datainspektionen utgjorde detta inte ett sådant reellt alternativ till kameraövervakning som medförde att samtycke kunde anses föreligga.
Risken är också stor att material från kameraövervakning kan komma att användas för andra ändamål än de som ursprungligen föranledde installationen av övervakningskamerorna.65 Som exempel kan nämnas ett ärende hos Datainspektionen där material från kamera övervakningen i en skola användes för att kontrollera hur den kontrakterade städentreprenören utförde sitt arbete på kvällarna. Kamerorna hade egentligen satts upp för att förhindra skadegörelse, inbrott och stölder.
Av Sveriges Radios rapportering framgår också att länsstyrelserna vanligtvis endast förmår utföra enstaka stickprovskontroller av arbets givarnas tillämpning.
Tillsyn av kameraövervakning på platser dit allmänheten inte har tillträde görs av Datainspektionen. Det är uppenbart att en så liten myndighet med många andra arbetsuppgifter inte kan göra annat än ett fåtal stickprovskontroller när det gäller en så pass omfattande och nationellt spridd företeelse som kameraövervakning.
När det gäller kameraövervakning av platser dit allmänheten har tillträde, krävs antingen ett tillstånd från eller en anmälan till länsstyrelsen. Detta ger länsstyrelserna möjlighet både att hitta arbetsplatser som kameraövervakas och att bilda sig en uppfattning om hur omfattande den sammanlagda kameraövervakningen är på landets arbetsplatser. Hur mycket tillsyn av övervakningskameror som länsstyrelserna kan ägna sig åt, är i slutändan en kostnads- och prioriteringsfråga.
När det gäller kameraövervakning av platser dit allmänheten inte har tillträde, finns det inget sätt för tillsynsmyndigheten Datainspektionen att få veta att kameraövervakning förekommer, utom genom att ställa frågan till varje arbetsgivare. Datainspektionens tillsyn av området försvåras därmed, jämfört med de möjligheter som länsstyrelserna har eftersom dessa åtminstone får in anmälningar ( eller ska få in dem) och därmed kan få veta var kameraövervakning bedrivs och kontrollera den.
64 Datainspektionens beslut den 3 december 2014 i dnr 1652-2014.65 Datainspektionens beslut den 29 oktober 2009 i dnr 476-2009.
8.9. Företagshälsovård
8.9.1. Företeelsen
Det är mycket vanligt att arbetsgivare anlitar ett vårdföretag för att tillhandahålla företagshälsovårdstjänster till sina arbetstagare, bestående i hälso- och sjukvård. I en sådan situation är vårdgivaren själv ansvarig för den hantering av uppgifter om arbetstagarna som måste göras för att dessa ska kunna ges hälso- och sjukvård.
Det förekommer också att arbetsgivaren anlitar samma vård givare för att även utföra arbetsuppgifter av rent personaladministrativ natur. Det kan exempelvis röra sig om att för arbetsgivarens räkning ta emot sjuk- och friskanmälningar eller anmälningar om frånvaro på grund av vård av barn. Arbetstagarna instrueras då att göra dessa anmälningar till vårdgivaren. När vårdgivaren tagit emot anmäl ningarna från arbetstagarna, vidarebefordrar den uppgifterna till arbets givaren. Vårdgivaren utför då ingen hälso- och sjukvård. I en sådan situation är det arbetsgivaren som är ansvarig för vårdgivarens hantering av uppgifter om arbetstagarna. Vårdgivaren utför i denna situation inget självständigt uppdrag, utan hanterar endast uppgifter för arbetsgivarens räkning och ändamål. Vårdgivaren är personuppgiftsbiträde till arbetsgivaren för hanteringen av uppgifter för den här typen av personaladministrativa ändamål.
Datainspektionen har i några ärenden granskat ansvarsförhållandena i situationer då vårdgivare varit kontrakterade för att tillhandahålla både företagshälsovård och samtidigt personaladministrativa tjänster.66
Företeelsen var nyligen föremål för en tvist i Arbetsdomstolen.67I målet var frågan om en arbetsgivare som anlitat ett privat hälso- och sjukvårdsföretag för att administrera sjuk- och friskanmälningar. Fackförbundet menade att arbetsgivaren bröt mot personuppgiftslagen när den behandlade känsliga personuppgifter om hälsa som den fick från vårdgivaren. Bland annat skickade vårdgivaren uppgifter till arbetsgivaren om att den sjuka arbetstagaren inte svarar i telefon när vårdgivaren ringer på tredje sjukdagen. Det ska enligt stämningsansökan också ha förekommit att uppgifter om sjukdom och diagnos
66 Datainspektionens beslut den 14 augusti 2012 i dnr 1176-2011, 1177-2011, 1179-2011, 1180-2011, 1181-2011, 1182-2011 och beslutet den 31 juli 2012 i dnr 455-2012.67 Arbetsdomstolens mål A 229/14. Målet avgjordes inte genom dom, utan parterna förliktes och målet avskrevs.
skickades från vårdgivaren till arbetsgivaren. Förbundet hade yrkat skadestånd för brott mot personuppgiftslagen till två av sina berörda medlemmar.
För arbetsgivaren kan det många gånger te sig lämpligt att låta en och samma privata vårdgivare tillhandahålla tjänster för såväl företagshälsovård som personaladministration. Vårdgivaren kan då exempelvis när den får in en sjukanmälan från en arbetstagare, passa på att ställa frågor och ge råd om hur arbetstagaren så snabbt som möjligt ska tillfriskna och kunna återgå i arbete. Vidare har en vårdgivare oftast bättre förutsättningar för att tidigt uppfatta om det bakom en sjukanmälan döljer sig en mer djupgående problematik där det behövs andra eller mer omfattande insatser från företagshälsovården eller arbetsgivaren.
8.9.2. Det skyddande regelverket
För vårdgivarens hantering av personuppgifter för personaladministrativa ändamål för arbetsgivarens räkning, gäller personuppgiftslagens bestämmelser.
När vårdgivaren tillhandahåller företagshälsovårdstjänster och utför hälso- och sjukvård gäller patientdatalagens (2008:355) bestäm melser. Vidare råder inom sådan verksamhet tystnadsplikt enligt patient säkerhetslagen (2010:659) för uppgifter om en enskilds hälso tillstånd eller andra personliga förhållanden.
8.9.3. Risker för den personliga integriteten
När en vårdgivare ska tillhandahålla både hälso- och sjukvård och personaladministrativa tjänster, finns det en risk för att samtliga involverade parter blandar ihop vårdgivarens olika roller.
Vårdgivaren kan komma att vidareförmedla uppgifter till arbetsgivaren som noga taget hör till hälso- och sjukvårdsdelen av vårdgivarens uppdrag och som egentligen omfattas av tystnadsplikt även i förhållande till arbetsgivaren.
Arbetstagaren kan invaggas i tron att vårdgivaren agerar enbart inom sitt uppdrag som företagshälsovård, och kan då komma att lämna sådana hälsouppgifter som arbetstagaren aldrig skulle ha avslöjat direkt för arbetsgivaren, trots att uppgifterna faktiskt hamnar just hos arbetsgivaren till slut.
Om arbetstagaren inte känner sig säker på vilka uppgifter som vårdgivaren kommer att vidarebefordra till arbetsgivaren, finns det också en risk för att han eller hon kommer att avslöja för litet om sitt hälsotillstånd och undanhåller uppgifter som hade varit relevanta och nödvändiga för att vårdgivaren ska kunna ge adekvata råd och eventuella behandlingar.
8.10. Kommitténs samlade bedömning av området
Ett tydligt och problematiskt fenomen som gäller generellt inom arbets livet, är risken för ändamålsglidningar när arbetsgivare digitalt hanterar uppgifter om arbetstagare. Det kan också konstateras att Datainspektionens praxis har varit relativt tillåtande inför ändamålsglidningar inom arbetslivet.
Positionering samt annan övervakning av aktiviteter och beteenden
Arbetstagare avsätter allt fler och mer detaljerade elektroniska spår, samtidigt som utrustning och system för att övervaka och kontrollera blir allt billigare och enklare att använda.
En annan del av utvecklingen är att uppgifter om arbetstagare i allt större utsträckning hamnar hos externa leverantörer, inte sällan i molntjänster, som kan innebära en omfattande och svårkontrollerad spridning, lagring och vidareanvändning av uppgifterna. Flera led i den hanteringen görs många gånger utan vare sig arbetsgivarens eller arbetstagarnas kännedom.
Arbetstagaras möjligheter att påverka hanteringen är begränsade redan initialt, pga. arbetsledningsrätten, men försämras ytterligare av bristen på kunskap om hanteringen.
Det sagda, i kombinationen med faran för ändamålsglidningar i arbetslivet, medför att kommittén anser att det finns allvarliga risker för den personliga integriteten när arbetsgivare använder sig av positionering och annan övervakning för att kontrollera arbetstagarnas aktiviteter och beteenden på arbetet.
Samtidigt måste beaktas att arbetsgivaren för att leda, organisera och följa upp arbetet kan behöva relativt detaljerade uppgifter om var arbetstagarna befinner sig, hur de använder sig av arbetsgivarens utrustning och vad de ägnar sin arbetstid åt.
Sociala medier
När arbetsgivare skannar av sociala medier för att bilda sig en uppfattning om vad arbetstagarna gör på nätet, innebär det att arbetsgivaren träder in på en arena som den enskilde vanligen kan betrakta som privat snarare än arbetsrelaterad. Emellertid finns det oftast möjligheter för arbetstagare att begränsa åtkomsten till uttalanden som skulle kunna uppfattas som känsliga eller kontroversiella i förhållande till arbetsgivaren. Därför anser kommittén att arbetsgivares granskningar av vad arbetstagare skriver på sociala medier, innebär en viss risk för den personliga integriteten.
Samtidigt måste anses rimligt att arbetsgivare i sin omvärldsbevakning, inhämtar information från många olika källor, däribland publik information i sociala medier.
Kompetensdatabaser och bakgrundskontroller
Både kompetensdatabaser och utförande av bakgrundskontroller, kan innebära att många olika slags uppgifter om arbetstagarna hanteras. Ibland kan redan enskilda uppgifter vara integritetskänsliga, medan det i andra situationer är sammanställningar av många uppgifter som tillsammans ger en närgången och detaljerad bild av arbets tagaren. Samtidigt är det troligen inte vanligt förekommande med omfattande och detaljerade kompetensdatabaser och bakgrundskontroller. Vidare är spridningen av uppgifterna sannolikt begränsad, liksom många gånger åtkomsten till dem. Kommittén anser därför att kompetensdatabaser och bakgrundskontroller innebär en viss risk för den personliga integriteten.
Samtidigt måste beaktas att arbetsgivare kan behöva dokumentera arbetstagarnas kompetenser och genomföra bakgrunds kontroller för att effektivt kunna leda och fördela arbetet och så långt som möjligt undvika felrekryteringar som både kan bli kostsamma och ha negativa effekter för andra arbetstagare hos arbets givaren.
Kameraövervakning
Kameraövervakning omfattar allt fler arbetstagare samtidigt som det finns granskningar som visar att många arbetsgivare tillämpar den skyddande lagstiftningen på ett felaktigt sätt. Vidare finns det rapporter om att bilder från kameraövervakning använts för helt andra ändamål än dem för vilka kamerorna installerades. Kommittén anser därför att kameraövervakning på arbetsplatser innebär en allvarlig risk för den personliga integriteten.
Samtidigt måste beaktas att kameraövervakning kan medföra direkta fördelar för enskilda arbetstagare, främst när säkerheten på arbetsplatsen förbättras av övervakningen.
Företagshälsovård
När en vårdgivare ska tillhandahålla både hälso- och sjukvård och personaladministrativa tjänster, kan det uppstå en sammanblandning av vårdgivarens olika roller, som kan få till följd att arbetsgivaren får ta del av uppgifter som hör till hälso- och sjukvårdsdelen av vårdgivarens uppdrag och som omfattas av tystnadsplikt även i förhållande till arbetsgivaren. Det finns emellertid ett tydligt regelverk både för tystnadsplikt gentemot arbetsgivare i dessa situationer, och för hur en vårdgivare får hantera personuppgifter (patientdatalagen). Kommittén anser att det finns en viss risk för den personliga integriteten när vårdgivare ska tillhandahålla såväl hälso- och sjukvård som personaladministrativa tjänster.
Samtidigt kan det finnas fördelar även för den enskilde arbetstagaren om både företagshälsovård och personaladministrativa tjänster tillhandahålls av samma företag, i form av snabbare och enklare kontakt och hjälp vid sjukfall.
Personuppgiftslagen och tillsynen
I kommitténs möten med arbetsmarknadens parter har vidare framkommit att såväl fackliga organisationer som arbetsgivarorganisationer anser att personuppgiftslagen är svår att tillämpa på arbetslivsområdet. Det har också gjorts gällande att Datainspektionens vägledning, i den mån den efterfrågats, inte alltid är tillräckligt tydlig för att ge parterna den hjälp som de behöver.
Brister i kunskap och i den vägledning som ges, kan vara en del av förklaringen till att personuppgiftslagen mycket sällan används som sanktionsmedel av arbetstagarna eller deras organisationer. Det är anmärkningsvärt att det, trots den enorma tekniska utvecklingen, inte har uppkommit särskilt många tvister om personlig integritet inom arbetslivet i samband med användning av informationsteknik.
I likhet med vad som konstaterades i betänkandet Integritetsskydd
i arbetslivet68, kan det fortfarande i dag sägas att bestämmelserna i
personuppgiftslagen inte förefaller ha fått det genomslag på arbetslivets område som man hade kunnat förvänta sig. I betänkandet kunde vid en internationell jämförelse också konstateras att de finländska och norska motsvarigheterna till personuppgiftslagen haft ett större genomslag på arbetslivets område, utan att några av görande skillnader finns mellan ländernas dataskyddsrättsliga och arbetsrättsliga lagstiftning. Förklaringen antogs vara att aktiviteten helt enkelt varit högre i dessa grannländer och att man tidigare än i Sverige hade förstått att utnyttja dataskyddsreglerna på arbetslivets område.69
Ett särskilt regelverk för integritetsskydd i arbetslivet skulle kunna medföra att det blir lättare för parterna att förstå hur regelverket ska tillämpas på förhållandena i arbetslivet, och därmed kanske skulle kunna leda till att reglerna börjar användas oftare i parternas förhandlingar och tvister.
Kommittén kan också konstatera att Datainspektionens tillsyn görs av enstaka företeelser, men att tillsynen inte leder till att myndigheten får en övergripande uppfattning av hur omfattande övervakningen faktiskt är av landets arbetstagare och i vilka former den bedrivs.
68SOU 2009:44.69SOU 2009:44.
Beträffande kameraövervakning bedömer vi att det inte förefaller troligt att dagens tillsynsinsatser ensamma skulle kunna åstadkomma någon generell förbättring av arbetsgivarnas tillämpning.
Kommittén kan också konstatera att Datainspektionen inte används av parterna i den utsträckning som faktiskt vore möjligt – exempel vis skulle myndighetens bedömning av olika övervakningsåtgärder kunna inhämtas vid MBL-förhandlingar i samband med införandet av nya system som kan innebära övervakning eller inför tecknandet av nya kollektivavtal.
Sammanfattning
Det är tydligt att ny teknik och nya arbetssätt ökar möjligheterna att kartlägga och övervaka arbetstagare på ett mycket närgånget och detalje rat sätt.
Ny teknik i kombination med nya arbetssätt innebär också risk för en ökande och oönskad sammanblandning av arbetstagarnas privat liv och arbetsliv.
Till detta kommer att den ökande användningen av övervakningstekniker i samhället i stort, träffar arbetstagare även när den egentliga avsikten med övervakningen inte är att kontrollera arbetstagarna, utan verksamhetens kunder, patienter eller brukare. Även när detta görs oavsiktligen, bidrar det ändå till att öka övervakningen av arbetstagarna. Sådan övervakning omfattar särskilt vissa yrken, t.ex. säljare i butik, vårdbiträden samt personal i restauranger och caféer, vilka känne tecknas bl.a. av att de sysselsätter en betydligt högre andel kvinnor än män. Å andra sidan är andra, mer direkt övervakade yrken vanligare för män, t.ex. lastbils- och långtradarförare samt lagerarbetare. Dessa yrken sysselsätter dock färre arbetstagare än i de tidigare nämnda kvinnodominerade yrkesgrupperna.70
De ökade möjligheterna till detaljerad kontroll, kartläggning och övervakning i realtid riskerar att förskjuta styrkeförhållandena inom arbetslivet och att försvaga arbetstagarnas ställning.71
70 Enligt Statistiska centralbyråns yrkesregister med yrkesstatistik (december 2015).71 Norska Datatilsynet uttrycker detta i följande ordalag: ”Den totale mengden av kontrolltiltak og registreringer kan også gjøre at balansen mellom partene i arbeidslivet forskyves ytter ligere. Arbeidsgiveren vet mye om hver og enkelt av oss, men vi vet ikke nødvendigvis hva som registreres, hvem som ser hva, og hva opplysningene kan og skal brukes til” Datatilsynets rapport ”En vanlig dag på jobb” Arbeidshverdagens elektroniske spor, oktober 2012.
Samtidigt är det viktigt att beakta att arbetsgivare har en rätt att vidta sådana åtgärder som är rimliga och som faller inom rätten att leda och fördela arbetet. Arbetsgivaren har också en skyldighet att upprätthålla säkerheten för både arbetstagare och utrustning. Effektiva och säkra arbetsplatser har många fördelar även ur den enskilde arbetstagarens perspektiv.
Digitaliseringen i samhället innebär att stora mängder uppgifter om arbetstagare kommer att sparas under oöverskådlig tid och att uppgifterna lätt kan spridas, bearbetas och vara tillgängliga för många. Det är inte förvånande att många arbetsgivare använder sig av olika kontroll- och övervakningsfunktioner för att minska riskerna för felaktiga beslut i verksamheten och vid rekrytering. Samtidigt riskerar denna utveckling att leda till en exkludering från arbetslivet av allt fler individer.
9. Hälso- och sjukvård och välfärdsteknik inom socialtjänst
Kommitténs bedömning: Det föreligger allvarliga risker för den
personliga integriteten i samband med hantering av personuppgifter inom hälso- och sjukvården och i samband med socialtjänstens användning av välfärdsteknik.
9.1. Inledning
9.1.1. Beskrivning av området
I detta kapitel beskriver kommittén några av de integritetsrisker som finns inom hälso- och sjukvården och socialtjänsten. När det gäller social tjänsten kommer vi i endast att beskriva de risker som är förenade med viss användning av s.k. välfärdsteknik (begreppet för klaras i avsnitt 9.6).
För att den enskilde individen ska kunna erbjudas god vård och omsorg måste de ansvariga verksamheterna dokumentera och i övrigt hantera information om individen och hans eller hennes behov och om de insatser som planeras och genomförs. Även resul taten för individen måste dokumenteras och följas upp. För att verksamheten ska kunna utveckla sin kvalitet behöver resultaten också kunna följas upp.
När en person får insatser inom hälso- och sjukvården och socialtjänsten är dokumentationen en integrerad del av analys, bedömning och genomförande av insatsen. Personalen tar del av nödvändiga uppgifter om individen före mötet med honom eller henne samt även under och efter arbetets genomförande. Uppgifter kan behöva doku-
menteras och på olika sätt användas under hela detta förlopp. Informationssystem kan också fungera som beslutsstöd direkt i arbetssituationen.
Dokumentationen i hälso- och sjukvården och socialtjänsten är utan tvekan av mer integritetskänslig karaktär än vad information i många andra sammanhang är. Det handlar i princip uteslutande om uppgifter som rör människors hälsa och livssituation. Hos landets alla vårdgivare (offentliga eller privata vårdgivare) lagras uppgifter elektroniskt om större delen av befolkningen. Uppgifter om många av landets invånare hanteras också av dem som bedriver socialtjänst.
Vid ett besök i vården hanteras patienternas uppgifter även för andra syften än den hantering som behövs för att kunna ge den vård som behövs i det enskilda fallet. Exempelvis hamnar vissa uppgifter i kvalitetsregister med anknytning till hälso- och sjukvården. Beroende på vilka vårdinsatser som har getts, måste uppgifter också skickas av vårdgivaren till något av Socialstyrelsens hälsodataregister som officiell statistik.
Om patienten vid besöket i vården får ett läkemedel förskrivet, så sänder vårdgivaren receptet elektroniskt till det centrala receptregistret hos eHälsomyndigheten. Behörig personal på alla öppenvårdsapotek i landet har tillgång till detta register.
Vidare kan uppgifter om sjukdom och erhållen vård ibland komma att hanteras och läsas i helt andra syften. Exempelvis kan uppgifter komma att användas i ett forskningsprojekt, hanteras i en biobank eller skickas till ett centralt hälsodataregister.
Viss hantering av uppgifter får göras oavsett patientens inställning, dvs. att något samtycke inte är nödvändigt och att patienten varken kan hindra eller påverka att eller hur uppgifter behandlas. Vanligen finns dock ett lagkrav på att patienterna ska informeras om att och hur deras uppgifter hanteras.
9.1.2. Regelverk och tillsyn
Hälso- och sjukvården
Hanteringen av personuppgifter som förekommer med anledning av ett besök i vården regleras av olika författningar, i huvudsak följande:
- inom vård och kvalitetsutveckling regleras hanteringen i patientdatalagen (2008:355),
- hur uppgifter om ordinerade läkemedel får hanteras regleras i lagen (1996:1196) om receptregister, lagen (2005:258) om läkemedelsförteckning och apoteksdatalagen (2009:367),
- när uppgifter om blod- och vävnadsprov hanteras, regleras det av lagen (2002:297) om biobanker i hälso- och sjukvården m.m. och personuppgiftslagen,
- generellt inom offentlig verksamhet gäller offentlighets- och sekretess lagen (2009:400), för privata vårdgivare finns bestämmelserna om tystnadsplikt i patientsäkerhetslagen (2010:659),
- vårdgivarens övergripande ansvar för kvaliteten i vården regleras i hälso- och sjukvårdslagen (1982:763), patientsäkerhetslagen och i Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete.
Informationshanteringen inom hälso- och sjukvården ska enligt 1 kap. 2 § patientdatalagen vara organiserad så att den tillgodoser patient säkerhet, god kvalitet samt främjar kostnadseffektivitet. Person uppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Dokumenterade person uppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem.
Socialtjänsten
Socialtjänstens hantering av personuppgifter regleras av personuppgiftslagen, av lagen (2001:454) om behandling av person uppgifter inom socialtjänsten och av förordningen (2001:637) om behandling av personuppgifter i socialtjänsten.
De regler som styr handläggning och dokumentation i socialtjänsten återfinns framför allt i förvaltningslagen (1986:223), socialtjänstlagen (2001:453) och i lagarna med särskilda bestämmelser vid vård av unga (1990:52), om vård av missbrukare (1988:870) i vissa fall, samt om stöd och service till vissa funktionshindrade (1993:387).
Därutöver har även lagstiftning som offentlighets- och sekretesslagen, arkivlagen (1990:782) och tryckfrihetsförordningen betydelse för socialtjänstens informationshantering.
Tillsyn m.m.
I första hand två tillsynsmyndigheter kontrollerar hantering av person uppgifter inom hälso- och sjukvården och socialtjänsten: Data inspektionen (med inriktning på integritetsskydd) och Inspektionen för vård och omsorg (med inriktning på patient- och brukarsäkerhet).
Vidare ska det i varje kommun och landsting finnas en eller flera patientnämnder med uppgift att stödja och hjälpa patienter inom all offentligt finansierad hälso- och sjukvård och tandvård. Patientnämnderna ska utifrån synpunkter och klagomål stödja och hjälpa enskilda patienter och bidra till kvalitetsutveckling och hög patientsäkerhet i hälso- och sjukvården genom att hjälpa patienter att få den information patienterna behöver för att kunna ta till vara sina intressen i hälso- och sjukvården, främja kontakterna mellan patienter och vårdpersonal, hjälpa patienter att vända sig till rätt myndighet, samt rapportera iakttagelser och avvikelser av betydelse för patienterna till vårdgivare och vårdenheter. (jfr lagen [1998:1656] om patientnämndsverksamhet m.m.)
Därtill utövar Riksdagens ombudsmän (Justitieombudsmannen) och i viss mån Justitiekanslern tillsyn över den allmänna hälso- och sjukvården och forskningen, och polis och åklagare utreder misstänkta brott.
Den enskilde som anser att hennes eller hans uppgifter hanterats på ett felaktigt sätt, t.ex. genom att uppgifter har spridits till anställda som inte behöver dem för att kunna utföra sitt arbete, och som därmed anser att det gjorts ett otillbörligt intrång i hennes eller hans personliga integritet, kan således välja mellan flera olika myndigheter att vända sig till med ett klagomål. Förutom till vårdgivaren själv kan klagomål anmälas till patientnämnden, Datainspektionen, Justitieombudsmannen eller till polis och åklagare. Vidare finns det en möjlig het för patienten att begära skadestånd vid allmän domstol för den ideella skada som hon eller han anser sig ha lidit på grund av integritetsintrång.
9.2. Allmänt om hanteringen av personuppgifter inom hälso- och sjukvården
9.2.1. Informationshantering i hälso- och sjukvården
Hälso- och sjukvården har alltsedan patientdatalagen trädde i kraft 2008 genomgått stora strukturförändringar varav en av de mest markanta är ökningen av andelen privata vårdgivare. Enligt Utred-
ningen om rätt information i vård och omsorg1 ökade landstingens köp
av vårdtjänster från privata leverantörer från 18 miljarder kronor till cirka 32 miljarder kronor under perioden 2006–2012. Bara i Stockholms läns landsting finns, förutom offentliga vårdleverantörer, omkring 3 000 privata verksamheter som bedriver hälso- och sjukvård (inklusive företagare på nationella taxan och inom tandvården). Även om mångfalden av privata och offentliga vårdgivare skiljer sig åt i olika delar av landet pekar den sammantagna utvecklingen på att mångfalden ökar och att de privata vårdgivarna blir fler. Samtidigt är det, i allt väsentligt, kommuner och landsting som finansierar såväl de offentliga som de privata vårdgivarnas verksamhet. Tillsammans med det ökade antalet vårdgivare har även specialiseringen inom hälso- och sjukvården ökat.
Efter avregleringen av apoteksmarknaden består apotekssektorn i dag av ett 25-tal olika aktörer som bedriver cirka 1 300 apotek.2
Utvecklingen har medfört att det ofta är fler aktörer än tidigare inblandade i vården av samma patient. För patienter som är i behov av koordinerade insatser från primärvården och specialistvården är det i dag snarare regel än undantag att samarbetet inbegriper två eller fler självständiga vårdgivare. Bara i en sjukhusbyggnad kan ett flertal olika vårdgivare vara verksamma som samarbetar i vården av patienterna. Ett sådant samarbete pågår ofta utan att patienten själv är medveten om att vården ges av olika vårdgivare. Ett annat exempel på detta är den mångfald av vårdgivare inom ambulanssjukvården som exempelvis finns i Stockholms läns landsting. Det är i dag inte ovanligt att den privata vårdgivare som står för insatserna i ambulansen assisteras av en akutbil med läkare eller sjuksköterskor från en annan privat vårdgivare. Utvecklingen ser i stort likadan ut i den
1 Utredningens om rätt information i vård och omsorg betänkande Rätt information på rätt
plats i rätt tid, SOU 2014:23, s. 110.
2 E-hälsokommitténs betänkande Nästa fas i e-hälsoarbetet, SOU 2015:32, s. 161.
landstingsfinansierade och i den kommunalt finansierade hälso- och sjukvården. Denna mångfald av olika driftsformer ställer förstås krav på effektiv samverkan och ändamålsenligt informationsöverföring.
Även olika krav på samverkan mellan kommuner och landsting innebär att det måste finnas former för ändamålsenlig och säker informationsöverföring.
9.2.2. Hur ser informationshanteringen ut i dag?
I dag börjar det bli missvisande att över huvud taget tala om ”patientjournaler” som bärare av personuppgifter i hälso- och sjukvården. Snarare rör det sig i dag om lagrade personuppgifter som presenteras i olika former för olika aktörer inom vården. Svensk sjukvårds-it består av ett mycket stort antal system och tjänster som lagrar och distri buerar patientinformation.
Ett annat område som är under utveckling är användningen av olika former av it-stöd i vårdarbetet.
Beslutsstöd kan lite förenklat beskrivas som ett datorstött system
som baserat på kunskapsstöd kan ge patientspecifika råd och rekommendationer kring prevention, prognos, diagnostik, behandling och uppföljning för läkare, annan hälso- och sjukvårdspersonal och patien terna själva. Kunskapsstöd är en datorbaserad kunskapskälla som presenterar kunskap men utan någon direkt koppling till specifik patientinformation. Kunskapen rör ett visst kliniskt område och innehåller till exempel vägledning, rekommendationer, termdefinitioner och förslag på indikatorer.3
E-hälsokommittén redovisar i sitt betänkande4 en kartläggning som e-hälsomyndigheten gjort avseende beslutsstöd. I kartläggningen konstateras att i Sverige är system för läkemedelshantering den vanligaste typen av besluts- och kunskapsstöd i hälso- och sjukvården. En möjlig förklaring skulle kunna vara förekomsten av strukturerad data inom läkemedelsområdet och av en nationell hantering av e-recept. Den nationella användningen av övriga besluts- och kunskaps stöd är däremot begränsad, även om det finns flera exempel på att enskilda landsting eller kliniker utvecklar egna beslutsstöd anpassade till den egna verksamheten.
3SOU 2015:32, s. 262.4SOU 2015:32, s. 121 f.
När det gäller ett säkert och ändamålsenligt informationsutbyte i hälso- och sjukvården finns det utmaningar även ur ett organisa toriskt perspektiv. Hälso- och sjukvården bedrivs av 21 självständiga landsting och regioner samt 290 kommuner. Apotekssektorn består i dag av ett 25-tal aktörer som driver cirka 1 300 apotek. Några exakta uppgifter om hur många vårdgivare det finns i dag i Sverige är inte möjligt att få fram. En siffra som har nämnts i olika sammanhang är att det finns omkring 10 000 privata vård- och omsorgsföretag i Sverige.
Alla dessa aktörer har mängder med system (journalsystem, dokumen tationssystem, bildhanteringssystem etc.), databaser, modu ler, servrar m.m. Varje landsting har hundratals, kanske tusentals, system. Enligt E-hälsokommittén5 har exempelvis Region Västra Götaland omkring 2 000 system, Stockholms läns landsting cirka 1 300 system och landstinget Dalarna runt 300 olika system. Lägger man till kommuner, privata och idéburna vård- och omsorgsgivare, apotek samt statliga myndigheter som bedriver hälso- och sjukvård är mängden system i landet helt oöverskådlig.
Beträffande system för vårddokumentation, finns det dock inte samma spridning på olika system, enligt den senaste SLIT-rapporten.6 Det anförs i rapporten att det i dag är ett fåtal system och leverantörer som dominerar marknaden. Fem leverantörer har med sina åtta system 97,6 procent av alla användare. Det framgår vidare att flertalet landsting har standardiserat med ett system och en leverantör för all vårddokumentation inom den egna organisationen, dvs. för sjukhus, psykiatri och primärvård. Starka drivkrafter är enligt SLIT-rapporten visionen om ”en patient – en journal” med gemensam läkemedelslista och gemensam term- och begreppsstruktur. Intern konsolidering med endast en instans (en databas) sägs underlätta och vara ett steg på vägen att nå visionen så att informationen kan bli tillgänglig såväl inom landstinget som över huvudmannagränser.
Landstingen har en särställning som både huvudmän och vårdgivare. Det är landsting och kommun som finansierar vården. De flesta landstingen kräver eller erbjuder att privata vårdgivare som ingår i vårdvalet ska använda samma journalsystem som landstinget.7
5SOU 2015:32.6 SLIT-gruppens (landstingens it-strateger och it-chefer) rapport eHälsa i landstingen 2015 (SLIT-rapporten).7 SLIT-rapporten 2015.
Information hanteras inte enbart av och mellan vårdgivare inom samma sjukvårdshuvudman för syftet att ge hälso- och sjukvård i det enskilda fallet. Patientuppgifter används även i uppföljningssyften, kvalitetsregister, forskning, utbildning och till exempel för administration av patienttransporter.
Personuppgifter har också ett kommersiellt värde. Det finns ett stort intresse från olika håll av att få använda vårdinformation som råmaterial i tjänster. Det kan t.ex. bli möjligt genom den planerade tjänsten HälsaFörMig.
HälsaFörMig är ett hälsokonto som eHälsomyndigheten ansvarar för. Tanken med kontot är att enskilda ska få möjlighet att samla all information om sin hälsa på ett och samma ställe. Hälsokontot ska fungera som en tjänst som gör det möjligt för var och en att överblicka sin egen hälsoinformation över tid. Enligt eHälsomyndighetens bedömning är det individen själv som ansvarar för innehållet i HälsaFörMig och får bestämma om någon ska ges behörighet att läsa eller hämta information. eHälsomyndigheten ska vara ansvarig för att informationen hanteras på ett säkert sätt. Myndigheten ska erbjuda tredje part möjlighet att ansluta tillämpningar (appar) och tjänster till hälsokontot, men sedan är det individen som ska välja vilka e-tjänster han eller hon vill använda för att bearbeta och visa upp sin information.
Problembeskrivningar och förslag avseende e-Hälsa i andra utredningar
E-hälsa beskrivs i E-hälsokommitténs betänkande8 som insatser för att med hjälp av informationssystem och e-tjänster skapa och utveckla en ändamålsenlig och säker informationshantering inom och mellan hälso- och sjukvården och socialtjänsten, till nytta för individer, professioner och beslutsfattare.
Olika aspekter av området e-Hälsa har utretts de senaste åren av Utredningen om rätt information i vård och omsorg9, E-hälsokommittén och av den nationella samordnare10 som regeringen utsett för effektivare resursutnyttjande inom hälso- och sjukvården.
8SOU 2015:32 s. 72.9SOU 2014:23.10 Ett tidsbegränsat och numera avslutat uppdrag som beskrivs i dir. 2013:104.
I april 2014 lämnade Utredningen om rätt information i vård och omsorg sitt slutbetänkande. Utredningen lämnade en rad förslag beträffande elektroniska patientjournaler. Bland annat föreslås att samtliga vårdgivare som finansieras av samma huvudman ska kunna dela uppgifter om en patient med hjälp av direktåtkomst under samma förutsättningar, oavsett om verksamheten drivs i offentlig eller privat regi. Utredningen lämnar även förslag som innebär tydligare krav på informationssystemens utformning. Vidare föreslås att det inte längre ska gå att spärra uppgifter om förskrivna läkemedel och om överkänslighet.
Många menar att utredningens förslag på ett bra sätt väger in behovet av skydd för patienternas personliga integritet, medan t.ex. Justitieombudsmannen, Justitiekanslern, Myndigheten för samhällsskydd och beredskap, Datainspektionen och Sveriges advokatsamfund skarpt kritiserar förslaget för att det inte tillräckligt beaktar den personliga integriteten.
I betänkandet Effektiv vård11 konstateras att informationssystemen i hälso- och sjukvården lider av stora brister. Bland de problem som lyfts fram är brister i design, funktionalitet och överskådlighet liksom brister när det gäller struktur och enhetlighet i termer och begrepp. Vidare finns brister när det gäller systemens möjlighet att kommunicera med varandra över vårdgivargränserna, inom en vårdgivare och till och med för en och samma användare. I betänkandet anförs även att arbetet med att implementera integritetsskydd för patienten (t.ex. åtkomstkontroll) måste bli bättre. Den nationella samordnaren påpekar att även om det pågår många olika utvecklingsinitiativ så saknas det väsentligen någon samordning av arbetet. Trots många års kännedom om problemen har huvud männen varit oförmögna att agera samlat i investeringar, kravställande, utvecklingsarbete och standardisering m.m.
E-hälsokommittén12 påtalade i sitt betänkande behoven av en tydligare styrning från nationell nivå för att utveckla interoperabilitet över organisations- och huvudmannagränser. Det finns enligt E-hälso kommittén behov av koordination av insatser som pågår men också av att etablera nya arenor för nationellt arbete, av att enas kring vilka krav på teknik, informationssäkerhet och integritetsskydd som
11 Slutbetänkande av den nationella samordnaren för effektivare resursutnyttjande inom hälso- och sjukvården, SOU 2016:2, s. 285 ff.12SOU 2015:32.
måste uppnås samt av att någon aktör på nationell nivå har mandat att besluta om sådana krav. Kommitténs uppfattning var att tillämpning av standarder och krav är en nyckelfråga för att åstadkomma denna ökade semantiska och tekniska interoperabilitet och föreslog därför ett statligt ansvar för att besluta om sådana krav.
E-hälsokommitténs betänkande har kritiserats ur ett integritetsperspektiv. Exempelvis anser Datainspektionen och Justitieombudsmannen menade att betänkandet saknar analyser av konsekvenserna för den personliga integriteten.
Vision e-Hälsa 2025
Regeringen och Sveriges kommuner och landsting (SKL) har i mars 2016 beslutat att ställa sig bakom en gemensam vision för e-hälsoarbetet fram till år 2025. Visionen ersätter den tidigare e-Hälsostrategin från 2010 och lyder:
År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och e-Hälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i samhällslivet.
Arbetet ska drivas utifrån ett antal grundläggande perspektiv och principer som tillgänglighet, användbarhet och digital delaktighet, samt integritetsskydd och informationssäkerhet.
9.3. Behörighetsstyrning, åtkomstkontroll och spärrar och annan hantering av personuppgifter inom en vårdgivares verksamhet
9.3.1. Företeelsen
I det här avsnittet tar vi upp hur uppgifter hanteras när den enskilde är patient och mottagare av hälso- och sjukvård. De företeelser som nämns nedan har valts ut eftersom vi anser dem särskilt beaktansvärda ur ett integritetsskyddsperspektiv. I detta avsnitt är det den digitala hanteringen som görs av personal som är verksam hos en och samma vårdgivare som behandlas. I ett följande avsnitt avhandlas
personalen möjlighet att genom elektronisk direktåtkomst ta del av uppgifter om patienter som vårdats hos andra vårdgivare, så kallad sammanhållen journalföring.
Grundläggande förutsättningar för en ändamålsenlig informationshantering är bland annat att uppgifter finns tillgängliga när de behövs för vården av en patient. En annan förutsättning är att de uppgifter som dokumenteras om patienter förvaras och hanteras på ett sådant sätt att obehöriga inte kan komma åt dem, att uppgifter inte sprids utanför verksamheten, att de informationssystem som används i verksamheten är utformade på ett sådant sätt att integritetsskyddet tillgodoses, att en användares behörighet till uppgifter anpassas och begränsas till de behov som användaren har samt att åtkomsten till uppgifterna loggas och kontrolleras.
Digitalt hanterade uppgifter hos vårdgivarna är ofta åtkomliga och läsbara för en stor grupp anställda hos den aktuella vårdgivaren. Men uppgifter kan göras läsbara även för anställda hos andra vårdgivare på olika håll runtom i landet genom s.k. sammanhållen journalföring.
Det är vårdgivaren som har det yttersta ansvaret för informationssäkerheten i verksamheten. Ansvaret innebär bl.a. att vårdgivaren måste se till att de informationssystem som används i verksamheterna är skyddade mot obehörig åtkomst och att det finns bra system för tilldelning av behörighet och åtkomstkontroll.
När det gäller spärrar framgår det av den så kallade SLIT-rapporten för 2015 att det är ovanligt att patienter begär att få spärra information. Det rör sig om ungefär 122 patienter per landsting och år. Ungefär 10 patienter per år begär att få häva spärren. Det framgår inte av uppgifterna om det är patienter som begärt att få spärra uppgifter inom vårdgivaren eller om det är patienter som inte velat delta i sammanhållen journalföring.
Tidningen Vårdfokus uppmärksammade i april 2013 att det under år 2012 polisanmäldes minst 56 anställda i landsting och regioner för att olovligen ha gått in i patientdatajournaler, vilket innebar en ökning med mer än 100 procent jämfört med år 2010. Enligt tidningen kunde det dock i verkligheten röra sig om ännu fler polis anmälningar, på grund av att det exakta antalet är svårt att få fram eftersom somliga landsting saknar central uppföljning och därmed inte har en samlad bild av intrång som görs i den egna organisa tionen. Enligt tidningen var det fler än de 56 polisanmälda som hade misstänkts och utretts
internt utan att det blivit någon polisanmälan.13 Antalet polisanmälda dataintrång kan ställas i relation till att det görs cirka 65 miljoner patient besök i hälso- och sjukvården per år14 och att det finns över 200 000 anställda15 i landstingens hälso- och sjukvård.
9.3.2. Det skyddande regelverket
I patientdatalagen och Socialstyrelsens anslutande föreskrifter (SOSFS 2008:14) stadgas i korthet att vårdgivare måste sörja för bl.a. följande.
Vårdgivaren ska säkerställa att det i verksamhetens ledningssystem för kvalitet och patientsäkerhet finns en dokumenterad informationssäkerhetspolicy. Den ska säkerställa att
1. patientuppgifter i vårdgivarens dokumentation är åtkomliga och
användbara för den som är behörig (tillgänglighet),
2. patientuppgifterna är oförvanskade (riktighet),
3. obehöriga inte ska kunna ta del av patientuppgifterna (sekretess),
och
4. det i sådana informationssystem som är helt eller delvis automati-
serade är möjligt att i efterhand entydigt kunna härleda åtgärder till en identifierad användare (spårbarhet).
Det är av integritetsskäl viktigt att inte andra personuppgifter behandlas inom hälso- och sjukvården än vad som är befogat utifrån verksamhetens behov och krav. En vårdgivare eller en huvudman får därför endast behandla sådana uppgifter som behövs för de ändamål som i lagen räknas upp som tillåtna. En ändamålsbestämmelse i patientdata lagen styr därmed över vilka personuppgifter som får samlas in och fortsättningsvis behandlas i verksamheten.
Det måste vidare finnas rutiner som säkerställer att individuell behörighetstilldelning görs. Det innebär enligt Socialstyrelsens handbok till föreskrifterna att endast personliga inloggningar är tillåtna och att inga så kallade gruppkonton får förekomma. Använ-
13 Helena Mirsch, Allt fler polisanmäls för dataintrång, publicerad den 3 april 2013 på www.vardfokus.se14 SKL, Statistik om hälso- och sjukvård samt regional utveckling 2013.15 SKL, Statistik anställda i landstingen 2014.
darnas behörighet i vårdgivarens informationssystem måste vara anpassad till deras arbetsuppgifter. Vårdgivaren ansvarar också för att användarna tilldelas rätt behörighet, det vill säga tillräckliga behörigheter för att de ska kunna utföra sina arbetsuppgifter på ett säkert sätt men samtidigt inte mer omfattande än vad som är nödvändigt.
Vidare måste det finnas rutiner som säkerställer att åtkomstkontroll genomförs. Det är enbart tillåtet att ta del av dokumenterade uppgifter om en patient om man deltar i vården av en patient eller om man av andra skäl behöver uppgifterna för sitt arbete åt vårdgivaren. Även om personalen kan få fram uppgifterna får de inte ta del av några patientuppgifter som de inte behöver för att sköta sitt arbete. För att vårdgivaren ska kunna kontrollera att behörigheterna används på ett korrekt sätt måste denne dokumentera (logga) åtkomsten till de uppgifter som har använts.
Vidare ska systemet kräva aktiva val för åtkomst till patientuppgifter från andra enheter. Enligt förarbetena16 till patientdatalagen bör uppgifter lagras i olika skikt så att mer känsliga uppgifter kräver aktiva val eller inte är lika lätta att nå som mindre känsliga uppgifter. Enligt Socialstyrelsens handbok till föreskrifterna menas med aktiva val att en behörig användare tar ställning till om han eller hon har rätt att ta del av ytterligare uppgifter.
Vidare har en patient rätt att ”spärra uppgifter” vilket innebär att patienten motsätter sig att uppgifter om honom eller henne är elektroniskt tillgängliga för andra vårdenheter eller vårdprocesser än den som patienten varit i kontakt med. Det betyder att hälso- och sjukvårdspersonal från andra enheter inom vårdgivarens verksamhet inte får ta del av uppgifterna, om det inte är frågan om så kallad nödåtkomst, se 4 kap. 5 § patientdatalagen.
9.3.3. Iakttagelser från tillsynen
När det gäller behörighetsstyrning och åtkomstkontroll i elektroniska journaler, har Datainspektionen riktat kritik mot olika vårdgivare i ett antal ärenden på senare år.
I maj 2014 publicerade Datainspektionen resultaten av en granskning av hälso- och sjukvården i 18 kommuner med särskild inriktning på vilka åtgärder som tas för att hindra obefogad och okontrollerad
16 Regeringens proposition Patientdatalag m.m., prop. 2007/08:126 s. 149.
spridning av patientuppgifter. Granskningen visade på brister hos samtliga kommuner. Förekommande brister var bl.a. att det saknades dokumenterade behovs- och riskanalyser och att det inte gjordes verkningsfulla loggkontroller. Vidare förekom brister i informationen till de anställda om att loggning och logguppföljning görs samt om vilka villkor som gäller för anställdas åtkomst till patientuppgifter.
I juni 2013 redovisade Datainspektionen resultaten av en nationell kontroll av vårdgivare om hur dessa kan spärra känsliga patientuppgifter när en patient begär det. Granskningen visade att många vårdgivare hade börjat satsa ordentligt på att införa de möjligheter till spärrar som måste finnas enligt patientdatalagen. Vissa av vårdgivarna har således kommit en bra bit på väg och vissa var enligt Data inspektionen i praktiken framme vid målet. Det fanns dock några vårdgivare som inte hade kommit lika långt när det gäller införandet av tekniska funktioner för spärrar i it-systemen.
I april 2012 kritiserade Datainspektionen ett av landets största sjukhus för att dess it-system gjorde det omöjligt att kontrollera om personal missbrukar sin möjlighet att läsa patientjournaler.
I augusti 2013 fann Datainspektionen brister i rutinerna för behörighetsstyrning och åtkomstkontroll hos ett annat av landets största sjukhus. Sjukhuset förelades att genomföra en behovs- och riskanalys för sitt journalsystem för att kunna arbeta effektivt med behörighetsstyrning och åtkomstkontroll.
9.3.4. Risker för den personliga integriteten
Regelverket beträffande behörighetsstyrning, åtkomstkontroll och spärrhantering ska skydda patienternas uppgifter och ge patienterna ett viss mått av inflytande över när uppgifterna får behandlas. För att uppfylla patientdatalagens krav kan det röra sig om såväl tekniska som organisatoriska eller administrativa åtgärder. Behörighetsstyrning och logguppföljning är skyldigheter som åligger vård givarna, och påverkas inte av patienternas inställning.
Om vårdpersonalen får veta saker om patienten som de inte behöver veta och som patienten inte vill att de ska få reda på, t.ex. att en ortopedspecialist får veta att och varför patienten vårdats vid en annan klinik hos samma vårdgivare, kan detta väcka obehag hos paten ten, och påverka hur hon eller han upplever mötet med vården.
Det kan också innebära att patienten inte berättar lika öppet om sina besvär nästa gång hon eller han uppsöker vården, vilket i sin tur kan medföra en sämre vård.
Det finns vissa risker för ren nyfikenhetsläsning, t.ex. att en granne, släkting, bekant eller kollega inom vården läser patientuppgifter för att hon eller han är nyfiken på patienten. Ju mer information varje anställd kan ta del av, desto större är den potentiella skadan vid nyfikenhetsläsning och eventuell senare spridning genom skvaller. Om patienten dessutom råkar vara känd på orten, ökar risken för nyfikenhetsläsning av en större grupp vårdpersonal. Nyfikenhetsläsning kan naturligtvis förekomma även i samband med hantering av patientjournal på papper. Vid sådan hantering är det dock svårt att i efterhand kontrollera vilka som tagit del av informationen.
Slutligen finns en risk för dataläckage, genom medvetna attacker, vårdslöshet eller bristande kunskaper hos vårdgivarens anställda.
Det bör också framhållas att uppgifter om patienter hos vårdgivarna kan vara av intresse inte bara för hälso- och sjukvårds personal – den kan också vara intressant för utomstående som försäkringsbolag och polismyndigheter, som under vissa förutsättningar kan få ta del av dessa.
När det gäller kunskap om patientdatalagen bland landstingets personal framgår det av den senaste SLIT-rapporten att situationen har blivit bättre genom att de flesta nu har genomfört utbildningar. Det finns dock fortfarande ett behov av utbildning i några landsting. När det gäller tillämpningen av patientdatalagen framgår det av SLITrapporten 2015 att bara två landsting har anpassat systemen så att de klarar de krav som lagen ställer på dem. Det bedömdes att nio landsting kommer att vara klara 2016, medan övriga landsting inte räknar med att vara klara förrän 2017 eller senare. Alltså nästan tio år efter att patientdatalagen infördes.
9.4. Sammanhållen journalföring
9.4.1. Företeelsen
I och med patientdatalagens ikraftträdande blev det lagligen möjligt för vårdgivare att låta andra vårdgivare ta del av verksamhetens patient uppgifter genom direktåtkomst. Stödet för detta finns i 6 kap.
patientdatalagen. Det innebär att patientens uppgifter får göras tillgängliga, inte bara inom den vårdgivare där uppgifterna har tillkommit, utan också under vissa förutsättningar till andra vårdgivare som ingår i ett sådant samarbete och som behöver uppgifterna i vården av patienten.
Enligt SLIT-rapporten 2015 kommer landstingen i första hand att använda denna möjlighet i samverkan med de privata vårdgivarna inom vårdvalet, i andra hand med kommuner och andra landsting. Några landsting kommer också att ha sammanhållen journalföring med privata vårdgivare utan vårdavtal.
9.4.2. Det skyddande regelverket
I 6 kap. patientdatalagen finns bestämmelser om att patienterna ska få information i förväg innan deras uppgifter får göras tillgängliga i ett system för sammanhållen journalföring. De ska även ges möjlighet stå utanför den sammanhållna journalföringen (få s.k. spärr). Användar gränssnitten i system för sammanhållen journalföring får initialt bara visa att det finns uppgifter om patienten att läsa i systemet. Andra vårdgivare ska kunna ta del av denna uppgift utan att ta del av uppgift om vilken vårdgivare som har gjort uppgiften tillgänglig. För att den andra vårdgivaren (än den som skrivit in journaluppgifterna) ska få ta del av uppgifterna krävs att denne har en aktuell patientrelation med den enskilde och att uppgifterna i fråga kan antas ha betydelse för den vård som ska ges. Innan uppgifterna används i verksamheten ska den andra vårdgivaren dessutom inhämta patientens samtycke till detta.
9.4.3. Iakttagelser från tillsynen
Även när det gäller sammanhållen journalföring, har Datainspektionen riktat kritik mot olika vårdgivare i ett antal ärenden på senare år.
I februari 2011 kritiserade Datainspektionen tre vårdgivare för att de använde sig av ett system för sammanhållen journalföring där det inte gick att spärra vissa patientuppgifter från att lämnas ut. Datainspektionen var också kritisk till att personalen hos de granskade vårdgivarna i systemet för sammanhållen journalföring hade för omfattande behörigheter och att åtkomstkontrollen var bristfällig.
I januari 2011 kritiserade Datainspektionen Karolinska universitetssjukhuset för brister i informationen till patienterna om samman hållen journalföring. I april samma år hotade Datainspektionen med att förelägga Karolinska universitetssjukhuset att upphöra med att lämna ut uppgifter inom sammanhållen journalföring, om inte sjukhuset förbättrade informationen till sina patienter om vad den så kallade samman hållna journalföringen innebär. Patienterna skulle även informeras om att de kan begära att uppgifter spärras.
I juni 2012 konstaterade Datainspektionen efter en tillsyn av samtliga landsting samt fem privata vårdgivare att ingen av de granskade vårdgivarna helt uppfyllde patientdatalagens krav beträffande patienternas rätt att få sina uppgifter i journalerna spärrade.
I juni 2013 redovisade Datainspektionen resultaten av en nationell kontroll av vårdgivare och hur dessa kan spärra känsliga patientuppgifter när en patient begär det. Kontrollen omfattade även spärrhanteringen i system för sammanhållen journalföring. Granskningen visade att många vårdgivare hade börjat satsa ordentligt på att införa de möjligheter till spärrar som måste finnas enligt patientdatalagen. Vissa av vårdgivarna har således kommit en bra bit på väg och vissa var enligt Datainspektionen i praktiken framme vid målet. Det fanns dock några vårdgivare som inte hade kommit lika långt när det gäller införandet av tekniska funktioner för spärrar i it-systemen.
9.4.4. Risker för den personliga integriteten
Sammanhållen journalföring kan ge ökad vårdkvalitet genom en helhets bild av patientens tidigare diagnoser, provresultat och medi ciner ing vilket gör det lättare att ställa rätt diagnos och ge rätt behandling i tid. Den sammanhållna journalföringen ger också ökad patientsäkerhet genom att ge rätt beslutsunderlag som minskar risken för felbehandlingar eller felmedicinering. Denna form av informationsutbyte är av särskild nytta i samband vård av äldre som bor på särskilda boenden i kommunerna. För att kunna ge säkra insatser för denna patientgrupp behöver den kommunala och landstingskommunala hälso- och sjukvården samarbeta. Sammanhållen journalföring kan också bidra till ökad effektivitet genom att delad information minskar tidsspillan och kostsamt dubbelarbete.
En förutsättning för ändamålsenligt informationsutbyte mellan olika vårdgivare är att det finns en fungerande infrastruktur. E-hälsokommittén17 föreslog i sitt betänkande att staten bör ges en samordnande roll. Staten bör enligt E-hälsokommittén ställa krav på en grundläggande interoperabilitet så att it-stöd i vård och omsorg kan kommunicera med varandra på ett bättre sätt. Gemensamma standarder, gränssnitt, funktionskrav och informationssäkerhetskrav m.m. skulle öka förutsättningarna för en utveckling av den sammanhållna journalföringen.
Många vårdgivare arbetar med att införa gemensamma tjänster över vårdgivar- och organisationsgränserna för system för sammanhållen journalföring, vilka möjliggör och förbättrar exempelvis funktioner för spärrhantering, behörighetsstyrning och åtkomstkontroll. Ett exempel på detta är Ineras s.k. säkerhetstjänster.
När det gäller skyldigheten att informera patienterna om den sammanhållna journalföringen, finns det tecken på att Datainspektionens tillsynsinsatser haft viss effekt. I juni 2011 ansåg Datainspektionen efter en tillsyn att Karolinska universitetssjukhusets hade förbättrat sin information till patienterna så pass att Datainspektionen inte längre krävde att sjukhuset skulle sluta lämna ut patientuppgifter till andra vårdgivare.
Men det finns fortfarande brister hos stora vårdgivare när det gäller behörighetsstyrning och åtkomstkontroller även i system för sammanhållen journalföring.
Datainspektionens tillsynsärenden visar också att det fortfarande förekommer brister hos flera vårdgivare när det gäller möjligheten att spärra uppgifter.
När det gäller riskerna med system för sammanhållen journalföring anser kommittén att dessa i stort sett är desamma som i samband med den digitala hanteringen inom en vårdgivare, med det betydande tillägget att sammanhållen journalföring möjliggör åtkomst till fler patienters uppgifter för långt fler användare. Det betyder att frågor om behörighetsstyrning, åtkomstkontroll och spärrar är ännu viktigare när det gäller sammanhållen journalföring. Därtill kommer att informationen till patienterna är av särskilt betydelse, eftersom det finns en rätt för patienterna att stå utanför den sammanhållna journalföringen (dvs. en rätt att få uppgifterna spärrade).
17SOU 2015:32.
9.5. Kvalitetsregister
9.5.1. Företeelsen
Kvalitetsregister är en särskild kategori uppgiftssamlingar som finns inom hälso- och sjukvården, främst inom vissa medicinska specialiteter. De har oftast byggts upp genom frivilliga initiativ av olika specialistföreningar för att användas som stöd för kvalitetsutveckling i det kliniska arbetet. Gemensamt för kvalitetsregistren är att inrapporteringen är ett frivilligt åtagande från vårdgivarnas sida. De äldsta registren som fortfarande är i drift startades inom ortopedin redan på 1970-talet. Från 1990-talet och framåt har etableringen av nationella kvalitetsregister ökat väsentligt.18
Med ett kvalitetsregister avses, enligt 7 kap. 1 § patientdatalagen en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kvalitetsregistren ska möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå. Med ett nationellt eller regionalt kvalitetsregister avses ett kvalitets register i vilket personuppgifter samlas in från flera olika vårdgivare.
I dag används omkring 100 nationella kvalitetsregister för att säkra och utveckla kvaliteten i hälso- och sjukvården. I ett nationellt eller regionalt kvalitetsregister samlas personuppgifter från kommunal hälso- och sjukvård, sjukhus, vårdcentraler m.fl. för att möjliggöra kvalitetssäkring och jämförelser inom hälso- och sjukvården på nationell eller regional nivå. Kvalitetsregistren används i dag både för systematisk uppföljning och jämförelse på nationell nivå, men även på ett mer lokalt plan där registrerande enheter med allt tätare intervall följer sina resultat och lägger dem till grund för ett verksamhetsnära förbättringsarbete.19
Kvalitetsregister har kommit att bli en av flera nödvändiga förutsättningar för att utveckla hälso- och sjukvården. Utvecklingen går mot att verksamhetens inrapporterade uppgifter och resultat återförs mer kontinuerligt än tidigare och kan därmed i större grad ligga till grund för en lokal och verksamhetsnära förbättring av resultatet för de enskilda patienterna.
18Prop. 2007/08:126 s. 176.19SOU 2014:23, s. 494.
Det medför att patienter som i dag deltar i kvalitetsregister kan vara med och dra nytta av sin medverkan i registret. I sådana register där individen följs upp och uppgifter registreras kontinuerligt och över längre tid finns tydliga exempel på nyttan, inte endast för framtida patienter utan även för patienten själv.
Några exempel på sådana register som kan nämnas är register över kroniska sjukdomar som t.ex. reumatisk sjukdom och diabetes, men även register som Senior Alert och BPSD som riktar sig till individer över en viss ålder eller med en viss beteendemässig störning. I samman hanget kan även nämnas registret InfCare HIV som sedan det infördes för cirka 10 år sedan anses ha varit en stark bidragande faktor till att HIV-patienter som är under behandling i dag i stor utsträckning kan känna sig friska och leva ett normallångt liv med i princip obefintlig risk att smitta andra. Förbättringsarbetet genom InfCare HIV har i olika sammanhang lyfts upp som ett exempel på när insamlandet av uppgifter blir en förutsättning för att kunna skapa bättre resultat och högre livskvalitet för en hel patientgrupp.20
När det fortsättningsvis i detta betänkande talas om kvalitetsregister, avses härmed nationella och regionala kvalitetsregister som förs i enlighet med 7 kap. patientdatalagen.
9.5.2. Det skyddande regelverket
Behandlingen av patienters uppgifter i regionala eller nationella kvalitets register ska enligt 7 kap. patientdatalagen bygga på ett optout-förfarande. Således krävs inte patientens samtycke för behandling av uppgifterna i registret. Patienten har däremot rätt att när som helst få uppgifter om sig själv utplånade ur registret och motsätta sig framtida registrering i det aktuella kvalitetsregistret.
Dessutom har den ansvariga vårdgivaren en skyldighet att innan uppgifterna behandlas i kvalitetsregistret informera patienterna om att hennes eller hans uppgifter kommer att behandlas i registret, och om att det finns en rätt att motsätta sig att uppgifterna behandlas.
Vårdgivaren får behandla personuppgifter i ett nationellt eller regionalt kvalitetsregister även om den enskilde inte endast tillfälligt saknar förmåga att ta ställning till personuppgiftsbehandlingen. Villkoren för sådan personuppgiftsbehandling är att den enskildes in-
20SOU 2014:23,s. 495.
ställning till den så långt möjligt har klarlagts och att det inte finns anledning att anta att han eller hon skulle ha motsatt sig personuppgiftsbehandlingen.
9.5.3. Iakttagelser från tillsyn och myndighetsanalyser
Vid Datainspektionens omfattande tillsyn över nationella kvalitetsregister år 2010 framkom stora och systematiska brister i regelefterlevnaden. De konstaterade bristerna rörde ofullständig information till patienterna, felaktig användning av uppgifterna, utebliven gallring av uppgifter och otydlig organisation där vårdgivarna inte visste vem som ansvarade för vad. Datainspektionen konstaterade att vård givare i stor utsträckning lämnade ut uppgifter till kvalitetsregister utan att veta vem som tar emot patienternas uppgifter och ansvarar för den fortsatta hanteringen, vilket strider både mot bestämmelser om sekre tess och grundläggande krav i personuppgiftslagen. Vidare före lades de ansvariga vårdgivarna att vidta tekniska åtgärder för att säkerställa att endast de avsedda mottagarna kan ta del av uppgifterna i systemet vid överföring över öppet nät såsom internet eller Sjunet.21
En faktor som kan minska de ansvarigas benägenhet att följa regelverket, är förekomsten av ekonomisk ersättning för varje patient som registreras i ett kvalitetsregister. Ett exempel på detta är en kommun som fick beskedet från Datainspektionen att registrer ing av personer som varaktigt saknade beslutsförmåga inte var tillåten i kvalitetsregister, men som därefter ändå fortsatte registrer ingen.22 Det aktuella registret omfattades av den s.k. ”Äldresatsningen” som innebar att kommuner och landsting som valde att rappor tera till vissa register ersattes ekonomiskt.
Vidare har, sedan Datainspektionens tillsyn, staten och Sveriges Kommuner och Landsting (SKL) ingått en överenskommelse om en satsning på de nationella kvalitetsregistren. Satsningen innebär ett ökat finansiellt stöd till registerverksamheten under perioden 2012– 2016 och omfattar sammanlagt drygt en och en halv miljard kronor.
21 Datainspektionens beslut den 11 oktober 2010 i ärenden med dnr 1604-2009, 1605-2009, 1606-2009 och 1725-2009.22 Datainspektionens beslut den 15 mars 2013, dnr 1049-2012.
Tre stödfunktioner är knutna till satsningen: kansliet för Nationella Kvalitetsregister, sex regionala registercentrum och Registerservice på Socialstyrelsen.23
I en nyligen genomförd granskning av kvalitetsregistren, uttalar Myndigheten för vårdanalys kritik mot systemet med tillfälliga prestations medel i syftet att öka inrapporteringen till kvalitetsregistren. Myndigheten tror att det i vissa fall till och med kan vara demoraliserande och långsiktigt skadligt för registren att ekonomisk ersättning ges till landstingen och kommunerna då verksamheterna – vilka vanligen inte får del av ersättningarna – ska rapportera in i register även om de inte uppfattar registren som användbara.24
När det gällde den gemensamma satsningen anförde myndigheten bl.a. att
Satsningen har inneburit ett ökat stöd till registren i juridiska frågor både från de regionala registercentrumen och från kansliet för Nationella Kvalitets register. Trots detta anger bara nio procent av de nationella kvalitetsregistren att de kunnat genomföra viktiga förändringar inom juridikområdet sedan satsningen infördes. Flera registerhållare vittnar om att de hittills haft lite kontakt med personuppgiftsombud eller annan juridisk kompetens. Samtidigt anger 47 procent att de vill se ett ökat juridiskt stöd. Resultaten visar exempelvis att kvalitetsregistren delvis gör olika tolkningar och tillämpningar av hur patienterna ska informeras om registret och hur samtycke ska inhämtas. Ett annat område som registren skulle behöva utökat stöd inom rör hur beslutsstöd kan hanteras i relation till gällande lagstiftning. Patientföreträdares inställning till information och sekretess skiljer sig åt sinsemellan men gemensamt är att flera ser förbättringspotential på området.
Beträffande it-stöden för kvalitetsregistren sägs i rapporten att vissa framsteg har gjorts, men att mer stöd är starkt prioriterat från registrens sida och att behovet av samordning är fortsatt stort.
Även om direkta frågor om informationssäkerhet inte har ställts i Myndighetens för vårdanalys utvärdering, ger den generella bristen på it-samordning anledning att anta att det fortfarande kan finnas en del brister när det gäller informationssäkerheten hos registren.
23 Registrera flera eller analysera mera? Delutvärdering av satsningen på nationella kvalitetsregis-
ter, Rapport 2014:9 från Myndigheten för vårdanalys, s. 7, 12, 52.
24 Registrera flera eller analysera mera? Delutvärdering av satsningen på nationella kvalitetsregis-
ter, Rapport 2014:9 från Myndigheten för vårdanalys.
Som en följd av Datainspektionens tillsynsinsats år 2010 har vårdgivare, företrädare för nationella kvalitetsregister, registercentra och Sveriges kommuner och landsting drivit ett arbete för att ta fram korrekt och fullständig patientinformation.25
9.5.4. Risker för den personliga integriteten
En bedömning av läget för kvalitetsregistren år 2014 gjordes av Utredningen om rätt information i vård och omsorg. Det var utredningens uppfattning att medvetenheten om regelverkets krav och vilka åtgärder som är nödvändiga att vidta har ökat bland vårdgivare. Utredningen hade även i samband med konferenser och i möten med s.k. registerhållare för nationella kvalitetsregister fått information som visat på att frågorna prioriterats och att förståelsen för patientinformationen som en grundläggande och integritetsskyddande rättighet är stor.26
Staten, kommunerna och landstingen har under senare år satsat ansenliga resurser på att utveckla kvalitetsregistren och öka registrerings graden, varför dessa register kan förväntas både öka i omfång (fler uppgifter om fler patienter) och även användas mer.
Kvalitetsregister kan, som framgår ovan, både vara av stor nytta för den enskilde patienten och bidra till att förbättra kunskapsläget inom hela hälso- och sjukvården. Men i regel rör det sig om mycket känsliga uppgifter om patienterna. Registren innehåller dessutom uppgifter om en stor del av landets befolkning. Läckor eller felaktig användning av registren kan få betydande effekter på de enskilda. Här kan nämnas att bakgrunden till Datainspektionens breda tillsyn av kvalitetsregistren år 2010 var just felaktig användning. Uppgifter från ett kvalitetsregister hade använts för att skicka ut s.k. ”tiggarbrev” till patienter där patienternas sjukdomar åberopades. Förfarandet ledde till flera klagomål till Datainspektionen som beslutade att genomföra en bred tillsynsinsats. Som nämnts ovan resulterade granskningen i omfattande kritik från Datainspektionen och beslut om att de ansvariga behövde vidta åtgärder på en rad olika områden för att uppfylla patientdatalagens krav.
25SOU 2014:23, s. 509 ff.26SOU 2014:23.
9.6. Välfärdsteknik inom socialtjänsten
Socialtjänstens verksamhet ska präglas av respekt för den enskildes självbestämmande, integritet, trygghet och värdighet. Den som tar emot vård- och omsorgsinsatser ska ha möjlighet att vara delaktig i och ha inflytande över beslut och planering av den egna vården och omsorgen samt hur vården och omsorgen utförs enligt socialtjänstlagen. Användning av välfärdteknik27 måste utgå från respekt för indi viders önskemål och behov.
Välfärdsteknik kan bland annat handla om användning av olika digitala tjänster i form av trygghetslarm, tele- och videokommunikation, sensorer i hemmet, kognitiva hjälpmedel, ett mobilt arbetssätt och e-tjänster för trygghet, service och delaktighet.
Välfärdsteknik kan bidra till att äldre personer och personer med funktionsnedsättning kan välja att bo kvar hemma och få den omsorg man behöver i hemmet. Sådana tjänster kan också bidra till ett fortsatt aktivt och socialt liv.
9.6.1. Används välfärdsteknik i dag?
Sverige ligger enligt uppgifter från Myndigheten för delaktighet längst fram i Europa med teknikskiftet till digitala trygghetslarm. Ett fåtal svenska kommuner ligger mycket bra till vad det gäller införandet av digitala tjänster inom socialtjänsten och hemsjukvården vid en europeisk jämförelse. Vissa svenska kommuner, som Västerås stad, ligger före vad det gäller socialtjänsten, men vad gäller ett brett införande i landet ligger exempelvis Skottland före Sverige.28
9.6.2. Företeelsen
Många äldre har någon form av fysisk eller psykisk funktionsnedsättning som innebär svårigheter i det vardagliga livet och ett ökat behov av vård. Ett mål med äldrepolitiken och kommunernas omsorg om äldre har länge varit att man ska kunna leva och bo själv-
27 Välfärdsteknik är enligt Socialstyrelsens termbank digital teknik som syftar till att bibehålla eller öka trygghet, aktivitet, delaktighet eller självständighet för en person som har eller löper förhöjd risk att få en funktionsnedsättning. Välfärdsteknologi definieras i termbanken som kunskapen om välfärdsteknik.28 Myndighetens för delaktighet Delrapport 2014, Digitala tjänster.
ständigt och under trygga förhållanden.29 Ofta innebär detta att den äldre bor kvar i sitt hem där han eller hon får stöd och vård i form av hemtjänst när hälsan sviktar. Den demografiska utvecklingen med ett ökat antal äldre har aktualiserat diskussioner och utredningar om hur resursbesparingar och effektivisering av hälso- och sjukvården samt omsorgen om äldre kan genomföras.
Övervakning med hjälp av robotar, videokameror och GPS-sändare används i huvudsak som ett alternativ eller ett komplement till vård- och omsorgspersonalens fysiska tillsyn av den äldre personen i hans eller hennes hem. Det kan finnas flera syften med att använda övervakning. Ett syfte kan vara att stärka den enskildes självbestämmande och integritet genom att han eller hon i större utsträckning själv kan bestämma över sin vardag. Andra syften kan vara att förbättra säkerheten för den enskilde eller att spara in på personalresurser.30 I flera kommuner har videoövervakning införts som ett alternativ till nattliga hembesök av hemtjänsten. Hemtjänstpersonal kan via en kamera i den äldre personens sovrum under natten kontrollera om personen ser ut att må bra. I Västerås kommun ringer hemtjänstpersonal upp kameran från en dator och kan se en svartvit rörlig bild av det som finns framför den, vanligtvis sängen och delar av sovrummet. Ingen röstkommunikation är möjlig och den enskilde kan inte se personalen. Endast behöriga användare ska kunna komma åt kameran, ingen inspelning görs och insyn ges endast vid i förväg överenskomna tillfällen.31
En annan typ av övervakning är när den äldre bär en GPS-sändare på sig så att det går att kontrollera var han eller hon befinner sig. Sådan övervakning görs genom s.k. mobila trygghetslarm med inbyggd GPS. Ett trygghetslarm går ut på att person som bär det på sig kan larma anhöriga, vårdpersonal eller en larmcentral. Om larmet även har en inbyggd GPS-sändare kan de som har fått behörighet även kontrollera var personen befinner sig. Ett syfte med GPS-sändaren kan vara att hitta en äldre person som gått vilse. Det är således oftast personer med demenssjukdom som är av intresse att övervaka på det här sättet.
29 Regeringens skrivelse 2013/14:57 Ett värdigt liv – äldrepolitisk översikt 2006–2014 samt socialtjänstlagen (2001:453).30Robotar och övervakning i vården av äldre – etiska aspekter, rapport av Statens medicinsketiska råd Stockholm 2014, s. 27 ff.31 www.viktigvasteras.se/ehemtjanst/tekniska-losningar/, hämtat den 26 april 2016.
9.6.3. Det skyddande regelverket
Kommunernas ansvar för socialtjänsten och dess verksamhet, vilken bl.a. omfattar omsorg till äldre genom hemtjänst och särskilda boenden, regleras i socialtjänstlagen.
Verksamheter som styrs av socialtjänstlagen eller lagen om stöd och service till vissa funktionshindrade ska bygga på respekt för den enskildes självbestämmande och integritet. Detta innebär att frivillighet för den enskilde är utgångspunkten för alla insatser.
Båda dessa lagar bygger således på frivillighet och förutsätter samtycke från den enskilde. Det finns dock inga regler innehållande uttryckliga krav på samtycke eller krav gällande hur ett samtycke ska lämnas. Det torde därför enligt Utredningen om beslutsoförmögnas ställning i vård, omsorg och forskning32 finnas ett visst utrymme för att använda olika former av s.k. presumerade, och kanske i vissa fall hypotetiska, samtycken men det är oklart i vilka situationer och under vilka förutsättningar.
När det gäller kameraövervakning finns särskilda bestämmelser i kameraövervakningslagen (2013:460). Inom ramen för sitt tillämpningsområde gäller alltså den lagen i stället för personuppgiftslagen. Kameraövervakningslagens syfte är att tillgodose behovet av kameraövervakning för berättigade ändamål, samtidigt som enskilda skyddas mot otillbörliga intrång i den personliga integriteten. I kameraövervakningsförordningen (2013:463) finns kompletterande regler om bl.a. tillsyn.
Kameraövervakningslagen gäller endast kameraövervakning med TV-kameror, eller därmed jämförbar utrustning, som är uppsatta så att de, utan att manövreras på platsen, kan användas för personövervakning samt behandling av bild- och ljudmaterial som tagits upp vid sådan övervakning. Från lagens tillämpningsområde är dessutom undan taget kameraövervakning av plats dit allmänheten inte har tillträde, om övervakningen bedrivs av en fysisk person som ett led i verksamhet av rent privat natur.
Huvudregeln enligt kameraövervakningslagen är att personen som ska övervakas har samtyckt till övervakningen (22 §). Ett samtycke ska vara en frivillig, särskild och otvetydig viljeyttring från den
32 Utredningens om beslutsoförmögnas ställning i vård, omsorg och forskning betänkande
Stöd och hjälp till vuxna vid ställningstaganden till vård, omsorg och forskning, SOU 2015:80,
s. 430.
övervakades sida. Det behöver inte vara skriftligt men förutsätter att den som ska övervakas fått information och fullt ut förstår innebörden av samtycket. Att ett samtycke ska vara frivilligt innebär att den som ska samtycka upplever att han eller hon har ett fritt val.
9.6.4. Smers rapport om robotar och övervakning i vården av äldre
Statens medicinsk-etiska råd (Smer) har på eget initiativ tagit fram en rapport33 om etiska aspekter på robotar och övervakning i vården av äldre. Målet med rapporten är att stimulera till samhällelig diskussion och att utgöra ett stöd inför beslut om användande av robotar och övervakning inom hälso- och sjukvården samt socialtjänstens omsorg om äldre personer.
Rådet anför i rapporten att innan övervakningsåtgärder införs i hälso- och sjukvården samt socialtjänsten, måste en bedömning göras av vilka konsekvenser övervakningen kan få för etiska värden. Det är därför enligt rådet avgörande att noggranna bedömningar görs i varje enskilt fall så att individens rätt till självbestämmande, integritet och lika vård på lika villkor respekteras samt att krav på god vård och omsorg av god kvalitet uppfylls.
En sådan bedömning måste göras innan övervakning börjar användas. I verksamheterna bör det finnas en person som är ansvarig för detta.
I och med att tillsynen som kan genomföras med hjälp av enbart en kamera är begränsad, ser rådet en risk med att använda kameran som ersättning för personliga besök om inte övervakningen kompletteras med annan tillsyn eller ytterligare tekniska lösningar.
Rådet betonar särskilt att det är viktigt att balans uppnås mellan nyttan av övervakningen och det intrång i den enskildes integritet som övervakningen innebär. Åtgärder bör därför vidtas så att integritets intrånget blir så begränsat som möjligt.
33Robotar och övervakning i vården av äldre – etiska aspekter, rapport av Statens medicinsketiska råd Stockholm 2014.
9.6.5. Risker för den personliga integriteten
De personuppgifter som hanteras inom socialtjänsten är i allmänhet av mer integritetskänslig karaktär än uppgifter som hanteras i andra sammanhang. Socialtjänsten hanterar många uppgifter om enskildas privata förhållanden, som t.ex. om hälsa och om sociala och ekonomiska förhållanden. Av hänsyn till behovet av skydd för den personliga integriteten är det därför nödvändigt att uppgifter om enskilda hanteras på ett säkert och ändamålsenligt sätt. Det handlar även om att inte äventyra enskildas förtroende för socialtjänsten.
Det är landets kommuner som ansvarar för socialtjänsten. Detta ansvar kan kommunen antingen ta genom att själv utföra olika tjänster eller genom att sluta avtal med annan om att utföra kommunens uppgifter. Kommunernas möjligheter att genom upphandling eller införande av valfrihetssystem överlåta utförandet av socialtjänst till privata aktörer har gjort att mångfalden av utförare i dag är betydligt större än vad det har varit tidigare.
De känsliga uppgifter som hanteras inom socialtjänsten hanteras således inte bara av kommunen utan också av olika privata utförare. Det faktum att det inte bara är offentliga organ som hanterar de känsliga uppgifter som finns i socialtjänstens verksamhet ställer särskilda krav på säkerhet.
Olika insatser inom socialtjänsten liksom den informationshantering som hör ihop med insatserna förutsätter att den enskilde själv kan ta ställning och ge uttryck för sin vilja i olika avseenden.
Socialtjänsten möter dock ofta personer som tillfälligt eller mer varaktigt saknar möjlighet att ge uttryck för sin inställning och vilja att exempelvis få en viss vård- och behandlingsinsats. En sådan person har ofta även nedsatt förmåga att ta emot information och lämna samtycke till den informationshantering som vård- och behandlingsinsatserna kräver.
Många av de tjänster som personer med avsaknad av beslutsförmåga har behov av kan inte i dag ges med uttryckligt och tydligt lagstöd i lagstiftningen på omsorgens område. Lagstiftningen på omsorgens område tillhandahåller alltså inte verktyg för att tillgodose att dessa personer ges insatser på lika villkor som andra.34 Utredningen om hjälp vid ställningstagande till vård, omsorg och forsk-
ning35 har lämnat förslag till lagstiftning som gör det möjligt att utse företrädare för personer som inte har förmåga att i olika situationer själva ta ställning i frågor som gäller deras hälso- och sjukvård och omsorg.
Användning av olika digitala och tekniska lösningar i social tjänsten såsom kameraövervakning, GPS-sändare och sensorer m.m. innefattar hantering av mycket nära och känsliga uppgifter om enskilda personer med stort hjälpbehov. Socialtjänsten berör stora delar av befolkningen. Äldre personer behöver ofta någon form av hjälp och stöd från socialtjänsten. Det finns oklarheter i lagstiftningen om på vilket sätt personer med nedsatt beslutsförmåga kan erbjudas tjänster med hjälp av välfärdsteknik.
Välfärdstjänster kännetecknas av användandet av ny teknik och av att flera olika aktörer kan vara inblandade i hanteringen av de enskildas uppgifter. Det innebär att det kan uppkomma risker på grund av bristande informationssäkerhet och bristande ansvarstagande för hanteringen – på samma sätt som dessa brister finns inom den övriga e-förvaltningen (se kapitel 11 om e-förvaltning och kapitel 22 om informationssäkerhet och integritet).
9.7. Kommitténs samlade bedömning av området
Hälso- och sjukvården
Tillgången till relevant information är en förutsättning för en god och säker hälso- och sjukvård för alla medborgare. Ett säkert och väl fungerande utbyte av information är en nödvändighet för att medborgarna ska få goda insatser i ett komplext system med många inblandade aktörer. Tillgång till nya informationstjänster har en stor potential att göra patienter långt mer delaktiga i sin vård. Ändamålsenliga och användbara informationssystem är också en förutsättning för att professionerna ska kunna använda sin kompetens och sin tid på det mest effektiva sättet. Funktionella informationssystem är en avgörande faktor för att vården ska kunna hantera framtidens utmaningar.
35SOU 2015:80.
Kommittén anser att ett gott integritetsskydd också är en nödvändig faktor för att åstadkomma en god och säker hälso- och sjukvård.
Det finns integritetsrisker förknippade med den digitala hanteringen av personuppgifter inom hälso- och sjukvården. Det är nödvändigt att utforma informationsutbytet inom och mellan vårdgivare på ett sådant sätt att det kan göras på ett säkert sätt. Vården måste såväl kunna uppfylla de krav på kvalitet som ställs på de medicinska insatserna som de som ställs på informationshanteringen.
Ökad kunskap, ledning och styrning ifråga om möjligheterna att hantera och utbyta information har stor betydelse för målsättningen att skapa en mer säker, ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården. Enligt utredningen om rätt information i vård och omsorg36 utgör okunskap om lagstiftningens möjligheter och avsaknad av aktiv rättstillämpning från vårdgivarnas sida en del av problemen med informationshanteringen i hälso- och sjukvården. Detta bekräftas av SLIT-rapporten 2015 som redogör för att det fortfarande återstår anpassning av system, regler och rutiner samt utbildning av personal för att uppfylla patientdatalagens krav.
Kommittén anser att det är anmärkningsvärt att lagen ännu inte implementerats fullt ut och Datainspektionen flera år efter patientdatalagens ikraftträdande, har hittat allvarliga och systematiska brister även hos stora och resursstarka vårdgivare.
Sammanfattningsvis konstaterar kommittén att risker uppstår i samband med informationshantering inom hälso- och sjukvården till följd av:
- bristande ledning och ansvarstagande över informationssystemen och de personuppgifter som hanteras i dessa,
- komplexa miljöer med många olika system för hantering av information,
- brist på gemensamma lösningar, t.ex. gemensam infrastruktur,
- bristande regelefterlevnad,
- bristande kunskaper hos både personal och ledning samt
- bristande informationssäkerhet.
36SOU 2014:23, s. 121 och s. 218 i bilaga 4.
I hälso- och sjukvården hanteras stora mängder känslig information om i stort sett hela befolkningen. Effekten av de brister vid hanteringen som iakttagits kan vara stora för enskilda individer och för hela befolkningen. Flera aktörer uppfyller ännu flera år efter att patient datalagen trätt i kraft inte de krav på säkerhet som måste ställas vid hantering av känsliga personuppgifter. Mot denna bakgrund bedömer kommittén att det föreligger allvarliga risker för den personliga integriteten i samband med hantering av personuppgifter inom hälso- och sjukvården.
Välfärdsteknik och digitala tjänster inom socialtjänsten
Användning av olika digitala och tekniska lösningar i socialtjänsten såsom kameraövervakning, GPS-sändare och sensorer m.m. innefattar hantering av mycket närgångna och känsliga uppgifter om enskilda personer med stort hjälpbehov. Socialtjänsten berör stora delar av befolkningen. Det finns oklarheter i lagstiftningen om på vilket sätt personer med nedsatt beslutsförmåga kan erbjudas tjänster med hjälp av välfärdsteknik. Det finns också risker för bristande informationssäkerhet och bristande ansvarstagande för hur uppgifter hanteras. Kommittén bedömer sammantaget att det föreligger allvarliga risker för den personliga integriteten i samband med hantering av personuppgifter inom socialtjänstens användning av välfärdsteknik.
10. Forskning och statistik
Kommitténs bedömning: I samband med hantering av integritets-
känsliga personuppgifter för forskningsändamål föreligger allvarlig risk för den personliga integriteten.
I samband med statens hantering av integritetskänsliga personuppgifter för statistikändamål föreligger viss risk för den personliga integriteten.
10.1. Företeelserna
Inom forskningen och statistikframställningen är personuppgifter av stor betydelse.
Digitaliseringen innebär att mängden uppgifter om enskilda personer totalt sett ökat kraftigt i samhället. Vidare har teknikutvecklingen gjort det möjligt att i realtid sambearbeta och analysera data från olika källor och i olika format. Utvecklingen har på så sätt radikalt förbättrat möjligheterna att samla in, använda sig av och sprida personuppgifter inom både forskningen och statistikverksamheten. Utvecklingen öppnar också för helt nya möjligheter: Inom statistikverksamheten är man t.ex. mycket intresserad av att kunna göra tillförlitlig statistik ner på hushålls- och individnivå av alla de nya datakällorna som uppstår när vardagslivet digitaliseras genom t.ex. sociala medier, sakernas internet (Internet of things), smarta elmätare osv.
Både inom forskningen och inom statistikframställningen rör det sig ofta om stora mängder uppgifter om den enskilde som var för sig eller sammantagna kan vara mycket integritetskänsliga. Det kan exempelvis vara frågan om uppgifter om hälsa, DNA och politiska åsikter, men även uppgifter om den enskildes sociala förhållanden såsom inkomst, arbete, boende, civilstånd och skuldsättning.
Även i de fall då varje uppgift i sig närmast är att anse som trivial ur ett integritetsperspektiv, är det med hjälp av de mycket stora statistik databaserna, där den absolut största uppgiftsmängden finns hos SCB, möjligt att följa en individ bokstavligen från vaggan till graven och skapa en mycket närgången bild av personen i fråga.
Sverige utmärker sig internationellt med sina stora och centraliserade myndighetsregister och statistikdatabaser som omfattar hela befolkningen i landet. Sverige utmärker sig också genom de unika personnumren som används konsekvent och genomgående av både myndigheter och företag. Personnumret möjliggör sambearbetning av data från många olika källor på ett sätt som inte skulle vara genomförbart i de flesta andra länder.
De stora myndighetsdatabaserna i Sverige utgörs till viss del av myndigheternas verksamhetssystem. Men härutöver har det allmänna också byggt upp stora datasamlingar som inte behövs som beslutsstöd i någon daglig verksamhet, utan som syftar till att möjlig göra forskning eller statistik. Exempel på sådana databaser är förstås all data som finns hos Statistiska centralbyrån (SCB), men även Social styrelsens hälsodataregister och vårdgivarnas nationella kvalitets register. Även om uppgifterna i dessa databaser i mycket stor utsträck ning är hämtade från olika myndigheters och företags verk samhetssystem, hanteras uppgifterna alltså hos statistikmyndigheterna för helt andra syften än de verksamhetsrelaterade ändamål som föranledde den ursprungliga registreringen hos de myndigheter och företag som levererat uppgifterna till statistikmyndigheterna.
Det kan vara obligatoriskt eller frivilligt att som enskild person finnas med i en forsknings- eller statistikdatabas. Det är till exempel obligatoriskt att medverka med vissa uppgifter som samlas in inom vården i de s.k. hälsodataregistren. I andra register är medverkan frivillig, till exempel i nationella kvalitetsregister. Här behöver medverkan inte bygga på aktivt samtycke, utan på att den enskilde har rätt att säga nej till registrering (s.k. opt-out), vilket förutsätter att han eller hon först har blivit upplyst om registreringen och om rätten att stå utanför registret. Statistik som levereras från andra myndigheter och företag till SCB, kan den enskilde i regel inte avstå från att finnas med i. Det är dock frivilligt att medverka i undersökningar där SCB och andra statistikansvariga myndigheter vänder sig direkt till enskilda personer med enkäter och intervjuer. SCB har under de senaste åren rapporterat om en minskad benägenhet hos befolk-
ningen att delta i statistiska undersökningar.1 Det kan leda till stora bortfall i undersökningarna, vilket i sin tur innebär att resultaten kan bli missvisande.
10.1.1. Statistik
Statistik som innehåller personuppgifter framställs inom många olika ämnesområden i samhället.
Det som sägs om statistik i detta kapitel, begränsar sig till statligt framtagen statistik, eftersom det i Sverige är staten som är den stora producenten av allmännyttig statistik som ska kunna delas med andra intressenter i samhället. Den statliga statistiken består dels av s.k. officiell statistik, dels av övrig statistik hos de statliga myndigheterna. För den officiella statistiken finns ett särskilt regelverk. Även övrig statlig statistik kan, under förutsättning att den har ett vidare syfte än att utgöra rent intern driftstatistik, omfattas av en del av detta regelverk.2
Det finns en stor efterfrågan på statistik i samhället, inte minst från myndigheter och från Regeringskansliet. Exempel på detta är den särlagstiftning som tillkommit för Institutet för arbets marknads- och utbildningspolitisk utvärdering (IFAU), och som behandlas närmare nedan, samt den omständigheten att SCB enligt senare års reglerings brev ska leverera mikromaterial3 till Regeringskansliet. Vidare har Riksrevisionen nyligen begärt åtkomst till flera olika mikro databaser hos SCB.4
Officiell statistik
Viss statistikframställning har staten ett särskilt ansvar för. Denna benämns officiell statistik och är reglerad i särskild lagstiftning. Enligt lagen (2001:99) om den officiella statistiken ska officiell statistik
1Statistikskolan: Mer bortfall i statistiken, SCB, http://www.scb.se/sv_/Hitta-statistik/Artiklar/ Statistikskolan-Mer-bortfall-i-statistiken/ Hämtad 2016-05-12, samt Kristoffer Örstadius,
Sveriges officiella statistik hotar att bli missvisande, publicerad på www.dn,se den 18 januari 2015.
2 Statistikutredningens betänkandet Vad är officiell statistik? En översyn av statistiksystemet och
SCB, SOU 2012:83.
3 I detta fall statistiskt material som ska vara avidentifierat men som torde rymma goda möjligheter till bakvägsidentifiering.4 Riksrevisionens hemställan den 27 april 2016, dnr 2.3.4-2016-0688.
finnas för allmän information, utredningsverksamhet och forskning. Officiell statistik ska vara objektiv och allmänt tillgänglig. Regeringen har i förordningen (2001:100) om den officiella statistiken fastställt inom vilka områden det ska finnas officiell statistik och vilka myndigheter som ansvarar för denna (s.k. statistikansvariga myndigheter).
Personuppgifter samlas in för officiell statistik inom en rad olika samhällsområden. Ibland framställer den statistikansvariga myndigheten officiell statistik utifrån uppgifter som den samlar in i samband med sin egen verksamhet eller i myndighetsutövning i förhållande till enskilda. Ibland är det i stället andra verksamheter som rapporterar in uppgifter till den statistikansvariga myndigheten, som i sin tur bearbetar och sammanställer uppgifterna till officiell statistik. Några exempel:
- Försäkringskassan framställer officiell statistik om stöd till barnfamiljer och om stöd vid sjukdom och funktionsnedsättningar,
- Socialstyrelsen framställer officiell statistik om hälsa och sjukdomar, hälso- och sjukvård, dödsorsaker, individ- och familjeomsorg, äldre- och handikappomsorg samt om stöd och service till funktionshindrade,
- Statistiska centralbyrån framställer officiell statistik om bl.a. levnads förhållanden, jämställdhet, vakanser och arbetslöshet, arbets tider, invandring och asylsökande, inkomster och inkomstfördelning och om hushållens utgifter.
Även känsliga personuppgifter får behandlas av myndigheterna vid framställningen av ovannämnda kategorier av officiell statistik.
Det finns 27 statistikansvariga myndigheter. Av dessa är det SCB som sitter på den avgjort största samlingen av data på individnivå. Vidare är det SCB som ansvarar för sektorsövergripande statistik såsom arbetsmarknads-, befolknings-, ekonomisk, välfärds- och viss utbildningsstatistik. SCB ansvarar också för att samordna det statliga statistiksystemet och överlämnandet av statistiska uppgifter till internationella organisationer. Övriga statistikansvariga myndigheter ansvarar för officiell statistik inom sina respektive samhällssektorer eller motsvarande.
Övrig statistik
Utöver den officiella statistiken tas det också fram mycket annan statistik i Sverige, inom såväl privat som offentlig sektor.
Statistikutredningen konstaterade att i stort sett samtliga statistikansvariga myndigheter utöver sin officiella statistik, även tar fram annan statistik av allmäninformativ karaktär och ger den i stort sett samma spridning som den officiella statistiken.5 Det kan handla om bearbetningar av myndighetens officiella statistik, t.ex. ned brytningar på lägre geografiska nivåer, som då inte klassas som officiell statistik. Men det kan också handla om annan återkommande statistik, som myndigheten har valt att inte (ännu) göra till officiell statistik. I det senare fallet kan det röra sig både om statistik som producerats under lång tid och om nyare statistikprodukter.
Omfattningen av denna övriga statistik varierar mycket mellan myndigheterna, allt från att den är betydligt mer omfattande än den officiella statistiken, till att den utgör en klart mindre del. Statistikutredningen kunde inte göra sig någon exakt bild av hur omfattande denna verksamhet hos myndigheterna var. Myndigheterna hade själva svårt att ge en exakt siffra till Statistikutredningen avseende den totala statistikverksamhet som de bedriver.
Även statliga myndigheter som i lagens mening inte är statistikansvariga, tar fram statistik om sina ansvarsområden. Även här varierar omfattningen från myndighet till myndighet. Några av myndigheterna anser att deras statistik borde ingå i den officiella statistiken. Det finns dock ingen övergripande sammanställning över den här statiskverksamhetens omfattning och natur.
10.1.2. Forskning
När personuppgifter hanteras för forskningsändamål, hämtas uppgifterna från olika myndighetsregister, från den officiella statistiken, från kvalitetsregister, från biobanker eller ur särskilda forskningsregister.6 I en del studier inhämtar forskarna alla, eller vissa uppgifter direkt från enskilda personer.
5 Statistikutredningen genomförde en egen enkätundersökning för att få någon klarhet i frågan, SOU 2012:83, s. 146 ff.6 Registerforskningsutredningens betänkande Unik kunskap genom registerforskning, SOU 2014:45, s. 306 f.
Ett godkännande från en etikprövningsnämnd krävs om man inom ramen för ett forskningsprojekt kommer att hantera känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.7 Om inga sådana personuppgifter kommer att hanteras inom projektet, krävs godkännande från en etikprövningsnämnd endast om det rör sig om viss typ av forskning.8 För en del forskningsprojekt där visserligen personuppgifter kommer att hanteras, men inga uppgifter enligt 13 eller 21 §§personuppgiftslagen, krävs således inte något tillstånd från en etikprövningsnämnd.
I många fall där känsliga personuppgifter enligt 13 § personuppgiftslagen kommer att hanteras, men där forskarna inte har någon direkt kontakt med personerna, vilkas uppgifter ska undersökas i projektet, tillåter etikprövningsnämnderna att forskning bedrivs utan att de enskilda ges någon information om att deras uppgifter används i forskningen och utan att deras samtycke behöver inhämtas.
Varje år inleds ett stort antal forskningsprojekt i landet. Exempelvis avgjordes under år 2014 totalt 5 636 ärenden i de regionala etikprövningsnämnderna.9 Forskningen kan bedrivas av företag, av statliga eller kommunala myndigheter eller av andra slags organisationer.
Inom forskningen är internationella samarbeten inte ovanliga, vilket även kan innebära att personuppgifter från Sverige delas med forskargrupper i andra länder.10
7 Det vill säga, att tillstånd krävs om det rör sig om personuppgifter enligt 13 eller 21 §§personuppgiftslagen.8 Tillstånd krävs om det rör sig om forskning som 1. innebär ett fysiskt ingrepp på en forskningsperson, 2. utförs enligt en metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt, 3. avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa, 4. innebär ett fysiskt ingrepp på en avliden människa, eller
5. avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa.9 Budgetpropositionen 2016, förslag till statens budget för 2016, finansplan och skattefrågor, prop. 2015/16:1.10 Ibland t.o.m. som handelsvara i utbyte mot ekonomiskt stöd för forskningsgrupperna: En rapport framtagen för regeringen och SKL inleds med ett fiktivt scenario där USA betalar 10 miljarder dollar per år bl.a. för att få tillgång till uppgifter från svenska kvalitetsregister.
Guldgruvan i hälso- och sjukvården, Förslag till gemensam satsning 2011–2015, författad av
Måns Rosén. Upplägget med forskningsfinansiering i utbyte mot data är redan i dag en realitet. Det fiktiva i scenariot är bidragets och satsningens omfattning. I rapporten beskrivs hur svenska register kan användas för att locka industriinvesteringar till Sverige. Ett annat, nationellt exempel på data som ekonomisk tillgång inom hälso- och sjukvården och forskningen, är statens ersättning till vårdgivare för varje patient som registreras i vissa kvalitetsregister.
10.2. Det skyddande regelverket
I EU:s dataskyddsdirektiv behandlas både statistikverksamhet och forskning särskilt fördelaktigt. Dessa verksamheter ges undantag från vissa av de grundläggande kraven på behandlingen, t.ex. beträffande hur länge uppgifter får sparas och möjligheten att använda uppgifter för nya ändamål. Bägge dessa undantag förutsätter dock att medlemsstaterna beslutar om eller vidtar lämpliga skyddsåtgärder. Direktivets bestämmelser i detta hänseende har genomfört i Sverige genom i första hand personuppgiftslagen (1998:204).
Personuppgiftsbehandling i samband med sådan forskning eller statistikframställning som behandlas i detta kapitel, regleras av ett flertal bestämmelser i olika lagar, vilka i huvudsak är:
- personuppgiftslagen,
- lagen (2003:460) om etikprövning av forskning som avser människor,
- lagen om den officiella statistiken,
- lagen (1998:543) om hälsodataregister,
- lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa.
Beroende på vilken slags forskning eller statistikframställning det är frågan om, kan personuppgifter hanteras under vitt skilda förutsättningar; alltifrån helt utan den enskildes vetskap, till att det krävs ett uttryckligt och informerat samtycke från varje forskningsperson.
Något förenklat kan sägas att forsknings- och statistikprojekt regleras av personuppgiftslagen och lagen om etikprövning av forskning som avser människor. För uppbyggnaden av mer permanenta datakällor krävs stöd i särskild författning, såsom ovan nämnda lagar eller den särskilda lagen för Institutet för arbetsmarknads- och utbildningspolitisk utvärdering som berörs nedan – lagen (2012:741) om behandling av personuppgifter vid Institutet för arbets marknads- och utbildningspolitisk utvärdering.
10.3. Risker för den personliga integriteten
Datainspektionen har under de senaste åren granskat en rad forskningsprojekt, en forskningsdatabas och flera författningsförslag angående upprättandet av permanenta forsknings- eller statistikdatabaser.
När det gäller forskningsprojekt, har Datainspektionens tillsyn visat att det inte sällan förekommer brister i forskningsprojekt avseende hur forskningshuvudmännen informerar de personer som ingår i forskningen om hur deras uppgifter kommer att användas och vilka rättigheter de har. Det framkom i slutredovisning i december 2012 och juli 2015 av ett flertal tillsynsärenden.11 Ett särskilt uppmärksammat ärende hos Datainspektionen rörde ett klagomål från en förälder vars 11-åriga dotter hade deltagit i en forskningsstudie som bedrevs i skolan av ett universitet, utan att vårdnadshavarna hade informerats eller lämnat sitt samtycke. I forskningsstudien samlades det in både personuppgifter och hårstrån från barnen i skolan. Datainspektionen fann att universitet behandlade personuppgifter i strid med personuppgiftslagen.12 Datainspektionens tillsyn visar också att det i forskningsprojekt kan råda osäkerhet om vem som är ytterst ansvarig för de personuppgifter som samlas in (slutredovisning i januari 2011 av bred tillsynsinsats).13
I tillsynen av en forskningsdatabas vid Karolinska institutet (den s.k. Lifegene-databasen) år 2011 kom Datainspektionen fram till att insamlingen av personuppgifter måste upphöra eftersom ändamålen med databasen var för otydliga och därmed inte uppfyllde personuppgiftslagens krav. Enligt personuppgiftslagen måste den som registre ras i den här typen av databaser få reda på hur person uppgifterna som samlas in kommer att användas och därefter ge sitt medgivande till att uppgifterna registreras. I den aktuella databasen hade man angivit att syftet var att använda uppgifterna för ”framtida forskning”, vilket Datainspektionen ansåg inte gav de medverkande personerna någon reell möjlighet att bilda sig en uppfattning om hur uppgifterna
11Forskningsprojekt dåliga på att informera, Datainspektionen 2012, http://www.datainspektionen.se/ press/nyheter/2012/forskningsprojekt-daliga-pa-att-informera/ Hämtat 2016-05-12. Samt Tydligare information krävs vid forskningsstudier, Datainspektionen 2015, http://www.datainspektionen.se/press/nyheter/2015/tydligare-information-kravs-vidforskningsstudier/ Hämtat 2016-05-12.12 Datainspektionens beslut den 3 oktober 2011 i dnr 1938-2010.13Forskare lyssnar på Datainspektionen men har inte alltid koll på ansvarsfrågan, Data inspektionen 2011, http://www.datainspektionen.se/press/nyheter/2011/forskare-lyssnar-pa-datainspektionen-men-har-inte-alltid-koll-pa-ansvarsfragan/ Hämtat 2016-05-12.
faktiskt skulle komma att användas och spridas. Ändamålet var därför för allmänt hållet. Datainspektionen menade också att register som har som ambition att omfatta stora delar av befolkningen sedan lång tid tillbaka brukar regleras i särskilda författningar (registerförfattningar) vid sidan av såväl den tidigare datalagen som personuppgiftslagen. På grund av sådana registers omfattning eller känsliga innehåll har det ansetts rimligt att riksdagen eller regeringen ska få ta ställning till såväl inrättandet av registren som omfattningen.14
Med anledning av Datainspektionens granskning, beslutade riksdagen år 2013 om en tidsbegränsad speciallagstiftning i syfte att möjlig göra allmänna forskningsdatabaser: lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Av lagen framgår bl.a. att personuppgifter får behandlas för ändamålen att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt.
I frågan om förlängning av den tidsbegränsade speciallagstiftningens giltighet, har Datainspektionen yttrat sig kritiskt.15 Det som Datainspektionen anför, är i huvudsak att ändamålsbestämmelserna i den aktuella lagen inte är förenliga med dataskyddsdirektivets krav på att ändamål ska vara särskilda och uttryckligt angivna. Datainspektionen stöder sin ståndpunkt på ett uttalande från Artikel-29-gruppen, enligt vilket ”framtida forskning” vanligtvis är en för allmänt hållen ändamålsformulering. I sammanhanget har Datainspektionen även lyft fram att möjligheten till att upprätta allmänna forskningsdatabaser innebär att datainsamling för forskningsändamål i många fall inte längre kommer att behöva prövas av en etikprövningsnämnd. Forskare kan i stället samla in uppgifter utan godkännande. Först i ett senare skede, när uppgifterna ska börja användas i ett visst forskningsprojekt kommer det att behövas ett etikgodkännande. Det innebär i praktiken en ändring av den hittillsvarande ordningen att etikprövningsnämnderna även ska pröva om och i så fall hur personuppgifter får samlas in från forskningspersonerna.
Trots Datainspektionens invändningar, beslutade riksdagen år 2015 att lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa, som gällde till utgången av 2015, ska fortsätta att
14 Datainspektionens beslut den 16 december 2011 i dnr 766-2011.15 Datainspektionens beslut om yttrande den 21 mars 2015 i dnr 596-2015.
gälla till och med den 31 december 2017. I ett register enligt den tidbegränsade lagen, får det endast ingå personuppgifter som den enskilde själv har lämnat i syfte att uppgifterna ska ingå i registret.
Samtidigt som den tidsbegränsade lagstiftningens giltighet förlängts, har Registerforskningsutredningen lämnat ett betänkande med förslag till permanent reglering av forskningsdatabaserna.16 Till skillnad mot den nu gällande, tidsbegränsade lagstiftningen (där samtycke är ett villkor för all hantering) ska det enligt förslaget vara möjligt för statliga myndigheter att utan stöd av samtycke, utan att någon information lämnas till de enskilda och utan godkännande av en etikprövningsnämnd, samla in och lagra känsliga uppgifter från en rad olika datakällor. I betänkandet ges exempel på den uppsjö av myndighets register från vilka uppgifter skulle kunna inhämtas till de forskningsdatabaser som förslaget skulle möjliggöra. Här nämns bl.a. myndigheternas register för administrativa ändamål, såsom skatteregistret med taxerade och pensionsgrundande inkomster, Centrala studiestödsnämndens register över personer som får studie stöd eller har studieskulder och Försäkringskassans socialförsäkrings databas med uppgifter om olika förmåner och bidrag. Vidare nämns de register som finns hos SCB och de 26 andra statistikansvariga myndigheterna som har i uppdrag att producera officiell statistik. Hos dessa hanteras, som framgått ovan, uppgifter om bl.a. hus hållens ekonomi (inkomster och inkomstfördelning, hushållens utgifter), uppgifter från hälso- och sjukvården (hälsa och sjukdomar, dödsorsaker), uppgifter från rättsväsendet (uppgifter om brott, kriminal vård, återfall i brott) m.m.
I remissbehandlingen av betänkandet, avstyrkte Datainspek tionen förslaget, med motiveringen att det inte är förenligt med 2 kap. 6 § andra stycket regeringsformen. Förslaget riskerar enligt Datainspektionen att leda till betydande integritetsintrång genom att tillåta omfattande insamling av personuppgifter utan att ända målen är tillräckligt specificerade och utan att kräva integritets skyddande åtgärder som uppväger integritetsintrånget. Vidare anförde Datainspektionen att förslaget innebär att alla typer av personuppgifter kommer att kunna samlas in för forskningsändamål som inte är tydligt avgränsade
16Unik kunskap genom registerforskning, SOU 2014:45.
eller specificerade. Förslaget möjliggör därmed enligt Datainspektionen en närgången kartläggning av enskildas privatliv, familjeförhållanden, sjukdomshistoria, arbetsliv, brottsuppgifter m.m.
När det gäller statistikdatabaser, har Datainspektionen uttryckt oro för att vissa myndigheter vill bygga upp egna samlingar med uppgifter om medborgarna för forskningsändamål, parallellt till de samlingar som redan finns hos de statistikansvariga myndigheterna. Ett exempel på detta är Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU) som t.o.m. fått ett särskilt lagstöd för egna samlingar av känsliga personuppgifter. Från början var lag stödet tidsbegränsat men det gäller numera tills vidare. I sitt remissvar till lagförslaget ifrågasatte Datainspektionen IFAU:s behov av att bygga upp egna samlingar av personuppgifter som redan bevaras med lagstöd hos andra myndigheter t.ex. SCB och Arbetsförmedlingen. Det var enligt Datainspektionens mening inte önskvärt ur integritetsskyddssynpunkt att statliga myndigheter bygger upp parallella samlingar med uppgifter om medborgarna.17 Även SCB har yttrat sig kritiskt i det aktuella lagstiftningsärendet.18
De redovisade ärendena ger en bild av området som kännetecknas av en strävan hos vissa myndigheter och utredningar som sysslar med statistik och forskning att så långt som möjligt underlätta hanteringen av personuppgifter, samtidigt som den integritets skyddande lagstiftning ses som ett hinder för den verksamheten.19
Ett annat exempel från tillsynen är Datainspektionens granskning av ett forskningsprojekt vid Stockholms universitet.20 Vetenskapsrådet hade i ett tidigare skede prövat om det aktuella projektet skulle beviljas anslag, och då kommit in på den omständigheten att Datainspektionen redan flera år tidigare (1986 i det s.k. Metropolit- ärendet) faktiskt hade beslutat att datasamlingen ifråga skulle avidentifieras och att inga fler uppgifter skulle tillföras datasamlingen, vilket sammantaget skulle omöjliggöra framtida forskning på materialet. Forskningshuvudmannen ville trots detta forska på materialet,
17 Datainspektionens beslut om yttrande den 21 mars 2012 i dnr 192-2012.18 SCB:s beslut om yttrande den 17 december 2014 i dnr 2014/1464.19 Några exempel utöver de som redan nämns: betänkandena Registerdata för forskning (SOU 2012:36), Vad är officiell statistik? En översyn av statistiksystemet och SCB, SOU 2012:83,
Unik kunskap genom registerforskning, SOU 2014:45. Ett annat exempel på detta är rapporten
Översyn av de nationella kvalitetsregistren: Guldgruvan i hälso- och sjukvården – förslag till gemensam satsning 2011–2015, författad av Måns Rosén.20 Datainspektionens beslut i dnr 1776-2010.
återpersonifiera det så långt som möjligt och påföra nya datasamlingar. Kring denna frågeställning resonerade Vetenskapsrådet i ett särskilt PM, men kom fram till att anslagsansökan skulle beviljas eftersom ett beslut om avslag med hänvisning till legala oklarheter skulle innebära att ”man använder andra kriterier i bedömningen av detta ärende än av andra”.
Vetenskapsrådet har även i andra sammanhang utmärkt sig genom att bortse från juridisk problematik kopplad till integritetsskyddet, exempelvis när rådet år 2005 rekommenderade regeringen att anslå medel för Svensk nationell datatjänst (SND) vid Göteborgs universitet – i full vetskap om att själva grundupplägget med SND stred mot gällande rätt.21 Vetenskapsrådets bedömning att verksamheten saknar lagstöd bekräftades år 2012 när Datainspektionens förelade Göteborgs universitet att upphöra med insamling och övrig behandling av personuppgifter i material insamlat inom ramen för Svensk nationell datatjänst.22
Det är flera olika lagar som reglerar och samverkar om hur känsliga personuppgifter får hanteras för forsknings- eller statistikändamål. Regelverket kan många gånger vara svårt att överblicka och förstå även för dem som är professionellt verksamma inom området.
10.4. Kommitténs samlade bedömning av området
Den övergripande bilden av området är att svenska myndigheter förfogar över ett betydande antal databaser för forsknings- och statistikändamål som tillsammans täcker hela landets totala befolkning. På så sätt utmärker sig Sverige – det finns inte många andra länder som kan jämföra sig med oss när det gäller möjligheten för det allmänna att undersöka sina invånares liv.
21 Vetenskapsrådet gjorde denna analys av rättsläget i samma rapport där man föreslog att regeringen skulle satsa 10 miljoner kronor på uppbyggandet av SND. Rapporten Om forskningens
infrastrukturer inom humaniora och samhällsvetenskap i Sverige, april 2005, Vetenskapsrådets dnr
131-2004-8236, s. 20.22 Datainspektionens beslut den 18 april 2012 i dnr 811-2011. Beslutet överklagades, men förvaltningsrätten avslog klagomålet, Förvaltningsrättens i Stockholm dom den 14 oktober 2013 i mål nr 9987-12. Domen har vunnit laga kraft.
Det finns både inom forskningen och inom statistikverksamheten ett stort intresse för att dra nytta av att allt mer data genereras om enskilda och att det samtidigt har blivit möjligt att sammanföra och analysera data från varierande datakällor.
Inom forskningen rör det sig ofta om stora samlingar uppgifter som kan vara synnerligen integritetskänsliga. Inte sällan får uppgifterna hanteras utan information till den enskilde och utan samtycke från denne. Den enskilde har i dessa fall små möjligheter att påverka hur uppgifterna används. De samtycken som inhämtas kan ibland vara mycket breda och endast ge den enskilde en diffus uppfattning om hur uppgifterna faktiskt kan komma att hanteras. Uppgifterna kan också komma att spridas utan den enskildes vetskap. Vidare är det många olika huvudmän med varierande kunskap om integritetsskydd som bedriver forskning. Tillsynen visar också på vissa återkommande brister i hanteringen av personuppgifter inom forskningsprojekt. Sammantaget anser kommittén därför att hantering av integritetskänsliga personuppgifter för forskningsändamål innebär en allvarlig risk för den personliga integriteten, särskilt när uppgifterna hanteras utan stöd av samtycken eller med stöd av samtycken som är brett formulerade eller som lämnats tidigare i livet.
Även inom den statliga statistikverksamheten rör det sig ofta om stora samlingar uppgifter som kan vara integritetskänsliga. Inte sällan får uppgifterna hanteras utan information till den enskilde och utan samtycke från denne. Den enskilde har i dessa fall inga möjligheter att påverka hur uppgifterna används. Officiell statistik produceras av en rad olika statliga myndigheter, vilka måste kunna skilja mellan hantering av uppgifter i myndighetens kärnverksamhet, och hanteringen inom myndighetens statistikverksamhet. Landets största och känsligaste statistikdatabaser finns emellertid hos två statliga myndigheter: SCB och Socialstyrelsen. Hos dessa två finns tämligen goda förutsättningar att kontrollera hur uppgifterna lagras, lämnas ut och används. Det finns också särskild lagstiftning för den statistikrelaterade hanteringen av personuppgifter hos dessa två och hos övriga statistikansvariga myndigheter. Det saknas tillsynsrapporter som vittnar om brister i samband med statistikverksamhet hos någon statlig myndighet när det gäller integritetsskyddet. Sammantaget anser kommittén att statens hantering av integritetskänsliga personuppgifter för statistikändamål innebär en viss risk för den personliga integriteten.
Samtidigt måste beaktas, beträffande såväl forskning som den statliga statistikverksamheten, att resultaten av dessa verksamheter bidrar med viktiga värden inom en rad olika samhällsområden. Verksamheterna är ur ett samhällsperspektiv mycket viktiga för att kunna planera och utvärdera reformer, för att skapa transparens i samhällsstyret och för att ge bättre underlag för analys, debatt och beslut.
11. E-förvaltning
Kommitténs bedömning: De olika företeelser som vi har kart-
lagt inom området e-förvaltning är förknippade med risker av olika allvarlighetsgrad; såväl vissa risker som påtagliga och allvarliga risker kan konstateras. Läs mer om hur vi bedömt riskerna avseende de olika företeelserna i avsnitt 11.3.
11.1. Företeelser
11.1.1. Avgränsning
Begreppet e-förvaltning definieras ofta som ”verksamhetsutveckling i offentlig förvaltning som drar nytta av informations- och kommunikationsteknik kombinerad med organisatoriska förändringar och nya kompetenser”.1
Det rör sig om digitala tjänster som används i kommunikationen mellan myndigheter och enskilda personer eller företag, mellan olika myndigheter eller inom en och samma myndighet.
E-förvaltningen inom skolan och hälso- och sjukvården behandlas i respektive kapitel (kapitel 7 och 9).
Offentlig förvaltning är en storkonsument av personuppgifter. Myndigheterna använder ofta uppgifterna i sammanhang som är viktiga för den enskilde, t.ex. för att bestämma rättigheter och skyldigheter.
1 E-delegationens betänkande Organisering av framtidens e-förvaltning, SOU 2013:75.
11.1.2. Ökad insamling, spridning och användning av personuppgifter
De senaste åren har det skett en successiv och bred utveckling av e-förvaltningen, föranledd bl.a. av krav från regeringen på effektivisering av förvaltningen och på önskemål från enskilda och företag. Det har kommit allt fler e-tjänster för medborgarna, såsom digitala möjligheter att deklarera, ansöka om föräldrapenning och ansöka om förskoleplats m.m. Det blir också allt vanligare att myndigheter vill dela uppgifter med varandra. Det digitala uppgiftsflödet till och mellan myndigheterna har således ökat på flera olika sätt.
Nästan sju av tio personer (69 procent) i åldern 16–74 år hämtade information från myndigheters webbplatser enligt Statistiska centralbyråns undersökning för år 2015.2 I motsvarande undersökning för år 2014 var resultatet på samma fråga 79 procent.3
I en enkätundersökning som gjordes i samband med utvecklingen av e-tjänsten Mina meddelanden, uppgav 84,5 procent av de svarande att de tyckte att det är mycket eller ganska intressant att samla kommunikationen med myndigheterna elektroniskt på ett och samma ställe.4 I fråga om i vilket format respondenten föredrog att få information från myndigheterna, så föredrog 32,7 procent att få myndighetsmeddelanden i pappersformat. För 41,7 procent var elektronisk form att föredra och för 25,6 procent spelade det ingen roll.
Resultatet av undersökningen visade också att det bland de svarande fanns en uppfattning om att säkerheten är viktig när det gäller åtkomsten till myndighetsmeddelande. Av de svarande tyckte 75 procent att det är mycket viktigt att ingen obehörig kommer åt meddelandena. Det ställdes också frågor om myndigheters användning av enskildas mobiltelefonnummer. De svarande visade sig vara mycket ovilliga att sprida sina mobiltelefonnummer till andra än myndigheterna. Bara fem procent gick med på detta. Sedan var de svarande kluvna till om mobilnumret ska få användas av myndigheterna förutom för sms-avisering.
2 SCB:s statistik Vad gör personer i åldern 16–74 år vid kontakt med myndigheter via Internet.3 SCB känner inte till varför antalet respondenter som svarat att de hämtat information, har minskat.4Behovsanalys privatperson 2012 A, Mina meddelanden, En förvaltningsgemensam infrastruk-
turtjänst, Utredningsrapport från Verksamt.se med dnr 131-665930-12/123.
När Delegationen för e-förvaltning5, härefter kallad E-dele gation en, år 2013 genomförde sin sista uppföljning av de statliga myndigheternas arbete med e-förvaltning och e-tjänster, visade det sig att de 137 myndigheter som medverkade i uppföljningen tillhandahöll sammantaget 3 816 e-tjänster till privatpersoner, företag och offentlig sektor. Av dessa tillhandahålls 1 057 tjänster via gränssnittet maskin-till-människa och 2 183 tjänster via gränssnittet maskin-tillmaskin. Elektroniskt informationsutbyte mellan de statliga myndigheterna (maskin-till-maskin) hade ökat markant jämfört med motsvarande undersökning år 2011. Betydligt fler statliga myndigheter var också involverade i gemensamma satsningar jämfört med år 2011.6
Ökningen beror bl.a. på att såväl verksamheterna som regelverk och teknik har utvecklats för att möjliggöra ett utökat utbyte av uppgifter över myndighetsgränserna. Exempel på detta är de bestämmelser som trädde i kraft år 2009 och som innebär ett utökat elektroniskt informationsutbyte mellan myndigheter.7 Information ska huvudsakligen utbytas genom s.k. direktåtkomst.
Förändrad lagstiftning
En konkret tillämpning av 2009 års regeländringar är den s.k. LEFI Online (LEverera FörmånsInformation) som är en e-tjänst för uppgiftsutlämnande från Försäkringskassan. Genom LEFI Online lämnar Försäkringskassan ut person- och förmånsinformation till mottagare som har rätt att få ta del av informationen. Målgruppen för tjänsten är externa parter som försäkringsbolag, kommuner (huvudsakligen socialnämnder) och statliga myndigheter.
Frågan om direktåtkomst i LEFI Online har prövats av Högsta förvaltningsdomstolen.8 Domstolen kom fram till att socialnämndernas åtkomst i systemet inte är att betrakta som direktåtkomst enligt socialförsäkringsbalken (2010:110), eftersom socialnämn-
5 Dir. 2009:19.6Uppföljning av myndigheternas arbete med e-förvaltning och e-tjänster 2013, Rapport från E-delegationen daterad den 5 november 2013.7 Regeringens proposition Utökat elektroniskt informationsutbyte, prop. 2007/08:160.8 Högsta domstolens dom en 29 oktober 2015 i mål nr 1356-14. Frågan om direktåtkomst är i många författningar särskilt reglerad, eftersom direktåtkomst kan innebära att uppgifter blir åtkomliga för ett stort antal personer och organisationer utanför den egna.
derna inte på egen hand kan söka information i socialförsäkringsdatabasen och eftersom ett utlämnande genom LEFI Online förutsätter att Försäkringskassan reagerar på en begäran om att de efterfrågade uppgifterna ska lämnas ut. Datainspektionen anser att det utifrån domstolens resonemang är oklart vilket utrymme det överhuvudtaget finns att beteckna ett elektroniskt utbyte mellan myndigheter som direktåtkomst.9
Ett annat exempel på konkret tillämpning av regeländringarna är E-delegationens projekt, Effektiv informationsförsörjning – ekono-
miskt bistånd, som resulterade i en teknisk lösning för samordning av
socialnämndernas direktåtkomst i ärenden om försörjningsstöd. Tjänsten har numera tagits i fullt bruk. Genom tjänsten kan handläggare inom socialtjänstens verksamhetsområde för ekonomiskt bistånd få utlämnat information från a-kassorna, Arbetsförmedlingen, Centrala studiestödsnämnden, Försäkringskassan, Pensionsmyndigheten och Skatteverket. Försäkringskassan ansvarar för teknisk förvaltning och drift av tjänsten på uppdrag av Sveriges Kommuner och Landsting (SKL).10
Teknisk utveckling
Ett exempel på teknisk utveckling som möjliggjort ett ökat digitalt utbyte av personuppgifter är det s.k. Spridnings- och hämtningssystemet, SHS. SHS är en s.k. informationsväxel och ett sätt för att utbyta information digitalt. SHS används i dag av statliga myndigheter, kommuner och landsting, men även av företag och organisationer vid informationsutbyte. Det används bl.a. för att skicka elektroniska dokument till myndigheter, hämta information från andra myndigheters datasystem, prenumerera på information från andra myndigheter, ställa frågor till en annan myndighet samt för att besvara dessa frågor. Det är Försäkringskassan som förvaltar SHS-konceptet med tillhörande ramverk.
9 Datainspektionens remissvar den 20 november 2015 avseende SOU 2015:39, myndighetens dnr 1125-2015.10 E-delegationens slutbetänkande En förvaltning som håller ihop, SOU 2015:66.
Organisationsfrågor
De senaste årens myndighetssammanslagningar har också medfört ökade möjligheter att utan hinder av registerförfattningar eller sekretess dela uppgifter, som tidigare inte fick delas över myndighetsgränserna. Exempel på detta är de allmänna försäkringskassorna som ombildats till Försäkringskassan som numera tillsammans utgör en enda myndighet, samt de lokala skattemyndigheterna som slagits samman till myndigheten Skatteverket. Sekretess gäller dock fortfarande mellan självständiga verksamhetsgrenar inom en myndighet. Även bildandet av helt nya myndigheter som hos sig samlar funktioner från flera andra myndigheter innebär en ökad spridning och samtidigt en större ansamling av personuppgifter hos den nya myndigheten. Ett exempel på detta är bildandet av Statens servicecenter som genom att ta över vissa personaladministrativa arbetsuppgifter från andra myndigheter hanterar uppgifter om ett stort antal statligt anställda i en central databas.
På den kommunala sidan finns det stor frihet för kommunfullmäktige att besluta vilka nämnder som ska finnas Därmed har kommunerna även långtgående möjligheter att bestämma hur sekretessgränserna ska dras i den egna organisationen.11 Eftersom kommunerna själva bestämmer vilka nämnder de vill ha, ser det olika ut runt om i Sverige. I ett antal kommuner har man under senare år förändrat sin politiska organisation på ett genomgripande vis. Den traditionella politiska organisationen med facknämnder har här i stora drag ändrats till en organisation som bygger på fullmäktigeberedningar och styrelseutskott. De icke-obligatoriska sektorsansvariga nämnderna har tagits bort. Förutom styrelsen, valnämnden, och i förekommande fall överförmyndarnämnd finns endast en eller ett par myndighetsnämnder kvar.12
11 Sekretesskyddets beroende av kommunernas val av organisationsform har kritiserats och utretts, men inte ändrats (Geijer, Lenberg, Tansjö, Offentlighets- och sekretesslagen, 1 juli 2015, Zeteo, kommentaren till 8 kap. 2 §).12 Rapporten Alternativa politiska organisationer, Sveriges kommuner och landsting, juni 2009.
Dubblering av databaser
Dubbleringar av andra myndigheters databaser innebär också en ökad hantering av personuppgifter hos myndigheterna. Ett exempel på detta är den uppgiftssamling som byggts upp vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU). Uppgiftssamlingen finns redan i allt väsentligt hos Statistiska centralbyrån. Regeringen har dock ansett att IFAU:s behov av personuppgifter inte kan tillmötesgås genom de tekniska lösningar avseende direktåtkomst till statistikuppgifter och innehåll hos Statistiska centralbyrån som står till buds. Datainspektionen har reagerat mot detta och menar att en sådan möjlighet att bygga upp egna samlingar av personuppgifter som redan med lagstöd bevaras hos andra myndigheter, som t.ex. hos Statistiska centralbyrån, inte bör finnas.13
En variant av dubbleringar av databaser, är när myndigheter får s.k. bruttoaviseringar. Bruttoaviseringar innebär att en myndighet som hanterar uppgifter om enskilda och vill uppdatera dessa uppgifter, begär att få ta del av samtliga uppgifter i en central databas som även innehåller uppgifter om andra personer än de som är aktuella hos myndigheten. Det kan vara ett effektivare och enklare sätt att uppdatera en databas jämfört med att endast ta del av ett urval hos den centrala myndigheten som sitter på de uppdaterade uppgifterna. Exempel på detta är när vissa myndigheter ska uppdatera sina befolkningsregister med hjälp av Statens personadressregister (SPAR). SPAR är ett offentligt register som omfattar alla personer som är folkbokförda i Sverige, både svenska och utländska medborgare. Uppgifterna i SPAR uppdateras varje dygn med uppgifter från folkbokföringsregistret. Syftet med SPAR är att lämna ut uppgifter elektroniskt under förutsättning att mottagaren uppfyller vissa villkor. De uppgifter som finns i SPAR är namn, person- eller samordningsnummer, födelsetid, adress, folkbokföringsort, födelsehemort, svenskt medborgarskap, make eller vårdnadshavare, avregistrering från folkbokföringen på grund av dödsfall eller annan anledning, summan av fastställd inkomst och inkomst av kapital, ägare av småhus- eller lantbruksenhet med småhus på tomtmark samt uppgift om kommun, taxeringsvärde för småhusenhet samt information om den registrerade begärt spärr mot direktreklam med SPAR som
13 Datainspektionens remissvar på regeringens förslag om fortsatt giltighet av lagen (2012:741) om behandling av personuppgifter vid IFAU, Datainspektionens dnr 2468-2014.
adresskälla. Av förordningen (1998:1234) om det statliga personadressregistret framgår att bruttoavisering får medges den som i sin verksamhet regelmässigt behandlar uppgifter om en betydande del av befolkningen och fortlöpande behöver uppdatera dessa. Möjligheten till bruttoavisering infördes i förordningen med viss tveksamhet om detta alltid var i överensstämmelse med dataskyddsdirektivet och personuppgiftslagen (1998:204).14
Bruttoaviseringar har även diskuterats beträffande uppdateringar av personuppgifter i e-tjänsten Mina meddelanden. När det gäller den tjänsten är massutlämnanden inte författningsreglerade på samma sätt som för SPAR. Teknikutvecklingen går emellertid allt mer ifrån bruttoaviseringar, till att bygga på lösningar där systemen kommunicerar genom frågor och svar.
Samverkan mellan myndigheter
Även nya samverkansformer mellan myndigheterna medför ett ökat informationsutbyte. Ett exempel på detta är möjligheten för Försäkringskassan och Arbetsförmedlingen att tillsammans med kommuner och landsting bilda s.k. samordningsförbund. Dessa förbund är egna myndigheter med uppgift att sköta den finansiella samordningen av rehabiliteringsinsatser som enskilda personer kan behöva från de olika inblandade myndigheterna. Det finns ett stort antal samordningsförbund i landet. Datainspektionen har i ett tillsynsärende granskat ett samordningsförbund och förelagt det att upphöra att behandla personuppgifter som inte är enbart av administrativ karaktär.15 Beslutet motiverades i huvudsak med att samordningsförbundets uppdrag inte överensstämde med ändamålen för behandlingen av andra uppgifter än sådana som är enbart av administrativ karaktär. Datainspektionen hade inledningsvis konstaterat att förbundet var personuppgiftsansvarigt för ett it-system i vilket även känsliga uppgifter hanterades. Den personal som använde sig av itsystemet i sin dagliga verksamhet, s.k. koordinatorer, var inte är anställda hos samordningsförbundet, utan i huvudmännens egna, ordinarie verksamheter och ställdes till samordningsförbundets för-
14 Regeringens proposition Behandling av personuppgifter inom skatt, tull och exekution, prop. 2000/01:33sid 142f.15 Datainspektionens beslut den 1 mars 2016 i dnr 391-2015.
fogande genom samverkansavtal. Huvudmän för förbundet var i ärendet Arbetsförmedlingen, Försäkringskassan, Region Östergötland och tre kommuner.
Utöver de exempel på ökad insamling, spridning och användning som redovisats här, bör ett belysande exempel från hälso- och sjukvården nämnas i detta sammanhang. I ett ärende hos Datainspektionen hade ett landsting givit direktåtkomst till uppgifter om landstingets samtliga patienter till en kommun, till ett annat landsting och till en privat vårdgivare, utan att först ha begränsat behörigheterna och utan att först ha informerat patienterna om spridningen på ett tillräckligt sätt.16
Skyddade personuppgifter
Myndigheterna hanterar i dag ett ökande antal skyddade personuppgifter i sina system. Skyddade personuppgifter är en samlingsrubrik som Skatteverket använder för de olika skyddsåtgärderna sekretessmarkering, kvarskrivning och fingerade personuppgifter. Det är av stor vikt att dessa uppgifter hanteras på rätt sätt av alla inblandade myndigheter, eftersom ett röjande kan få mycket allvarliga konsekvenser för den enskilde. I slutet av september 2015 hade 14 503 personer sekretessmarkering eller kvarskrivning.17 Motsvarande siffra för år 2014 var 13 109, och för år 2013 var siffran 12 153. Behovet av ett förstärkt skydd för hotade och förföljda personers personuppgifter har nyligen utretts av Trygghetsutredningen som i sitt slutbetänkande lämnat en rad förslag till åtgärder för att stärka skyddet.18
Den ökande komplexiteten i e-förvaltningen innebär särskilda risker för personer med skyddade personuppgifter. Ett belysande exempel på detta är att Stockholms läns landsting enligt egen bedömning inte förmår upprätthåll ett tillräckligt bra skydd i sina olika itsystem. Efter en granskning år 2011 konstaterade landstingsrevisorerna att personer med skyddad identitet ”dessvärre inte kan besöka
16 Datainspektionens beslut den 29 juni 2010 i dnr 1390-2009.17 Antalet personer som beviljas fingerade personuppgifter är mycket mindre, 2014 var det 8 personer och 2013 var det 11 personer vars ansökningar beviljades. Det är Polismyndigheten som beslutar om fingerade personuppgifter, medan Skatteverket beslutar om kvarskrivning och sekretessmarkering i folkbokföringsdatabasen.18 Trygghetsutredningens betänkande Ökad trygghet för hotade och förföljda personer, SOU 2015:69.
hälso- och sjukvården utan att riskera att få sina uppgifter röjda”.19Med anledning av rapporten beslutade hälso- och sjukvårdsnämnden i april 2016 att journaler för personer med skyddade personuppgifter ska kunna vara pappersbaserade ”för att uppnå maximalt personskydd”. Underlag för beslutet var, utöver den nämnda revisionsrapporten, ett tjänsteutlåtande från hälso- och sjukvårdsförvaltningen i vilket sägs att:
…dagens journalsystem och andra elektroniska system och dess behörighetshantering är inte utformade så att det i tillräcklig omfattning begränsar informationsdelning och därmed spridning av patientinformation för patienter med skyddade personuppgifter. Finns information i ett elektroniskt journalsystem är dels skyddsförmågan i journalsystemet begränsad, dels överförs viss information per automatik till en mängd andra system inom vård och administration där möjligheten att upprätthålla informationsskyddet också är begränsat.20
11.1.3. Betydelsen av att fastställa personuppgiftsansvaret
På senare år har det vid några tillfällen uppstått frågor förknippade med frågan om vem som är personuppgiftsansvarig, både när det gäller behandling av personuppgifter i kommunikationen mellan enskilda och myndigheter och mellan olika myndigheter. Frågan är av stor betydelse för dataskyddet eftersom personuppgiftsansvaret innefattar ett ansvar att se till att personuppgifter hanteras bara om det är lagligt. Personuppgiftsansvaret innebär således ett ansvar att se till att det finns ett rättsligt stöd för behandlingen, men även ett ansvar för att informera enskilda om personuppgiftsbehandlingen och att vidta lämpliga säkerhetsåtgärder för att skydda personuppgifterna mot ändringar, otillåten spridning av eller otillåten tillgång till personuppgifterna och mot varje annat slag av otillåten behandling.
19 Projektrapport 7/2011 Skyddad identitet – hur hanteras personer med skyddad identitet inom
vården? Landstingsrevisorerna i Stockholms läns landsting. Skyddad identitet är i rapporten i
huvudsak liktydigt med skyddade personuppgifter.20 Hälso- och sjukvårdsnämndens i Stockholms läns landsting beslut den 19 april 2016, samt tjänsteutlåtande den 26 februari 2016 från hälso- och sjukvårdsdirektören med dnr HSN 1112-1533.
Ett exempel på sådan oklarhet (som numera klarlagts) är Försäkringskassans tjänster för sms-anmälan av tillfällig föräldrapenning samt myndighetens s.k. infratjänst som används vid arbetsgivares anmälan av anställdas sjukdomsfall (den sistnämnda använder sig av SHS som nämns ovan). I båda fallen är det fråga om att uppgifter lämnas genom elektroniska kommunikationskanaler via olika operatörer. Uppgifterna är inte tillgängliga för Försäkringskassan förrän de når kassans elektroniska mottagningsställen. Efter en inspektion förelades Försäkringskassan av Datainspektionen att genomföra en risk- och sårbarhetsanalys av de aktuella tjänsterna. Försäkringskassan motsatte sig detta och menade att statliga myndigheter inte ska behöva lägga ned resurser på att analysera risker som hänför sig till sådant som de inte kan åtgärda. Frågan fick slutligen avgöras av Högsta förvaltningsdomstolen21 som till att börja med konstaterade att Försäkringskassan saknar faktisk möjlighet att påverka hur uppgifterna hanteras innan de blir tillgängliga hos kassan, och att detta kan innebära svårigheter vid bedömningen av de skyldigheter och sanktionsmöjligheter som föreskrivs i personuppgiftslagen och som tar sikte på personuppgiftsansvaret. Enligt HFD hindrar detta emellertid inte att Försäkringskassan åläggs att redovisa säkerheten vid behandlingen av personuppgifter enligt 43 § b personuppgiftslagen. Detta gäller trots att en sådan redovisning möjligen kan komma att vara ofullständig i vissa hänseenden när det gäller säkerheten för personuppgifter hos operatörer eller avsändare.
Liknande frågeställningar har uppkommit i e-tjänsten Mina meddelanden, som är en tjänst för enskilda personer att kunna ta emot meddelanden digitalt från olika myndigheter. När e-tjänsten redan hade tagits i drift, vände sig Skatteverket till Datainspektionen för att få vägledning i frågan om personuppgiftsansvaret för hanteringen av personuppgifter i tjänsten.22 Datainspektionen gjorde bedömningen att avsändande myndighet är ensamt personuppgiftsansvarig för behandling av uppgifterna i meddelandena – vilket innefattar ett personuppgiftsansvar gentemot de registrerade avseende säkerheten för uppgifterna – åtminstone till dess att meddelandena tillgängliggjorts för mottagaren. Brevlådeoperatörernas behandling av personuppgifterna görs under den tiden för avsändande myndighets räkning. Brevlådeoperatören har i egenskap av personuppgiftsbiträde
21HFD 2012 ref. 21.22 Datainspektionens beslut den 27 april 2015 i dnr 111-2014.
ett avtalsrättligt ansvar för säkerheten gentemot avsändande myndigheter, men brevlådeoperatören har inte ett personuppgiftsansvar enligt personuppgiftslagen gentemot de registrerade för uppgifterna i avsända meddelanden. Däremot är brevlådeoperatören personuppgiftsansvarig för behandlingen av de ytterligare personuppgifter som fordras för att meddelandena ska kunna tillgängliggöras i aktuell brevlåda och för behandlingen av kunduppgifter i sitt eget register.
Ett exempel på myndighetssamverkan som gör det svårt för den enskilde användaren att förstå vilken myndighet som han eller hon kommunicerar med och var uppgifterna till slut hamnar, är www. verksamt.se. Det är en webbplats där Bolagsverket, Skatteverket och Tillväxtverket tillsammans tillhandahåller e-tjänster och information till personer som vill starta företag.
11.1.4. Brister i beställarkompetens
E-delegationen har under flera års tid pekat på behovet av ökad kompetens hos myndigheterna när det gäller att beställa utveckling av e-förvaltningstjänster. Behovet omfattar kompetens att ställa krav i samband med exempelvis upphandlingar eller vid ingåendet av andra avtal, i frågor som gäller de tekniska och juridiska förutsättningarna för utvecklingen av e-förvaltningstjänster och som inbegriper integritetskyddet.
11.1.5. Potentiella handlingar och metadata
Begreppet handling i 2 kap. tryckfrihetsförordningen avser inte endast framställning i skrift eller bild – dvs. konventionella handlingar – utan också upptagningar som kan läsas, avlyssnas eller på annat sätt uppfattas med tekniskt hjälpmedel samt sammanställningar av sakligt sammanhängande uppgifter som en myndighet kan göra med hjälp av tillgängliga program, s.k. potentiella handlingar. En förutsättning för att även dessa ska anses som handlingar i tryckfrihetsförordningens mening, är att sammanställningen ska kunna göras med rutinbetonade åtgärder. Därmed avses att det ska vara fråga om en begränsad arbetsinsats och utan nämnvärda kostnader. Att en uppgiftssamling inte tidigare har existerat i sammanställd form hindrar däremot inte att en uppgiftssammanställning kan vara
att betrakta som allmän handling.23 En arbetsinsats på 4–6 timmar går enligt Högsta förvaltningsdomstolens mening utöver vad som kan anses utgöra en begränsad arbetsinsats som inte är förknippad med några nämnvärda kostnader.24
En sammanställning av uppgifter ur en upptagning för automatiserad behandling anses dock enligt tryckfrihetsförordningen inte förvarad hos myndigheten, om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Med personuppgift avses all slags information som direkt eller indirekt kan hänföras till en fysisk person.
Med tanke på de ökande tekniska möjligheterna att med begränsade arbetsinsatser sambearbeta uppgifter av olika format, t.ex. genom s.k. data mining, kan det i dag rimligen antas finnas långt fler potentiella handlingar hos myndigheterna än tidigare.
En relaterad företeelse är s.k. metadata hos myndigheterna. Metadata är data om data. Olika slags metadata behövs för att det överhuvudtaget ska vara möjligt att omvandla grunddatat till begriplig och användbar information. De flesta metadata är inte synliga för användaren, utan ligger inbäddade i de filer som innehåller dokument eller uppgifter. Digitala dokument är t.ex. försedda med information om filformat, författare, datum för färdigställande av dokumentet osv. På samma sätt som andra uppgifter hos myndigheten, kan metadata vara att betrakta som allmänna handlingar i tryckfrihetsförordningens bemärkelse.
Den enskilda person som vill kontakta en myndighet för att exempelvis framföra ett klagomål eller begära ut en allmän handling, använder sig i dag ofta av e-post eller ett digitalt formulär på myndighetens webbplats. Det innebär att den enskilde oftast efterlämnar någon form av uppgifter om sin identitet, såväl hos myndigheten i fråga, som hos sin e-postleverantör, internetleverantör och hos de företag som kontrollerar de servrar som e-postmeddelandet passerar på sin väg till myndigheten. Dessa kan även ta del av innehållet i e-postmeddelandet om det inte är skyddat genom exempelvis kryptering, som dock sällan används av privatpersoner. E-post och webb-
23 JO:s ämbetsberättelse 2006/07 s. 478.24HFD 2015 ref. 25.
formulär förenklar således kommunikationen med myndigheterna, men innebär också en exponering av både identitet och innehåll som många enskilda troligtvis inte är fullt medvetna om.
Uppgifter i allmänna handlingar, oavsett om det rör sig om uppgifter i själva dokumenten eller metadata, som finns hos myndigheter, är underställda arkivregelverket som har bevarande som huvudregel. Arkivförfattningarna har i dessa fall företräde framför personuppgiftslagen.
11.1.6. Offentlighetsprincipen
E-delegationen har påpekat att det finns brister i integritetsskyddet som följer av en tillämpning av offentlighetsprincipen. Som exempel nämner delegationen att handlingar med integritetskänsliga personuppgifter i dag lämnas ut i fysisk form, dvs. på papper, till kommersiella aktörer, med stöd av offentlighetsprincipen, varefter de skannas in och hanteras digitalt. Med utnyttjande av s.k. utgivningsbevis används sedan uppgifterna i en privat leverantörs kommersiella verksamhet där de kan lämnas ut automatiserat och till och med publiceras på internet. E-delegationen påpekar att detta, förutom att medföra ett eftersatt integritetsskydd, också påverkar enskildas tilltro till myndigheter. Enskilda personer ser hur uppgifter om dem själva, som de många gånger tvingats lämna ifrån sig, används i kommersiell verksamhet och förstår inte varför myndigheterna låter det ske.25
Ett konkret exempel på det ovan beskrivna förfarandet är Lantmäteriets massutlämnanden i pappersform av uppgifter ur lägenhetsregistret. Dessa uppgifter skannas sedan in och hanteras digitalt av företag som bl.a. kan publicera uppgifterna på nätet.
Den svenska offentlighetsprincipen och det europeiska dataskyddsregelverket kan sägas verka i olika riktningar på ett principiellt plan: offentlighetsprincipen har offentlighet som utgångspunkt (och sekretessbestämmelser som reglerar undantagen), medan dataskyddsdirektivets huvudregel är att personuppgifter inte får spridas (om inte spridningen har stöd i någon av direktivets bestämmelser).
25 E-delegationens slutbetänkande En förvaltning som håller ihop, SOU 2015:66.
Förhållandet mellan den svenska offentlighetsprincipen och dataskyddsbestämmelserna har berörts både i förarbeten och i den juridiska doktrinen. En sammanfattning ges i Personuppgiftslagen. En
kommentar:
Offentlighetsprincipen enligt 2 kap. tryckfrihetsförordningen innefattar en rätt för varje svensk medborgare att hos myndigheter ta del av allmänna handlingar med personuppgifter i den utsträckning handlingarna inte innehåller uppgifter för vilka gäller sekretess. Den som begär att få ta del av allmänna handlingar har vidare i allmänhet rätt att få vara anonym. Offentlighetsprincipen innebär således i praktiken att myndigheterna är skyldiga att sprida en stor mängd personuppgifter till en obestämd krets av mottagare som kan utnyttja uppgifterna för ett okänt antal ändamål.26
I takt med digitaliseringen uppkommer nya utmaningar för offentlighetsprincipen. Ju bättre och billigare tekniska möjligheterna det finns att sambearbeta uppgifter med andra data och att sprida uppgifter med hjälp av nätet, desto större blir det kommersiella värdet av de personuppgifter som finns hos myndigheterna. Många företag vill därför få åtkomst till uppgifterna. En del myndigheter kan ta betalt för vissa utlämnanden. Uppgifterna får därmed en ekonomisk betydelse även för myndigheterna. När företag har fått ut uppgifter med stöd av offentlighetsprincipen, kan de sprida och hantera uppgifterna för helt andra ändamål än dem för vilka myndigheten ursprungligen samlade in uppgifterna. Ibland kan företagen även publicera integritetskänsliga uppgifter på nätet med grundlagsskydd genom s.k. frivilliga utgivningsbevis, och därmed undkomma det integritetsskyddande regelverket. Frågan om de frivilliga utgivningsbevisens innebörd för den personliga integriteten, är för närvarande föremål för utredning i Mediegrundlagskommittén.27
11.1.7. PSI-lagstiftningen
Genom det s.k. PSI-direktivet (Public Sector Information) från år 2003 fastställdes regler om hur enskilda och företag kan använda handlingar från den offentliga sektorn för andra ändamål än vad de
26 Öman & Lindblom, Personuppgiftslagen. En kommentar, 15 oktober 2015, Zeteo, kommentaren till 8 § andra stycket personuppgiftslagen.27 Ju 2014:17.
ursprungligen avsågs för. Sådan användning benämns i direktivet som vidareutnyttjande. I juni 2013 antogs ett ändringsdirektiv till det ursprungliga PSI-direktivet.28
PSI-direktivet har genomförts i svensk rätt genom lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen (ibland kallad PSI-lagen). Syftet med lagen är att främja utvecklingen av en informationsmarknad genom att underlätta enskildas användning av handlingar som tillhandahålls av myndigheter. Lagen innehåller bestämmelser som avser att förhindra att myndigheter beslutar om sådana villkor för hur handlingar får användas som begränsar konkurrensen.
Eftersom PSI-lagen syftar till att öka spridningen och vidareutnyttjande av uppgifter, även personuppgifter, har den betydelse för enskildas personliga integritet.
PSI-utredningen resonerade på följande sätt beträffande regelverkets innebörd för den personliga integriteteten:
Vid elektroniskt utlämnande ska myndigheterna tillämpa bestämmelser i flera, delvis samverkande, regelverk. De är komplicerade och innefattar flera svåra bedömningar. Reglernas utformning och förhållande till varandra kan medföra risk för felaktiga bedömningar av vad som får och vad ska lämnas ut elektroniskt. Förutom risken för att personuppgifter kan komma att lämnas ut för vidareutnyttjande i strid med gällande bestämmelser, medför de komplicerade regelverken även att fördelarna med vidareutnyttjandet begränsas.29
I betänkandet konstaterade PSI-utredningen sammanfattningsvis att insatserna för att öka spridningen av information från myndigheter till resten av samhället, i kombination med en svårtillämpad och delvis oklar lagstiftning, medför att det finns påtagliga risker för att det leder till fler fall av felaktig spridning av information och otillbörliga intrång i den personliga integriteten.
28 Betänkande från PSI-utredningen, Ett steg vidare – nya regler och åtgärder för att främja vida-
reutnyttjande av handlingar, SOU 2014:10.
29SOU 2014:10.
11.1.8. Eget utrymme
På senare år har flera myndigheter utvecklat digitala lagringsplatser som kan användas av enskilda i deras kontakter med myndigheten eller i ärenden som på något sätt berör myndigheten. Dessa lagringsplatser har kommit att kallas för ”egna utrymmen”. Ett exempel på sådan plats är Arbetsförmedlingens CV-databas som även omnämns nedan.
Med eget utrymme menas enligt E-delegationen30 ett skyddat förvar som tillhandahålls elektroniskt endast som led i teknisk bearbetning eller teknisk lagring för annans räkning. Det rör sig om ”en elektronisk miljö som myndigheten tillhandahåller, ett eget utrymme där endast den nyttoinformation finns som användaren ska få ta del av”. Enligt de tolkningar som E-delegationens vägledning utgår från är myndigheten inte ansvarig för nyttoinformationen i ett eget utrymme. Nyttoinformation i användares eget utrymme finns enligt E-delegationen inte i någon ingiven handling enligt förvaltningslagen. Detta material utgör enligt E-delegationens uppfattning inte heller allmänna handlingar.
Det kan i sammanhanget noteras att Myndigheten för samhällsskydd och beredskap inte delar E-delegationens bedömning att material i de s.k. egna utrymmena inte kan utgöra allmänna handlingar. Myndigheten anser att E-delegationen inte på ett övertygande sätt visat att den föreslagna tolkningen av undantagsregeln i tryckfrihetsförordningen är så rättsligt hållbar att den kan läggas till grund för ett omfattande och resurskrävande utvecklingsarbete på e-förvaltningsområdet.31
Det kan noteras att inte heller Datainspektionen delar E-delegationens bedömning avseende personuppgiftsansvaret i egna utrymmen. Enligt Datainspektionen regleras personuppgiftsansvaret antingen i registerförfattningar eller bestäms utifrån vem som bestämmer ändamål och medel med behandlingen enligt 3 § personuppgiftslagen. Det leder normalt till att myndigheter har personuppgiftsansvar för personuppgifter i egna utrymmen, dvs. även för det som benämns nyttoinformation.32
30 E-delegationens publikation Juridisk vägledning för verksamhetsutveckling inom e-förvalt-
ning, version 2.0 den 19 mars 2015.
31 MSB:s remissvar 14 oktober 2014 avseende SOU 2014:39, myndighetens dnr 2014-3403-2.32 Fotnot 6 i Juridisk vägledning för verksamhetsutveckling inom e-förvaltning, version 2.0 den 19 mars 2015.
I ett mål om rätten att ta del av allmän handling, har Kammarrätten i Stockholm ansett att vissa handlingar i ett s.k. eget utrymme hos Arbetsförmedlingen får anses förvarade hos myndigheten endast som ett led i teknisk bearbetning eller teknisk lagring för annans räkning.33 Handlingarna är därmed inte allmänna. Målet rörde handlingar i Arbetsförmedlingens CV-databas. CV-databasen består av konton för arbetssökande och arbetsgivare. Arbetssökande kan lagra CV:n och annan information i ett utrymme kallat för ”Min profil” och arbetsgivare kan söka bland profilerna, läsa dem och skicka förfrågningar. Databasen är inte något verksamhetssystem hos Arbetsförmedlingen och myndighetens handläggare saknar åtkomst till systemet.
Det kan förekomma att företag uppmanar enskilda personer att använda sig av sin åtkomst via e-legitimationen till den enskildes egna uppgifter hos en myndighet, så att företaget på distans kan genomföra ändringar i den enskildes val och inställningar som gynnar företaget i fråga. Det har inträffat beträffande fondval som kan göras hos Pensionsmyndigheten (som i och för sig inte görs i ett s.k. eget utrymme).34
11.1.9. Medborgarprofilering35
Det finns myndigheter som arbetar med att skapa profiler över personer som har ärenden hos dem, i syfte att kunna arbeta med smarta kontroller. I texten som följer kommer vi att använda begreppet kund, när den myndighet som det är frågan om själv använder det begreppet.
En myndighet som arbetar med profiler är Försäkringskassan. Arbetet är en del i utförandet av regeringens instruktioner i myndighetens regleringsbrev de senaste åren och beskrivs i en rapport från Försäkringskassan.36
33 Kammarrättens i Stockholm dom den 26 oktober 2015 i mål nr 7369-15, som vunnit laga kraft.34 Se varning publicerad den 31 december 2015 på www.pensionsmyndigheten.se med rubriken Logga inte in åt någon annan, samt artikeln Myndigheten varnar för pensionsbluffen, publicerad på www.expressen.se den 6 januari 2016, författad av Therese Färsjö. 35 När det gäller både medborgarprofilering och kontroller på nätet, har Integritetskommittén haft kontakter och möten med de två berörda myndigheterna, Skatteverket och Försäkringskassan., för att få information om vad de gör.36 Försäkringskassans beslut den 21 februari 2014, dnr 3421-2014.
I rapporten hänvisar Försäkringskassan till hur framgångsrika företag och myndigheter agerar i sina analyser av kunddata. När andra aktörer analyserar sina data för att exempelvis bedöma vilken kreditrisk det skulle innebära att låna ut pengar till en potentiell kund, eller hur sannolikt det är att en kund kommer att tacka ja till ett riktat köperbjudande, så handlar det för Försäkringskassan om att analysera sin information för att bedöma kundernas behov samt risker för felaktiga beslut och systematiskt utnyttjande av socialförsäkringen. Som en del i detta arbete utvecklar Försäkringskassan analytiska modeller och urvalsprofiler.
En urvalsprofil hos Försäkringskassan kan vara olika komplex i form av metod (enkla logiska villkor – komplexa statistiska modeller) och mängden information som den bygger på (en uppgift i aktuellt ärende – sammanvägning av indikatorer från aktuellt ärende, kundens socialförsäkringshistorik samt information om kundens nätverk, såsom assistansbolagets samlade verksamhet).
Den metodik som enligt Försäkringskassans bedömning har störst potential att använda myndighetens information och ackumulerade kunskap på ett träffsäkert sätt är s.k. prediktiv analys. Försäkringskassan beräknar potentiella riskindikatorer eller prediktorer som beskriver exempelvis innehållet i ansökningen och kundens historiska ersättningsmönster och kombinerar dessa med data från utfallet av de kontrollerade ansökningarna. Sedan används statistisk modellering och data mining-algoritmer för att systematiskt testa vilka av de potentiella riskindikatorerna som tillsammans bäst kan särskilja ärenden med hög risk från ärenden med låg risk. De prediktiva modellerna används sedan för att göra förutsägelser om framtiden eller andra okända händelser, exempelvis för att uppskatta sannolikheten för fel i nya ansökningar.
Försäkringskassan skriver i rapporten också att den nya lagstiftning inom personlig assistans, som trädde i kraft år 2013, bl.a. har gett Försäkringskassan möjligheter att utöka informationsutbytet med andra myndigheter. Myndigheten kan därmed mer effektivt förebygga och upptäcka felaktiga utbetalningar och bidragsbrott inom området. Det finns enligt Försäkringskassan sannolikt också stor potential med ett vidareutvecklat informationsutbyte vad gäller exempelvis information om företag som är verksamma inom välfärdssektorn.
I sin rapport beskriver Försäkringskassan också det kontrollarbete som utförs efter tips från allmänheten. I rapporten benämns detta som impulser från allmänheten. Försäkringskassan vill i framtiden på ett mer systematiskt sätt analysera innehållet i impulserna. Exempelvis skulle Försäkringskassan utifrån data och kunskap som finns inom myndigheten i framtiden kunna skapa en mer effektiv prioritering bland dessa och fokusera på ”rätt” impulser.
I Försäkringskassans rapport nämns vidare att det i dag finns ett relativt väl utbyggt elektroniskt informationsutbyte mellan Försäkringskassan och andra myndigheter, såsom Skatteverket, Arbetslöshetskassorna och Centrala studiestödsnämnden. Det finns enligt Försäkringskassan en ambition att ytterligare stärka arbetet med elektroniskt informationsutbyte med andra myndigheter och organisationer
I Försäkringskassans rapport förs inga resonemang om eventuella risker för den personliga integriteten eller för diskriminering av vissa kunder, som myndighetens kontrollarbete kan medföra. Det resoneras heller inte om hur den för myndigheten tillämpliga registerförfattningen förhåller sig till kontrollarbetet. Försäkringskassan har till Integritetskommittén uppgett att myndigheten har påpekat för regeringen att det behövs ett förtydligande av 114 kap. socialförsäkringsbalken för att regelverket tydligt ska stödja dagens arbetssätt med kontroller. Försäkringskassan anser dock att nuvarande lagstiftning ger stöd för arbetssättet. Försäkringskassan uppger också att myndigheten inte specifikt informerar enskilda och allmänheten om vilka kontroller som görs. Skälen för detta uppger Försäkringskassan vara att det skulle försvåra arbetet och att det inte finns någon skyldighet att lämna sådan information.
Hos Skatteverket utförs ett liknande arbete för att förebygga felaktigheter, vilket bl.a. framgår av myndighetens rapport Framtidens
kontroll.37 I rapporten sägs bl.a. att ”det traditionella sättet att med
hjälp av stora datamängder och med hjälp av olika typer av algoritmer hitta misstänkta fel behöver förstås fortsätta finnas och även fortsätta utvecklas”. På ett annat ställe i rapporten anges att Skatteverket gör s.k. nätverksanalyser där skattebetalarnas nätverk undersöks. Det finns dock ingen närmare beskrivning av Skatteverkets hantering av personuppgifter för dessa ändamål i rapporten. I rapporten
37 Skatteverkets rapport Framtidens kontroll, publicerad 11 november 2015.
nämns att de enskildas rätt till personliga integritet måste beaktas. Avslutningsvis anförs i rapporten att Skatteverket tydligt bör slå fast att urvalen aldrig använder de diskrimineringsgrunder som är uppräknade i 1 kap. 2 § regeringsformen. Rapporten innehåller ingen analys av hur den för myndigheten tillämpliga registerförfattningen förhåller sig till kontrollarbetet – dess syfte är snarare att på ett övergripande plan diskutera vilka kontrollåtgärder som är lämpliga och rimliga även ur de kontrollerade personernas synvinkel.
Skatteverket har till Integritetskommittén uppgett att myndigheten anser att det nuvarande författningsstödet inte ger verket någon möjlighet att i förväg, innan det finns ett ärende, upprätta riskprofiler för enskilda (fysiska) personer. Skatteverket efterlyser därför en reglering som redogör för vad som gäller för närvarande och som ger en utökad möjlighet att göra riskbedömningar med hög träffsäkerhet i urval och därmed stödjer hur man arbetar i dag och vill kunna arbeta i framtiden. Skatteverket uppger också att myndigheten inte informerar de berörda om arbetet med riskbedömningar, och inte heller om uppgiftsinhämtningen på nätet, på sociala medier eller om det som görs med Skatteverkets s.k. spindlar (se följande avsnitt). Informationen ges istället samband med att ett eventuellt ärende öppnas.
11.1.10. Kontroller på nätet
Skatteverket är en myndighet som kommit långt i användningen av webbrobotar i sin kontrollverksamhet på nätet. Webbrobotorna kallas ibland även för spindlar. När det gäller Skatteverket handlar det om en programvara som konstruerats för att automatiskt söka efter ekonomisk aktivitet på nätet, som ger intäkter som inte tagits upp till beskattning. Verksamheten startades år 2007 och bedrivs med program som går under beteckningarna EC Eyes, Xenon och Data Detective. Kontroller med spindelhjälp inriktas på webbplatser där handel och annan ekonomisk verksamhet bedrivs. Exempelvis har säljare hos Tradera, Blocket och Ebay granskats, men även webbplatser för pokerspel. Redan år 2007 hittade Skatteverket med spind-
larnas hjälp oredovisade intäkter på 420 miljoner kronor.38 Enligt uppgift från Skatteverket till Integritetskommittén i december 2015 pågår verksamheten alltjämt på samma sätt.
Förutom att låta specialtillverkade program söka av nätet, använder sig vissa myndigheter även av enklare, manuella sökningar på nätet för att inhämta underlag för beslut som rör enskilda personer. Företeelsen har granskats av Riksdagens ombudsman (Justitieombuds mannen), bl.a. i ett ärende där en socialsekreterare som utredde en ansökan om försörjningsstöd, hämtade viss information om de sökande från deras Facebooksidor och från en annan persons blogg.39 Den information det var frågan om i ärendet var tillgänglig för alla med konto på Facebook. I beslutet kom Justitieombudsmannen fram till att det inte finns några formella hinder mot att socialtjänsten inom ramen för en utredning om försörjningsstöd hämtar in offentliga, dvs. allmänt tillgängliga, uppgifter om biståndssökanden från internet, vilket det bedömdes vara frågan om i ärendet. Justitieombudsmannen såg heller inga formella hinder mot att detta görs utan sökandens samtycke. Även om det inte krävs något samtycke bör dock socialtjänsten enligt Justitieombudsmannen informera om att man kan komma att hämta in eller kontrollera uppgifter på t.ex. internet.
Justitieombudsmannen sammanfattar i en övergripande redovisning av iakttagelser året 2014/2015, att frågor om informationsinhämtning från internet och handläggares och myndigheters användning av sociala medier var företeelser som tidigare inte hade förekommit i Justitieombudsmannens klagomålsärenden. Det är därför angeläget att frågan om dessa nya verktyg i myndigheternas verksamhet kommer upp till diskussion hos berörda myndigheter. I den diskussionen är skyldigheten att iaktta saklighet och opartiskhet i verksamheten central. Enligt Justitieombudsmannen kan man förvänta sig fler påståenden och anmälningar om jäv. Risken är stor att allmänhetens förtroende för myndigheterna påverkas, även om en granskning skulle mynna ut i att det inte bedöms vara fråga om jäv. Justitieombudsmannen framhåller att det är angeläget att myndighe-
38 Tomas Carlsson, Skattespindlar hittar miljoner, publicerad den 29 oktober 2008 på www.nyteknik.se.39 JO:s beslut den 15 januari 2015 i ärendet med dnr 2611-2013.
terna tar fram riktlinjer och handläggningsrutiner om man avser att använda sig av sociala medier och informationssökning på internet i verksamheten.40
Vissa myndigheter har sådana riktlinjer för efterforskningsåtgärder på nätet. Ett exempel på detta är Skatteverkets riktlinjer.41 Enligt dessa riktlinjer är det inte bara en möjlighet för Skatteverket att använda öppna sidor på internet och i sociala medier vid efterforskning, det kan även ses som en skyldighet för myndigheten att använda sådan information som är allmänt tillgänglig. Efterforskning kan enligt riktlinjerna göras på s.k. öppna sidor. Det innebär enligt riktlinjerna att sidor på internet som kräver inloggning utan någon egentlig motprestation omfattas. Skälet för inloggning kan vara att man vill undvika spam eller kunna stänga av en användare som skriver olämpliga saker. Enligt riktlinjerna kan dessa sidor således användas för efterforskning. Men en annan bedömning görs i riktlinjerna när det gäller sidor som användaren valt att inte göra allmänt tillgängliga och som kräver medlemskap, en inbjudan, att man är vän med en person eller på något annat sätt förtrolig eller som ställer krav på en personlig lösen. Dessa bedöms ingå i vad som kallas för den privata sfären inom vilken efterforskning inte får göras.
11.1.11. E-legitimation som avslöjar användaren
E-legitimationer används ofta för att säkerställa en säker kommunikation mellan myndigheterna och enskilda personer i olika e-tjänster.
E-legitimationerna utges av vissa banker, dvs. av företag. När en enskild person använder sig av sin e-legitimation för att kommunicera med en myndighet, exempelvis en offentlig vårdgivare eller Kronofogdemyndigheten, kan det företag som utgivit legitimationen ta del av information om t.ex. vilken myndighet den enskilde kontaktar, när på dygnet detta görs och från vilken plats. Innehållet i kommunikationen med myndigheten kan företaget däremot inte ta del av. Den information som företaget kan ta del av kan komma till nytta i kontroller av säkerheten i kommunikationen, men kan även
40 JO Lilian Wiklunds övergripande redovisning av iakttagelser under året 2014/15, publicerad på www.jo.se, daterad den 30 november 2015.41 Riktlinjer beslutade den 21 september 2014, dnr 131 530342-14/111.
utnyttjas för andra ändamål. Sanktioner mot användning för andra ändamål än för att kontrollera säkerheten, regleras i dag i avtal mellan företagen och myndigheterna.
11.1.12. Myndigheter med uppgifter i molnet
Det blir allt vanligare att myndigheter använder sig av molntjänster för att hantera olika slags information, bl.a. uppgifter om anställda eller andra enskilda personer. Den mesta informationen som läggs ut i molnet är dock inte personuppgifter. Skolor är ett exempel på sådana myndigheter. De kan hantera uppgifter om både eleverna och lärarna i molnet.
Kommittén behandlar molntjänster i skolan och molntjänster som egen företeelse i kapitel 7 respektive i kapitel 21.
Här kan däremot nämnas några exempel på molntjänster som används av andra myndigheter än skolor. I Integritetskommitténs kontakter med myndigheter har det framkommit att molntjänsten
Projectplace används. Det är en tjänst för projektarbete som kan
användas såväl för samarbeten inom en myndighet som för samarbeten mellan olika myndigheter (tjänsten används även i verksamheter utanför myndighetsvärlden).
En annan molntjänst som används av myndigheter är Relation
Desk som är en tjänst för att få överblick och kontroll över flöden på
myndighetens konton i sociala medier. Syftet med tjänsten är bl.a. att snabbare kunna svara på frågor och få veta vad som sägs på det sociala mediet, och att ta fram statistik över trafiken på myndighetens konto.
Molntjänsten Barium förekommer också hos myndigheter. I det exempel som vi har fått kännedom om, används tjänsten för att inom myndigheten hantera förbättringsförslag från de anställda.
11.1.13. Myndigheter i sociala medier och med gilla-knappar på webben
Allt fler myndigheter använder sig av sociala medier, som exempelvis Facebook, Instagram, Youtube, Linkedin, Google Plus, Flickr, Pinterest, Twitter, bloggar och diskussionsforum. Vanligt är att myndigheter skaffar egna konton i det sociala mediet för att kunna
informera allmänheten om sin verksamhet. Det har inte kommit till Integritetskommitténs kännedom att myndigheter även använder sig av sociala medier för intern kommunikation med de anställda, men det är långt ifrån otänkbart att det förekommer. Det finns sociala medier som konstruerats särskilt för organisationers interna kommunikation, exempelvis Facebook at Work, som nämns i kapitel 8 om arbetslivet.
Om myndigheten har ett eget konto, kan det innebära att personuppgifter behandlas i det sociala mediet. Den hanteringen anses myndigheten vara ansvarig för, och inte det sociala mediet. Det innebär att myndigheterna måste se till att följa reglerna i personuppgiftslagen och, i vissa fall, särskild registerlagstiftning.
Datainspektionen har publicerat ett informationsblad42 om myndigheters, företags och andra organisationers ansvar för personuppgifter i sociala medier. Där ges vägledning beträffande vad en myndighet bör tänka på när myndigheten är aktiv på sociala medier.
E-delegationen har också tagit fram en vägledning med titeln
Myndigheters användning av sociala medier.
43
Det förekommer även att myndigheter sprider uppgifter om enskilda till sociala medier på andra sätt, troligen utan att helt förstå konsekvenserna. Myndigheter har t.ex. på sina webbsidor så kallade gilla-knappar till olika sociala medier. Knapparna kallas även för sociala insticksprogram eller plug-ins. Deras förekomst på myndigheternas webbsidor innebär att det sociala mediet kan få vetskap om vilken enskild person som besökt den aktuella myndighetens webbsida – även om besökaren inte klickar på knappen och även om besökaren inte har ett konto hos det sociala mediet i fråga. Den bakomliggande tekniken berörs i kapitel 13 om sociala medier och e-post och i kapitel 12 om konsumentområdet.
Företeelsen uppmärksammades under hösten 2015 av Dagens Nyheter som då beskrev några exempel på hur detta går till i praktiken.44
I artikeln nämns att ett amerikanskt företag loggar besök på ett landstings webbplats. Företaget arbetar med att förmedla sociala mediers gilla-knappar till sina kunder, som exempelvis kan vara
42 Daterat maj 2014.43 Version 1.0, 2010-12-30.44 Linus Larsson och Kristoffer Örstadius, Svenska myndigheter lämnar ut dina surfvanor, publicerad den 2 september 2015 på www.dn.se.
svenska myndigheter. Företaget får genom besöket på webbsidan tillgång till uppgifter som exempelvis den enskilde besökarens ipnummer, information om webbläsaren och från vilket land besöket görs. När Dagens Nyheter närmare granskade nätverkstrafiken mellan landstinget webbplats och det amerikanska företaget framgick att det som överförs innefattar information om vad besökaren på webbplatsen läser om i form av en rad nyckelord. Exempel på förekommande nyckelorden som kunde skickas var ”homosexualitet”, ”klamydia” och ”aids”. Nyckelorden tillsammans med ett unikt id-nummer gör att företaget kan följa besökaren på många andra webbplatser.
11.1.14. Informationssäkerhet
I Riksrevisionens granskning av informationssäkerheten i den civila statsförvaltningen45 framkom att det finns omfattande brister i regeringens och myndigheternas arbete med informationssäkerhet. Riksrevisionens granskning visar att regeringen saknar en samlad bild av läget för informationssäkerheten i statsförvaltningen och därmed saknar möjligheten att styra effektivt. Inte heller stödmyndigheterna; Myndigheten för samhällsskydd och beredskap, Försvarets radioanstalt, och Säkerhetspolisen har en samlad bild. Det råder en osäkerhet om hur starkt skyddet är, vilka händelser som har ägt rum och hur hoten utvecklas. Det är därför svårt att värdera riskerna och veta hur omfattande skyddet behöver vara. Riksrevisionens granskning visar att det finns brister inom flera områden, till exempel kompetens, upphandling, tillsyn, uppföljning samt styrning och samordning. Så mycket som 38 procent av myndigheterna bedömer till exempel att kompetens, mandat eller resurser inte räcker.
Under år 2014 genomförde Myndigheten för samhällsskydd och beredskap en kartläggning (genom en enkätundersökning) av hur statliga myndigheter tillämpar myndighetens föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10) och av hur
45 RiR 2014:23.
myndigheterna i övrigt arbetar med informationssäkerhet.46Rapporten ger en god överblick över situationen hos de statliga myndigheter som besvarat enkäten.
Myndigheten för samhällsskydd och beredskap har under år 2015 genomfört en motsvarande granskning av informationssäkerheten hos kommuner och landsting.47 Resultatet gav bl.a. vid handen att majoriteten av de kommuner som svarat på enkäten inte arbetar systematiskt med informationssäkerhet och att de heller inte kontrollerar följsamheten vad gäller informationssäkerhet.
Myndighetens för samhällsskydd och beredskap har uttryckt en viss oro för den hur e-förvaltningen utvecklas. Myndigheten skriver i remissvar på ett av E-delegationens betänkanden att myndigheten ”ser positivt på en utveckling av effektiv, säker och långsiktigt hållbar e-förvaltning. En sådan utveckling måste dock vila på en solid rättslig grund samt använda sig av lösningar som uppfyller krav på integritetsskydd och informationssäkerhet. En utveckling som inte på ett tillräckligt sätt har beaktat detta riskerar att, till och med på kort varsel, behöva stängas ned eller förändras i grunden i det fall den rättsliga grunden eller de säkerhetsmässiga förutsättningarna befinns otillräckliga. Konsekvenserna, både avseende ekonomiska förluster och förlorat förtroende hos allmänheten och näringslivet, kan bli avsevärda.”48
Utredningen NISU 2014 hade i uppdrag att föreslå en nationell strategi för hantering och överföring av information i elektroniska kommunikationsnät och it-system. Utredningen skulle även föreslå övergripande mål för samhällets informationssäkerhetsarbete samt ge förslag på hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig it-infrastruktur. I sitt slutbetänkande49 konstaterar NISU 2014 bl.a. att behoven på informations- och cybersäkerhetens område är så omfattande i Sverige, att det inte behövs en, utan flera strategier. Utredningen föreslår därför en första strategi för statens
46 Se rapporten En bild av myndigheternas informationssäkerhetsarbete 2014 – tillämpning av
MSB:s föreskrifter.
47 Se rapporten En bild av kommunernas informationssäkerhetsarbete 2015, MSB, december 2015.48 MSB:s remissvar 14 oktober 2014 avseende SOU 2014:39, myndighetens dnr 2014-3403-2.49 Betänkande av NISU 2014, Informations- och cybersäkerhet i Sverige, Strategi och åtgärder för
säker information i staten, SOU 2015:23.
informations- och cybersäkerhet för att åtgärda de mest angelägna bristerna i statsförvaltningen. Den föreslagna strategin uppställer sex mål för staten under regeringens ledning:
1. Staten förstärker styrning och tillsyn av informationssäkerheten i staten,
2. Staten blir en tydlig kravställare,
3. Staten kommunicerar säkert,
4. De statliga myndigheterna ska rapportera it-incidenter,
5. Statens förebyggande och bekämpande av it-relaterad brottslighet stärks och
6. Sverige ska vara och uppfattas som en stark internationell partner.
Myndigheten för samhällsskydd och beredskap har tagit fram vägledningar och praktiskt stöd för långsiktigt och systematiskt arbete med informationssäkerhet. Dessa finns samlade på webbplatsen www.informationssäkerhet.se.
11.1.15. Regeringens mål i lagmotiv, digital agenda och e-förvaltningsstrategi
I sin rapport Informationssäkerheten i den civila statsförvaltningen50beskriver Riksrevisionen utvecklingen genom att göra några nedslag i förarbeten från 1999 och framåt. År 1999 uttryckte regeringen att inriktningen för statsförvaltningen bör vara att all den information individer och företag behöver få från, och lämna till, myndigheter bör finnas tillgänglig elektroniskt.51 År 2004 stegrades målsättningen genom att målet för varje myndighet ska vara att all information och service som med bibehållen eller ökad effektivitet, såväl ekonomisk som organisatorisk, kan tillhandahållas elektroniskt också ska tillhandahållas så.52 I propositionen om behandling av personuppgifter inom studiestödsområdet år 2008 uttalar regeringen att den tekniska infrastrukturen för den offentliga förvaltningens kommunikation
50 RiR 2014:23.51 Regeringens proposition Ett informationssamhälle för alla, prop. 1999/2000:86.52 Regeringens proposition Från IT-politik för samhället till politik för IT-samhället,prop. 2004/05:175.
med medborgarna bör bygga på internet.53 I den förvaltningspolitiska propositionen år 2010 konstaterades slutligen att det finns en stor effektiviseringspotential att ta till vara med hjälp av tekniken och den ska också bidra till att förstärka förvaltningens öppenhet.54
Den 29 september 2011 beslutade regeringen om en ny strategi för it-politiken, It i människans tjänst – en digital agenda för Sverige55, kallad den digitala agendan för Sverige. Enligt denna är målet för itpolitiken att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.
I december 2012 presenterade regeringen sin e-förvaltningsstrategi Med medborgaren i centrum.56 Strategin förtydligar och preciserar de mål och strategiska ställningstaganden som uttrycks i den förvaltningspolitiska propositionen57 och i den digitala agendan för Sverige. I strategin sägs bl.a. att:
…statsförvaltningen spelar en central roll i utvecklingen av Sverige. Den ska vara innovativ, samverkande, rättssäker och effektiv, samt ha en väl utvecklad kvalitet, service och tillgänglighet. Därigenom ska den bidra till Sveriges utveckling och ett effektivt EU-arbete. Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.
11.1.16. Samordning och styrning av utvecklingen
I mars 2014 rapporterade Statskontoret sitt regeringsuppdrag att utvärdera E-delegationen.58 Statskontoret konstaterade att regeringen behöver stärka den samlade beslutsförmågan och genomförandekraften inom e-förvaltningsområdet.
Regeringen annonserade i budgetpropositionen för år 2015 en satsning under fyra år för att förstärka styrning och samordning av övergripande it-användning i statsförvaltningen. Regeringen vill se en ökad samordning och utveckling av informationsutbytet mellan myndigheter.
53 Regeringens proposition Behandling av personuppgifter inom studiestödsområdet, prop. 2008/09:96.54 Regeringens proposition Offentlig förvaltning för demokrati, delaktighet och tillväxt,prop. 2009/10:175.55 Dnr N2011/342/ITP.56 Dnr N2012/6402/ITP.57Prop. 2009/10:175.58 Dnr N2014/1630/ITP.
På Näringsdepartementet har det som ett led i satsningen inrättats en särskild e-förvaltningsenhet.
Regeringen har vidare uppdragit åt Ekonomistyrningsverket att ge stöd till regeringen och Regeringskansliet i samband med satsningen på e-förvaltning under åren 2015–2018.59 Vidare ska Ekonomistyrningsverket inom ramen för satsningen ge stöd till de statliga myndigheterna.
E-delegationen avslutade sitt arbete den 30 juni 2015. I slutbetänkandet60 sammanfattar E-delegationen dagsläget för e-förvaltningen med följande ord:
Oavsett vilka vägval som görs i den offentliga sektorn behöver samverkan mobiliseras. För detta krävs centrala inriktningsbeslut och en nationell styrning och samordning.
I dag finns även det s.k. E-samverkanspro-
grammet (eSam) som är en frivillig sammanslutning av berörda myndigheter med ett kansli placerat på Pensionsmyndigheten. I eSam ingår i dagsläget ingen myndighet som har i uppdrag att peka på möjliga problem för integritetsskyddet i e-förvaltningen, som exempelvis Datainspektionen eller Myndigheten för samhällsskydd och beredskap.
När det gäller samordning av e-förvaltningsutveckling för kommuner och landsting görs arbetet inom Sveriges Kommuner och Landsting där det koordineras i programkontoret Center för eSamhället (CeSam).
Regeringen har i oktober 2015 undertecknat en avsiktsförklaring tillsammans med Sveriges Kommuner och Landsting. Syftet med avsiktsförklaringen är att tydliggöra hur parterna kan stärka förutsättningarna för digital samverkan mellan stat, kommuner och landsting genom att peka ut ett antal områden för fördjupat samarbete. Dessa områden är främjande av digitala tjänster som förstahandsval, utveckling av förvaltningsgemensamma lösningar, underlätta samverkan kring gemensamma tjänster och infrastruktur samt samarbeta om initiativ för öppen innovation. Därtill syftar avsiktsförklaringen till att öka förutsättningarna för en stärkt styrning och uppföljning av digitaliseringen av det offentliga Sverige, samt verka
59 Dnr N2015/03210/EF.60SOU 2015:66.
för ett gemensamt budskap. I avsiktsförklaringen sägs att arbetet ska drivas utifrån ett antal grundläggande principer, bl.a. den enskildes rätt till sekretess och integritetsskydd.61
Regeringen har i oktober 2015 även tillsatt ett särskilt råd för digitaliseringen av det offentliga Sverige. Tanken är bl.a. att det i rådet ska lyftas strategiska frågor för att identifiera och diskutera utmaningar under genomförandet av regeringens satsning på e-förvaltning och vid behov föreslå åtgärder. Liksom i eSam ingår här ingen myndighet som har i uppdrag att peka på möjliga problem för integritetsskyddet i e-förvaltningen.
Riksrevisionen har en pågående granskning av digitaliseringen av den offentliga förvaltningen. Resultatet av granskningen kommer att presenteras i en rapport med planerad publicering i juni 2016. Riksrevisionen motiverar granskningen med att det sedan år 2000 har gjorts flera analyser som pekar på problem och oklarheter rörande förvaltningens förutsättningar för att utveckla e-förvaltning, framför allt förvaltningsgemensamma digitala tjänster. Regeringen har också tillsatt flera utredningar, råd och andra organ för att styra den svenska e-förvaltningen. Trots det har enligt Riksrevisionen problem och oklarheter inte hanterats fullt ut och regeringens styrning av den svenska e-förvaltningen har upplevts som fragmentarisk och kortsiktig.
11.2. Det skyddande regelverket
Hanteringen av personuppgifter inom e-förvaltningen regleras i ett stort antal olika författningar, beroende på inom vilket område av förvaltningen det handlar om. Exempelvis omfattas hanteringen av personuppgifter inom socialförsäkringsområdet av 114 kap. i socialförsäkringsbalken, inom skatteområdet av bl.a. lagen (2001:181) om behandling av personuppgifter i Skatteverkets beskattningsverksamhet, inom hälso- och sjukvården av patientdatalagen (2008:355) och inom socialförvaltningen av lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. För vissa områden, exempelvis skolan, saknas särskilda registerförfattningar, och hanteringen av personuppgifter regleras av enbart personuppgiftslagen.
61 Bilaga till protokoll nr III 5, vid regeringssammanträde den 29 oktober 2015, N2015/07455/ EF.
De särskilda registerförfattningarna möjliggör oftast att personuppgifter hanteras på ett sätt som inte hade varit lagligen möjligt med stöd endast av personuppgiftslagen. Tanken med dessa regler är att möjliggöra sådan hantering av personuppgifter som myndigheterna behöver för att kunna utföra sina arbetsuppgifter, samtidigt som regelverket ska beakta de enskildas behov av skydd för sin personliga integritet.
Även offentlighets- och sekretesslagen (2009:400) och 2 kap. 6 § regeringsformen är av stor betydelse för att skydda den enskildes personliga integritet i samband med e-förvaltning.
På området finns även regler som inte har som syfte att skydda den enskildes personliga integritet, utan som i stället ska skapa insyn och transparens i förvaltningen. Hit hör förstås bestämmelserna om handlingsoffentlighet i tryckfrihetsförordningen, men också den s.k. PSI-lagen, dvs. lagen om vidareutnyttjande av handlingar från den offentliga förvaltningen. Arkivlagen (1990:782) med anslutande författningar har bevarande som huvudregel, men innehåller också bestämmelser om gallring, exempelvis föreskrivs i 7 kap. 1 § Riksarkivets föreskrifter och allmänna råd om arkiv hos statliga myndigheter (RA-FS 1991:1) att myndigheten fortlöpande ska pröva förutsättningarna för gallring. Bestämmelser om gallring i en registerförfattning har företräde framför arkivregelverket.
Betänkandet Myndighetsdatalag62 innehåller en översiktlig kartläggning och kategorisering av de olika registerförfattningarna. Betänkandet visar på att registerförfattningar kan se ut på många olika sätt, både till innehåll och till uppbyggnad. I betänkandet föreslås att registerförfattningarna på sikt ska ersättas av en enda myndighetsdatalag.
11.3. Kommitténs samlade bedömning av området
Digitaliseringen i den offentliga förvaltningen har redan skapat betydande värden i form av bättre service till medborgarna och en effektivare förvaltning. Nyttoeffekten av de olika företeelserna i e-förvaltningen varierar emellertid till art och omfång. Det finns även stora variationer i riskerna för den personliga integriteten som företeelserna innebär.
62 Informationshanteringsutredningens betänkande Myndighetsdatalag, SOU 2015:39.
Inom såväl statlig som kommunal förvaltning hanterar myndigheterna ett stort antal uppgifter om enskilda. Många gånger rör det sig om uppgifter som är känsliga i personuppgiftslagens mening, t.ex. om hälsa, eller som på annat sätt är närgångna och därmed integritetskänsliga, t.ex. uppgifter om enskildas inkomster, sociala problem, skuldsättningar och familjeförhållanden.
Oftast har de enskilda inget inflytande över myndigheternas hantering – den görs i regel utan deras samtycke. Det innebär att det vilar ett särskilt ansvar på det allmänna att se till att uppgifter bara hanteras när det verkligen är nödvändigt för att förvaltningen ska kunna utföra sitt uppdrag, och att se till att hanteringen är så säker som möjligt.
Teknikutvecklingen gör det möjligt för den offentliga förvaltningen att utveckla och effektivisera sin hantering av personuppgifter. Det innebär för det första en möjlighet att öka spridningen och vidareanvändningen av uppgifter, dvs. att öka hanteringen rent generellt. Men för det andra innebär utvecklingen också en möjlighet att skydda uppgifterna på ett bättre sätt genom att använda tekniker som stärker den personliga integriteten, t.ex. anonymisering.63 Dessa två möjligheter går i praktiken ofta att förverkliga samtidigt.
En generell iakttagelse som kommittén gör är dock att myndigheter och regeringen fokuserar sitt utvecklings- och författningsarbete på den första möjligheten, medan man arbetar betydligt mindre på den andra. Det innebär att offentlig sektor riskerar att bygga in egenskaper i system, arbetsformer och i författningar, som kan bli mycket svåra och dyra att ändra på, om följderna för den personliga integriteten visar sig bli allvarliga.
Informationshantering inom och mellan olika myndigheter
Myndigheterna hanterar i dag fler uppgifter om enskilda än någonsin tidigare. Det finns i dag teknik som gör det enkelt att sprida, vidareanvända och sambearbeta uppgifter, såväl inom en myndighet som myndigheter emellan, eller mellan myndighet och enskilda.
Redan komplexiteten och de tekniska utmaningarna i några av de system som byggts upp för att dela information, kan innebära att utvecklingsresurserna används enbart åt funktionalitet och inte till
63 Se vidare i bilaga 4 om integritetsskyddande teknik.
att analysera frågor som är av betydelse för integritetsskyddet. Det förekommer att frågor om t.ex. personuppgiftsansvar, behörighetstilldelning och förenlighet med registerförfattningar behandlas långt senare i utvecklingsprocessen – först när systemet tagits i skarp drift eller inte alls. Anmärkningsvärt är också att det i dessa sammanhang kan finnas brister i viljan hos myndigheter att ta ansvar för både hanteringen av och säkerheten för uppgifter om enskilda personer.
Faktorer som i detta sammanhang är av betydelse för risken för den personliga integriteten, är att det hos vissa myndigheter finns databaser som omfattar hela eller en stor del av befolkningen med uppgifter som kan vara mycket integritetskänsliga. Uppgifter kan spridas till handläggare, inom den egna myndigheten eller på en annan myndighet, som egentligen inte behöver kunna ta del av uppgifterna för att utföra sitt arbete. Enskilda kan i regel inte motsätta sig att deras uppgifter hanteras av myndigheterna. Vi anser därför att den ökade informationsdelningen inom och mellan myndigheter innebär en påtaglig risk för den personliga integriteten.
Samtidigt måste också beaktas att det finns en stor potential för att dessa företeelser både kan användas för att ge bättre service till allmänheten och för att effektivisera förvaltningen.
Informationsutbyte med enskilda
När det gäller e-tjänster som direkt vänder sig till enskilda, exempelvis s.k. egna utrymmen hos myndigheterna, anser kommittén att det finns en viss risk för den personliga integriteten. Faktorer som här är av betydelse för risken för den personliga integriteten, består främst i oklarheter kring personuppgiftsansvaret och i att e-tjänsterna kan ges en teknisk utformning som inte ger ett tillräckligt gott skydd för uppgifterna. Uppgifter kan spridas av misstag eller efter ett antagonistiskt angrepp (hacker-attack) riktat mot myndigheten.
Samtidigt måste också beaktas att det finns en tydlig potential för att sådana tjänster kan vara till stor och direkt nytta för enskilda personer.
Emellertid har vi noterat att myndigheter när det gäller vissa företeelser har en benägenhet att lägga över personuppgiftsansvaret på den enskilde. Det gäller till exempel möjligheten att använda smstjänster eller e-post i kontakten med en myndighet. Det innebär att
myndigheten inte fullt ut tar ansvar för att uppgifterna hanteras bara för de avsedda ändamålen och på ett tillräckligt säkert sätt. Den enskilde förväntas ta ansvar för en hantering som de flesta inte förmår överblicka i sin helhet. När sådana försök till förskjutning av ansvaret förekommer, kan det enligt kommitténs mening medföra att risken potentiellt ökar för den personliga integriteten.
Myndigheter med uppgifter i molnet och bristen på beställarkompetens
Vi har i avsnitt 21.1 om molntjänster gått igenom både risker och fördelar med användningen av molntjänster generellt. Dessa gäller i högsta grad även för myndigheter. Faktorer som för myndigheter är av särskild betydelse för risken för den personliga integriteten, är att myndigheterna kan hantera ett stort antal personuppgifter som kan vara mycket integritetskänsliga, ingå i allmänna handlingar och även omfattas av sekretess. Vidare måste myndigheter veta hur relevanta register- och arkivförfattningar ska tillämpas. Även andra integritetsskyddande regler kan vara av betydelse för myndigheterna, som exempelvis säkerhetsskyddslagen och Myndighetens för samhällsskydd och beredskap föreskrifter om informationssäkerhet hos statliga myndigheter. Många små myndigheter saknar kompetens att välja rätt slags molntjänst som fungerar juridiskt och säkerhetsmässigt för just den aktuella verksamheten. Vi anser att dessa faktorer sammantagna medför att det för myndigheter finns allvarliga risker med molntjänster, i synnerhet i s.k. publika moln (uttrycket förklaras närmare i avsnitt 21.1 om molntjänster).
Samtidigt måste också beaktas att det finns en stor potential för att effektivisera förvaltningen med hjälp av molntjänster, dvs. genom att låta företag lagra och hantera myndigheters data.64
Rent generellt för alla slags tjänster inom e-förvaltningen anser vi att det innebär en påtaglig risk för den personliga integriteten, att det alltjämt konstateras stora bister i myndigheters kompetens avseende
64 Pensionsmyndigheten utvecklar i en nyligen utgiven rapport de potentiella fördelarna för statliga myndigheter med molntjänster, se Molntjänster i staten, En ny generation av outsour-
cing, Pensionsmyndigheten, 2015.
juridik, informationssäkerhet och kravställning, samtidigt som myndigheterna förväntas börja använda och utveckla nya system och tjänster.
Myndigheter i sociala medier och med gilla-knappar på webben
Faktorer som i detta sammanhang är av betydelse för risken för den personliga integriteten, är att det finns myndigheter som i förhållande till sociala medier präglas av ett visst mått av naivitet. Myndigheter inser inte alltid att de i onödan kan hjälpa sociala medier, deras samarbetsparter eller företagen bakom sökmotorerna, att kartlägga vad allmänheten gör på nätet. När myndighetens kunskap om detta är begränsad, får besökarna på webbplatsen naturligtvis inte heller tillräckligt med information om att uppgifter om deras aktiviteter på nätet kommer att lämnas ut till företag i tredje land för andra ändamål än att möjliggöra deras besök på myndighetens webbplats. Myndigheternas användning av tjänster från sociala medier och sökmotorföretagen (t.ex. att ha myndighetskonton eller gillaknappar på den egna webbplatsen), kan innebära att integritetskänsliga personuppgifter lämnas ut till företag i tredje land, även om detta troligen bara görs undantagsvis. Sammanfattningsvis anser vi att myndigheternas användning av tjänster från sociala medier och sökmotorföretagen innebär en viss risk för den personliga integriteten.
Samtidigt är det viktigt att myndigheter kan använda sig av olika media och metoder för att informera brett och effektivt om sina verksamheter, i synnerhet som verksamheterna kan medföra både rättigheter och skyldigheter för den enskilde.
PSI-lagstiftningen
I likhet med PSI-utredningen anser vi att insatserna för att öka spridningen av information från myndigheter till resten av samhället, i kombination med en svårtillämpad och delvis oklar lagstiftning (i första hand PSI-lagstiftningen) innebär en påtaglig risk för den personliga integriteten.
Medborgarprofilering och kontroller på nätet
Av stort intresse för integritetsskyddet är sådan kontrollverksamhet hos myndigheter, som syftar till att i förväg bedöma vilken sannolikhet det finns för att en viss individ ska begå någon form av felaktighet. Av betydelse för risken för den personliga integriteten är att denna kontrollverksamhet präglas av frånvaro av transparens i förhållande till allmänheten. Detsamma gäller för myndigheters efterforskande verksamhet på öppna eller slutna delar av nätet. Här finns också en rad juridiska, bl.a. grundlagsrelaterade, frågetecken, både avseende de interna kontrollerna och kontrollerna på nätet. Vi anser därför att dessa kontrollverksamheter innebär allvarliga risker för den personliga integritetet.
Samtidigt måste också beaktas att det är synnerligen angeläget, både ur det allmännas och ur medborgarnas perspektiv, att myndigheterna på ett effektivt sätt kan använda sig av egna data och av nätet för att förebygga misstag och oegentligheter.
Informationssäkerhet
De brister i myndigheters informationssäkerhet som vid upprepade tillfällen har konstaterats av flera olika kontrollinstanser, måste sägas medföra en allvarlig risk för den personliga integriteten. Av betydelse i sammanhanget är förstås att myndigheterna hanterar en stor mängd uppgifter som kan vara både känsliga och närgångna och därmed synnerligen skyddsvärda. Brister i informationssäkerheten kan också rent generellt försämra allmänhetens tillit till den offentliga förvaltningen.
Kapitel 22, Informationssäkerhet och integritet, innehåller en redogörelse för informationssäkerhetens betydelse för skyddet av den personliga integriteten.
Brister i regelverket
Brister i regelverket för hantering av personuppgifter inom e-förvaltningen uppmärksammades redan år 2007 av Integritetsskyddskommittén. Kommittén pekade på att det var en genomgående brist att konsekvenserna för den enskildes integritetsskydd inte
hade analyserats och beaktats tillräckligt i arbetet, som under senare år har bedrivits för att underlätta myndigheters möjligheter att använda ny teknik och för att främja ett ökat informationsutbyte mellan myndigheter. I den mån överväganden av detta slag förekommit, menade kommittén att de inte dokumenterats tillräckligt i förarbetena till lagstiftningen.65
Även E-delegationen har i sitt slutbetänkande uppmärksammat att det finns brister i regleringen av förutsättningarna för en effektiv e-förvaltning och ett välavvägt integritetsskydd. E-delegationen bedömer att detta även påverkar enskildas tilltro till myndigheterna, vilket innebär att det är angeläget att regeringen har ett helhetsperspektiv när resultaten av tillsatta utredningar bereds.66 Även Datainspektionen pekar i sina remissvar regelbundet på brister i nya författningsförslag när det gäller integritetsskyddet.67
Vår analys av e-förvaltningen utgår i detta delbetänkande från företeelser som kan ha betydelse för den personliga integriteteten, snarare än från det rättsliga skyddet på området. Emellertid har, som framgår ovan, andra granskningar konstaterat systematiska brister i såväl det befintliga regelverket som i de förslag till nya författningar som framförs på området. Ett genomtänkt regelverk kan bidra till att skydda den personliga integriteten, genom att tydligt peka ut ramar för vad myndigheterna får och ska göra med uppgifterna. Ett sådant regelverk kan också bidra till att myndigheterna känner sig trygga att utveckla nya e-tjänster inom lagstiftningens ramar. Kommittén befarar emellertid att bristerna i regelverket för e-förvaltningen kan medföra försämringar i integritetsskyddet.
Datainspektionens roll
Under arbetets gång har flera myndigheter efterlyst tydligare och mer konkret vägledning från Datainspektionen i frågor som rör e-förvaltning och integritetsskydd. Vi avser att återkomma till Datainspektionens uppdrag i slutbetänkandet.
65 Integritetsskyddskommitténs delbetänkande Skyddet för den personliga integriteten –
Kartläggning och analys, SOU 2007:22.
66SOU 2015:66.67 Se t.ex. Datainspektionens remissvar den 4 maj 2015 avseende SOU 2015:5, En ny svensk tullagstiftning, myndighetens dnr 404-2015.