SOU 2017:97
Totalförsvarsdatalag – Rekryteringsmyndighetens personuppgiftsbehandling
Till statsrådet och chefen för Försvarsdepartementet
Den 1 december 2016 bemyndigade regeringen chefen för Försvarsdepartementet att tillkalla en särskild utredare med uppdrag att göra en översyn av regleringen av behandlingen av personuppgifter om totalförsvarspliktiga. Regeringen beslutade samtidigt om direktiv för utredningen (dir. 2016:103).
Till särskild utredare förordnades från och med den 1 december 2016 kammarrättsrådet Elisabet Reimers.
Utredningen har antagit namnet Totalförsvarsdatautredningen (Fö 2016:01).
Som sakkunniga i utredningen förordnades den 13 januari 2017 militärsakkunnige Anders Widuss, kanslirådet Mårten Levin och rättssakkunnige Karin Byström, samtliga vid Försvarsdepartementet.
Som experter att biträda utredningen förordnades den 13 januari 2017 försvarsjuristen Anna Saarikoski och stabschefen Michael Jarl, båda vid Försvarsmakten, dåvarande chefsjuristen Kjell Kastman och avdelningschefen Bengt Forssten, båda vid Totalförsvarets rekryteringsmyndighet, och juristen Erika Lidén, Datainspektionen.
Som sekreterare anställdes den 27 december 2016 förvaltningsrättsfiskalen Annelie Roslund.
Härmed överlämnas betänkandet Totalförsvarsdatalag – Rekryteringsmyndighetens personuppgiftsbehandling (SOU 2017:97).
Uppdraget är härmed slutfört.
Stockholm den 7 december 2017
Elisabet Reimers
/Annelie Roslund
Förkortningar m.m.
Förkortningar
ADB automatiserad databehandling dataskyddsdirektivet Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter dataskyddsförordningen Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) dataskyddskonventionen Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter dataskyddslagen Dataskyddsutredningens förslag till lag (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning
dataskyddsrambeslutet Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete DIFS Datainspektionens författningssamling dir. direktiv dnr diarienummer EES Europeiska ekonomiska samarbetsområdet EU Europeiska unionen EU-domstolen Europeiska unionens domstol/ Europeiska gemenskapernas domstol Europadomstolen Europeiska domstolen för de mänskliga rättigheterna Europakonventionen Europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna EU-stadgan Europeiska unionens stadga om de grundläggande rättigheterna f. följande sida/sidor FN Förenta Nationerna Fö Försvarsdepartementet GMU/GU Grundläggande utbildning GSS/P Med plikt tjänstgörande gruppbefäl, soldater och sjömän GSU INT Grundläggande soldatutbildning för internationell tjänstgöring HFD Högsta förvaltningsdomstolens årsbok JO Riksdagens ombudsmän JK Justitiekanslern Ju Justitiedepartementet kommissionen Europeiska kommissionen KU konstitutionsutskottet
MSB Myndigheten för samhällsskydd och beredskap nya dataskyddsdirektivet Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF OECD Organisationen för ekonomiskt samarbete och utveckling pliktregisterlagen lag (1998:938) om behandling av personuppgifter om totalförsvarspliktiga Plis Pliktverkets informationssystem prop. regeringens proposition RA-FS Riksarkivet författningssamling RA-MS Riksarkivets myndighetsspecifika föreskrifter Rekryteringsmyndigheten Totalförsvarets rekryteringsmyndighet SIS Statens institutionsstyrelse SOU Statens offentliga utredningar Syom Systemomläggning 1980
Kortformer för viss citerad litteratur
Lenberg m.fl. Eva Lenberg, Ulrika Geijer, Anna Tansjö, Offentlighets- och sekretesslagen. En kommentar, 1 januari 2017, Zeteo Öman m.fl. Sören Öman, Hans-Olof Lindblom, Personuppgiftslagen. En kommentar, uppl. 4, 2016, Zeteo
Sammanfattning
Inledning
Vårt uppdrag har varit att göra en översyn av regleringen av behandlingen av personuppgifter om totalförsvarspliktiga i form av lagen (1998:938) respektive förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga och att ta fram förslag till en ny lag och förordning. Utgångspunkten har varit att Totalförsvarets rekryteringsmyndighets (Rekryteringsmyndigheten) verksamhet ska kunna bedrivas effektivt med rationellt datorstöd samtidigt som enskildas rätt till personlig integritet tillgodoses. Som ett led i detta har det bl.a. ingått att göra en kartläggning av Rekryteringsmyndighetens behandling av personuppgifter. Uppdraget har inte omfattat Rekryteringsmyndighetens behandling av personuppgifter inom ramen för myndighetens civila uppdragsverksamhet.
Vi har också haft i uppdrag att analysera vilket förhållande lagstiftningen ska ha dels till EU:s dataskyddsförordning och den kompletterande nationella lagstiftning som föreslagits till följd av den, dels till annan reglering på området. Vid utformningen av en ny reglering har vi också beaktat den nya bestämmelsen i 2 kap. 6 § andra stycket regeringsformen med krav på lagform vid betydande intrång i den personliga integriteten.
I betänkandet redovisas även vissa andra frågeställningar som har ingått i uppdraget.
Allmänna utgångspunkter för den nya regleringen
Vår kartläggning av Rekryteringsmyndighetens personuppgiftsbehandling visar att behandlingen är omfattande och att myndigheten i allt större utsträckning använder sig av elektronisk behandling av personuppgifter i sin verksamhet. Den nuvarande regleringen
fungerar i huvudsak väl men är i behov av modernisering för att bättre vara anpassad till annan reglering inom rättsområdet och för att möta såväl myndighetens som uppdragsgivarnas krav.
Vi föreslår att en ny lag införs, som ska heta totalförsvarsdatalag, samt en anslutande förordning. Den nya regleringen ska ersätta den nu gällande lagen och förordningen om behandling av personuppgifter om totalförsvarspliktiga som därigenom upphävs.
Vi föreslår att regleringen av Rekryteringsmyndighetens behandling av personuppgifter inte ska vara helt fristående utan anpassas till bestämmelserna i EU:s dataskyddsförordning och den kompletterande dataskyddslagen. I den nya lagen införs därför en bestämmelse som anger att dataskyddslagen gäller vid behandling av personuppgifter i Rekryteringsmyndighetens verksamhet, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen. Dataskyddslagen är således subsidiär i förhållande till denna lag eller föreskrifter som har meddelats med stöd av lagen.
Till följd av bestämmelserna i dataskyddslagen kompletterar den nya lagen dataskyddsförordningen som, i tillämpliga delar, blir direkt tillämplig vid behandling av personuppgifter i Rekryteringsmyndighetens verksamhet. Uttrycket ”tillämpliga delar” tydliggör att vissa bestämmelser i dataskyddsförordningen inte kan tillämpas i rent nationell verksamhet och därmed inte av Rekryteringsmyndigheten.
Vårt förslag till ny reglering innebär att de grundläggande reglerna för behandling av personuppgifter om totalförsvarspliktiga ges i form av lag. De grundläggande reglerna avser, med beaktande av 2 kap. 6 § andra stycket regeringsformen, både moment i personuppgiftsbehandlingen som kan uppfattas som intrång i enskilds personliga förhållanden och sådant som är centralt för skyddet av den enskildes personliga integritet. Vi föreslår att övriga bestämmelser ges i form av förordning och kompletterande föreskrifter.
Om totalförsvarsdatalagens innehåll
Den nya lagen ges en mer generell utformning jämfört med den lag som gäller för Rekryteringsmyndigheten i dag. Lagen innehåller exempelvis inte bestämmelser som, till skillnad från vad som är fallet i dag, särskilt tar sikte på att viss behandling sker i register. I lagen anges inte heller vilka kategorier av personer eller person-
uppgifter som får behandlas utan alla personuppgifter får behandlas som är nödvändiga för de ändamål för vilken behandlingen får utföras.
Lagens syfte och tillämpningsområde
Lagens syfte är att ge Rekryteringsmyndigheten möjlighet att i sin verksamhet behandla personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret på ett effektivt och ändamålsenligt sätt samtidigt som skyddet för den enskildes personliga integritet tillgodoses vid sådan behandling.
Lagen ska tillämpas i Rekryteringsmyndighetens verksamhet vid behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret. Här avses den behandling som Rekryteringsmyndigheten på grund av sitt uppdrag utför beträffande både totalförsvarspliktiga samt anställd personal och avtalspersonal inom totalförsvaret. Lagen gäller i de fall det anges särskilt även i verksamhet som bedrivs av någon annan än Rekryteringsmyndigheten. Ett sådant fall är då behandling av känsliga personuppgifter sker vid annan utredning enligt lagen (1994:1809) om totalförsvarsplikt. Ett annat fall är om Försvarsmakten eller annan aktör medges rätt att föra in och rätta personuppgifter i Rekryteringsmyndighetens informationssystem.
Utanför lagens tillämpningsområde faller Rekryteringsmyndighetens administrativa verksamhet och civila uppdragsverksamhet. Den nya lagen tillämpas inte heller vid behandling som Rekryteringsmyndigheten utför i egenskap av vårdgivare inom hälso- och sjukvården. Vid sådan behandling tillämpas, precis som tidigare, patientdatalagen (2008:355). Det förekommer att bemanningsansvariga organ lämnar personuppgifter om totalförsvarspliktiga till Rekryteringsmyndigheten eller tar emot sådana uppgifter från myndigheten. Sådan behandling av personuppgifter om totalförsvarspliktiga som bemanningsansvariga organ utför faller också utanför lagens tillämpningsområde.
Lagens tillämpningsområde begränsas också genom att lagen endast ska tillämpas vid sådan behandling av personuppgifter som är helt eller delvis automatisk eller som ingår i eller kommer att
ingå i en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier.
Personuppgiftsansvar
I lagen klargörs att Rekryteringsmyndigheten är personuppgiftsansvarig för den behandling som myndigheten utför.
Rättslig grund och tillåtna ändamål
Enligt dataskyddsförordningen är behandling av personuppgifter laglig endast om den grundar sig på åtminstone en av vissa särskilt uppräknade rättsliga grunder. För ett par av de rättsliga grunderna krävs att de ska vara fastställda i unionsrätten eller i nationell rätt, bl.a. i fråga om den rättsliga grunden allmänt intresse. Rekryteringsmyndighetens behandling av personuppgifter grundar sig framför allt på denna rättsliga grund. Vår bedömning är att den rättsliga grunden är fastställd i förordningen (2010:1472) med instruktion för Totalförsvarets rekryteringsmyndighet (myndighetsinstruktionen). Dataskyddsförordningens krav i denna del medför därför inte något behov av ytterligare författningsstöd.
I lagen anges uttömmande de primära ändamål för vilka personuppgifter får behandlas i Rekryteringsmyndighetens verksamhet i syfte att precisera den rättsliga grunden för behandlingen. De primära ändamålen motsvarar de centrala delarna i Rekryteringsmyndighetens verksamhet, bl.a. att ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret samt att redovisa personal med uppgifter inom totalförsvaret.
Av lagen framgår även att personuppgifter som har samlats in för något av de primära ändamålen får behandlas för att fullgöra ett uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Behandling av känsliga personuppgifter
I Rekryteringsmyndighetens verksamhet förekommer känsliga personuppgifter i stor utsträckning. Dataskyddsförordningens bestämmelser innebär att det som huvudregel är förbjudet att behandla känsliga personuppgifter, men det finns vissa undantag som tillåter behandling. Den kompletterande dataskyddslagen ger stöd för ytterligare behandling av känsliga personuppgifter på myndighetsområdet. Vår bedömning är att undantagen i dataskyddsförordningen och dataskyddslagen inte är tillräckliga för att Rekryteringsmyndigheten ska kunna utföra sin verksamhet. Vi föreslår därför en bestämmelse i den nya lagen som tillåter att känsliga personuppgifter därutöver får behandlas om det är absolut nödvändigt för de primära och sekundära ändamålen i lagen. Även annan än Rekryteringsmyndigheten ges vid annan utredning enligt lagen om totalförsvarsplikt motsvarande rätt att behandla känsliga personuppgifter. Genom kravet på absolut nödvändighet markeras att behandlingen ska ske med restriktivitet och att behovet av att behandla den känsliga personuppgiften ska prövas noga i det enskilda fallet. Behandling av känsliga personuppgifter förutsätter också att behandlingen är tillåten enligt de grundläggande principerna i dataskyddsförordningen.
Tillgången till personuppgifter
För att minska risken för integritetsintrång ska tillgången till personuppgifter hos Rekryteringsmyndigheten begränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter.
Direktåtkomst
I lagen införs bestämmelser om att direktåtkomst får medges Försvarsmakten och den registrerade själv. Regeringen får meddela föreskrifter om omfattningen av den direktåtkomst som medges Försvarsmakten. Direktåtkomst för den registrerade själv får endast avse personuppgifter i den registrerades eget ärende. Regeringen ges genom ett bemyndigande en begränsad befogenhet att meddela föreskrifter om att medge även annan aktör direktåtkomst. Direktåtkomsten ska därvid begränsas till de personuppgifter som aktören
behöver för att fullgöra sina uppgifter enligt lag eller förordning och får endast avse vissa uppgifter.
Utlämnande av uppgifter till myndigheter
Bestämmelserna om direktåtkomst bryter inte eventuell sekretess som kan gälla för personuppgifterna. En sekretessbrytande bestämmelse om uppgiftsskyldighet i förhållande till Försvarsmakten som motsvarar den direktåtkomst som myndigheten får medges införs därför i den nya lagen. För det fall behov skulle uppstå att medge andra myndigheter än Försvarsmakten direktåtkomst ges regeringen befogenhet att meddela sekretessbrytande föreskrifter som möjliggör sådan åtkomst.
Sökförbud
För att tillgodose dataskyddsförordningens krav på särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen införs ett förbud mot att använda känsliga personuppgifter som sökbegrepp. I lagen förbjuds också användning av vissa andra integritetskänsliga uppgifter som sökbegrepp. Sådana uppgifter får dock användas som sökbegrepp vid behandling för ändamålet att planera, följa upp och utvärdera Rekryteringsmyndighetens verksamhet eller då uppgifter lämnas ut för framställning av statistik eller för forskningsändamål. Uppgifter om resultat från begåvningstest eller anlagstest som utförs vid mönstring eller annan utredning får även användas som sökbegrepp vid behandling för ändamålet att ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret.
Annans registrering och rättelse av personuppgifter
I lagen införs en bestämmelse som ger Försvarsmakten rätt att föra in och rätta personuppgifter i Rekryteringsmyndighetens informationssystem i den omfattning som följer av förordning. Försvarsmakten är personuppgiftsansvarig för behandling enligt bestämmelsen. Regeringen ges befogenhet att meddela föreskrifter om att även
andra aktörer än Försvarsmakten kan medges rätt att registrera och rätta personuppgifter.
Avskiljande av personuppgifter från den löpande verksamheten
Vår kartläggning av Rekryteringsmyndighetens behandling av personuppgifter visar att någon gallring i egentlig mening, dvs. att informationen förstörs, i allmänhet inte förekommer. Däremot avskiljs personuppgifter från de olika informationssystemen där de behandlas när de inte längre behövs för de olika ändamål för vilka de har samlats in. Det finns ett fortsatt stort behov av att huvuddelen av uppgifterna bevaras i myndighetens s.k. forskningsarkivregister i syfte att utgöra underlag för forskning. Någon särskild bestämmelse om gallring införs därför inte i den nya lagen. I stället ska Rekryteringsmyndigheten, i egenskap av personuppgiftsansvarig, avskilja personuppgifter så att tillgången till dem begränsas när de inte längre behövs i myndighetens löpande verksamhet för de primära ändamålen. Det är Rekryteringsmyndighetens ansvar att dels införa rutiner för när och på vilket sätt avskiljandet ska ske, dels begränsa tillgången till avskilda personuppgifter till det som varje anställd behöver för att kunna utföra sina arbetsuppgifter.
För att tillgodose integritetsskyddet föreskrivs i lagen en yttersta gräns för hur länge personuppgifter om totalförsvarspliktiga får behandlas i den löpande verksamheten. Uppgifterna ska som regel avskiljas senast vid utgången av det kalenderår den totalförsvarspliktige fyller 70 år, dvs. vid totalförsvarspliktens upphörande. Om det vid en tidigare tidpunkt står klart att uppgifterna inte behövs utifrån de primära ändamålen ska de avskiljas redan vid denna tidpunkt. Ett undantag införs dock för det fall där den totalförsvarspliktige, efter att totalförsvarsplikten har upphört, har en uppgift att utföra vid höjd beredskap.
Regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om avskiljande.
Vissa bestämmelser i dataskyddsförordningen och dataskyddslagen som inte ska tillämpas
Vi föreslår att vissa bestämmelser i dataskyddsförordningen och dataskyddslagen inte ska gälla vid Rekryteringsmyndighetens behandling av personuppgifter enligt lagen. Dataskyddsförordningens bestämmelser om den registrerades rätt att göra invändningar samt anmälan av en personuppgiftsincident till tillsynsmyndigheten och information till den registrerade i samband därmed ska inte gälla vid behandling enligt denna lag eller föreskrifter som har meddelats med stöd av lagen. Tillsynsmyndigheten ska inte heller kunna förbjuda Rekryteringsmyndigheten att behandla personuppgifter. I övrigt ska dock bestämmelserna om tillsynsmyndighetens befogenheter i dataskyddsförordningen och dataskyddslagen tillämpas vid behandling enligt lagen.
Vissa andra frågor av särskild vikt för dataskyddet
I betänkandet har vi också tagit upp vissa andra frågor som är av särskild vikt för dataskyddet, bl.a. den registrerades rätt till rättelse, radering och begränsning av behandling, dataskyddsombud, säkerhet för personuppgifter, den registrerades rätt till information och tillgång till personuppgifter och rätten till skadestånd. Vi har funnit att regleringen i dataskyddsförordningen och dataskyddslagen är tillräcklig i dessa delar. Vi bedömer alltså att något behov av en särskild reglering för Rekryteringsmyndighetens behandling av personuppgifter inte finns. Några sådana bestämmelser föreslås därför inte i den nya lagen.
I dataskyddsförordningen och i viss utsträckning även i den kompletterande dataskyddslagen finns också andra bestämmelser som ska tillämpas av Rekryteringsmyndigheten men som inte behandlas särskilt i detta betänkande. Ett sådant exempel är bestämmelser om överklagande.
Sekretess
Det finns inget behov av andra sekretessbestämmelser än de som redan finns i offentlighets- och sekretesslagen (2009:204) för att skydda totalförsvarspliktigas personliga integritet. Sekretesskyddet behöver dock stärkas i ärenden som rör utredning, inskrivning, krigsplacering m.m. Sekretess enligt 38 kap. 1 § offentlighets- och sekretesslagen föreslås därför gälla med ett s.k. omvänt skaderekvisit, dvs. med presumtion för sekretess.
Vi föreslår också att det i offentlighets- och sekretesslagen införs en ny sekretessbrytande bestämmelse som innebär att sekretess inte hindrar att uppgift lämnas från den verksamhet som Rekryteringsmyndigheten i egenskap av vårdgivare bedriver inom hälso- och sjukvården, dvs. den medicinska grenen av verksamheten, till myndighetens inskrivningsverksamhet.
Ikraftträdande
Den nya lagen och förordningen liksom lagen om ändring i offentlighets- och sekretesslagen föreslås träda i kraft den 1 november 2018.
Konsekvenser
Sammantaget gör vi bedömningen att våra förslag innebär en förstärkning av skyddet för enskildas personliga integritet. Förslagen kan i vissa enskilda delar uppfattas ha negativa konsekvenser för den personliga integriteten. I dessa delar har den avvägning som vi har gjort mellan detta och andra intressen redovisats. Förslagen kommer inte att innebära någon kostnadsökning för det allmänna eller för enskilda och förväntas inte få några konsekvenser i övrigt.
1. Författningsförslag
1.1. Förslag till totalförsvarsdatalag
Härigenom föreskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att ge Totalförsvarets rekryteringsmyndighet (Rekryteringsmyndigheten) möjlighet att i sin verksamhet behandla personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret på ett effektivt och ändamålsenligt sätt samtidigt som skyddet för den enskildes personliga integritet tillgodoses vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag tillämpas i Rekryteringsmyndighetens verksamhet vid behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret.
I de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av någon annan än Rekryteringsmyndigheten.
När sådan behandling av personuppgifter som avses i första stycket utförs av Rekryteringsmyndigheten i egenskap av vårdgivare inom hälso- och sjukvården tillämpas patientdatalagen (2008:355).
3 § Lagen tillämpas vid sådan behandling av personuppgifter som är helt eller delvis automatisk. Lagen gäller även för annan behandling av personuppgifter som ingår i eller kommer att ingå i en struk-
turerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier.
Förhållandet till annan dataskyddsreglering
4 § Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) gäller vid behandling av personuppgifter i Rekryteringsmyndighetens verksamhet, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.
Vad som anges i första stycket innebär att denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
5 § Vid behandling enligt denna lag eller föreskrifter som har meddelats med stöd av lagen gäller inte följande bestämmelser i dataskyddsförordningen och dataskyddslagen:
1. artikel 21.1 i dataskyddsförordningen om rätt att göra invändningar,
2. artikel 33 i dataskyddsförordningen om anmälan av en personuppgiftsincident till tillsynsmyndigheten,
3. artikel 34 i dataskyddsförordningen om information till den registrerade om en personuppgiftsincident, och
4. artikel 58.2 f i dataskyddsförordningen och 6 kap. 1 § dataskyddslagen om tillsynsmyndighetens befogenhet att införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling.
Personuppgiftsansvar
6 § Rekryteringsmyndigheten ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Ändamål
7 § Personuppgifter får behandlas om det behövs för att
1. ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret,
2. redovisa personal med uppgifter inom totalförsvaret,
3. säkerställa att den registrerade fortlöpande får ändamålsenlig utbildning och lämplig placering inom totalförsvaret,
4. se till att den registrerade fullgör sina skyldigheter i fråga om totalförsvarsplikten,
5. tillgodose den registrerades rättigheter och trygghet i egenskap av totalförsvarspliktig,
6. fullgöra Rekryteringsmyndighetens serviceskyldighet gentemot bemanningsansvariga organ inom totalförsvaret, och
7. planera, följa upp och utvärdera den verksamhet som anges i 1–6.
8 § Personuppgifter som behandlas enligt 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Behandling av känsliga personuppgifter
9 § Utöver vad som följer av 3 kap. dataskyddslagen får känsliga personuppgifter behandlas om det är absolut nödvändigt för de ändamål som anges i 7 och 8 §§.
Vad som anges i första stycket gäller även vid annan utredning om den totalförsvarspliktiges personliga förhållanden som enligt 2 kap. 1 § lagen (1994:1809) om totalförsvarsplikt utförs av annan än Rekryteringsmyndigheten.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter som begränsar användningen av känsliga personuppgifter.
Tillgången till personuppgifter
10 § Tillgången till personuppgifter ska begränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om hur tillgången till personuppgifter ska begränsas.
Direktåtkomst
11 § Direktåtkomst till personuppgifter får medges
1. Försvarsmakten i den utsträckning som följer av föreskrifter som meddelats av regeringen, och
2. den registrerade själv. Direktåtkomst enligt första stycket 2 får endast avse personuppgifter i den registrerades ärende.
Regeringen får meddela föreskrifter om att medge annan aktör direktåtkomst. Sådan direktåtkomst ska begränsas till de personuppgifter som aktören behöver för att fullgöra sina uppgifter enligt lag eller förordning och får endast avse vissa personuppgifter.
Utlämnande av uppgifter till myndigheter
12 § Försvarsmakten har rätt att vid direktåtkomst enligt 11 § första stycket 1 ta del av de personuppgifter som omfattas av åtkomsten.
Regeringen får meddela föreskrifter om att annan myndighet vid direktåtkomst som medges med stöd av 11 § tredje stycket har rätt att ta del av de personuppgifter som omfattas av åtkomsten.
Sökförbud
13 § Vid sökning i personuppgifter är det förbjudet att som sökbegrepp använda känsliga personuppgifter.
Det är också förbjudet att som sökbegrepp använda uppgifter om
1. hinder för mönstring, annan utredning, utbildning, krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning,
2. boende- och familjeförhållanden samt försörjning,
3. resultat från begåvningstest eller anlagstest som utförs vid mönstring eller annan utredning,
4. medborgarskap, och
5. lagöverträdelser, säkerhetsprövning enligt säkerhetsskyddslagen (1996:627) samt vilken säkerhetsklass prövningen avsett och resultatet av denna.
De sökbegrepp som anges i andra stycket får användas som sökbegrepp vid behandling för ändamål som avses i 7 § första stycket 7 eller vid utlämnande enligt 8 § för framställning av statistik eller för forskningsändamål. De sökbegrepp som anges i andra stycket 3 får även användas som sökbegrepp vid behandling för ändamål som avses i 7 § första stycket 1.
Annans registrering och rättelse av uppgifter
14 § Försvarsmakten får föra in och rätta personuppgifter i Rekryteringsmyndighetens informationssystem i den utsträckning som följer av förordning.
Regeringen får meddela föreskrifter om att även annan än Försvarsmakten får medges sådan rätt.
Avskiljande
15 § Personuppgifter ska avskiljas så att tillgången till dem begränsas när de inte längre behövs i Rekryteringsmyndighetens löpande verksamhet för de ändamål som anges i 7 §. Personuppgifter om totalförsvarspliktiga ska avskiljas senast vid utgången av det kalenderår den totalförsvarspliktige fyller 70 år, om inte den totalförsvarspliktige därefter har en uppgift inom totalförsvaret vid höjd beredskap.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om avskiljande av personuppgifter.
1. Denna lag träder i kraft den 1 november 2018.
2. Genom lagen upphävs lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga.
1.2. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att det i lagen ska införas en ny paragraf, 25 kap. 13 b §,
dels att 38 kap. 1 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
25 kap.
13 b §
Sekretessen enligt 1 § hindrar inte att en uppgift om en enskild lämnas från verksamhet hos Totalförsvarets rekryteringsmyndighet som avser medicinsk insats till verksamhet inom samma myndighet som avser inskrivning enligt lagen ( 1994:1809 ) om totalförsvarsplikt, om det krävs att uppgiften lämnas för sådan inskrivning av den enskilde.
38 kap.
1 §
Sekretess gäller för uppgift om en enskilds personliga förhållanden, om det kan antas att den
enskilde eller någon närstående till denne lider men om uppgiften röjs
och uppgiften förekommer i ärende som angår
Sekretess gäller för uppgift om en enskilds personliga förhållanden, om det inte står klart att
uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men och uppgiften
förekommer i ärende som angår
1. utredning om totalförsvarspliktigas personliga förhållanden,
2. antagning av kvinnor till befattningar inom totalförsvaret som kräver längre grundutbildning än 60 dagar,
3. inskrivning och krigsplacering av totalförsvarspliktiga,
4. antagning till utbildning vid Försvarsmakten, eller
5. skyldighet att tjänstgöra med totalförsvarsplikt samt uppskov med och avbrott i sådan tjänstgöring.
Sekretessen gäller inte beslut i ärende. För uppgift i en allmän handling gäller sekretessen i högst femtio år.
Denna lag träder i kraft den 1 november 2018.
1.3. Förslag till totalförsvarsdataförordning
Regeringen föreskriver följande.
Inledande bestämmelser
1 § I denna förordning finns kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av totalförsvarsdatalagen (2018:xx).
Termer och uttryck som används i denna förordning har samma betydelse som i lagen.
2 § Denna förordning är meddelad med stöd av 11 § första stycket 1 totalförsvarsdatalagen i fråga om 3 § och 8 kap. 7 §regeringsformen i fråga om övriga bestämmelser.
Direktåtkomst
3 § Försvarsmaktens direktåtkomst ska begränsas till de personuppgifter som är nödvändiga för myndighetens verksamhet.
Direktåtkomsten får endast avse uppgift om
1. personnummer eller samordningsnummer, namn, adress, telefonnummer och folkbokföringsort,
2. hinder för genomförande av mönstring, annan utredning, utbildning, krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning,
3. utbildning, anställning, kunskaper, färdigheter, anlag och intressen som har betydelse för bedömningen av den registrerades användbarhet inom totalförsvaret,
4. fysisk och psykisk hälsa och förmåga samt de uppgifter som ligger till grund för bedömningen härav,
5. om den registrerade är svensk medborgare eller inte,
6. utgången i mål om ansvar för brott mot totalförsvarsplikten,
7. att den registrerade har dömts till påföljd för brott som framgår av uppgift ur belastningsregistret som Totalförsvarets rekryteringsmyndighet (Rekryteringsmyndigheten) fått del av,
8. att den registrerade genomgått säkerhetsprövning enligt säkerhetsskyddslagen (1996:627), vilken säkerhetsklass prövningen avsett och resultatet av denna,
9. vad som bestämts vid inskrivningen för att fullgöra värnplikt eller civilplikt,
10. krigsplacering, annat ianspråktagande av den registrerade för totalförsvaret eller särskild uppgift som han eller hon ska utföra vid höjd beredskap,
11. tjänstgöring inom totalförsvaret och betyg, vitsord, förordnanden och utmärkelser som hör till denna, och
12. personliga förhållanden i övrigt som åberopas av den registrerade, om de rör hans eller hennes tjänstgöring inom totalförsvaret.
Annans registrering och rättelse av uppgifter
4 § Försvarsmakten får i Rekryteringsmyndighetens informationssystem endast föra in och rätta uppgift om
1. personnummer eller samordningsnummer, namn, adress, telefonnummer och folkbokföringsort,
2. krigsplacering, annat ianspråktagande av den registrerade för totalförsvaret eller särskild uppgift som han eller hon ska utföra vid höjd beredskap, och
3. tjänstgöring inom totalförsvaret och betyg, vitsord, förordnanden och utmärkelser som hör till denna.
5 § Rekryteringsmyndigheten ska ställa de villkor för direktåtkomsten och registreringen av personuppgifter som myndigheten bedömer vara nödvändiga för att säkerställa en lämplig säkerhetsnivå.
Avskiljande
6 § Rekryteringsmyndigheten får meddela föreskrifter om avskiljande av personuppgifter enligt 15 § första stycket totalförsvarsdatalagen.
1. Denna förordning träder i kraft den 1 november 2018.
2. Genom förordningen upphävs förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga.
2. Utredningens uppdrag och arbete
2.1. Uppdraget
Vårt övergripande uppdrag har varit att göra en översyn av regleringen av behandlingen av personuppgifter om totalförsvarspliktiga, dvs. lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga och förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga, och lämna förslag till en ny lag och förordning. I denna del av uppdraget har det ingått att kartlägga Totalförsvarets rekryteringsmyndighets (härefter Rekryteringsmyndigheten) behandling av personuppgifter. Dessutom skulle en analys göras om fler personalkategorier än totalförsvarspliktiga bör ingå i den nya regleringen. Inom ramen för översynen har det också ingått att analysera om förändringar inom totalförsvaret och på försvarsområdet bör påverka lagstiftningen. Dessutom har det ingått i uppdraget att beakta den ändring som har skett genom införandet av 2 kap. 6 § andra stycket regeringsformen, som innebär krav på lagreglering i vissa fall, när förslaget till ny lagstiftning utformas. Den personuppgiftsbehandling som utförs inom Rekryteringsmyndighetens civila uppdragsverksamhet har inte ingått i uppdraget.
Vi har även haft i uppdrag att analysera vilket förhållande lagstiftningen ska ha dels till EU:s dataskyddsreglering och den kompletterande nationella lagstiftning som Dataskyddsutredningen (Ju 2016:04) föreslår i sitt betänkande Ny dataskyddslag. Komplet-
terande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39),
dels till annan reglering på området. I denna del har det ingått att analysera möjligheterna till en helt fristående lagstiftning.
Vi har varit oförhindrade att ta upp och belysa även andra frågeställningar som är relevanta för uppdraget. Om det på grund av data-
skyddsförordningens ikraftträdande eller personuppgiftslagens (1998:204) och personuppgiftsförordningens (1998:1191) upphävande krävs kompletterande nationella bestämmelser i andra delar än i dem som ska utredas särskilt, har det varit vårt uppdrag att föreslå sådana bestämmelser.
Utgångspunkten för vårt uppdrag och den reglering som föreslås är att Rekryteringsmyndighetens verksamhet ska kunna bedrivas effektivt med rationellt datorstöd samtidigt som enskildas rätt till personlig integritet tillgodoses.
Utredningens direktiv (dir. 2016:103) finns i bilagan.
2.2. Utredningsarbetet
Utredningsarbetet påbörjades i januari 2017 och har bedrivits på sedvanligt sätt med regelbundna sammanträden med sakkunniga och experter. Utredningen har haft sju sådana sammanträden, varav ett i form av ett tvådagars internatsammanträde. Även informella kontakter inom utredningen har förekommit.
Under utredningstiden har utredaren samrått med Socialdataskyddsutredningen (S 2016:05) och Utredningen om behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt (Fö 2017:03).
Parallellt med vår utredning har flera andra utredningar haft i uppdrag att lämna förslag till anpassning av befintlig lagstiftning inom olika sektorer till dataskyddsförordningen. Med anledning av detta bildades i september 2016 en informell samordningsgrupp bestående av sekretariaten från ett femtontal utredningar, bl.a. Dataskyddsutredningen. Samordningsgruppen har utgjort ett forum för dialog om gemensamma frågor om terminologi, avgränsningar, rättsliga bedömningar m.m. i arbetet med att anpassa nationell lagstiftning till dataskyddsförordningen och den kompletterande dataskyddslagen. Utredningens sekretariat har deltagit vid gruppens möten under våren 2017.
Under utredningstiden har sekretariatet besökt Rekryteringsmyndighetens huvudkontor i Karlstad. Besöket skedde bl.a. som ett led i inhämtandet av underlag för kartläggningsuppdraget och för att få information om den behandling av personuppgifter som sker hos Rekryteringsmyndigheten. Sekretariatet har även haft ett
möte med Krigsarkivet, vid vilket även en av experterna deltog. Mötet syftade till att inhämta information och synpunkter i frågor om bevarande och gallring. Härutöver har sekretariatet fört en kontinuerlig dialog med samt inhämtat upplysningar och synpunkter från Rekryteringsmyndigheten, Försvarsmakten och Datainspektionen.
Utredningsarbetet har bedrivits i nära samarbete med sakkunniga och experter. Med hänsyn till detta redovisas arbetet och betänkandetexten med användande av ”vi-form”, även om det inte funnits fullständig samsyn i alla delar.
2.3. Betänkandets disposition
Framställningen i det följande inleds i kapitel 3 med en redogörelse för gällande nationell respektive internationell rätt till skydd för enskildas personliga integritet. I kapitel 4 beskrivs översiktligt personalförsörjningen inom totalförsvaret och Rekryteringsmyndighetens organisation och verksamhet. I kapitel 5 redovisas Rekryteringsmyndighetens behandling av personuppgifter inom verksamhetsområdet. I kapitel 6 presenteras de allmänna utgångspunkterna för utformningen av den nya regleringen och i kapitel 7 behandlas de allmänna bestämmelserna i förslaget till totalförsvarsdatalag. I kapitel 8 redogörs för våra överväganden och förslag i fråga om rättslig grund och tillåtna primära och sekundära ändamål för behandlingen av personuppgifter. I kapitel 9 redovisas våra överväganden och förslag om hur en ny reglering av Rekryteringsmyndighetens behandling av personuppgifter bör utformas. I kapitel 10 behandlas vissa andra frågor av särskild vikt för dataskyddet, bl.a. den registrerades rätt till rättelse och skadestånd samt tillsynsmyndighetens befogenhet att besluta om administrativa sanktionsavgifter. Härefter följer våra överväganden och förslag om bevarande och gallring i kapitel 11 och om sekretess i kapitel 12. De avslutande kapitlen 13, 14 och 15 innehåller ikraftträdandebestämmelser, konsekvensbedömningar samt författningskommentar.
3. Gällande regler om personuppgiftsbehandling och enskildas rätt till personlig integritet
3.1. Nationell reglering till skydd för den personliga integriteten
3.1.1. Regeringsformen
Regeringsformen innehåller grundläggande bestämmelser till skydd för den personliga integriteten. Enligt målsättningsstadgandet i 1 kap. 2 § första stycket ska den offentliga makten utövas med respekt bl.a. för den enskilda människans frihet och enligt fjärde stycket ska det allmänna värna om den enskildes privat- och familjeliv. Bestämmelsen har dock inte någon bindande verkan för det allmänna och kan följaktligen inte ligga till grund för några individuella rättigheter (prop. 1975/76:209, s. 128 och prop. 2009/10:80, s. 173). I 2 kap. regeringsformen finns bestämmelser som skyddar enskildas integritet i en vidare mening. Förbud mot allvarliga fysiska integritetsintrång som bl.a. döds- och kroppsstraff finns i 2 kap. 4 och 5 §§ och enligt 6 § första stycket samma kapitel är var och en skyddad gentemot det allmänna mot påtvingade kroppsliga ingrepp.
För att stärka skyddet för den personliga integriteten infördes den 1 januari 2011 ett nytt andra stycke i 2 kap. 6 § regeringsformen. Enligt bestämmelsen är var och en skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsning av skyddet får enligt 2 kap. 20 § göras i lag men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får inte gå utöver vad
som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen. Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning (2 kap. 21 §).
3.1.2. Personuppgiftslagen
Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204). Bestämmelserna i personuppgiftslagen syftar till att skydda enskilda mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen är generellt tillämplig och gäller den behandling av personuppgifter som utförs av myndigheter och enskilda med undantag för rent privat personuppgiftsbehandling.
Personuppgiftslagen är subsidiär i förhållande till annan lag eller förordning (2 §). Det innebär att om det finns en annan lag eller förordning som avviker från personuppgiftslagen, ska de bestämmelserna tillämpas i stället. Sådana avvikande bestämmelser finns ofta i särskilda registerförfattningar som reglerar behandling av personuppgifter i register och andra personuppgiftssamlingar i den offentliga sektorn.
Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 §). Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter är att betrakta som behandling av personuppgifter. I personuppgiftslagen nämns som exempel på sådan åtgärd bl.a. insamling, registrering, lagring, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter (3 §).
Personuppgiftslagen gäller för all behandling av personuppgifter som är helt eller delvis automatiserad (5 §). Det innebär att även personuppgifter som framgår av bilder och ljud omfattas. Avgörande är att personuppgifterna är föremål för automatiserad behandling, vilket innebär att även manuellt insamlade uppgifter som sedan behandlas automatiserat omfattas av lagen. Lagen gäller även för
manuella register om uppgifterna är strukturerade eller ordnade så att de är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Ett manuellt register som innehåller personuppgifter men som inte är sökbart med hjälp av någon personuppgift, exempelvis namn eller personnummer, omfattas alltså inte av lagen.
Det finns några viktiga undantag från personuppgiftslagens tilllämpningsområde. Enligt 5 a § gäller inte flera av lagens hanteringsregler vid behandling av personuppgifter i ostrukturerat material så länge behandlingen inte innebär en kränkning av den registrerades personliga integritet. Lagen gäller inte heller för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §). Vidare gäller lagen inte i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen (7 § första stycket). Sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande faller också utanför personuppgiftslagens tillämpningsområde (7 § andra stycket). Vidare gäller inte lagen i den utsträckning det skulle inskränka offentlighetsprinipen (8 § första stycket). Bestämmelserna hindrar inte heller att en myndighet arkiverar eller bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet (8 § andra stycket). Regeringen får också meddela föreskrifter om undantag från flera bestämmelser i personuppgiftslagen om det är nödvändigt med hänsyn till bl.a. rikets säkerhet, försvaret, allmän säkerhet och skyddet av fri- och rättigheter (8 a §).
I 9 § anges de krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter. Den personuppgiftsansvarige ska se till att personuppgifter behandlas lagligt, på ett korrekt sätt och i enlighet med god sed. Därtill får personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det innebär att ändamålen med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in. Personuppgifterna får sedan inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Denna s.k. finalitetsprincip är av central betydelse vid behandling av personuppgifter och innebär att en prövning måste göras av om eventuella nya ändamål med behandlingen är oförenliga med de ursprungligt angivna ändamålen.
Personuppgifterna ska vidare vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Den personuppgiftsansvarige ansvarar också för att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Därutöver ska de uppgifter som behandlas vara riktiga och, om det är nödvändigt, aktuella. Alla rimliga åtgärder ska också vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Slutligen anges i 9 § att personuppgifter inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Avgörande för hur länge personuppgifterna får bevaras är det ursprungliga ändamålet som bestämdes vid insamlingen av uppgifterna. Därefter måste uppgifterna avidentifieras eller förstöras.
För att behandling av personuppgifter ska vara tillåten krävs, utöver de i 9 § uppställda kraven, att något av villkoren i 10 § föreligger. Bestämmelsen anger uttömmande i vilka fall personuppgifter får behandlas. Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för vissa i lagen särskilt angivna fall. Att behandlingen ska vara nödvändig kan inte rimligen innebära att det ska vara faktiskt omöjligt att utföra en arbetsuppgift utan sådan behandling av personuppgifter som omfattas av lagen. Kan en arbetsuppgift däremot utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, kan det inte anses nödvändigt att behandla personuppgifterna. Det räcker sannolikt att det innebär en påtaglig förenkling för den personuppgiftsansvarige att personuppgifter behandlas på automatiserad väg (Öman, S., Lindblom, H-O., Personuppgiftslagen, 4 uppl., 2016, Zeteo, kommentaren till 10 §, härefter Öman m.fl.). Om nödvändighetskravet är uppfyllt får personuppgifter behandlas utan den enskildes samtycke för att
a) ett avtal med den registrerade ska kunna fullgöras eller åtgärder
som den registrerade begärt ska kunna vidtas innan ett avtal träffas,
b) den personuppgiftsansvarige ska kunna fullgöra en rättslig skyl-
dighet,
c) vitala intressen för den registrerade ska kunna skyddas,
d) en arbetsuppgift av allmänt intresse ska kunna utföras,
e) den personuppgiftsansvarige eller en tredje man till vilken person-
uppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller
f) ett ändamål som rör ett berättigat intresse hos den personupp-
giftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
Känsliga personuppgifter, dvs. uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i en fackförening eller som rör hälsa eller sexualliv får som huvudregel inte behandlas enligt personuppgiftslagen (13 §). Det kan dock vara tillåtet att behandla känsliga personuppgifter om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna (15 §). Behandling av känsliga personuppgifter kan också vara tillåten om den kan anses vara nödvändig enligt vissa i personuppgiftslagen angivna förutsättningar, exempelvis för att skydda den registrerades eller någon annans vitala intressen om denne inte kan lämna sitt samtycke eller för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras (16 §). Behandling kan vidare vara nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård (18 §). Slutligen kan känsliga personuppgifter under vissa förhållanden behandlas av ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte inom ramen för sin verksamhet samt för forsknings- och statistikändamål (17 och 19 §§).
Regeringen eller den myndighet som regeringen bestämmer, i det här fallet Datainspektionen, får meddela föreskrifter om ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse (20 §).
I 21 § regleras behandling av personuppgifter som rör lagöverträdelser m.m. Det är enligt bestämmelsen förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Detta gäller även om den enskilde har lämnat sitt samtycke till annan behandling. Sådana uppgifter får dock behandlas för forskningsändamål av andra än
myndigheter, om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor. Regeringen eller den myndighet som regeringen bestämmer, dvs. Datainspektionen, får dock meddela föreskrifter om undantag från förbudet och de får även besluta om undantag i enskilda fall.
Dataskyddsdirektivet ställer krav på att medlemsstaterna ska reglera användningen av personnummer i lag. Enligt 22 § får uppgifter om personnummer eller samordningsnummer behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
Bestämmelser om i vilka fall information om behandling av personuppgifter ska lämnas till den enskilde finns i 23–27 §§. Om personuppgifter samlas in från den enskilde själv, ska den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna (23 §). Om uppgifterna har samlats in från någon annan källa, ska sådan information lämnas till den registrerade när uppgifterna registreras (24 §). Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut första gången. Informationskravet gäller inte om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. Information behöver inte heller lämnas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, ska dock information lämnas senast i samband med att åtgärden vidtas.
Den information som lämnas till den registrerade ska innehålla all information som kan behövas för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen, t.ex. uppgift om den personuppgiftsansvariges identitet och ändamålet med behandlingen (25 §). Den personuppgiftsansvarige är också skyldig att till den som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller inte (26 §). Behandlas sådana uppgifter ska skriftlig information lämnas om vilka uppgifter som behandlas, varifrån de har hämtats, ändamålen med behandlingen och till vem de lämnas ut. Sådan information behöver dock inte lämnas när det gäller personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör en minnesanteckning eller liknande.
Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man, om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.
Bestämmelserna om informationsplikt gäller dock inte om sekretess eller tystnadsplikt är föreskriven för uppgifterna (27 §).
På begäran av den registrerade är den personuppgiftsansvarige skyldig att snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen (28 §). Om felaktiga uppgifter har lämnats ut till tredje man är den personuppgiftsansvarige i vissa fall skyldig att underrätta denne om rättelsen. Det ska ske om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Tredje man behöver dock inte underrättas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
För att säkerställa en hög säkerhetsnivå vid behandling av personuppgifter finns särskilda bestämmelser om detta i 30–32 §§.
Det är förbjudet att föra över personuppgifter till tredje land, dvs. en stat utanför EU eller EES, som inte har en adekvat nivå för skyddet av personuppgifterna (33 §). Förbudet gäller i princip alla personuppgifter. Under vissa förutsättningar är det dock tillåtet att föra över uppgifter till tredje land under förutsättning att den registrerade antingen gett sitt samtycke eller överföringen är nödvändig bl.a. för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, eller för att vitala intressen för den registrerade ska kunna skyddas (34 §). Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Regeringen får meddela föreskrifter om ytterligare undantag från förbudet mot överföring (35 §).
Behandling av personuppgifter ska som huvudregel anmälas till Datainspektionen i dess egenskap av tillsynsmyndighet. En anmälan behöver dock inte göras om det finns ett personuppgiftsombud eller om något av de i personuppgiftsförordningen (1998:1191) föreskrivna undantagen är tillämpligt (36 och 37 §§).
Vidare finns det i personuppgiftslagen bestämmelser om personuppgiftsombud (38–40 §§), krav på förhandskontroll i vissa fall (41 §), allmän informationsskyldighet (42 §) och tillsynsmyndighetens befogenheter (43–47 §§). Det finns också bestämmelser om skadestånd och straff (48–49 §§) samt om överklagande (51–53 §§).
3.1.3. Särskilda registerförfattningar
Syftet med särskilda registerförfattningar är att anpassa skyddet för enskildas personliga integritet vid myndigheters personuppgiftsbehandling när det finns ett behov av att avvika från eller komplettera personuppgiftslagens bestämmelser. Inom olika verksamhetsområden i den offentliga sektorn är det inte ovanligt att myndigheter har särskilda behov som tillgodoses genom att i en registerförfattning ge ett anpassat integritetsskydd vid myndighetens hantering av personuppgifter. Riksdagen har sedan lång tid tillbaka också gett uttryck för uppfattningen att myndighetsregister med ett stort antal registrerade och med ett känsligt innehåll ska regleras särskilt i lag (prop. 1990/91:60, s. 50, KU 1990/91:11 s. 11 och prop. 1997/98:44, s. 41).
Det finns ett stort antal lagar om behandling av personuppgifter som gäller i viss verksamhet eller för ett visst register. Exempel på sådana särskilda registerförfattningar är patientdatalagen (2008:355), polisdatalagen (2010:361) och domstolsdatalagen (2015:728). Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga regleras också i en särskild registerförfattning som beskrivs vidare nedan.
3.1.4. Offentlighets- och sekretesslagen
Offentlighets- och sekretesslagen (2009:400) innehåller ett flertal bestämmelser om sekretess till skydd för uppgifter om enskildas personliga förhållanden, vilka också medför ett skydd för enskildas personliga integritet. I 21 kap. 7 § anges att sekretess gäller för en personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Bestämmelsen är tillämplig hos sådana myndigheter som är personuppgiftsansvariga eller som annars har tillgång till personuppgifter. Be-
dömningen tar dock inte sikte på om myndighetens eget utlämnande av uppgifter skulle strida mot personuppgiftslagen utan på om det kan antas att mottagaren efter utlämnandet kommer att behandla uppgiften i strid med personuppgiftslagen (Lenberg, E., Geijer, U., Tansjö, A., Offentlighets- och sekretesslagen, 1 januari 2017, Zeteo, kommentaren till 21 kap. 7 §, härefter Lenberg m.fl.).
3.2. Internationell reglering till skydd för den personliga integriteten
3.2.1. Dataskyddsdirektivet
Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i dataskyddsdirektivet. Direktivet har genomförts i medlemsstaterna genom nationell lagstiftning och i Sverige främst genom personuppgiftslagen. På EU-nivå finns andra rättsakter som kompletterar dataskyddsdirektivet, bl.a. rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, det s.k. dataskyddsrambeslutet.
Dataskyddsdirektivet syftar till att garantera en hög och likvärdig skyddsnivå i alla medlemsstater när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Medlemsstaterna får inom direktivets ram närmare precisera villkoren för när behandling av personuppgifter får förekomma under förutsättning att de inhemska reglerna inte hindrar det fria flödet av personuppgifter inom unionen. Direktivet gäller dock inte för behandling av personuppgifter på områden som faller utanför gemenskapsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.
Dataskyddsdirektivet är tillämpligt på all behandling av uppgifter om fysiska personer som sker helt eller delvis på automatiserad väg. Direktivet omfattar även manuell behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Med register avses varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier. Direktivet omfattar inte behandling av personuppgifter för privat bruk.
Enligt direktivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligt angivna vid tidpunkten för insamling av uppgifterna och uppgifterna får inte senare användas på ett sätt som är oförenligt med de ursprungliga ändamålen. Under förutsättning att lämpliga skyddsåtgärder finns, anses dock senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål inte vara oförenligt med dessa ändamål.
Personuppgifter får behandlas när den enskilde otvetydigt har lämnat sitt samtycke därtill. Därutöver får personuppgifter endast behandlas i vissa särskilt angivna fall, bl.a. om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åligger den registeransvarige eller för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning. Personuppgifter får även behandlas om intresset av att den registeransvarige får behandla uppgifterna väger tyngre än den registrerades intresse av att de inte behandlas.
Enligt direktivet ska behandling av vissa kategorier av uppgifter (känsliga personuppgifter) som huvudregel förbjudas av medlemsstaterna. Det gäller uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. Det finns dock i direktivet vissa angivna undantag från denna huvudregel, bl.a. om det finns ett uttryckligt samtycke från den registrerade, för ideella organisationers medlemsregister och för hälso- och sjukvårdens administration. Medlemsstaterna får också i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag från förbudet än dem som anges i direktivet, dock under förutsättning att det sker av hänsyn till ett viktigt allmänt intresse och att lämpliga skyddsåtgärder vidtas.
När personuppgifter samlas in ska den registrerade informeras om bl.a. vem som är registeransvarig och vad uppgifterna ska användas till. Har uppgifterna inte samlats in från den registrerade själv behöver den registeransvarige dock inte lämna någon information i de fall den registrerade redan känner till informationen eller om det skulle visa sig vara omöjligt eller innebära en arbetsinsats som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna.
Har uppgifterna inte behandlats i enlighet med direktivet, har den registrerade också rätt att få uppgifterna rättade, utplånade eller blockerade. Direktivet innehåller även regler om säkerhet vid behandlingen.
All behandling av personuppgifter ska enligt huvudregeln i direktivet anmälas till en tillsynsmyndighet. Medlemsstaten kan dock genom bransch- och sektorsspecifik reglering eller motsvarande undanta sådan behandling av personuppgifter som inte kränker enskildas fri- och rättigheter från anmälningsskyldigheten. Den registrerade har också rätt att få sina rättigheter enligt nationell lag prövad av tillsynsmyndigheten och av domstol. Tillsynsmyndigheten ska vara ett oberoende organ med befogenhet att undersöka och ingripa effektivt mot otillåten behandling av personuppgifter.
Överföring av personuppgifter till ett tredje land får i princip endast ske om det mottagande landet har en adekvat skyddsnivå.
Europeiska unionens stadga om de grundläggande rättigheterna
Europeiska unionens stadga om de grundläggande rättigheterna (EUstadgan) antogs av EU:s medlemsstater i Nice år 2000. Lissabonfördraget, som trädde i kraft år 2009, innebär att EU-stadgan numera är rättsligt bindande för medlemsstaterna vid tillämpning av unionsrätten. Stadgan ska således inte tillämpas på nationell lagstiftning inom områden där EU inte har lagstiftningskompetens. Genom stadgan kodifierades de grundläggande fri- och rättigheterna som EU redan hade erkänt.
I EU-stadgan anges de sex grundläggande rättigheterna: värdighet, frihet, jämlikhet, solidaritet, medborgarskap och rättvisa. I likhet med bestämmelserna i den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) förbjuder stadgan bl.a. tortyr, slaveri och tvångsarbete och ger ett skydd för människans rätt till frihet och säkerhet samt rätten till en rättvis rättegång. Stadgan innehåller dessutom ytterligare rättigheter som inte finns med i Europakonventionen, t.ex. personuppgiftsskydd.
Skyddet för den personliga integriteten beskrivs som en rätt för var och en till fysisk och mental integritet (artikel 3). Alla har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kom-
munikationer (artikel 7). I artikel 8 anges att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Personuppgifterna ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim grund. Vidare ska var och en ha rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna efterlevs.
Varje begränsning av stadgans fri- och rättigheter ska vara föreskriven i lag och förenlig med det väsentliga innehållet i stadgan. Proportionalitetsprincipen ska beaktas och begränsningar får endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors fri- och rättigheter. I de fall stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska de ha samma innebörd och räckvidd som i konventionen (artikel 52). Bestämmelsen hindrar dock inte unionsrätten från att tillförsäkra ett mer långtgående skydd.
3.2.2. EU:s dataskyddsreform
I syfte att ytterligare harmonisera och effektivisera skyddet av personuppgifter har ett omfattande reformarbete pågått inom EU sedan år 2012. Den 27 april 2016 antog rådet och Europaparlamentet en dataskyddsförordning med en generell reglering som ska ersätta dataskyddsdirektivet. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), härefter dataskyddsförordningen, ska börja tillämpas i medlemsstaterna den 25 maj 2018. Dataskyddsförordningen gäller dock inte för sådan behandling av personuppgifter som utförs av behöriga myndigheter för ändamålen att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder. Sådan behandling regleras i stället genom det nya dataskyddsdirektivet, Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra
brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. Det nya direktivet ersätter alltså dataskyddsrambeslutet.
Dataskyddsförordningen är direkt tillämplig i medlemsstaterna och kommer därför att ersätta såväl dataskyddsdirektivet som den nationella lagstiftning som antagits för att genomföra direktivet, dvs. i Sverige framför allt personuppgiftslagen. En särskild utredare har fått i uppdrag att föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som förordningen ger upphov till. Utredaren redovisade sitt uppdrag den 12 maj 2017 genom betänkandet Ny dataskyddslag. Kompletterande bestämmelser till
EU:s dataskyddsförordning. (SOU 2017:39). Även registerförfatt-
ningar och annan sektorsspecifik nationell lagstiftning som berörs av dataskyddsförordningens tillämpningsområde är föremål för en översyn. Förordningen lämnar ett visst utrymme för medlemsstaterna att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av förordningen. Den nya regleringen för Rekryteringsmyndighetens personuppgiftsbehandling och dess förhållande till dataskyddsförordningen och den kompletterande dataskyddslagen behandlas i kapitel 6–11.
3.2.3. Övriga internationella åtaganden och överenskommelser
Förenta nationernas allmänna förklaring om de mänskliga rättigheterna m.m.
Förenta nationernas (FN) allmänna förklaring om de mänskliga rättigheterna antogs år 1948 av FN:s generalförsamling. Förklaringen omfattar politiska, medborgerliga, sociala, ekonomiska och kulturella rättigheter. Även om den allmänna förklaringen inte är bindande för medlemsstaterna ses den som ett uttryck för den internationella opinionens krav.
Skyddet för den personliga integriteten behandlas i artikel 12. Där anges att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. Vidare anges i
artikel 29 att en person endast får underkastas sådana inskränkningar som har fastställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras fri- och rättigheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.
FN har också antagit den internationella konventionen om medborgerliga och politiska rättigheter som trädde i kraft år 1976, till vilken Sverige är ansluten. Skyddet för den personliga integriteten regleras i artikel 17 i konventionen, vilken till sitt innehåll är likvärdig med ovan nämnda artikel 12 i den allmänna förklaringen. Kommittén för de mänskliga rättigheterna (Human Rights Committee) har inrättats för att övervaka att medlemsstaterna efterlever sina skyldigheter enligt konventionen.
I sammanhanget bör också nämnas att FN:s generalförsamling år 1990 antog riktlinjer om datoriserade register med personuppgifter. Enligt riktlinjerna får medlemsstaterna i den nationella lagstiftningen avseende datoriserade register med personuppgifter inte samla in eller behandla personuppgifter på ett olagligt sätt eller använda uppgifterna för syften som står i strid med FN:s stadga. Ändamålet med ett register ska vara specificerat, berättigat och på något sätt uttryckligt angivet för den som berörs. Detta för att försäkra att alla personuppgifter som samlas in och behandlas är relevanta och adekvata för det angivna ändamålet, att uppgifterna inte används i strid med ändamålet och att uppgifterna inte bevaras längre än som krävs för att uppfylla det angivna ändamålet.
Europakonventionen
De rättigheter som anges i FN:s allmänna förklaring om de mänskliga rättigheterna har utvecklats vidare i Europakonventionen. Europakonventionen gäller sedan den 1 januari 1995 som lag i Sverige (prop. 1993/94:117). Av 2 kap. 19 § regeringsformen framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.
Det är framför allt artikel 8 i konventionen som har betydelse för skyddet av den personliga integriteten. Av artikeln framgår att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte in-
skränka denna rätt annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd, till förebyggande av oordning eller brott, till skydd för hälsa och moral eller för andra personers fri- och rättigheter. Tillämpningsområdet för artikeln omfattar behandling av personuppgifter om privatliv, familjeliv, hem eller korrespondens. Artikeln innebär att staten ska avhålla sig från ingrepp i den skyddade rättigheten men också en skyldighet för staten att vidta åtgärder för att skydda den enskildes privata sfär (Danelius, H., Mänskliga rättigheter i europeisk praxis, 4 uppl., 2012, s. 347 f.).
En inskränkning i en konventionsskyddad rättighet ska ha stöd i lag. Lagen ska vara så preciserad att inskränkningarna är förutsebara och att lagen är allmänt tillgänglig. Europadomstolen har i praxis slagit fast att intrånget ska vara nödvändigt, dvs. det ska finnas ett ”angeläget samhälleligt behov” och inskränkningen ska stå i rimlig proportion till det syfte som ska tillgodoses genom den.
Europarådets dataskyddskonvention
Dataskyddskonventionen antogs av Europarådets ministerkommitté år 1981 och trädde i kraft den 1 oktober 1985. Samtliga EU:s medlemsstater har i egenskap av medlemmar i Europakonventionen ratificerat konventionen. Dataskyddskonventionen innehåller principer för dataskydd som de anslutna staterna måste iaktta i sin nationella lagstiftning.
Dataskyddskonventionen syftar till att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatiserad databehandling av personuppgifter. Konventionens tillämpningsområde är automatiserade personregister och automatiserad databehandling av personuppgifter i allmän och enskild verksamhet. En konventionsstat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet.
De grundläggande principerna för dataskydd innebär bl.a. krav på att personuppgifter som undergår automatiserad databehandling ska hämtas in och behandlas på ett korrekt och lagligt sätt för särskilt angivna ändamål. Uppgifterna ska vara relevanta för dessa
ändamål och får inte senare användas på ett sätt som är oförenligt med dessa ändamål. Uppgifterna får inte bevaras längre tid än vad som är nödvändigt med avseende på ändamålet. Uppgifter som avslöjar ras, politiska åsikter, hälsa och sexualliv samt att någon dömts för brott, får inte behandlas om inte nationell lag ger ett ändamålsenligt skydd. Konventionen innehåller också bestämmelser om bl.a. krav på säkerhetsåtgärder, information till den registrerade samt sanktioner och rättsmedel vid brott mot en konventionsskyddad rättighet. Konventionens bestämmelser kan ses som en precisering av skyddet för enskilda enligt artikel 8 i Europakonventionen vid användning av automatiserad databehandling.
Eftersom det grundläggande skyddet vid automatiserad behandling av personuppgifter inom EU i dag regleras främst genom dataskyddsdirektivet, är dataskyddskonventionen fortfarande relevant vid behandling av personuppgifter på områden som faller utanför EU:s kompetensområde, t.ex. allmän säkerhet, försvar och statens säkerhet.
OECD:s riktlinjer
Organisationen för ekonomiskt samarbete och utveckling (OECD) har utarbetat riktlinjer angående integritetsskyddet och flödet av personuppgifter över gränserna. Riktlinjerna antogs år 1980 av OECD:s råd samtidigt som en rekommendation till medlemsländernas regeringar om att beakta riktlinjerna i nationell lagstiftning. Sverige har godtagit rekommendationerna och därmed åtagit sig att följa riktlinjerna.
Riktlinjerna, som är att betrakta som minimiregler, motsvarar i princip dataskyddskonventionens bestämmelser och är tillämpliga på personuppgifter inom både den offentliga och den privata sektorn. Riktlinjerna gäller såväl för uppgifter som lagras automatiskt som uppgifter som förs manuellt.
Riktlinjerna innehåller grundläggande principer till skydd för den personliga integriteten, bl.a. att personuppgifter ska vara relevanta för de ändamål för vilka de ska användas. Vidare anges att personuppgifterna även ska vara riktiga och fullständiga samt hållas aktuella. En annan grundläggande princip är att de ändamål för vilka
personuppgifterna samlades in ska vara preciserade senast vid insamlingen.
3.3. Reglering av Rekryteringsmyndighetens behandling av personuppgifter
I den verksamhet som Rekryteringsmyndigheten bedriver har det, på grund av verksamhetens särskilda karaktär och hantering av integritetskänsliga uppgifter, ansetts nödvändigt att reglera behandlingen av personuppgifter om totalförsvarspliktiga i en särskild lag, lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga (fortsättningsvis pliktregisterlagen). Lagen trädde i kraft den 24 oktober 1998. Pliktregisterlagen kompletteras av bestämmelser i förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga. Om inget annat följer av pliktregisterlagen eller av föreskrifter som meddelats med stöd av lagen, tillämpas personuppgiftslagen vid behandling av personuppgifter om totalförsvarspliktiga (4 §).
Enligt 1 § första stycket tillämpas pliktregisterlagen vid behandling av personuppgifter om totalförsvarspliktiga i den verksamhet Rekryteringsmyndigheten bedriver för att
1. ta fram underlag för beslut om inskrivning, krigsplacering eller
annat ianspråktagande av personal till totalförsvaret,
2. redovisa personal med uppgifter inom totalförsvaret,
3. säkerställa att den registrerade fortlöpande får ändamålsenlig
utbildning och lämplig placering inom totalförsvaret,
4. se till att den registrerade fullgör sina skyldigheter såvitt avser
totalförsvarsplikten,
5. tillgodose den registrerades rättigheter och trygghet i hans eller
hennes egenskap av totalförsvarspliktig, och
6. planera, följa upp och utvärdera den verksamhet som anges i 1–5.
Lagen gäller även i verksamhet som bedrivs av någon annan än Rekryteringsmyndigheten om det särskilt anges. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling
av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (1 § andra och tredje styckena). Med totalförsvarspliktiga jämställs vid tillämpningen av lagen personer som har en skyldighet att fullgöra en uppgift inom totalförsvaret vid höjd beredskap utan att skyldigheten grundar sig på totalförsvarsplikt (2 §).
I 5 § anges att personuppgifter som samlats in av Rekryteringsmyndigheten ska anses insamlade för de ändamål som anges i 1 § första stycket om inte myndigheten vid insamlingen uttryckligen angett att den sker för andra ändamål. Motsvarande gäller vid Rekryteringsmyndighetens behandling av uppgifter som annan myndighet samlat in.
Känsliga personuppgifter får som huvudregel endast behandlas om det är nödvändigt för de i lagen angivna ändamålen (6 §). Detsamma gäller även kommuner, landsting och statliga myndigheter om uppgifterna behövs för utredning om den totalförsvarspliktiges personliga förhållanden enligt 2 kap. 1 § lagen (1994:1809) om totalförsvarsplikt (s.k. annan utredning enligt 2 kap. 5 § samma lag).
Av 7 § följer att Rekryteringsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter om totalförsvarspliktiga som myndigheten utför.
I likhet med äldre registerförfattningar innehåller pliktregisterlagen bestämmelser om registerinnehåll, dvs. vilka kategorier av uppgifter och personer som får behandlas. I 8 § anges att i det automatiserade registret över totalförsvarspliktiga får personuppgifter föras in endast om den som (i) är eller har varit aktuell för mönstring eller annan utredning, (ii) genom avtal, beslut om krigsplacering eller på annat sätt är tagen i anspråk för totalförsvaret, (iii) ska utföra särskild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig för totalförsvaret, (iv) av en redan registrerad uppgetts som närstående, eller (v) nämns bland de uppgifter som åberopas av den registrerade, om de rör hans eller hennes tjänstgöring inom totalförsvaret. Därutöver får personuppgifter registreras om den som fattat beslut eller handlagt ärende som rör den registrerade hos Rekryteringsmyndigheten eller hos någon annan som utfört annan utredning. Detsamma gäller personuppgifter om den som gjort journalanteckning i samband med sådan utredning eller i samband med den registrerades tjänstgöring inom totalförsvaret (8 § tredje stycket).
I 9 § anges uttömmande vilka personuppgifter som får föras in i registret, bl.a. personnummer eller samordningsnummer, namn, adress, telefonnummer, folkbokföringsort, boende- och familjeförhållanden, utbildning, anställning, fysisk och psykisk hälsa och förmåga. Andra känsliga personuppgifter än sådana uppgifter som rör hälsa eller religiös övertygelse får inte föras in i registret. Uppgifter om religiös övertygelse får endast registreras om den registrerade har lämnat sitt uttryckliga samtycke till att uppgifterna behandlas i registret och de rör hans eller hennes tjänstgöring inom totalförsvaret (9 § andra stycket). Därutöver får beslut som rör totalförsvarsplikten liksom tidpunkter och tidsperioder för registrerade förhållanden samt erforderliga administrativa och tekniska uppgifter registreras (10 § första stycket). I 10 § andra och tredje stycket anges begränsningar i fråga om vilka uppgifter som får registreras för vissa i 8 § särskilt angivna personer. Regeringen får också meddela föreskrifter om ytterligare begränsningar av vad som får föras in i det automatiserade registret över totalförsvarspliktiga enligt 8 och 9 §§ (11 §).
Enligt 12 § har Rekryteringsmyndigheten direktåtkomst till det automatiserade registret över totalförsvarspliktiga. Regeringen får meddela föreskrifter om att annan får ha direktåtkomst till registret. Regeringen får även meddela föreskrifter om att annan än Rekryteringsmyndigheten får föra in personuppgifter i registret och rätta dessa (13 §). I förordningen om behandling av personuppgifter om totalförsvarspliktiga anges vilka myndigheter m.fl. som får medges direktåtkomst, föra in och rätta uppgifter i registret.
I pliktregisterlagen finns bestämmelser om förbud mot vissa särskilt angivna sökbegrepp. Enligt 14 § första stycket får personuppgifter som avses i 9 § första stycket 2 och 3 samt 5–9 inte användas som sökbegrepp annat än om det behövs för tillsyn, uppföljning eller utvärdering av Rekryteringsmyndighetens verksamhet eller för framtagande av material för forskning eller statistik. Det innebär att uppgift om hinder för genomförande av mönstring eller annan utredning, för utbildning eller för krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning inte får användas som sökbegrepp. Inte heller uppgift om boende- och familjeförhållanden och försörjning får enligt nuvarande reglering användas som sökbegrepp. Detsamma gäller uppgifter om resultat från kunskapsprov och anlagstester som utförts vid mönstring eller annan
utredning. Uppgift om fysisk och psykisk hälsa och förmåga jämte de uppgifter som ligger till grund för bedömningen härav faller också utanför vad som är tillåtet att använda som sökbegrepp. Som sökbegrepp får vidare inte användas uppgifter om den registrerade är svensk medborgare eller inte, utgången i mål om ansvar för brott mot totalförsvarsplikten eller att den registrerade har dömts till påföljd för brott som framgår av uppgift ur belastningsregistret. Slutligen får inte heller uppgift om att den registrerade genomgått säkerhetsprövning enligt säkerhetsskyddslagen (1996:627), vilken säkerhetsklass prövningen avsett och resultatet av denna användas som sökbegrepp.
I 15 § finns en bestämmelse om gallring. En personuppgift i det automatiserade registret över totalförsvarspliktiga ska gallras så snart uppgiften inte längre behövs för de i lagen angivna ändamålen. Personuppgifter beträffande den som (i) är eller har varit aktuell för mönstring eller annan utredning, (ii) genom avtal, beslut om krigsplacering eller på annat sätt är tagen i anspråk för totalförsvaret, eller (iii) ska utföra särskild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig för totalförsvaret, ska gallras senast vid utgången av det kalenderår den registrerade fyller 70 år, om inte han eller hon även därefter har en uppgift inom totalförsvaret vid höjd beredskap. Regeringen får meddela föreskrifter om kortare tid för gallring och undantag från skyldigheten att gallra personuppgifter i fråga om bevarande av material för forskningens behov. Sådana uppgifter ska dock avföras från registret vid den tidpunkt de annars skulle ha gallrats.
Bestämmelserna i personuppgiftslagen om Datainspektionens befogenheter att meddela förbud mot att behandla personuppgifter är inte tillämpliga vid personuppgiftsbehandling om totalförsvarspliktiga i Rekryteringsmyndighetens verksamhet. I 17 § anges att tillsynsmyndigheten enligt personuppgiftslagen inte får förbjuda Rekryteringsmyndigheten att behandla personuppgifter om totalförsvarspliktiga. Däremot gäller personuppgiftslagens bestämmelser om den personuppgiftsansvariges skyldighet att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man, till vilken uppgifterna har lämnats ut, även då personuppgifter har behandlats i strid med pliktregisterlagen eller föreskrifter som utfärdats med stöd av lagen (18 §). Även person-
uppgiftslagens bestämmelser om skadestånd är tillämpliga då personuppgifter har behandlats i strid med pliktregisterlagen (19 §).
4. Allmänt om personalförsörjningen och verksamheten
4.1. Personalförsörjningen inom totalförsvaret
Våren 2010 beslutade riksdagen att totalförsvarets personalförsörjning skulle bygga på frivillighet och inte på plikt. Bedömningen gjordes dock att totalförsvarsplikten i grunden skulle kvarstå med möjlighet att aktivera delar av totalförsvarsplikten (prop. 2009/10:160, s. 77 f.). Skyldigheten att genomgå mönstring och fullgöra värnplikt och civilplikt skulle aktiveras i det fall regeringen med hänsyn till Sveriges försvarsberedskap beslutade om detta. Skyldigheten att mönstra och fullgöra tjänstgöring skulle därmed vara ”vilande” till dess att regeringen beslutade annat. Därtill skulle skyldigheten att fullgöra tjänstgöring omfatta både kvinnor och män. I och med detta infördes ett nytt personalförsörjningssystem genom att personalförsörjningen av totalförsvaret skulle vila såväl på frivillighet som på plikt. I december 2014 beslutade regeringen att ge Försvarsmakten rätt att kalla in värnpliktig personal till repetitionsutbildning med stöd av lagen (1994:1809) om totalförsvarsplikt.1I och med beslutet aktiverades en del av den vilande totalförsvarsplikten.
Det försämrade omvärldsläget har föranlett en ny inriktning av det svenska försvaret. Riksdagens försvarspolitiska inriktning för perioden 2016–2020 innebär att den enskilt viktigaste målsättningen är att öka den operativa förmågan i Försvarsmaktens krigsförband och att säkerställa den samlade operativa förmågan i totalförsvaret (prop. 2014/15:109, s. 7). Krigsförbanden har en avgörande betydelse för att detta ska kunna uppnås och utgör grunden för det
1 Regeringsbeslut 2014-12-11, Fö nr I:15.
militära försvarets personalförsörjning. Regeringen har konstaterat att beroendet av krigsplacerad men inte anställd totalförsvarspliktig personal för att fullt kunna bemanna alla krigsförband kommer att kvarstå under överskådlig tid. Av den anledningen tillsatte regeringen en utredning, 2015 års personalförsörjningsutredning, som hade till uppgift att lämna förslag på en långsiktigt hållbar personalförsörjning av det militära försvaret. Utredningen, som överlämnade betänkandet En robust försörjning av det militära försvaret (SOU 2016:63) i september 2016, kom bl.a. fram till att regeringen under första kvartalet 2017 bör besluta att totalförsvarspliktiga ska vara skyldiga att genomgå mönstring respektive fullgöra grundutbildning med värnplikt.
Den 2 mars 2017 beslutade regeringen, i enlighet med Personalförsörjningsutredningens förslag, att aktivera skyldigheten för totalförsvarspliktiga att genomgå mönstring och fullgöra grundutbildning med värnplikt.2Enligt beslutet gäller skyldigheten att genomgå mönstring från och med den 1 juli 2017 och skyldigheten att fullgöra grundutbildning med värnplikt från och med den 1 januari 2018. Svenska kvinnor och män födda år 1999 och år 2000 kommer därmed att vara de första som berörs av aktiverad mönstring och grundutbildning med plikt. Under 2018 och 2019 förväntas Försvarsmakten genomföra grundutbildning med värnplikt för minst 4 000 personer, vilket innebär en prövning av cirka 13 000 personer per år.
4.1.1. Totalförsvarsplikten och totalförsvarspliktiga
Totalförsvaret, som enligt 1 § lagen (1992:1403) om totalförsvar och höjd beredskap avser den verksamhet som behövs för att förbereda Sverige för krig, är en angelägenhet för hela den svenska befolkningen. Sverige har en lång tradition av att tillgodose totalförsvarets behov av personal genom en lagstadgad plikt. Grunden härför har varit att var och en, under vissa särskilt angivna förutsättningar, ska delta i landets totalförsvar. Totalförsvaret består av dels militär verksamhet (militärt försvar), dels civil verksamhet (civilt försvar). Ansvaret för det militära försvaret åvilar huvudsakligen Försvars-
2 Regeringsbeslut 2017-03-02, Fö 2016/01252/MFI (delvis).
makten medan statliga myndigheter, kommuner, landsting m.fl. ansvarar för det civila försvaret.
Totalförsvarets personalförsörjning har under många år tryggats genom en för totalförsvaret gemensam tjänstgöringsskyldighet, benämnd totalförsvarsplikt. Totalförsvarsplikten infördes i Sverige den 1 juli 1995 genom lagen om totalförsvarsplikt i syfte att möjliggöra en samlad användning av tillgängliga personalresurser. Totalförsvarsplikten innebär en skyldighet för varje svensk medborgare – och för var och en som utan att vara svensk medborgare är bosatt i Sverige – att tjänstgöra inom totalförsvaret i den omfattning som hans eller hennes kroppskrafter och hälsotillstånd tillåter.
Totalförsvarsplikten omfattar både män och kvinnor och gäller från början av det kalenderår personen fyller 16 år till slutet av det kalenderår han eller hon fyller 70 år. Tjänstgöringen fullgörs som värnplikt, civilplikt eller allmän tjänsteplikt. Värnplikten och civilplikten omfattar grundutbildning, repetitionsutbildning, beredskapstjänstgöring och krigstjänstgöring. Den allmänna tjänsteplikten innebär att den som är totalförsvarspliktig ska tjänstgöra under höjd beredskap, om det behövs för att verksamhet som är av särskild vikt för totalförsvaret ska kunna upprätthållas. Höjd beredskap är antingen skärpt beredskap eller högsta beredskap. Enligt lagen om totalförsvar och höjd beredskap kan regeringen besluta om höjd beredskap i händelse av krigsfara eller sådana utomordentliga förhållanden som är föranledda av att det är krig utanför Sveriges gränser eller av att Sverige har varit i krig eller krigsfara. Är Sverige i krig råder högsta beredskap. Under högsta beredskap är totalförsvar all samhällsverksamhet som då ska bedrivas.
Sedan den 1 juli 2010 gäller skyldigheten att fullgöra värnplikt och civilplikt med längre grundutbildning för både män och kvinnor. Skyldigheten omfattar endast svenska medborgare och gäller från början av det kalenderår den totalförsvarspliktige fyller 19 år till slutet av det kalenderår han eller hon fyller 47 år. Värnplikten fullgörs hos Försvarsmakten. Civilplikten fullgörs i de verksamheter inom totalförsvaret som regeringen föreskriver men får inte omfatta annan verksamhet som är förenad med egentliga stridsuppgifter än ordnings- eller bevakningsuppgifter.
Den allmänna tjänsteplikten fullgörs genom att den totalförsvarspliktige (i) kvarstår i sin anställning eller fullföljer ett uppdrag, (ii) tjänstgör enligt avtal om frivillig tjänstgöring inom totalför-
svaret, eller (iii) utför arbete som anvisats honom eller henne av den myndighet som regeringen bestämmer. Regeringen eller den myndighet som regeringen bestämmer beslutar hos vilka arbetsgivare och uppdragsgivare som allmän tjänsteplikt ska fullgöras och vilka arbetstagare och uppdragstagare som ska omfattas av allmän tjänsteplikt. Om den allmänna tjänsteplikten ska fullgöras hos en statlig myndighet ankommer det dock på myndigheten att själv besluta om vilka arbetstagare och uppdragstagare som ska omfattas av tjänsteplikten. Beslut om allmän tjänsteplikt får inte fattas beträffande en totalförsvarspliktig som redan är krigsplacerad med stöd av lagen om totalförsvarsplikt.
4.1.2. Totalförsvarspliktig personal
Personer som fullgör värnplikt eller civilplikt enligt lagen om totalförsvarsplikt benämns totalförsvarspliktig personal. Genom Rekryteringsmyndigheten säkerställer Försvarsmakten kontinuerligt att samtliga krigsförband med tillhörande mobiliseringsreserver är uppfyllda med krigsplacerad personal. I krigsförbanden finns totalförsvarspliktig personal som är krigsplacerad med stöd av lagen om totalförsvarsplikt. Det är personal som tidigare genomfört grundutbildning med värnplikt eller som tidigare varit anställda som tidvis eller kontinuerligt tjänstgörande gruppbefäl, soldater och sjömän. Samtliga totalförsvarspliktiga som uppfyller kriterierna men inte är krigsplacerade i något krigsförband krigsplaceras i förbandsreserv eller personalreserv.
Osäkerheten avseende möjligheterna att fullt ut bemanna krigsförbanden med anställd personal innebär att behovet av krigsplacerad men inte anställd totalförsvarspliktig personal i krigsförbanden kommer att kvarstå under lång tid (prop. 2014/15:109 s. 88). Med anledning av detta har regeringen beslutat att Försvarsmakten ska införa en ny personalkategori benämnd med plikt tjänstgörande gruppbefäl, soldater och sjömän (GSS/P) bestående av grundutbildad men inte anställd totalförsvarspliktig personal.3Den totalförsvarspliktiga personalen ska genomgå repetitionsutbildning på samma
3 Regeringsbeslut 2015-06-25, Fö nr 7.
sätt som övrig i krigsförband krigsplacerad personal i enlighet med regeringsbeslutet i december 2014.
4.1.3. Annan personal inom totalförsvaret
Utöver totalförsvarspliktig personal finns annan personal inom totalförsvaret som kan indelas i huvudsakligen två kategorier: anställd personal och avtalspersonal. Utmärkande för denna personal är att deras tjänstgöringsskyldighet har sin grund i det anställningsavtal eller annat avtal som de ingått med Försvarsmakten eller sin arbetsgivare. Även om de skulle vara mellan 16 och 70 år och således i formell mening omfattas av totalförsvarsplikt, grundas deras tjänstgöring på avtalet och inte på plikt. Till annan personal inom totalförsvaret hör även personer med begränsade uppgifter, t.ex. enligt förfogandelagstiftningen, samt totalförsvarspliktiga som tjänstgör med allmän tjänsteplikt.
Anställd personal
Anställd personal indelas i kontinuerligt tjänstgörande personal, tidvis tjänstgörande personal och personal som är direktrekryterad för att tjänstgöra i en internationell militär insats.
Den kontinuerligt tjänstgörande personalen består av yrkesofficerare, kontinuerligt tjänstgörande anställda gruppbefäl, soldater och sjömän samt civila arbetstagare. Yrkesofficerare är tillsvidareanställda militära tjänstemän och är anställda med stöd av officersförordningen (2007:1268). Yrkesofficerare indelas i kontinuerligt tjänstgörande officerare respektive kontinuerligt tjänstgörande specialistofficerare. Kontinuerligt tjänstgörande gruppbefäl, soldater och sjömän är tidsbegränsat anställda med stöd av lagen (2012:332) om vissa försvarsmaktsanställningar eller med stöd av kollektivavtal. Civila arbetstagare, exempelvis hälso- och sjukvårdspersonal, präster, jurister och tekniker, kan vara antingen tillsvidareanställda eller tidsbegränsat anställda med stöd av lagen (1982:80) om anställningsskydd eller anställningsförordningen (1994:373). Utbildning och övning för dessa personer regleras i anställningsavtalet.
Den tidvis tjänstgörande personalen består av reservofficerare, tidvis tjänstgörande gruppbefäl, soldater och sjömän samt tidvis tjänstgörande specialister. Reservofficerare är tillsvidareanställda militära tjänstemän och är anställda med stöd av officersförordningen. Reservofficerare delas in i tidvis tjänstgörande officerare respektive tidvis tjänstgörande specialistofficerare. Tidvis tjänstgörande gruppbefäl, soldater och sjömän är anställda med stöd av lagen om vissa försvarsmaktsanställningar. Tidvis tjänstgörande specialister är anställda som gruppbefäl, soldater och sjömän för tidvis tjänstgöring med stöd av lagen om vissa försvarsmaktsanställningar. De är anställda utifrån sina civila fackkompetenser och består exempelvis av läkare, präster, jurister, tekniker och mekaniker.
Därutöver kan personal direktrekryteras och anställas tidsbegränsat för att tjänstgöra i en internationell militär insats med stöd av lagen (2010:449) om Försvarsmaktens personal vid internationella militära insatser eller med stöd av lagen om vissa försvarsmaktsställningar.
Avtalspersonal
Personal som inte är anställda inom totalförsvaret utan har tecknat avtal om tjänstgöring i Försvarsmakten benämns avtalspersonal. Hemvärnsmän är personal som har tecknat avtal om tjänstgöring i hemvärnet med stöd av hemvärnsförordningen (1997:146). Därutöver finns personal som inte är hemvärnsmän utan som antingen är anställda i Försvarsmakten och krigsplacerade i hemvärnet eller personal som tecknat avtal om tjänstgöring i hemvärnet med stöd av förordningen (1994:524) om frivillig försvarsverksamhet. Det finns också avtalspersonal som har sin befattning i krigsförband som inte ingår i hemvärnet. Avtalspersonal kan även tjänstgöra vid andra myndigheter inom totalförsvaret. Avtalspersonal ska vara medlemmar i en frivillig försvarsorganisation. De frivilliga försvarsorganisationerna finns förtecknade i förordningen om frivillig försvarsverksamhet.
4.1.4. Övrig personal inom Försvarsmakten
Officersaspiranter
Officersaspiranter genomgår antingen utbildning vid Försvarshögskolan som leder till en officersexamen (officerare) eller en grundläggande officersutbildning inom Försvarsmakten (specialistofficerare). Utbildningarna syftar till att officersaspiranterna ska få anställning som yrkes- eller reservofficer. De erhåller de förmåner som stadgas i 13 § officersförordningen.
Rekryter
Genom förordningen (2015:613) om militär grundutbildning infördes den 1 januari 2016 en ny militär grundutbildning. De rekryter som genomgår denna förlängda grundutbildning om minst 120 utbildningsdagar och högst 365 utbildningsdagar är inte anställda utan erhåller de förmåner som stadgas i förordningen. Den som genomgått utbildningen ska kunna krigsplaceras i en befattning inom Försvarsmakten enligt lagen om totalförsvarsplikt, anställas som kontinuerligt eller tidvis tjänstgörande gruppbefäl, soldat eller sjöman, påbörja utbildning som kan leda till anställning som yrkes- eller reservofficer eller teckna avtal som hemvärnsman.
Den 17 augusti 2017 beslutade regeringen att möjligheten att genomföra frivillig militär grundutbildning med stöd av förordningen om militär grundutbildning ska upphöra från och med den 1 januari 2018.4 Från och med denna tidpunkt får förordningen tilllämpas endast när regeringen beslutat att så kan ske med hänsyn till vad Sveriges försvarsberedskap tillåter. Detta framgår av 1 kap. 1 § andra stycket förordningen om militär grundutbildning, vilken träder i kraft den 1 januari 2018. Enligt övergångsbestämmelserna ska dock de som påbörjat frivillig militär utbildning före den 30 september 2017 få slutföra utbildningen i enlighet med förordningen.
4 Regeringsbeslut 2017-08-17, 2016/01252/MFI (delvis).
4.2. Utredningar om totalförsvarspliktigas personliga förhållanden
Enligt lagen om totalförsvarsplikt är alla totalförsvarspliktiga skyldiga att på begäran lämna uppgifter om sina personliga förhållanden. Även totalförsvarspliktiga som frivilligt anmäler intresse för att genomföra militär utbildning och i förlängningen ta anställning inom totalförsvaret omfattas av lagen om totalförsvarsplikt. Ansvaret för att samla in uppgifterna och på grundval av dessa utreda och bedöma om den totalförsvarspliktige har förutsättningar att fullgöra tjänstgöring inom totalförsvaret i form av värnplikt eller civilplikt åligger Rekryteringsmyndigheten.
4.2.1. Beredskapsunderlaget
Alla totalförsvarspliktiga, såväl kvinnor som män, är under det kalenderår som de fyller 18 år skyldiga att i ett webbaserat frågeformulär lämna uppgifter om vissa av sina personliga förhållanden. Uppgifterna sammanställs i det s.k. beredskapsunderlaget. Skyldigheten att lämna uppgifter i beredskapsunderlaget har gällt trots att värnplikten har varit vilande under åren 2010–2017. Från och med den 1 juli 2017 föreligger återigen en skyldighet för totalförsvarspliktiga att genomgå mönstring vid Rekryteringsmyndigheten. I 2 kap. 1 § lagen om totalförsvarsplikt anges:
För att en totalförsvarspliktigs förutsättningar att fullgöra värnplikt eller civilplikt ska kunna utredas och bedömas är han eller hon skyldig att, på begäran av Totalförsvarets rekryteringsmyndighet, en annan statlig myndighet som regeringen bestämmer, en kommun eller ett landsting, skriftligen eller muntligen eller, om det behövs, vid en personlig inställelse lämna nödvändiga uppgifter om hälsotillstånd, utbildning, arbete och personliga förhållanden i övrigt.
Med dessa uppgifter som grund kallar Rekryteringsmyndigheten de personer som bedöms lämpliga utifrån en samlad bedömning av hur motiverade de är och hur de i övrigt uppfyller Försvarsmaktens kravprofil till mönstring. Mönstringen ska ske genom att den totalförsvarspliktige personligen inställer sig. Vidare ska den omfatta medicinska och psykologiska undersökningar samt annan utredning av hans eller hennes personliga förhållanden (2 kap. 3 § lagen om totalförsvarsplikt).
Att inte inställa sig till mönstring efter kallelse är belagt med penningböter om inte den totalförsvarspliktige har giltiga skäl att utebli (2 kap. 5 § och 10 kap. 1 § lagen om totalförsvarsplikt). Efter genomförd mönstring fattar Rekryteringsmyndigheten ett beslut om den totalförsvarspliktige ska skrivas in eller inte. En totalförsvarspliktig ska skrivas in för värnplikt eller civilplikt eller i en utbildningsreserv om resultatet av mönstringen visar att den totalförsvarspliktige har förutsättningar att fullgöra värnplikt eller civilplikt(3 kap. 1 § lagen om totalförsvarsplikt). Om mönstringen visar att den totalförsvarspliktige saknar förutsättningar att fullgöra värnplikt eller civilplikt, ska Rekryteringsmyndigheten besluta att han eller hon inte är skyldig att fullgöra sådan tjänstgöring(3 kap. 3 § lagen om totalförsvarsplikt).
4.2.2. Annan utredning
En totalförsvarspliktig är även skyldig att lämna uppgifter om hälsotillstånd, utbildning, arbete och personliga förhållanden i övrigt på begäran av en länsstyrelse, Polismyndigheten, Säkerhetspolisen, Försvarsmakten, Post- och telestyrelsen, Trafikverket, Transportstyrelsen, Statens jordbruksverk, Migrationsverket, Statens energimyndighet och Affärsverket svenska kraftnät (4 kap. 5 § andra stycket förordningen [1995:238] om totalförsvarsplikt). På grundval av dessa uppgifter kan en mindre omfattande utredning än mönstring utföras hos nämnda myndigheter. Sådan utredning kallas för annan utredning (2 kap. 1 och 5 §§ lagen om totalförsvarsplikt).
Förutsättningarna för annan utredning är att den enskilde ska vara totalförsvarspliktig, dvs. bosatt i Sverige och mellan 16–70 år (1 kap. 2 § lagen om totalförsvarsplikt). Enligt Totalförsvarets rekryteringsmyndighets föreskrifter om totalförsvarsplikt (TRMFS 2017:1) får annan utredning göras för att fastställa en totalförsvarspliktigs förutsättningar att fullgöra värnplikt eller civilplikt. Utredningen behöver dock inte leda till inskrivning (7 kap. 3 §). Inskrivning är dock en förutsättning för att en totalförsvarspliktig ska vara skyldig att fullgöra värnplikt eller civilplikt. Beroende på syftet med annan utredning kan den vara mer eller mindre ingående. Medicinska och psykologiska undersökningar får emellertid göras bara om den totalförsvarspliktige samtycker till det (7 kap. 4 §). Någon skyldighet att,
som vid mönstring, genomgå psykologiska och medicinska undersökningar föreligger således inte (prop. 1994/95:6 s. 161 f.). Annan utredning kan göras skriftligt, per telefon eller genom att den totalförsvarspliktige inställer sig personligen (7 kap. 5 §). Det är den myndighet som genomför annan utredning som bestämmer vilka utredningar och undersökningar som ska göras (7 kap. 6 §). Myndigheten ska också informera den totalförsvarspliktige om hur utredningen går till och och att utredningen inte behöver leda till en inskrivning.
Den som är totalförsvarspliktig och är föremål för annan utredning ska enligt 17 § förvaltningslagen (1986:223) underrättas om de uppgifter som tillförts ärendet och få tillfälle att yttra sig över dessa innan ärendet avgörs. Detta gäller oavsett om ärendet ska avslutas med eller utan inskrivning i enlighet med den enskildes egen önskan (prop. 1994/95:6 s. 162 f.). När utredningen är avslutad ska den totalförsvarspliktige få skriftlig information om sina resultat (7 kap. 9 §). Ska inte den totalförsvarspliktige skrivas in ska ärendet avskrivas från fortsatt handläggning och den totalförsvarspliktige ska underrättas om avskrivningsbeslutet (7 kap. 10 §). Vid annan utredning aktualiseras också vissa av straffbestämmelserna i 10 kap. lagen om totalförsvarsplikt.
4.2.3. Möjligheten att själv initiera annan utredning
Om en enskild är intresserad av att genomföra mönstring kan han eller hon själv initiera annan utredning genom att kontakta Rekryteringsmyndigheten eller Försvarsmakten (2 kap. 1 § lagen om totalförsvarsplikt). Någon begäran från en myndighet om att den enskilde ska lämna uppgifter sker således inte. I förarbetena till lagen om totalförsvarsplikt (prop. 1994/95:6 s. 164) anges:
Ansvaret för att manliga svenska totalförsvarspliktiga genomgår mönstring ligger på Totalförsvarets pliktverk. Ingen är alltså skyldig att självmant anmäla sig eller uppsöka någon myndighet för att genomgå mönstring. Den totalförsvarspliktiges skyldigheter inskränker sig till att efter kallelse inställa sig för mönstring. Inget hindrar emellertid att den som av någon anledning inte har genomgått mönstring själv hos Totalförsvarets pliktverk tar initiativ till detta. Totalförsvarets pliktverk har då att ta ställning till om en mönstring ska genomföras eller om bedömningen kan göras på den tillgängliga utredningen. Den totalförsvarspliktige har således ingen rätt att få genomgå mönstring.
Att bestämmelsen om mönstring enligt förarbetena kan tillämpas på detta sätt talar för att motsvarande tillämpning är möjlig för annan utredning initierad av den enskilde. Tidigare har bestämmelsen tillämpats på detta sätt för inskrivning för civilplikt av Rekryteringsmyndigheten (SOU 2016:63 s. 85 f.).
Det föreligger ingen skyldighet för en enskild att genomföra annan utredning utan detta sker helt frivilligt på den enskildes initiativ. Någon kallelse till annan utredning skickas således inte ut. Det föreligger inte heller någon rättighet att få initiera annan utredning utan är en möjlighet som erbjuds den enskilde. Har en enskild visat intresse för annan utredning får denne först genomföra webbtester och svara på frågor om bl.a. sin hälsa, utbildningsbakgrund, motivation osv. Vid godkänt resultat kan den enskilde därefter gå vidare i processen och boka tid för annan utredning med personlig inställelse (a. prop. s. 164 f.).
4.3. Totalförsvarets rekryteringsmyndighet
En konsekvens av att totalförsvarsplikten infördes i Sverige var att Totalförsvarets pliktverk bildades. Den 1 juli 1995 inrättades Pliktverket med den huvudsakliga uppgiften att svara för uttagning och redovisning av totalförsvarspliktig personal för både det civila och militära försvaret. I samband med att plikten vilandeförklarades och personalförsörjningen av totalförsvaret kom att bygga på frivillighet och inte på plikt, bytte Pliktverket den 1 januari 2011 namn till Totalförsvarets rekryteringsmyndighet.
4.3.1. Rekryteringsmyndighetens organisation
Rekryteringsmyndigheten är en civil myndighet under Försvarsdepartementet som verkar och bidrar till att uppnå de försvarspolitiska målen. Den förändrade försvarspolitiska inriktningen har dock föranlett betydande organisations- och verksamhetsförändringar sedan myndighetens inrättande.
Myndigheten leds av en generaldirektör och har cirka 120 anställda. Myndigheten bedriver verksamhet i Karlstad, Stockholm, Göteborg och Kristianstad. Myndighetens ledning och centrala funktioner, dvs. generaldirektören, staben samt myndighetens organisa-
toriska enheter, är lokaliserade i Karlstad. I Stockholm, Göteborg och Kristianstad finns myndighetens prövningsenheter, vid vilka urvalstester, undersökningar och bedömningar görs. Från och med den 1 januari 2018 kommer prövningsverksamheten att bedrivas i Stockholm och Malmö.
Myndighetens organisation består sedan den 1 januari 2017 av en stab samt fyra organisatoriska enheter: avdelningen för prövning, avdelningen för bemanning och beredskap, avdelningen för it och avdelningen för verksamhetsstöd. Avdelningen för prövning bedriver antagningsprövning av personal för yrken och befattningar med särskilda krav samt handlägger ärenden som rör myndighetens medicinska och psykologiska verksamheter. Avdelningen för bemanning och beredskap redovisar totalförsvarets personal, handlägger ärenden som rör totalförsvarspliktiga samt stödjer och ger service till myndighetens uppdragsgivare. Här ingår civil personalredovisning och personalförsörjning samt stöd till avdelningen för prövning. I avdelningen finns prövningsnära verksamhet som t.ex. kundstöd till sökande till bl.a. Försvarsmaktens och Polismyndighetens utbildningar. Avdelningen för it ansvarar för drift och förvaltning av it samt utvecklar it-lösningar för alla verksamhetsprocesser. Avdelningen för verksamhetsstöd lämnar stöd till Rekryteringsmyndighetens chefer och medarbetare inom områdena ekonomi, personal/HR, juridik, säkerhet, kommunikation, inköp/upphandling, statistik, lokalfrågor, det centrala läkarhandlingsarkivet samt ansvarar för myndighetens expedition och arkiv. Här ingår också administrativt stöd till myndighetsledningen samt till exempelvis ledningen för avdelningen för prövning. Staben lämnar stöd till generaldirektören och avdelningscheferna när det gäller styrning och ledningsprocesser.
4.3.2. Allmänt om verksamheten
Rekryteringsmyndighetens verksamhet regleras och styrs av ett flertal lagar och förordningar. Rekryteringsmyndigheten ansvarar, enligt förordning (2010:1472) med instruktion för Totalförsvarets rekryteringsmyndighet (myndighetsinstruktionen), för att myndigheter och andra som har bemanningsansvar inom totalförsvaret får stöd och service i frågor om bemanning med totalförsvarspliktiga
som skrivs in för värnplikt eller civilplikt. Stöd och service ska lämnas till de bemanningsansvariga även i fråga om totalförsvarspliktigas tjänstgöring och om redovisning av annan personal inom totalförsvaret. Enligt myndighetsinstruktionen ska myndigheten också på uppdrag av Försvarsmakten tillhandahålla urvalstester av dem som ansökt till militär utbildning inom Försvarsmakten. Dessutom ska myndigheten utföra utredning om personliga förhållanden, mönstra, skriva in och krigsplacera totalförsvarspliktiga enligt lagen om totalförsvarsplikt. Inom sakområdet får myndigheten också åta sig att utföra uppdrag åt andra myndigheter samt åt kommuner, landsting och enskilda.
Lagen och förordningen om totalförsvarsplikt reglerar bl.a. mönstring, inskrivning och krigsplacering. Därutöver regleras myndighetens verksamhet såvitt avser personuppgiftsbehandlingen av totalförsvarspliktiga av pliktregisterlagen och förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga. Andra lagar och förordningar som styr myndighetens verksamhet är bl.a. hälso- och sjukvårdslagen (1982:763), patientdatalagen (2008:355) och patientsäkerhetslagen (2010:659). Med utgångspunkt i de regler som styr Rekryteringsmyndighetens verksamhet beslutar sedan myndigheten själv om interna och externa föreskrifter för den egna verksamheten. Rekryteringsmyndighetens interna bestämmelser om myndighetens arbetsordning (RIB 2016:2) och föreskrifter om totalförsvarsplikt (TRMFS 2017:1) är några exempel.
Enligt myndighetsinstruktionen bedriver Rekryteringsmyndigheten för närvarande såväl avgiftsfinansierad som anslagsfinansierad verksamhet. Den avgiftsfinansierade verksamheten omfattar dels uppdragsverksamhet för Försvarsmakten, dels uppdragsverksamhet för civila uppdragsgivare som t.ex. Polismyndigheten, Myndigheten för samhällsskydd och beredskap och SOS Alarm. Anslagsverksamheten omfattar lämplighetsundersökningar av totalförsvarspliktiga5, centralredovisning av totalförsvarets personal, registerföring över krigsplacerad personal samt enskilda ärenden inom området. Även den av Rekryteringsmyndigheten bedrivna verksamheten med att
5 Enligt regeringsbeslut 2017-03-02, Fö2016/01252/MFI (delvis) får Rekryteringsmyndigheten, med undantag från 9 § första stycket myndighetsinstruktionen, ta ut avgifter från Försvarsmakten för den verksamhet Rekryteringsmyndigheten ska bedriva till följd av regeringens beslut den 2 mars 2017 om mönstring och grundutbildning med värnplikt.
ge myndigheter och andra med bemanningsansvar inom totalförsvaret stöd och service avseende bemanning är anslagsfinansierad.
4.3.3. Prövningsverksamheten
På uppdrag av Försvarsmakten och andra myndigheter bedriver Rekryteringsmyndigheten prövningsverksamhet, dvs. testar, undersöker och bedömer personer för yrken, utbildningar och uppgifter som ställer särskilda krav på den enskilde. Uppdragsgivarna anlitar myndigheten för att säkerställa att lämplig och rätt person anställs för den efterfrågade befattningen.
Prövningsverksamhet för Försvarsmakten
Försvarsmakten är Rekryteringsmyndighetens enskilt största uppdragsgivare och svarar tillsammans med Polismyndigheten för 90 procent av de uppdrag som Rekryteringsmyndigheten utför. Enligt den överenskommelse6som myndigheterna träffat ska Rekryteringsmyndigheten ge stöd till Försvarsmakten vid bl.a. bemanning av krigsförbanden (personalredovisning) och tekniskt systemstöd. På uppdrag av Försvarsmakten genomför Rekryteringsmyndigheten också antagningsprövning av frivillig personal för att trygga Försvarsmaktens personalförsörjning.
Från och med den 1 juli 2017 åligger det Rekryteringsmyndigheten att genomföra mönstring, skriva in och kalla totalförsvarspliktiga till grundutbildning med värnplikt. Prövningar inför grundutbildning utgör cirka 90 procent av uppdragen för Försvarsmakten, vilket motsvarar närmare 6 000 prövningar per år. I och med att värnplikten aktiverats förväntas Försvarsmakten genomföra grundutbildning med värnplikt för drygt 4 000 personer per år 2018 och 2019. Enligt Rekryteringsmyndighetens bedömning behöver man pröva tre individer för att finna en lämplig att skriva in till grundutbildning. Det betyder att ungefär 13 000 totalförsvarspliktiga kommer att prövas av myndigheten per år. Prövningen består av fysiologiska tester, medicinska undersökningar och bedömningar samt psykologiska tester och bedömningar. De krav som gäller för
6 Rekryteringsmyndigheten Ö 2016/0558.
inskrivning (befattningskrav) fastställs i samverkan mellan Försvarsmakten och Rekryteringsmyndigheten. Efter prövning och utredning om de totalförsvarspliktigas personliga förhållanden ska Rekryteringsmyndigheten placera dem i befattningsgrupper och skriva in dem för värnplikt, civilplikt eller i en utbildningsreserv enligt lagen om totalförsvarsplikt.
Prövningsverksamhet för andra civila uppdragsgivare
Rekryteringsmyndigheten får inom sakområdet åta sig att utföra civila uppdrag åt andra myndigheter samt åt kommuner, landsting och enskilda. Uppdragsverksamheten består bl.a. av rekrytering av personal till Polismyndigheten, Myndigheten för samhällsskydd och beredskap, SOS Alarm och Kustbevakningen.
Rekryteringsmyndigheten administrerar och genomför hela antagningsprocessen från ansökan till nominering av elever till polisutbildningen för Polismyndighetens räkning. Myndigheten för samhällsskydd och beredskap anlitar Rekryteringsmyndigheten för medicinska undersökningar av samtliga elever som ska börja utbildning i skydd mot olyckor samt elever som ska börja utbildning till brandingenjör. På uppdrag av SOS Alarm genomför myndigheten psykologiska tester och bedömningar av larmoperatörer och chefer. Kustbevakningen anlitar Rekryteringsmyndigheten för att genomföra psykologiska tester och bedömningar av elever till Kustbevakningens aspirantutbildning.
Rekryteringsmyndigheten genomför också psykologiska tester och bedömningar för Tullverket, Sjöfartsverket, Statens institutionsstyrelse, Kriminalvården, Sahlgrenska Universitetssjukhuset/Rättspsykiatri, Storstockholms brandförsvar och Statens inspektion för försvarsunderrättelseverksamheten. Medicinska tester har även genomförts för Räddningstjänsten Dala-Mitt. Under 2016 var Polismyndigheten, Myndigheten för samhällsskydd och beredskap och Kustbevakningen de tre största civila uppdragsgivarna.7
Rekryteringsmyndighetens uppdrag är dock bara att tillhandahålla tekniskt stöd åt de civila uppdragsgivarna vid rekryteringsförfarandet och att genomföra medicinska och psykologiska undersökningar
7 Se Rekryteringsmyndighetens årsredovisning 2016 s. 15.
och tester. Det innebär att uppdragsgivarna är personuppgiftsansvariga för den behandling av personuppgifter som sker vid hantering av ansökan medan Rekryteringsmyndigheten är personuppgiftsbiträde. Vid den behandling av personuppgifter för uppdrag som inte avser totalförsvarspliktiga tillämpas personuppgiftslagen (1998:204). När det gäller den medicinska och psykologiska verksamheten tillämpas patientdatalagen.
4.3.4. Andra uppdrag för Försvarsmakten
Rekryteringsmyndigheten åtar sig och genomför även andra uppdrag för Försvarsmakten. Rekryteringsmyndigheten gör bl.a. medicinska undersökningar och psykologiska tester och bedömningar av de som sökt till Specialistofficersprogrammet och Officersprogrammet. De sökande har tidigare genomfört värnpliktstjänstgöring eller grundläggande utbildning (GMU/GU). Kompletterande prövningar görs också för bl.a. stridsbåtförare, jägare och tolkar. De som sökt till befattningar med särskilda krav undersöks och testas av Rekryteringsmyndighetens medicinska personal och psykologer. Undersökningarna och testerna är anpassade efter de speciella krav som gäller för varje befattning.
Därutöver prövar myndigheten personer som söker grundläggande soldatutbildning för internationell tjänstgöring (GSU INT). Sökande till befattningar i internationella insatser har inte tidigare genomgått värnpliktsutbildning eller GMU/GU. Det rör sig främst om medicinsk personal som efter uttagning genomför en kortare militär utbildning. På uppdrag av Försvarsmakten testar och undersöker myndigheten även de som sökt befattning som militärobservatör eller stabspersonal i internationella insatser.
4.3.5. Beredskapsunderlaget och mönstring
Från och med den 1 juli 2017 ska alla totalförsvarspliktiga kallas till mönstring för inskrivning till grundutbildning med värnplikt.8Det är Rekryteringsmyndighetens uppgift att informera alla svenska medborgare som under kalenderåret fyller 18 år om vad den återinförda
8 Regeringsbeslut 2017-03-02, Fö 2016/01252/MFI (delvis).
skyldigheten att mönstra och fullgöra grundutbildning med värnplikt innebär. Det är också Rekryteringsmyndighetens ansvar att i det s.k. beredskapsunderlaget samla in uppgifter om de totalförsvarspliktigas personliga förhållanden. Under 2017 fick 90 579 kvinnor och män födda år 1999 brev från Rekryteringsmyndigheten med information om beredskapsunderlaget och inloggningsuppgifter till frågeformuläret på webben. På grundval av uppgifterna i beredskapsunderlaget kallar Rekryteringsmyndigheten till och genomför mönstring samt beslutar on inskrivning av totalförsvarspliktiga till grundutbildning med värnplikt. För en utförlig beskrivning av beredskapsunderlaget och förfarandet vid mönstring, se avsnitt 4.2.1 och 5.3.
4.3.6. Stöd och service till bemanningsansvariga inom totalförsvaret
Rekryteringsmyndigheten ansvarar, som tidigare nämnts, för att myndigheter och andra som har bemanningsansvar inom totalförsvaret får stöd och service i frågor om bemanning med totalförsvarspliktiga som skrivs in för värnplikt eller civilplikt. Rekryteringsmyndighetens roll i förhållande till de bemanningsansvariga är i huvudsak verkställande. Det innebär att de bemanningsansvariga själva ansvarar för att fastställa behovet av krigsplacerad personal för sin respektive krigsorganisation genom att före den 1 december varje år underrätta Rekryteringsmyndigheten om hur många totalförsvarspliktiga som ska skrivas in för värnplikt eller civilplikt och till vilka befattningar (2 kap. 3 § Totalförsvarets rekryteringsmyndighets föreskrifter om totalförsvarsplikt).
Rekryteringsmyndigheten ska enligt myndighetsinstruktionen lämna stöd och service även till de bemanningsansvariga i fråga om totalförsvarspliktigas tjänstgöring och om redovisning av annan personal inom totalförsvaret. Annan personal är fast anställd personal inom Försvarsmakten eller andra myndigheter samt personal som ingått frivilligavtal (se avsnitt 4.1.3). Uppdraget omfattar bl.a. bemanningsfrågor, personalplanering inför höjd beredskap och krigsplacering.
Stöd för bemanning av krigsförband samt repetitionsutbildning
Rekryteringsmyndigheten har i uppdrag att tillsammans med Försvarsmakten säkerställa att samtliga krigsförband med tillhörande mobiliseringsreserver är fullt bemannade med krigsplacerad personal. Verksamheten omfattar bl.a. omorganisation och bemanning av krigsorganisationen, kallelse av värnpliktig personal till repetitionsutbildning samt registervård av krigsförband och personal.
På uppdrag av Försvarsmakten sköter Rekryteringsmyndigheten registerhållningen och redovisningen av bemanningen av Försvarsmaktens krigsorganisation. Detta är ett löpande arbete för att bemanningen av förbandsorganisationen ska hållas uppdaterad och aktuell för det fall regeringen beslutar om höjd beredskap. Därtill genomför och ansvarar myndigheten för den årliga omorganisationen av krigsorganisationens bemanning.
Det är också Rekryteringsmyndigheten som beslutar om och delger totalförsvarspliktig personal besked om krigsplacering samt fattar beslut vid ändrad krigsplacering. Vidare svarar myndigheten, på uppdrag av Försvarsmakten, för att kalla in totalförsvarspliktig personal till repetitionsutbildning. Myndigheten svarar också för ärenden om uppskov. Efter hemställan från Försvarsmakten beslutar Rekryteringsmyndigheten också om förlängd krigsplacering för totalförsvarspliktiga med avslutad grundutbildning.9
Personalredovisning av totalförsvaret
Rekryteringsmyndigheten har inte bara till uppgift att pröva totalförsvarspliktig personal utan det åligger även myndigheten att redovisa personal som har uppgifter inom totalförsvaret. Det är också Rekryteringsmyndigheten som för register över totalförsvarspliktiga som är krigsplacerade. Registreringen är betydelsefull såtillvida att den säkerställer att ingen totalförsvarspliktig är placerad i flera befattningar i krigsorganisationen.
Vid behov ger Rekryteringsmyndigheten stöd åt myndigheter, kommuner och landsting vid civil personalredovisning och registrerar den personal som är krigsplacerad (anställda och avtalspersonal).
9 Se bl.a. SVAR Hemställan om förlängd krigsplacering av totalförsvarspliktig personal 2016/0108:2.
Intresset för totalförsvarsplanering och registrering av personal för den egna krigsorganisationen har ökat betydligt under senare tid.10Rekryteringsmyndigheten gör bl.a. disponibilitetskontroller för civila myndigheters och organisationers räkning, vilket innebär att myndigheten kontrollerar att personerna inte är krigsplacerade hos Försvarsmakten eller någon annan myndighet. Rekryteringsmyndigheten genomför efter önskemål av civila myndigheter och organisationer också informationsmöten tillsammans med Försvarsmakten, Polismyndigheten, landsting, kommuner och länsstyrelser i syfte att lämna den information som är nödvändig för att dessa aktörer ska kunna uppfylla sina skyldigheter när det gäller totalförsvarsplanering. Civila uppdrag om disponibilitetskontroller och krigsplaceringar genomförs löpande av Rekryteringsmyndigheten och allt fler myndigheter och organisationer registrerar sin personal hos myndigheten.
10 Se Rekryteringsmyndighetens årsredovisning 2016 s. 19.
5. Rekryteringsmyndighetens behandling av personuppgifter
5.1. Uppdraget
Enligt våra direktiv ingår i uppdraget att kartlägga den behandling av personuppgifter som sker hos Rekryteringsmyndigheten. I samband med kartläggningen ska vi analysera hur behandlingen av personuppgifter om totalförsvarspliktiga ska regleras och om fler kategorier av personer ska ingå i en sådan reglering. I analysen ska vidare hänsyn tas till verksamhetens särskilda art och förändringar som gjorts i verksamheten, regeringsformen och senare tillkommen lagstiftning.
Nedan följer en beskrivning av den personuppgiftsbehandling som utförs och kan utföras av Rekryteringsmyndigheten. Därefter redogörs för resultatet av och vår bedömning av kartläggningen. I kapitel 6 och 7 redovisar vi våra allmänna utgångspunkter för en ny reglering och våra överväganden i fråga om hur allmänna bestämmelser, såsom tillämpningsområde, bör utformas.
5.2. Rekryteringsmyndighetens verksamhetsstödjande system
Den verksamhet som Rekryteringsmyndigheten bedriver är unik såtillvida att det inte finns någon annan myndighet eller organisation i Sverige som bedriver en med myndigheten likartad verksamhet. Rekryteringsmyndigheten har därför utvecklat egna verksamhetsstödjande system och bär också ansvaret för förvaltningen och skötseln av dessa. I likhet med andra myndigheter och organisationer har Rekryteringsmyndigheten också ett it-stöd för sin verksamhet.
Det är framför allt de verksamhetsstödjande systemen som är av intresse för utredningen. Sedan juni 1997 redovisar Rekryteringsmyndigheten behandlingen av personuppgifter om totalförsvarspliktiga i informationssystemen Plis, Plis prov mönstring och Syom. I informationssystemen Plis prov extern och Atlas behandlas personuppgifter om prövande för antagning till utbildning eller anställning i Försvarsmakten eller någon annan statlig myndighet eller organisation. I Rekryteringsmyndighetens centrala läkarhandlingsarkiv finns ett stort antal journaler med medicinska uppgifter bevarade. Nedan följer en översiktlig beskrivning av de för myndigheten mest centrala verksamhetsstödjande informationssystemen samt arkivet.
5.2.1. Plis
Plis (Pliktverkets informationssystem) är det centrala informationssystemet inom Rekryteringsmyndigheten i vilket personuppgifter om personal inom totalförsvaret registreras och hanteras. Utöver Rekryteringsmyndigheten har Försvarsmakten direktåtkomst till personuppgifter i Plis men endast i den omfattning som framgår av bilaga 1 till förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga. Plis driftsattes 1997 och ersattes 2005 av en moderniserad version. Plis innehåller uppgifter om totalförsvarspliktigas mönstring och tjänstgöring inom totalförsvaret samt krigsplacering. Plis fungerar också som stöd till krigsorganisationens civila delar och hemvärnet.
Personuppgifterna i Plis behandlas med stöd av personuppgiftslagen (1998:204) och pliktregisterlagen.
Personuppgiftsbehandlingen i Plis omfattar samtliga totalförsvarspliktiga och andra som har skyldighet att fullgöra uppgifter inom totalförsvaret vid höjd beredskap utan att skyldigheten grundar sig på totalförsvarsplikt (2 § pliktregisterlagen). Enligt 8 § pliktregisterlagen får i automatiserat register över totalförsvarspliktiga endast föras in personuppgifter om den som
1. är eller har varit aktuell för mönstring och annan utredning om
den totalförsvarspliktiges förhållanden,
2. genom avtal, beslut om krigsplacering eller på annat sätt är tagen
i anspråk för totalförsvaret,
3. ska utföra särskild uppgift vid höjd beredskap eller på grund av
viss kompetens är viktig för totalförsvaret,
4. av en redan registrerad uppgetts som närstående, eller
5. nämns bland de uppgifter som avses i 9 § första stycket 13 plikt-
registerlagen.
Tillgång till Plis kräver behörighet. Åtkomsten begränsas såtillvida att de som har behörighet endast får tillgång till de delar av systemet som de behöver för att kunna fullgöra sina arbetsuppgifter. Inloggning kan endast ske med hjälp av totalförsvarets elektroniska idkort. Aktiviteter i systemet loggas och logguppföljning görs regelbundet av it-säkerhetschefen och verksamhetschefen.
Plis innehåller en mängd personuppgifter, varav många är känsliga. De personuppgifter som får föras in i registret framgår uttömmande av 9 § pliktregisterlagen och är följande:
1. personnummer eller samordningsnummer, namn, adress, tele-
fonnummer och folkbokföringsort,
2. hinder för genomförande av utredning som avses i 3 § första
stycket, för utbildning eller för krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning,
3. boende- och familjeförhållanden samt försörjning, om uppgiften
behövs för att Rekryteringsmyndigheten ska kunna fullgöra sina åligganden i fråga om förmåner till totalförsvarspliktiga,
4. utbildning, anställning, kunskaper, färdigheter, anlag och intressen
som har betydelse för bedömningen av den registrerades användbarhet inom totalförsvaret,
5. fysisk och psykisk hälsa och förmåga jämte de uppgifter som
ligger till grund för bedömningen härav,
6. om den registrerade är svensk medborgare eller inte,
7. utgången i mål om ansvar för brott mot totalförsvarsplikten,
8. att den registrerade har dömts till påföljd för brott som framgår
av uppgift ur belastningsregistret som Rekryteringsmyndigheten fått del av,
9. att den registrerade genomgått säkerhetsprövning enligt säker-
hetsskyddslagen (1996:627), vilken säkerhetsklass prövningen avsett och resultatet av denna, 10. vad som bestämts vid inskrivningen enligt lagen (1994:1809) om
totalförsvarsplikt eller lagen (1994:1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning11, 11. krigsplacering, annat ianspråktagande av den registrerade för total-
försvaret eller särskild uppgift som han eller hon ska utföra vid höjd beredskap, 12. tjänstgöring inom totalförsvaret samt betyg, vitsord, förordnan-
den och utmärkelser som är att hänföra till denna, samt 13. personliga förhållanden i övrigt som åberopas av den registrerade,
om de rör hans eller hennes tjänstgöring inom totalförsvaret.
Plis innehåller även känsliga uppgifter om hälsa och religiös övertygelse. Uppgifter om religiös övertygelse registreras dock endast om den registrerade har lämnat sitt uttryckliga samtycke till att uppgifterna behandlas i registret och de rör hans eller hennes tjänstgöring inom totalförsvaret (9 § andra stycket pliktregisterlagen).
Utöver de personliga uppgifter som inhämtas från den totalförsvarspliktige själv, inhämtas uppgifter från ett flertal myndigheter och andra som enligt 3 kap. förordningen (1995:238) om totalförsvarsplikt är skyldiga att lämna uppgifter till Rekryteringsmyndigheten, bl.a. Skatteverket, Statens institutionsstyrelse, Försäkringskassan, Kriminalvården, utbildningsmyndigheter och skolor, Transportstyrelsen, Post- och telestyrelsen, vårdinrättningar, kommuner och landsting m.fl.
I dagsläget innehåller Plis information om cirka 3,7 miljoner svenska medborgare som klassats och registrerats som totalförsvarspliktiga. Av dessa är cirka 50 000 utflyttade eller utlandsboende. Vid utgången av 2016 fanns totalt 253 civilpliktiga redovisade i Plis jämfört med 319 vid samma tillfälle 2015.12 Differensen beror på att
11 Lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning upphävdes den 1 juli 2010, då även kvinnor kom att omfattas av de allmänna bestämmelserna om skyldighet att genomgå mönstring och fullgöra värnplikt. 12 Se Rekryteringsmyndighetens årsredovisning 2016, s. 20.
krigsplaceringen har upphört för 66 civilpliktiga, vilket i sin tur beror på att en totalförsvarspliktig enligt lagen om totalförsvarsplikt inte ska vara krigsplacerad längre än 10 år efter sin senaste tjänstgöringsdag eller efter det datum som krigsplacerande myndighet angett om krigsplaceringen förlängts.
5.2.2. Plis prov mönstring
Informationssystemet Plis prov mönstring är ett system för insamling av personuppgifter om totalförsvarspliktiga som genomgår mönstring enligt 2 kap. 1–3 §§ lagen om totalförsvarsplikt.
Personuppgifterna i Plis prov mönstring behandlas med stöd av personuppgiftslagen, pliktregisterlagen och patientdatalagen (2008:355). Tillgång till Plis prov mönstring kräver behörighet och inloggning kan endast ske med hjälp av användar-id och lösenord.
Plis prov mönstring innehåller bl.a. uppgifter om de totalförsvarspliktigas namn, personnummer, adress, telefonnummer, utbildning, anställningar, kunskaper, färdigheter, uppgifter om fysisk och psykisk hälsa och förmåga (se 9 § pliktregisterlagen för en uttömmande uppräkning). Även känsliga uppgifter behandlas. Uppgifterna hämtas från den enskilde. De samlade provresultaten och uppgifterna förs fortlöpande över till Plis och möjliggör en samlad bild av den mönstrandes testvärden.
5.2.3. Syom
Informationssystemet Syom (Systemomläggning 1980) innehåller huvudsakligen samma information om totalförsvarspliktiga och andra som har skyldighet att fullgöra uppgifter inom totalförsvaret vid höjd beredskap som Plis.
Personuppgifterna i Syom behandlas med stöd av personuppgiftslagen och pliktregisterlagen. Tillgång till systemet kräver behörighet. Inloggning kan endast ske med hjälp av användar-id och lösenord. I likhet med Plis loggas aktiviteter i Syom och logguppföljning görs regelbundet av it-säkerhetschefen.
Syom innehåller bl.a. basuppgifter som namn, adress och personnummer samt uppgifter om tjänstgöring som tjänstgöringstid, befattning, betyg m.m. (se 9 § pliktregisterlagen). Uppgifter om
folkbokföring lämnas av Skatteverket och tjänstgöringsuppgifter inhämtas från Försvarsmakten. Känsliga personuppgifter behandlas dock inte i Syom.
I maj 2017 driftsattes ett nytt informationssystem – Atlas Kro – som har ersatt Syom. Det nya it-systemet har utarbetats i nära samverkan med Försvarsmakten och redovisar Försvarsmaktens personal och krigsförband i fredstid samt vid höjd beredskap och krig. Även underlag för repetitionsutbildning samt ärenden som gäller de totalförsvarspliktiga som är krigsplacerade i Försvarsmaktens organisation administreras i systemet.
5.2.4. Plis prov extern
I informationssystemet Plis prov extern behandlas personuppgifter om prövande för antagning till utbildning eller anställning i Försvarsmakten eller någon annan statlig myndighet eller organisation.
Personuppgifterna i Plis prov extern behandlas med stöd av personuppgiftslagen och patientdatalagen. Tillgång till Plis prov extern kräver behörighet. Inloggning kan endast ske med hjälp av användarid och lösenord.
Plis prov extern innehåller uppgifter om namn, personnummer, adress, telefonnummer, fysisk och psykisk hälsa och förmåga. Även känsliga personuppgifter behandlas med stöd av 2 kap.4 och 7 §§patientdatalagen. Uppgifterna hämtas från den enskilde.
5.2.5. Atlas
I likhet med informationssystemet Plis prov extern behandlas personuppgifter om prövande för antagning till utbildning eller anställning i Försvarsmakten eller någon annan statlig myndighet eller organisation i informationssystemet Atlas med stöd av personuppgiftslagen och patientdatalagen. Ändamålet med personuppgiftsbehandlingen är vårddokumentation enligt 2 kap. 4 § patientdatalagen.
Tillgång till Atlas kräver behörighet. Inloggning kan endast ske med hjälp av Rekryteringsmyndighetens elektroniska id-kort och samtliga aktiviteter loggas. Logguppföljning görs regelbundet av itsäkerhetschefen och verksamhetschefen.
Atlas innehåller uppgifter om namn, personnummer, adress, telefonnummer, fysisk och psykisk hälsa och förmåga. Även känsliga personuppgifter behandlas med stöd av 2 kap.4 och 7 §§patientdatalagen. Uppgifterna hämtas från den enskilde.
5.2.6. Övriga informationssystem
Rekryteringsmyndigheten behandlar personuppgifter i ett antal övriga informationssystem, bl.a. Abalon, Proceedo, Agresso och Palasso m.fl. Personuppgiftsbehandlingen i dessa system är emellertid av mer personaladministrativ karaktär och faller som sådan utanför ramen för vårt uppdrag. Någon redogörelse för dessa informationssystem ges därför inte.
5.2.7. Centrala läkarhandlingsarkivet
I Rekryteringsmyndighetens centrala läkarhandlingsarkiv finns uppgifter om mer än 3 miljoner totalförsvarspliktiga. Läkarhandlingsarkivet innehåller journaler med medicinska uppgifter om alla män som är födda 1946 eller senare och som har mönstrat till och med den 30 juni 2010. Journaler finns också om de kvinnor som antagningsprövat vid Rekryteringsmyndigheten till och med den 30 juni 2010. Journalhandlingar i pappersform mikrofilmas, varefter informationen förs över på digitalt medium i informationssystemet Atlas. I de arkiverade handlingarna finns uppgifter om bl.a. längd, vikt, blodtryck, syn, hörsel, kondition, muskelstyrka och i en del fall EKG. Även psykologiska förmågor, exempelvis ledaregenskaper och lämplighet att bli befäl, finns redovisade.
5.3. Behandling av personuppgifter vid mönstring
Den behandling av personuppgifter som Rekryteringsmyndigheten utför inom ramen för sin verksamhet tydliggörs bäst genom en beskrivning av förfarandet vid mönstring. Redovisningen baseras i huvudsak på information inhämtad från Rekryteringsmyndigheten.
5.3.1. Aviseringar
Rekryteringsmyndigheten får enligt förordningen om totalförsvarsplikt årligen aviseringar från Skatteverket om alla svenska medborgare som är folkbokförda i landet och som under året fyller 17 år. Uppgifterna, dvs. namn, personnummer, adress och medborgarskap, registreras av Rekryteringsmyndigheten i informationssystemet Plis och utgör underlag för kallelser till mönstring. Därutöver aviserar Skatteverket folkbokföringsuppgifter, såsom adressändringar, förändrat medborgarskap, dödsfall m.m., varje vecka till myndigheten. Dessa uppgifter ligger sedan till grund för löpande uppdateringar av informationen i Plis. Rekryteringsmyndighetens inflöde av information till Plis grundas således till övervägande del på aviseringar från Skatteverket.
Enligt förordningen om totalförsvarsplikt föreligger uppgiftsskyldighet även för ett flertal andra myndigheter och organisationer. Rekryteringsmyndigheten får bl.a. aviseringar från Statens Institutionsstyrelse (SIS), Försäkringskassan, Kriminalvården, Transportstyrelsen, kommuner och landsting. De uppgifter som ska lämnas avser bl.a. personuppgifter (SIS), uppgifter om insatser enligt lagen (1993:387) om stöd och service till vissa funktionshindrade eller intagning på vårdinrättning med stöd av lagen (1991:1128) om psykiatrisk tvångsvård (vårdinrättningar), uppgifter om sjukersättning, aktivitetsersättning eller vårdbidrag (Försäkringskassan), körkortsuppgifter (Transportstyrelsen) m.m. Uppgifterna registreras i Plis varvid eventuella hinder för tjänstgöring direkt framgår av systemet. Det innebär att vissa totalförsvarspliktiga automatiskt undantas från mönstring och därmed inte åläggs en skyldighet att besvara beredskapsunderlaget.
5.3.2. Beredskapsunderlaget
Med undantag för dem som på grund av hinder inte aktualiseras för mönstring, skickas ett informationsbrev om beredskapsunderlaget ut i postnummerordning till samtliga kvinnor och män som under året fyllt 18 år.
De totalförsvarspliktiga har möjlighet att besvara beredskapsunderlaget på webben genom att logga in på ”Min Sida” eller genom att beställa underlaget i pappersform av Rekryteringsmyndig-
heten. Inloggning på ”Min Sida” på webben sker antingen via en personlig inloggningskod eller via e-legitimation.
För närvarande föreligger ingen möjlighet för de totalförsvarspliktiga att direkt lägga in svaren på frågorna i beredskapsunderlaget i Plis utan de inlämnade uppgifterna hanteras som en inkommen handling hos Rekryteringsmyndigheten. Det är inte heller möjligt att i beredskapsunderlaget skriva någon fritext. Vissa svar är direkt diskvalificerande, dvs. avgörande för om uttagning till mönstring ska ske eller inte. Utöver uppgifter om hälsa, förekommer inga känsliga personuppgifter i beredskapsunderlaget. Eftersom skyldigheten att besvara beredskapsunderlaget följer direkt av lag, krävs inte den enskildes samtycke för Rekryteringsmyndighetens behandling av dennes personuppgifter.
Har Rekryteringsmyndigheten inte erhållit svar på beredskapsunderlaget inom 14 dagar från det att informationsbrevet skickades ut, skickas en automatisk påminnelse till den enskilde i form av sms, e-post eller brev. Kommunikationssättet väljs av den totalförsvarspliktige själv på ”Min Sida”. I påminnelsen påtalas att underlåtelse att besvara beredskapsunderlaget kan resultera i vite.
5.3.3. Selektering
När Rekryteringsmyndigheten erhållit samtliga svar på beredskapsunderlaget genomförs en s.k. selektering. Selektering innebär att beslut tas om vilka som bedöms lämpliga att kallas till mönstring baserat på en samlad bedömning av hur motiverade de är och hur de i övrigt uppfyller Försvarsmaktens kravprofil. Totalförsvarspliktiga som inte kallas till mönstring kvarstår alltjämt som registrerade hos Rekryteringsmyndigheten.
Resterande, i dagsläget cirka 4 500 totalförsvarspliktiga, får ett besked om att de kommer att kallas till mönstring. Ett visst antal totalförsvarspliktiga kan komma att kallas till mönstring senare och får besked om att de placerats i en utbildningsreserv. Även de som inte har besvarat beredskapsunderlaget kan komma att kallas till mönstring. Urvalet sker slumpvis och har ett signalvärde i det att underlåtenhet att besvara beredskapsunderlaget inte innebär att den totalförsvarspliktige därigenom undgår att kallas till mönstring.
Selekteringen genomförs i informationssystemet Atlas – Rekryteringsmyndighetens framtida system.
De totalförsvarspliktiga får besked om de kommer att kallas till mönstring eller inte via ”Min Sida” på webben. Det innebär att de har direktåtkomst till ”Min Sida” och de uppgifter som finns tillgängliga där, i huvudsak beredskapsunderlaget och uppgifter om mönstringen i form av ett digitalt brev i pdf-format.
I detta sammanhang kan noteras att Rekryteringsmyndigheten under 2016 genomförde en provselektering av ungdomar födda 1996. Av de cirka 90 000 ungdomar som deltog i provselekteringen, besvarade 88 400 beredskapsunderlaget, varav drygt 43 000 uppfyllde förutsättningarna för att kallas till mönstring. Av dessa bedömdes 22 300 lämpliga för mönstring, varav 8 300 var kvinnor.
5.3.4. Kallelse till mönstring
Totalförsvarspliktiga som vid selekteringen valts ut för mönstring, erhåller som regel en kallelse till mönstring cirka 70 dagar innan aktuell mönstringsdag. Beroende på var den enskilde bor, bokas samtidigt logi åt denne som bekostas av staten. Resa och logi kan också bokas av den enskilde på ”Min Sida”.
Den som kallats till mönstring är skyldig att bekräfta mottagandet av kallelsen. Bekräftelse sker på ”Min Sida” genom en personlig kod eller e-legitimation alternativt genom en svarstalong som erhålls av och skickas till Rekryteringsmyndigheten. Den totalförsvarspliktige har dock möjlighet att boka om sin mönstringstid. Mönstringstiden kan bokas om en månad före eller efter den utsatta mönstringstidpunkten och kan bokas om hur många gånger som helst under förutsättning att det sker inom den angivna tidsramen om en månad. Däremot kan den enskilde aldrig boka av mönstringstiden eftersom mönstringen är en lagstadgad plikt. Att inte inställa sig till mönstring efter kallelse kan leda till åtal och resultera i böter om det efter utredning visar sig att den enskilde inte hade giltiga skäl att utebli.
5.3.5. Mönstring
Mönstringen sker genom att den enskilde personligen inställer sig hos Rekryteringsmyndigheten och genomför medicinska och psykologiska undersökningar och utredning av den enskildes personliga förhållanden, bl.a. syn- och hörseltest, begåvningstest, intervju med en psykolog, arbetsprov m.m. Samtliga hälso- och sjukvårdsundersökningar sker med stöd av patientdatalagen och genomförs av legitimerad personal som är anställd av Rekryteringsmyndigheten.
Om den totalförsvarspliktige inte godkänns i något moment under mönstringen beslutar Rekryteringsmyndigheten om den totalförsvarspliktige ska avbryta mönstringen eller inte.
5.3.6. Inskrivning
Oavsett om hela mönstringen genomförs eller inte träffar den totalförsvarspliktige alltid en inskrivningshandläggare. Inskrivningshandläggaren har tillgång till samtliga insamlade uppgifter om den totalförsvarspliktige. Mot bakgrund av dessa uppgifter samt provresultaten lämnar inskrivningshandläggaren förslag på lämpliga befattningar för den totalförsvarspliktige. Den totalförsvarspliktige får också möjlighet att vid samtal med inskrivningshandläggaren framföra sina synpunkter och önskemål om tjänstgöringen. Utifrån resultatet av mönstringen fattar inskrivningshandläggaren därefter beslut om den totalförsvarspliktige ska skrivas in till värnpliktsutbildning, utbildningsreserven eller inte tas i anspråk för tjänstgöring. En totalförsvarspliktig som ska skrivas in till värnpliktsutbildning kan antingen bli inskriven direkt, s.k. direktinskrivning, eller bli nominerad för inskrivning. Vid nominering rangordnas de nominerade utifrån sina resultat och de som bedöms som lämpligast blir inskrivna för tjänstgöring.
5.3.7. Tjänstgöring
Innan den totalförsvarspliktige får påbörja utbildningen ska denne ha genomfört en säkerhetsprövning med godkänt resultat. Kontroll görs i misstanke- och belastningsregistret och först därefter skrivs den totalförsvarspliktige in för tjänstgöring. När Rekryteringsmyn-
digheten beslutat om att den totalförsvarspliktige ska genomföra värnplikt kallas denne till tjänstgöring. Det åligger den totalförsvarspliktige att bekräfta kallelsen.
Rekryteringsmyndigheten har till uppgift att redovisa de totalförsvarspliktigas tjänstgöring. Avisering om tjänstgöringstid görs till Försäkringskassan som därigenom får underlag för utbetalning av olika ersättningar och bidrag till de totalförsvarspliktiga. Även Pensionsmyndigheten aviseras då värnplikten är pensionsgrundande. Därtill skickas den totalförsvarspliktiges journal över till Försvarsmakten. Tillgång till journalhandlingar är nödvändigt för att Försvarsmakten vid behov ska kunna bedöma totalförsvarspliktigas tjänstbarhet.
Under tjänstgöringen har Rekryteringsmyndigheten tillgång till uppgifter om den totalförsvarspliktiges tjänstgöring, exempelvis uppgift om att denne får en ny befattning eller av någon anledning avbryter tjänstgöringen. När den totalförsvarspliktige är färdigutbildad och tjänstgöringen avslutad registrerar Försvarsmaktens personal samtliga uppgifter om den totalförsvarspliktige och tjänstgöringen direkt in i Rekryteringsmyndighetens informationssystem. Uppgifter som registreras är exempelvis betyg, vitsord, färdigheter, tjänstgöringens längd osv. Det är Rekryteringsmyndighetens ansvar att hålla ordning på antalet plikttjänstgöringsdagar som den totalförsvarspliktige genomfört.
5.4. Behandling av personuppgifter vid annan utredning
I avsnitt 4.2.3 beskrivs förutsättningarna för enskilda som är intresserade av att tjänstgöra inom totalförsvaret att själva initiera och genomföra annan utredning än mönstring. Frivilligheten manifesteras i att totalförsvarspliktiga ges möjlighet att anmäla att de är intresserade av att genomföra annan utredning och därefter får ta ställning till om de vill mönstra. Annan utredning syftar till att utreda förutsättningarna för den totalförsvarspliktige att fullgöra tjänstgöring inom totalförsvaret genom värnplikt eller civilplikt. Oavsett om denne har anmält intresse eller har kallats till mönstring med plikt, är det dock lagen om totalförsvarsplikt som ska tillämpas. Förfarandet med annan utredning innebär att såväl För-
svarsmakten som Rekryteringsmyndigheten får tillgång till och behandlar en stor mängd personuppgifter. Behandlingen av personuppgifter vid annan utredning åskådliggörs i det följande (merparten av uppgifterna är hämtade från 2015 års personalförsörjningsutredning, SOU 2016:63, s. 85 f.).
5.4.1. Annan utredning
Om en enskild är intresserad av att mönstra och därefter genomföra värnplikt eller civilplikt kan han eller hon själv initiera annan utredning genom att vända sig till Försvarsmakten. En förutsättning för att initiera annan utredning är att den enskilde ska vara totalförsvarspliktig, dvs. bosatt i Sverige och mellan 16–70 år.
En enskild som visat intresse för att mönstra och har initierat annan utredning hos Försvarsmakten får besvara ett webbaserat frågeformulär där denne svarar på frågor om bl.a. sin hälsa, utbildningsbakgrund, motivation osv. Frågorna är i stort sett desamma som i beredskapsunderlaget. Dessförinnan kontrolleras att det inte föreligger hinder för den enskilde att genomgå mönstring, t.ex. att den enskilde redan har mönstrat. Efter en automatisk rättning av svaren i webbenkäten, sker en automatisk selektering av de sökande.
De som blir godkända vid selekteringen kan gå vidare i processen och boka tid för annan utredning med personlig inställelse. Testerna som genomförs motsvarar testerna för mönstring men sker i Försvarsmaktens regi. Under förutsättning att den enskilde ger sitt samtycke kan annan utredning omfatta både medicinska och psykologiska undersökningar. Det föreligger dock ingen skyldighet för den enskilde att genomföra en personlig utredning utan den enskilde kan när som helst avbryta processen.
Efter utredningen får den enskilde träffa en yrkesvägledare som går igenom de insamlade uppgifterna och resultatet från testerna tillsammans med denne. Efter diskussion med den enskilde där de erhållna testvärdena viktas mot den enskildes intressen, lämnas en rekommendation till den enskilde om förslag till lämplig befattning. Något beslut fattas dock inte.
När den enskilde har genomgått annan utredning har denne två valmöjligheter – att gå in i ett mönstringsförfarande eller inte. Om den enskilde väljer att mönstra övergår ansvaret för processen till
Rekryteringsmyndigheten. Rekryteringsmyndigheten beslutar då om den totalförsvarspliktige ska få mönstra. När den enskilde har påbörjat mönstringen omfattas denne av lagen om totalförsvarsplikt. Därmed föreligger inte längre någon möjlighet för den enskilde att ångra sig och avbryta processen utan blir skyldig att fullfölja mönstringen och den tjänstgöring som Rekryteringsmyndigheten kan komma att besluta. Den enskilde kan också välja att ansöka om att mönstra direkt hos Rekryteringsmyndigheten, dvs. utan att först ha genomfört annan utredning.
I detta sammanhang är det av vikt att framhålla att samtliga uppgifter som efterfrågas och inhämtas av Försvarsmakten vid annan utredning registreras och sparas i Rekryteringsmyndighetens informationssystem. Detta även efter att tjänstgöringen har avslutats. De uppgifter som Försvarsmakten inhämtar, såväl värden som rekommendationer, förs direkt över till Rekryteringsmyndighetens informationssystem om utredningen mynnar ut i en ansökan om mönstring. Uppgifter som mätdata och journaldata är dock krypterade. I förarbetena (prop. 1997/98:80, s. 16) anges:
På grundval av dessa och andra uppgifter kan därmed en mindre omfattande utredning än mönstring utföras även hos de nu uppräknade myndigheterna. Om en annan myndighet än Totalförsvarets pliktverk genomför utredningen ska kopior av handlingar som inkommit till den myndigheten tillställas Totalförsvarets pliktverk.
Vid annan utredning efterfrågas och samlas även in personuppgifter som för den totalförsvarspliktige kan vara känsliga. Även i fråga om känsliga uppgifter blir pliktregisterlagen tillämplig. I förarbetena (a. prop. s. 40) anges:
Totalförsvarets pliktverks och den andra myndighetens åtgärder kan därmed sägas vara förenade i samma utredningsärende. Regeringen föreslår att bestämmelser som ger de aktuella myndigheterna m.fl. rätt att behandla känsliga personuppgifter tas in i lagen om behandling av personuppgifter om totalförsvarspliktiga. I lagtexten bör markeras att detta är ett undantag från lagens tillämpningsområde i övrigt, och – vilket är en mycket viktig begränsning – att undantaget från personuppgiftslagens förbud mot behandling av känsliga personuppgifter för de berörda myndigheterna endast gäller i deras verksamhet för att utreda totalförsvarspliktigas förhållanden som sker med stöd av bestämmelserna i lagen om totalförsvarsplikt. Samma krav gäller således självfallet även för dessa myndigheter som för Totalförsvarets pliktverk vid behandling av känsliga personuppgifter att detta endast får ske om det är nödvändigt med hänsyn till de ändamål som anges i lagen.
5.5. Resultatet av kartläggningen
Utredningens bedömning: Kartläggningen visar att Rekryterings-
myndighetens behandling av personuppgifter är omfattande och att myndigheten i allt större utsträckning använder sig av elektronisk behandling av personuppgifter i sin verksamhet. Det har inte framkommit annat än att den nuvarande regleringen i huvudsak fungerar väl. Regleringen är emellertid i behov av modernisering för att bättre vara anpassad till annan reglering inom rättsområdet och för att möta såväl myndighetens som uppdragsgivarnas krav.
Ett av Rekryteringsmyndighetens huvudsakliga verksamhetsområden är personalredovisningen, dvs. arbetet med att säkerställa att de bemanningsansvariga myndigheternas krigsorganisationer är fullt bemannade. Myndighetens uppgift att registrera och redovisa totalförsvarspliktig personal innebär att den har det övergripande ansvaret för personalredovisningen inom totalförsvaret. Rekryteringsmyndigheten beslutar också om krigsplacering av totalförsvarspliktiga som fullgjort värnplikt eller civilplikt. Därutöver ansvarar myndigheten för redovisningen av fast anställd personal och frivilliga på uppdrag av bemanningsansvariga myndigheter. Den samlade personuppgiftsbehandlingen avseende totalförsvarspliktiga omfattar därmed en stor del av befolkningen och är en av Sveriges största och mest omfattande. Rekryteringsmyndigheten ansvarar dessutom för att totalförsvarspliktiga män och kvinnor som fyller 18 år besvarar beredskapsunderlaget. Det åligger även myndigheten att mönstra och vid mönstringen utreda de totalförsvarspliktigas personliga förhållanden. I sin verksamhet behandlar Rekryteringsmyndigheten följaktligen en mängd personuppgifter, ofta av mycket integritetskänslig karaktär.
Vår kartläggning av Rekryteringsmyndighetens personuppgiftsbehandling visar att behandling av personuppgifter om totalförsvarspliktiga utgör en central del i myndighetens verksamhet. I avsnitt 5.3 har vi översiktligt beskrivit den automatiserade personuppgiftsbehandling som Rekryteringsmyndigheten utför inom sitt verksamhetsområde. Av redogörelsen framgår inte bara att den nuvarande behandlingen är omfattande utan även att myndigheten i allt större utsträckning använder sig av elektronisk hantering av personuppgifter. Ett exempel på detta är att majoriteten av de totalförsvars-
pliktiga numera besvarar beredskapsunderlaget på webben och att de inlämnade uppgifterna hanteras elektroniskt, varefter kommunikationen med de totalförsvarspliktiga huvudsakligen sker digitalt. Rekryteringsmyndigheten har behov av att kunna samla in, ta emot, registrera, behandla och lagra uppgifter på elektronisk väg, inte bara för att fullgöra sina uppgifter i form av t.ex. personalredovisning av totalförsvarspliktiga. I myndighetens uppdrag ingår också att redovisa annan personal inom totalförsvaret. Myndigheten har även behov av att kunna behandla uppgifter elektroniskt för utlämnande till andra myndigheter, inte minst Försvarsmakten, och till totalförsvarspliktiga. En väl utnyttjad informationsteknik är därför av stor betydelse och en förutsättning för myndighetens möjligheter att bedriva sin verksamhet på ett rationellt och effektivt sätt. Ett effektivt utnyttjande av den moderna informationstekniken kan, utöver effektivitetsvinster, också leda till kostnadsbesparingar för Rekryteringsmyndigheten. Det finns således ett viktigt allmänintresse av att den moderna informationstekniken kan utnyttjas av myndigheten. Utöver samhällsvinsten gynnar samtidigt en väl fungerande informationsteknik också de totalförsvarspliktiga som därigenom får en snabbare och mer rättssäker prövning och rekryteringsprocess.
Vid kartläggningen har inte framkommit annat än att den nuvarande regleringen i huvudsak fungerar väl. Det kan emellertid konstateras att nuvarande reglering, såväl lagen som förordningen, är föråldrad och i behov av modernisering för att bättre vara anpassad till annan reglering inom rättsområdet och för att möta såväl myndighetens egna verksamhetskrav som uppdragsgivarnas krav.
6. Allmänna utgångspunkter för den nya regleringen
6.1. En ny reglering införs
6.1.1. Uppdraget
I våra direktiv konstateras att pliktregisterlagen kom till 1998 och endast har ändrats ett fåtal gånger sedan dess. Vi har därför fått i uppdrag att göra en översyn av regleringen och föreslå en ny lag och förordning om behandling av personuppgifter på området. Utgångspunkten för den nya regleringen ska vara att Rekryteringsmyndighetens verksamhet ska kunna bedrivas effektivt med rationellt datorstöd samtidigt som enskildas rätt till personlig integritet tillgodoses.
6.1.2. Våra överväganden och förslag
Utredningens bedömning och förslag: En ny lag och förord-
ning ska införas och den nu gällande pliktregisterlagen och förordningen om behandling av personuppgifter om totalförsvarspliktiga ska upphävas.
Den nya regleringen bör vara teknikneutral. Regleringen bör också vara flexibel genom att kunna anpassas till berörda myndigheters krav och inte behöva ändras inför varje förändring i Rekryteringsmyndighetens verksamhet. Hänsyn måste emellertid tas till att myndighetens behandling av personuppgifter är omfattande och i hög grad rör känsliga personuppgifter. Den nya regleringen måste därför utformas med avseende både på samhällets intresse av att behandlingen av personuppgifter ska vara effektiv och att skyddet för den personliga integriteten
upprätthålls. Med dessa utgångspunkter får Rekryteringsmyndigheten möjlighet att bedriva sin verksamhet och behandla personuppgifter på ett effektivt sätt samtidigt som skyddet för den enskildes personliga integritet tillgodoses.
Enligt våra direktiv ska utgångspunkten för en ny reglering vara att Rekryteringsmyndighetens verksamhet ska kunna bedrivas effektivt med rationellt datorstöd samtidigt som enskildas rätt till personlig integritet tillgodoses. Det kan konstateras att Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga är omfattande och sker utan den enskildes samtycke. Personuppgifterna, som ofta är av integritetskänslig natur, samlas in från de totalförsvarspliktiga själva utifrån den skyldighet som följer av lagen (1994:1809) om totalförsvarsplikt. Det finns därmed ett behov av en lagreglering av Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga. Det kan vidare konstateras att pliktregisterlagen kom till år 1998 och endast har ändrats ett fåtal gånger sedan dess. Kartläggningen av Rekryteringsmyndighetens personuppgiftsbehandling visar att den nuvarande regleringen är i viss mån föråldrad. Vi föreslår därför att en ny lag och förordning ska införas och att den nu gällande pliktregisterlagen och förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga ska upphävas.
Kartläggningen av Rekryteringsmyndighetens personuppgiftsbehandling visar att den nuvarande regleringen i huvudsak fungerar väl men att den är i behov av modernisering (se avsnitt 5.5). Med hänsyn till den snabba utvecklingen på informationsteknikområdet är det viktigt att regleringen är neutral inför förändringar på det tekniska området, dvs. att den är teknikoberoende. Det är av vikt att den nya lagen inte begränsar Rekryteringsmyndighetens möjligheter att utnyttja ny informationsteknik och att utforma sina datasystem på ett för verksamheten effektivt och rationellt sätt. Regleringen bör därför möjliggöra moderna och ändamålsenliga informationssystem samtidigt som den inte bör vara beroende av att vissa tekniska lösningar används. Detta för att Rekryteringsmyndigheten så långt som möjligt ska kunna använda sig av den nya tekniken för att öka sin effektivitet men också för att underlätta och förenkla informationsutbytet med sina uppdragsgivare, andra myndigheter och enskilda. Regleringen bör också vara flexibel genom att den ska
kunna anpassas till berörda myndigheters krav och inte behöva ändras inför varje förändring i verksamheten.
Samtidigt måste hänsyn tas till att myndighetens behandling av personuppgifter, som är omfattande och i hög grad rör känsliga personuppgifter, kan innebära risk för intrång i den personliga integriteten. Att samla personuppgifter elektroniskt ökar möjligheten att sammanställa ett stort antal uppgifter om enskilda. Redan den omständigheten att uppgifterna finns registrerade kan för vissa framstå som integritetskränkande. Rekryteringsmyndighetens behandling av personuppgifter måste därför ske med respekt för den enskildes integritet. Vid utformandet av den nya regleringen måste således samhällets intresse av att Rekryteringsmyndigheten kan utföra sina uppgifter på ett effektivt sätt vägas mot att skyddet för den personliga integriteten upprätthålls.
Med dessa utgångspunkter får Rekryteringsmyndigheten möjlighet att bedriva sin verksamhet och behandla personuppgifter på ett effektivt sätt samtidigt som skyddet för den enskildes personliga integritet tillgodoses. I kapitel 7–11 behandlar vi närmare olika frågor om den föreslagna regleringens utformning.
6.2. Förhållandet till EU:s dataskyddsreglering och förslaget till dataskyddslag
6.2.1. Uppdraget
Vi har fått i uppdrag att analysera vilket förhållande den nya regleringen ska ha till EU:s dataskyddsreglering och den kompletterande nationella lagstiftningen i form av förslaget till dataskyddslag. I denna del ingår att göra en analys av möjligheterna till en helt fristående lagstiftning. I det följande ges en närmare redogörelse för EU:s dataskyddsreform, dataskyddsförordningen och Dataskyddsutredningens förslag till ny dataskyddslag. Därefter redogörs för våra överväganden och förslag rörande denna del av uppdraget.
6.2.2. Allmänt om EU:s dataskyddsreform
Den 25 januari 2012 presenterade Europeiska kommissionen ett förslag till en genomgripande reform av dataskyddsregleringen i EU. Förslaget omfattade dels en förordning med allmänna EU-regler om skydd av personuppgifter som skulle ersätta dataskyddsdirektivet (dataskyddsförordningen), dels ett direktiv med regler för den brottsbekämpande sektorn som skulle ersätta dataskyddsrambeslutet (nya dataskyddsdirektivet13). Enligt kommissionen skulle förslaget till dataskyddsförordning komma att undanröja den fragmentariska dataskyddsreglering som i dag finns inom EU, vilket såväl förenklar för företagen som stärker enskildas rätt till skydd för sina personuppgifter. En politisk överenskommelse om regleringen kom till stånd den 15 december 2015.
Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Dataskyddsförordningen, som den benämns i detta betänkande, träder i kraft den 25 maj 2018. Det huvudsakliga syftet med dataskyddsreformen är att ytterligare harmonisera EU:s regler om skydd av personuppgifter i syfte att förbättra den inre marknadens funktion och därmed skapa affärsmöjligheter och främja innovation. Därtill ska enskildas befintliga rättigheter stärkas genom en ökning av enskildas kontroll över sina personuppgifter.
6.2.3. Dataskyddsförordningen
Dataskyddsförordningen kommer från och med den 25 maj 2018 att ersätta det nuvarande dataskyddsdirektivet och utgöra grunden för all generell personuppgiftsbehandling inom EU. Enligt artikel 288 andra stycket i Fördraget om Europeiska unionens funktionssätt ska en EU-förordning ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat. Till skillnad från
13 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.
EU-direktiv ska alltså förordningar inte implementeras i nationell rätt. I stället ska förordningsbestämmelser tillämpas av enskilda, myndigheter och domstolar precis som om de vore nationella författningsbestämmelser. Detta innebär att dataskyddsförordningen är direkt tillämplig i EU:s medlemsstater.
Även om dataskyddsförordningen är direkt tillämplig, till skillnad från dataskyddsdirektivet, innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Förordningen har därmed i vissa delar en direktivliknande karaktär. I skäl 8 till förordningen anges också att om denna förordning föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av denna förordning i nationell rätt.
Syfte och tillämpningsområde
I dataskyddsförordningens första kapitel slås syftet och tillämpningsområdet fast, vilka i princip är desamma som dataskyddsdirektivets (artiklarna 1–3). Det territoriella tillämpningsområdet har dock utvidgats till att också omfatta uppgiftsbehandling utanför EU som utförs av företag som exempelvis erbjuder varor och tjänster till EU-medborgare.
I syfte att säkerställa en enhetlig skyddsnivå över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs, enligt skäl 13 till dataskyddsförordningen, en förordning som skapar rättslig säkerhet och öppenhet för ekonomiska aktörer och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar. På så sätt blir övervakningen av behandling av personuppgifter enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt. För att den inre marknaden ska fungera väl krävs enligt samma skäl att det fria flödet av personuppgifter inom unionen inte begränsas eller förbjuds av skäl som har anknyt-
ning till skydd för fysiska personer med avseende på behandling av personuppgifter.
Dataskyddsförordningen ska, i likhet med dataskyddsdirektivet, tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Från dataskyddsförordningens tillämpningsområde undantas dock behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller som utförs av melemsstaterna när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken. Behandling av personuppgifter som utförs av en fysisk person som ett led i verksamhet av privat natur eller som har samband med hans eller hennes hushåll omfattas inte heller av förordningens bestämmelser. Vidare gäller förordningen inte för sådan behandling av personuppgifter som utförs av behöriga myndigheter för ändamålen att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder. Sådan behandling regleras i stället genom det nya dataskyddsdirektivet, som ersätter dataskyddsrambeslutet. Förordningens bestämmelser ska inte heller tillämpas av EU:s institutioner, organ och byråer. Den behandling av personuppgifter som sker där regleras i stället, precis som tidigare, genom Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter.
I första kapitlet finns också de definitioner som används i förordningen uppräknade (artikel 4).
Principer och krav på behandling av personuppgifter
Andra kapitlet i dataskyddsförordningen innehåller principerna för behandling av personuppgifter. Dessa motsvarar i huvudsak de i dataskyddsdirektivet uppställda principerna såvitt avser bl.a. rättslig grund för behandling och behandling av känsliga personuppgifter. Varje behandling av personuppgifter ska vila på en rättslig grund och är endast tillåten om och i den mån åtminstone ett av villkoren i artikel 6.1 är uppfyllt. Enligt artikel 5 i förordningen krävs dock
att behandling av personuppgifter måste ske på ett lagligt, korrekt och öppet sätt. Det är den personuppgiftsansvariges ansvar att principerna i artikel 5 följs (artikel 5.2).
De rättsliga grunderna för behandling av personuppgifter och behandling av känsliga personuppgifter beskrivs närmare i kapitel 8 och 9.
Den enskildes rättigheter
Det tredje kapitlet innehåller bestämmelser om den enskildes rättigheter (artiklarna 12–23). Den registrerades rättigheter har i dataskyddsförordningen förstärkts i syfte att ge den registrerade ökad kontroll över sina personuppgifter. Den information som ska tillhandahållas den registrerade har preciserats och utvidgats och den personuppgiftsansvarige ska tillhandahålla informationen i en begriplig och lättillgänglig form (artikel 12). Den enskildes rätt till information bygger i stor utsträckning på direktivets bestämmelser.
Den registrerade har rätt att få felaktiga uppgifter rättade (artikel 16). Vidare har en tydligare rätt att bli bortglömd införts i förordningen som innebär att den personuppgiftsansvarige inte endast ska radera personuppgifter som inte längre får behandlas. Om uppgifterna har gjorts offentliga ska den personuppgiftsansvarige därtill vidta alla rimliga åtgärder för att informera dem som uppgifterna spridits till att den enskilde vill bli glömd. En begäran om att få bli glömd innebär som huvudregel att uppgifterna ska raderas utan dröjsmål (artikel 17).
Dataskyddsförordningen innebär även en förstärkning av rätten att få åtkomst till sina personuppgifter i syfte att föra över dem till en annan leverantör av elektroniska tjänster, s.k. dataportabilitet (artikel 20). En vidareutveckling av regleringen om den enskildes rätt att invända mot uppgiftsbehandling och att i viss utsträckning inte bli utsatt för s.k. profilering har gjorts genom artiklarna 21 och 22. Profilering innebär automatisk behandling av uppgifter i syfte att bedöma personliga egenskaper hos den enskilde, exempelvis arbetsprestationer eller kreditvärdighet. Slutligen har medlemsstaterna getts befogenhet att för särskilt angivna ändamål inskränka vissa av rättigheterna och skyldigheterna i förordningen genom nationell
lagstiftning under förutsättning att inskränkningarna är nödvändiga och proportionerliga i förhållande till ändamålet (artikel 23).
Skyldigheter för den som behandlar personuppgifter
De skyldigheter som åligger den som behandlar personuppgifter, dvs. den personuppgiftsansvarige och personuppgiftsbiträdet, framgår av dataskyddsförordningens kapitel fyra. Många av skyldigheterna har i förhållande till dataskyddsdirektivet utökats och vidareutvecklats.
Genom förordningen införs en skyldighet för den personuppgiftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en så kallad personuppgiftsincident, dvs. en säkerhetsincident som oavsiktligt påverkar behandlingen av personuppgifter (artikel 33). Även den registrerade ska informeras om incidenten om den sannolikt leder till en hög risk för enskildas rättigheter och friheter (artikel 34). Det införs även krav på konsekvensanalyser om en viss behandling sannolikt kommer att leda till hög risk för enskildas rättigheter eller skyldigheter (artikel 35). Den allmänna anmälningsskyldigheten till tillsynsmyndigheten tas däremot bort. Vidare blir det tydligare regler för kommunikation och ansvar hos de som behandlar personuppgifter. Ett krav på inbyggt dataskydd och dataskydd som standard införs också (artikel 25).
Även på andra sätt innebär förordningen ett ökat fokus på en enhetlig tillämpning av dataskyddsreglerna inom EU, t.ex. genom åtgärder som godkännande av uppförandekoder och certifiering och bestämmelser om dataskyddsombud (artiklarna 37–43). Det införs även en skyldighet för de nationella tillsynsmyndigheterna att samarbeta över nationsgränserna (kapitel sju).
Rättsmedel, ansvar och sanktioner
I det åttonde kapitlet slås bl.a. fast att enskilda ska ha rätt att klaga hos en nationell tillsynsmyndighet om de anser att behandlingen av deras personuppgifter inte följt regleringen i förordningen (artikel 77). Den enskilde ska dessutom ges rättsmedel för att kunna få tillsynsmyndigheten att agera utifrån ett klagomål som framförts till myndigheten (artikel 78). I likhet med vad som redan gäller ska
den enskilde även ha rätt att väcka talan vid domstol mot en registeransvarig. En nyhet är att den rättigheten även gäller gentemot ett personuppgiftsbiträde (artikel 79). Genom artikel 80 ges den registrerade också rätt att ge mandat till vissa organ, organisationer och sammanslutningar utan vinstintresse att företräda honom eller henne och processa i domstol. Om en enskild har drabbats av en skada på grund av en otillåten behandling av personuppgifter ska denne ha rätt till skadestånd från den som är ansvarig för behandlingen, den personuppgiftsansvarige eller personuppgiftsbiträdet (artikel 82). Genom förordningen införs också ett nytt gemensamt system med administrativa sanktionsavgifter som ska påföras vid vissa typer av överträdelser av förordningen (artikel 83). I övrigt är det medlemsstaterna som ska fastställa de sanktioner som ska komma i fråga vid överträdelser av förordningens bestämmelser. Sanktionerna måste dock vara effektiva, proportionerliga och avskräckande (artikel 84).
Behandling av personuppgifter i samband med utlämnanden enligt offentlighetsprincipen och för andra särskilda ändamål
I kapitel nio i dataskyddsförordningen finns bestämmelser om behandling av personuppgifter för vissa särskilda ändamål. Av artikel 86 framgår att personuppgifter i allmänna handlingar får lämnas ut i enlighet med nationell rätt för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd för personuppgifter i enlighet med förordningen. Bestämmelsen möjliggör således en tillämpning av tryckfrihetsförordningens reglering om allmänhetens tillgång till handlingar och sekretessbestämmelserna i offentlighets- och sekretesslagen (2009:400), även när det gäller allmänna handlingar som innehåller personuppgifter. Utrymmet för att ge offentlighetsprincipen företräde framför personuppgiftsregleringen har blivit tydligare i dataskyddsförordningen jämfört med vad som har varit fallet med dataskyddsdirektivet.
För att skapa en balans mellan skyddet för personuppgifter och yttrandefriheten anges exempelvis att medlemsstaterna ska lagstifta om undantag från vissa av förordningens bestämmelser för sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller för konstnärligt eller litterärt skapande (artikel 85). Det finns även särskilda bestämmelser som närmare reglerar be-
handling av nationella identifikationsnummer samt viss behandling för statistiska, historiska eller vetenskapliga forskningsändamål (artikel 87 respektive 89). Medlemsstaterna får även lagstifta om sådan behandling av enskildas personuppgifter som har samband med anställning (artikel 88).
Bestämmelserna i tionde kapitlet handlar om kommissionens rätt att utfärda delegerade akter och genomförandeakter. Slutligen innehåller kapitel elva förordningens slutbestämmelser.
6.2.4. Dataskyddsutredningen
Som tidigare nämnts ersätter dataskyddsförordningen dataskyddsdirektivet, som på generell nivå har genomförts i svensk rätt genom personuppgiftslagen, personuppgiftsförordningen och Datainspektionens föreskrifter. Dataskyddsförordningen ska tillämpas av enskilda, myndigheter och domstolar precis som om dess bestämmelser hade funnits i en svensk författning. När dataskyddsförordningen börjar tillämpas kommer alltså den generella regleringen om behandling av personuppgifter att finnas i dataskyddsförordningen. Det innebär att personuppgiftslagen, personuppgiftsförordningen och Datainspektionens föreskrifter kommer att upphävas.
Den 25 februari 2016 tillsatte regeringen en särskild utredare med uppdrag att föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som den nya dataskyddsförordningen ger anledning till (Dataskyddsutredningen [Ju 2016:04], dir. 2016:15). Dataskyddsutredningen har i betänkandet Ny data-
skyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning
(SOU 2017:39), som överlämnades den 12 maj 2017, lämnat förslag till en ny övergripande lag och förordning om dataskydd. För att betona att författningarna inte är heltäckande utan endast utgör komplement till dataskyddsförordningen har utredningen valt att benämna dem lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) respektive förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning. Den nya lagen och övriga författningsförslag föreslås träda i kraft den 25 maj 2018. Personuppgiftslagen föreslås att upphöra att gälla samma dag. Enligt övergångsbestämmelserna ska den emellertid fortfarande gälla i den utsträckning som det i en annan lag eller
förordning hänvisas till den lagen. Nedan följer en översiktlig beskrivning av den föreslagna dataskyddslagen.
6.2.5. Dataskyddslagen
Reglering av behandling av personuppgifter i Sverige har sedan lång tid tillbaka skett i form av en generell lag, personuppgiftslagen, kompletterad med särregler i s.k. registerförfattningar för viktigare och känsligare register. Personuppgiftslagen gjordes därför subsidiär på så sätt att om det i en annan lag eller i en förordning finns bestämmelser som avviker från lagen, ska de bestämmelserna gälla (2 § personuppgiftslagen). Av Dataskyddsutredningens direktiv framgår att regeringen har för avsikt att i vart fall tills vidare hålla fast vid det traditionella systemet för reglering av behandling av personuppgifter i Sverige, dvs. i form av en generell reglering som kompletteras av sektorsspecifika författningar med bestämmelser om behandling av personuppgifter. I vissa fall kan lagform krävas enligt 2 kap. 6 § regeringsformen men många gånger kan sådana författningar beslutas av regeringen med stöd av dess restkompetens enligt 8 kap. 7 § första stycket 2 regeringsformen. Det kommer följaktligen även i fortsättningen sannolikt att finnas ett stort antal förordningar som innehåller särskilda bestämmelser om behandling av personuppgifter (SOU 2017:39, s. 83 f.). Dataskyddsutredningen har mot bakgrund härav i sitt förslag till ny dataskyddslag med tillhörande förordning samlat generella bestämmelser tillämpliga för flertalet personuppgiftsansvariga, dvs. även myndigheter, och inte bara en viss sektor.
Dataskyddsutredningen har inom ramen för sitt uppdrag även analyserat om det finns behov av att reglera förhållandet mellan dataskyddslagen och sektorsspecifika föreskrifter. Enligt Dataskyddsutredningens förslag bör bestämmelser i såväl lagar som förordningar, på motsvarande sätt som gällt hittills, ha företräde framför bestämmelserna i den föreslagna generella regleringen (a.a. s. 84). I enlighet härmed anges det i 1 kap. 3 § dataskyddslagen att om en annan lag eller en förordning innehåller någon bestämmelse som rör behandling av personuppgifter och som avviker från denna lag tillämpas den bestämmelsen.
Behandling av personuppgifter utanför dataskyddsförordningens tillämpningsområde
Den EU-rättsliga regleringen är som tidigare påpekats inte heltäckande. Det innebär att det fortfarande kommer att finnas ett område som inte täcks av EU-regleringen. Inom det området kan det i sin tur finnas verksamhetsområden som inte omfattas av någon sektorsspecifik reglering. Dataskyddsutredningen har undersökt om det finns behov av en generell reglering för sådan personuppgiftsbehandling. Enligt Dataskyddsutredningens direktiv skulle en sådan reglering exempelvis kunna innebära att förordningen i relevanta delar görs tillämplig även utanför unionsrättens tillämpningsområde.
Dataskyddsdirektivet gäller inte för sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område (artikel 3.2). Personuppgiftslagen, genom vilken direktivet införlivats i svensk rätt, är däremot generellt tillämplig. Den gäller således även för sådan behandling som faller utanför det nuvarande dataskyddsdirektivets tillämpningsområde. Detta för att säkerställa ett starkt integritetsskydd för behandling av personuppgifter inom all offentlig verksamhet. En sådan ordning har även ansetts garantera att behovet av särregler i förhållande till personuppgiftslagen alltid övervägs noga i den ordning som krävs för författningsgivning (prop. 1997/98:44, s. 40 f.).
Enligt artikel 2.2 i dataskyddsförordningen ska förordningen inte tillämpas på behandling av personuppgifter som
a) utgör ett led i en verksamhet som inte omfattas av unionsrätten,
b) medlemsstaterna utför när de bedriver verksamhet som omfattas
av avdelning V kapitel 2 i EU-fördraget,
c) en fysisk person utför som ett led i verksamhet av privat natur
eller som har samband med hans eller hennes hushåll, eller
d) behöriga myndigheter utför i syfte att förebygga, förhindra, ut-
reda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebyggaoch förhindra hot mot den allmänna säkerheten.
I skäl 16 till dataskyddsförordningen anges verksamhet som rör nationell säkerhet som ett exempel på en verksamhet som enligt led a inte omfattas av unionsrättens tillämpningsområde. Enligt Dataskyddsutredningen är det sannolikt bara i den offentliga sektorn som det skulle kunna förekomma verksamhet som faller utanför unionsrättens tillämpningsområde i den mening som avses i artikel 2.2 a och där behandling av personuppgifter därmed inte skulle omfattas av dataskyddsförordningens direkt tillämpliga bestämmelser (SOU 2017:39, s. 91). Någon unionsrättslig allmänt gällande princip som innebär att en medlemsstat inte, med stöd av sin nationella kompetens, kan utvidga tillämpningsområdet för en EU-förordning finns inte. Dataskyddsförordningen innehåller inte heller några bestämmelser som förhindrar att bestämmelserna i förordningen tillämpas i verksamhet som är undantagen från dess tillämpningsområde. Det finns därmed inga formella hinder mot att utvidga tillämpningsområdet för dataskyddsförordningens bestämmelser till att omfatta även sådan personuppgiftsbehandling som faller utanför unionsrättens tillämpningsområde (jfr prop. 2010/11:80, s. 59 f.).
För att säkerställa att det inom varje verksamhet finns ett fullgott skydd bör enligt Dataskyddsutredningens förslag förordningens bestämmelser om behandling av personuppgifter utsträckas till att gälla generellt. Detta anses vara ett bättre alternativ än att införa en komplett nationell dataskyddsreglering för verksamhet som inte omfattas av förordningens tillämpningsområde. Det skulle leda till att vissa myndigheter för sin personuppgiftsbehandling tvingas tillämpa två parallella regelverk, förutom eventuellt förekommande sektorsspecifika författningar. Enligt Dataskyddsutredningens förslag bör därför dataskyddsförordningen, i tillämpliga delar, genom dataskyddslagen utsträckas till att gälla även vid sådan behandling av personuppgifter som enligt artikel 2.2 a och b inte omfattas av dataskyddsförordningens tillämpningsområde.
I 1 kap. 2 § dataskyddslagen föreslås följaktligen att bestämmelserna i dataskyddsförordningen, i den ursprungliga lydelsen, och i lagen i tillämpliga delar ska gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen. Bestämmelsen innebär att förordningens bestämmelser gäller som svensk rätt vid personuppgiftsbehandling som utförs i sådan verksamhet som enligt arti-
kel 2.2 a och 2.2 b i dataskyddsförordningen är undantagen från förordningens tillämpningsområde. Förordningens bestämmelser gäller alltså, i tillämpliga delar, även vid personuppgiftsbehandling som utförs som ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som utförs inom ramen för den gemensamma utrikes- och säkerhetspolitiken (SOU 2017:39, s. 354).
Verksamhet som inte omfattas av unionsrättens tillämpningsområde är bl.a. verksamhet som rör nationell säkerhet och verksamhet på försvarsområdet. Exakt vilka verksamheter som därutöver faller utanför unionsrättens tillämpningsområde och därmed inte omfattas av förordningens bestämmelser är emellertid oklart. Det kan dock konstateras att det inte är möjligt att genom nationell rätt ålägga tillsynsmyndigheter i andra länder att samarbeta med den svenska tillsynsmyndigheten. De bestämmelser i förordningen som avser tillsynsmyndigheternas skyldighet att samarbeta med varandra är därför inte tillämpliga. Inte heller är det möjligt att genom nationell rätt ge den europeiska dataskyddsstyrelsen behörighet att t.ex. utfärda riktlinjer och rekommendationer eller att ge kommissionen rätt att anta delegerade akter inom detta område. Kapitel VII och kapitel X i dataskyddsförordningen utgör därför inte ”tillämpliga delar”. Det kan även i övrigt finnas bestämmelser i dataskyddsförordningen som inte kan tillämpas i rent nationell verksamhet. Det får därför i varje enskilt fall göras en bedömning av om en viss förordningsbestämmelse kan gälla. Det är också möjligt att i sektorsspecifika författningar som avser verksamhet utanför dataskyddsförordningens egentliga tillämpningsområde föreskriva undantag från 1 kap. 2 § dataskyddslagen (jfr 1 kap. 3 § i den föreslagna lagen). Det kan i sådana författningar även anges att endast vissa av förordningens bestämmelser inte ska gälla inom just det området (a.a. s. 354 f.).
6.2.6. Våra överväganden och förslag
Utredningens bedömning och förslag: Regleringen av Rekry-
teringsmyndighetens behandling av personuppgifter bör inte vara helt fristående utan anpassas till bestämmelserna i dataskyddsförordningen och den kompletterande dataskyddslagen.
I lagen ska föreskrivas att dataskyddslagen gäller vid behandling av personuppgifter i Rekryteringsmyndighetens verksamhet, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.
Lagen ska även innehålla en upplysning om att lagen, till följd av bestämmelserna i dataskyddslagen, kompletterar dataskyddsförordningen.
Rekryteringsmyndighetens behandling av personuppgifter syftar till att tillgodose det svenska totalförsvarets behov av totalförsvarspliktiga samt att möjliggöra redovisning av dessa och övrig personal inom totalförsvaret. Som framgår av artikel 2.2 a i dataskyddsförordningen omfattar inte förordningen behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten. I föregående avsnitt har redovisats att dataskyddsförordningen dock inte innehåller några bestämmelser som förhindrar att bestämmelserna i förordningen tillämpas i verksamhet som är undantagen från dess tillämpningsområde. Det finns därmed inga formella hinder mot att utvidga tillämpningsområdet för dataskyddsförordningens bestämmelser till att omfatta även sådan personuppgiftsbehandling som faller utanför unionsrättens tillämpningsområde. Förordningen möjliggör således en generell tillämpning av densamma i medlemsstaterna.
Enligt förslaget till dataskyddslag ska lagen vara generell i betydelsen att den till sin ordalydelse även kommer att omfatta verksamhet som faller utanför unionsrättens och följaktligen förordningens tillämpningsområde. Dataskyddslagen kommer således att även omfatta behandling av personuppgifter inom försvarsområdet. I dataskyddslagen ges emellertid en uttrycklig möjlighet att i annan författning eller förordning göra avvikelser från dataskyddslagen (1 kap. 3 §). När det gäller Rekryteringsmyndighetens behandling av personuppgifter innebär således varken dataskyddsförordningen i sig eller utformningen av dataskyddslagen något rättsligt hinder mot att införa en helt fristående reglering.
Enligt vår uppfattning finns det emellertid tungt vägande skäl för att en ny reglering av behandling av personuppgifter inom Rekryteringsmyndighetens verksamhet – i den del som faller utanför dataskyddsförordningens tillämpningsområde – bör anpassas till dataskyddsförordningen och den nya dataskyddslagens bestämmel-
ser. Dataskyddslagen kommer på samma sätt som personuppgiftslagen att vara subsidiär i förhållande till annan lagstiftning om behandling av personuppgifter. Bestämmelser i en ny lag kommer därför som huvudregel att ha företräde framför dataskyddslagens bestämmelser. I annat fall ska dock dataskyddslagens bestämmelser gälla. En motsvarande ordning har sedan pliktregisterlagens ikraftträdande tillämpats av Rekryteringsmyndigheten vid myndighetens behandling av personuppgifter om totalförsvarspliktiga i förhållande till personuppgiftslagens bestämmelser. Några skäl för att nu frångå en sådan ordning har inte kommit fram.
I detta sammanhang ter det sig också naturligt och lämpligt att bestämmelserna i dataskyddsförordningen och dataskyddslagen får så långt det är möjligt tjäna som utgångspunkt när särskilda författningar för behandling av personuppgifter utformas. Dataskyddsförordningen och den kompletterande dataskyddslagen har tillkommit för att ytterligare harmonisera och effektivisera skyddet av personuppgifter. Oavsett de förändringar och nyheter som följer av förordningen och som följaktligen kommer att införas generellt genom dataskyddslagen så är de till alla delar överensstämmande med grundläggande principer om integritetskydd i svensk rätt. Fördelarna med att i en generell författning samla de grundläggande bestämmelserna för behandling av personuppgifter i myndigheters verksamhet gör sig alltjämt gällande, precis som vid personuppgiftslagens tillkomst. Fördelarna är enligt vår bedömning uppenbara, inte minst från integritetsskyddssynpunkt. Det finns alltså starka skäl även från en materiellt rättslig synpunkt för att en författning som reglerar behandling av personuppgifter i en verksamhet som inte omfattas av unionsrättens område också i fortsättningen anpassas till de generella bestämmelserna på området, dvs. dataskyddsförordningen och den kommande dataskyddslagen.
På de skäl som ovan anförts anser vi att regleringen av Rekryteringsmyndighetens behandling av personuppgifter inte bör vara helt fristående utan bör följa den föreslagna dataskyddslagens – och därmed också dataskyddsförordningens – bestämmelser, med undantag för de fall då avvikelser är befogade på grund av verksamhetens särskilda karaktär. Detta bör, liksom tidigare, komma till uttryck genom att det i den nya lagen anges att om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen,
gäller dataskyddslagen vid behandling av personuppgifter i Rekryteringsmyndighetens verksamhet.
I sammanhanget bör framhållas att dataskyddslagen för närvarande endast föreligger i form av ett förslag. Vi har emellertid under utredningen, så som angetts i våra direktiv, på nära håll följt Dataskyddsutredningens arbete. Utredningens sekretariat har fortlöpande deltagit i samordningsmöten med såväl Dataskyddsutredningen som med flera andra utredningar som rört EU:s dataskyddsförordning, kompletterande sektorslagstiftning samt dataskyddslagen. Därigenom har vi kunnat anpassa våra förslag till den föreslagna nya regleringen. Vi är medvetna om att den slutliga utformningen av den nya lagen kan komma att skilja sig åt från dataskyddslagen i dess föreslagna form. Vi gör dock bedömningen att eventuella justeringar inte blir större än att vårt förslag kan anpassas till denna utan alltför omfattande arbetsinsatser.
Enligt 1 kap. 2 § dataskyddslagen ska bestämmelserna i dataskyddsförordningen och i dataskyddslagen i tillämpliga delar gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen. Som framgått ovan föreslår vi ingen annan ordning för den personuppgiftsbehandling som utförs hos Rekryteringsmyndigheten. Till följd av bestämmelsen blir således dataskyddsförordningen, i tillämpliga delar, direkt tillämplig vid behandling av personuppgifter i Rekryteringsmyndighetens verksamhet. Detta förhållande bör komma till tydligt uttryck i den nya lagen. Lagen ska därför innehålla en upplysning om att denna lag, till följd av bestämmelserna i dataskyddslagen, kompletterar dataskyddsförordningen.
6.3. Behov av lagreglering
6.3.1. Uppdraget
I utredningens direktiv erinras om att det infördes en ny bestämmelse i 2 kap. 6 § regeringsformen den 1 januari 2011 som innebär att var och en är skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Den lagstiftning som ska gälla för Rekry-
teringsmyndigheten behöver därför granskas ur ett grundlagsperspektiv, bl.a. när det gäller bestämmelser om direktåtkomst för andra än Rekryteringsmyndigheten.
6.3.2. Krav på lagform
Regeringsformens normgivningsbestämmelser
Av 8 kap. 1 § första stycket regeringsformen framgår att föreskrifter meddelas av riksdagen genom lag och av regeringen genom förordning. Föreskrifter ska meddelas genom lag om de avser bl.a. skyldigheter för enskilda eller ingrepp i enskildas personliga eller ekonomiska förhållanden (8 kap. 2 § första stycket 2). Kravet på att en sådan föreskrift ska ha form av lag är emellertid inte obligatoriskt, utan riksdagen kan bemyndiga regeringen att meddela den typen av föreskrifter (8 kap. 3 §).
Enligt 8 kap. 7 § regeringsformen får regeringen bl.a. meddela föreskrifter som inte enligt grundlag ska meddelas av riksdagen. Att regeringen meddelar föreskrifter i ett visst ämne hindrar inte att riksdagen meddelar föreskrifter i samma ämne (8 kap. 8 §)
Av 8 kap.10 och 11 §§regeringsformen följer att en vidaredelegation till en förvaltningsmyndighet att meddela föreskrifter också kan medges av riksdagen eller, i fråga om regeringens primärområde, av regeringen själv.
De s.k. registerförfattningarna är ett exempel på en grupp författningar där lagformen ofta har valts trots att detta i allmänhet inte har varit nödvändigt rent normgivningstekniskt. Att det allmänna registrerar personuppgifter om enskilda innebär ingen skyldighet för enskilda och har normalt sett inte heller ansetts som något ingrepp i enskilds personliga förhållanden i den mening som avses i 8 kap. 2 § första stycket 2 regeringsformen (Anders Eka m.fl., Regeringsformen – med kommentarer, 2012, s. 311). Registerförfattningar har alltså i princip ansetts höra till regeringens primärområde och har således kunnat regleras i förordningsform. I ett antal lagstiftningsärenden under årens lopp som har rört myndigheters behandling av personuppgifter har emellertid framhållits att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i lag (se närmare om detta nedan).
I betänkandet med förslag till myndighetsdatalag anförde Informationshanteringsutredningen att det torde höra till undantagen att en myndighets behandling av personuppgifter sedd för sig kan anses utgöra ett ingrepp i enskilds personliga förhållanden och därför kräver stöd i lag enligt 8 kap. 2 § första stycket 2 regeringsformen (SOU 2015:39, s. 205 f.). Föreskrifter om myndigheters behandling av personuppgifter reglerar nämligen i allmänhet inte vad en myndighet ska eller tillåts göra i sin verksamhet. Detta regleras i stället i andra regelverk som föreskriver exempelvis vilka uppgifter och vilka befogenheter en myndighet har, vilka personuppgifter och andra uppgifter som ska samlas in och från vem samt vilka uppgifter som ska lämnas till andra utanför myndighetens verksamhet. Föreskrifter om behandling av personuppgifter handlar i stället främst om vilka krav som ska ställas på sådan behandling när myndigheten utför sina uppgifter. I den mån det allmänna tillåts att göra intrång i enskildas privata sfär för att en myndighet ska kunna utföra en viss uppgift – exempelvis genom att enskilda åläggs en skyldighet att lämna uppgifter om personliga förhållanden till myndigheten – regleras detta i allmänhet i något annat regelverk än i en renodlad registerförfattning. Som exempel kan nämnas totalförsvarspliktigas skyldighet enligt 2 kap. 1 § lagen (1994:1809) om totalförsvarsplikt att lämna nödvändiga uppgifter om personliga förhållanden, exempelvis hälsotillstånd, för att hans eller hennes förutsättningar att fullgöra värnplikt eller civilplikt ska kunna utredas och bedömas.
Det utökade grundlagsskyddet i 2 kap. 6 § regeringsformen
Den 1 januari 2011 ändrades regeringsformen på så sätt att det i 2 kap. 6 § andra stycket regeringsformen numera föreskrivs att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet mot intrång får begränsas i lag och bara i den ordning som föreskrivs i 2 kap.20–22 §§regeringsformen.
Grundlagsbestämmelsen tar sikte på att skydda information om enskildas personliga förhållanden. Enskildas personliga förhållanden avser enligt förarbetena vitt skilda slag av information som är knuten
till den enskildes person, t.ex. uppgifter om namn och andra personliga identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel (prop. 2009/10:80, s. 177). Även fotografisk bild samt uppgifter som inte är direkt knutna till den enskildes privata sfär, exempelvis uppgift om anställning och ekonomi, omfattas av uttrycket.
All slags behandling av uppgifter om enskildas personliga förhållanden som sker utan samtycke ska inte anses som så integritetskänslig att det är motiverat att låta den omfattas av integritetsskyddet i grundlagen (a. prop. s. 180). Enbart åtgärder som innebär kartläggning eller övervakning av enskildas personliga förhållanden avses. Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är inte dess huvudsakliga syfte utan vilken effekt åtgärden har (a. prop. s. 250). I förarbetena anges bl.a. att en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall många gånger kan anses innebära kartläggning av enskildas förhållanden, även om avsikten inte är att kartlägga enskilda. Så torde även vara fallet när det gäller ett stort antal uppgiftssamlingar som det allmänna förfogar över. En mycket stor mängd information som rör enskildas personliga förhållanden finns t.ex. lagrad i Skatteverkets, Tullverkets, Försäkringskassans och Kronofogdemyndighetens olika databaser och även hos de statistikansvariga myndigheterna. Flera av dessa uppgiftssamlingar omfattar en stor andel av landets hela befolkning och flera av dem innehåller också till viss del mycket integritetskänsliga uppgifter. Det förekommer även att uppgiftssamlingar inrättas och utformas i syfte att fungera som mer utpräglade personregister. Ett exempel på en åtgärd som kan anses innebära kartläggning är polisens belastningsregister.
Vid bedömningen av vad som kan anses utgöra ett betydande intrång ska vägas in uppgifternas karaktär och omfattning samt ändamålet med behandlingen och omfattningen av utlämnandet av uppgifter till andra (a. prop. s. 184). Även hantering av ett litet fåtal uppgifter kan alltså innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vidare kan mängden uppgifter ha betydelse för bedömningen.
Motivuttalanden på registerförfattningsområdet rörande normgivningsnivå
Motivuttalanden om att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i lag tillkom i samband med ett grundlagsärende i början av 1990-talet. I prop. 1990/91:60 uttalade regeringen denna målsättning och anförde vidare bl.a. att målsättningen särskilt gäller i de fall uppgifterna i registret sprids externt i en inte obetydlig omfattning (s. 57 f.). I samma lagstiftningsärende uttalade konstitutionsutskottet som sin mening att det allmänt sett var av stor betydelse att en författningsreglering av ADB-register kommer till stånd i syfte att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av känsliga uppgifter i myndighetsregister (bet. 1990/91:KU11). I flera senare lagstiftningsärenden, t.ex. i samband med att personuppgiftslagen infördes, har det anförts att det inte finns anledning att avvika från den målsättning som uttalats i samband med 1990/91 års lagstiftningsärende (se t.ex. prop. 1997/98:44, s. 41 och prop. 1999/2000:39, s. 78).
I betänkandet med förslag till en myndighetsdatalag anförde Informationshanteringsutredningen att ambitionen att ha samtliga föreskrifter som behövs för ett visst verksamhetsområde eller en viss myndighets behandling av personuppgifter i en särskild författning på lagnivå har medfört uppenbara olägenheter för utvecklingen av en effektiv förvaltning eftersom den har inneburit en onödigt hög detaljeringsgrad på lagnivå (SOU 2015:39, s. 204 f.). Den omständigheten att resonemang om normnivå allt som oftast handlar om författningen som sådan i stället för de enskilda frågor som den reglerar riskerar enligt utredningen att leda till att de integritetsfrågor som skulle behöva belysas utifrån ett rättighetsperspektiv inte får den uppmärksamhet som de förtjänar. Det leder i sin tur till att det blir än svårare att identifiera i vilka fall det särskilda skyddet i 2 kap. 6 § andra stycket regeringsformen verkligen ska tillämpas.
6.3.3. Våra överväganden
Utredningens bedömning: De grundläggande reglerna för be-
handling av personuppgifter om totalförsvarspliktiga bör ges i form av lag. De grundläggande reglerna bör både avse moment i personuppgiftsbehandlingen som kan betraktas som intrång i enskilds personliga förhållanden och sådant som är centralt för skyddet av den enskildes personliga integritet.
Övriga bestämmelser kan ges i form av förordning.
Rekryteringsmyndigheten behandlar i sin verksamhet och i sina informationssystem en stor mängd uppgifter om ett mycket stort antal totalförsvarspliktiga. Den behandling som sker är således omfattande och avser en betydande del av Sveriges befolkning. Insamlingen av uppgifter om de totalförsvarspliktiga sker i allt väsentligt genom att de totalförsvarspliktiga på grund av bestämmelserna i lagen om totalförsvarsplikt är skyldiga att lämna uppgifter om sina personliga förhållanden till myndigheten. Dessutom är flera myndigheter skyldiga att lämna uppgifter om de totalförsvarspliktigas personliga förhållanden till myndigheten. Det gäller exempelvis uppgifter av mycket känsligt slag som hälsotillstånd och lagöverträdelser. Behandlingen avser i många fall även andra uppgifter av integritetskänslig karaktär. De uppgifter som Rekryteringsmyndigheten behandlar sprids också utanför myndighetens verksamhet genom direktåtkomst som avser vissa uppgifter i myndighetens informationssystem.
Bestämmelsen i 2 kap. 6 § andra stycket regeringsformen ställer inte krav på att all reglering som rör personuppgiftsbehandling måste regleras i lag. Som Informationshanteringsutredningen påpekade är det tvärtom så att det torde höra till undantagen att en myndighets behandling av personuppgifter sedd för sig kan anses utgöra ett ingrepp i enskilds personliga förhållanden och därför kräver stöd i lag. Vad en myndighet ska eller tillåts göra i sin verksamhet regleras i stället i allmänhet i andra regelverk och inte i föreskrifter om myndigheters behandling av personuppgifter. Det särskilda grundlagsskyddet rör endast sådana bestämmelser som kan resultera i övervakning eller kartläggning av den enskilde och som kan innebära ett betydande intrång i den personliga integriteten. Enligt vår bedömning innehåller Rekryteringsmyndighetens
verksamhet vissa moment som innebär att skyddet mot betydande intrång i den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen aktualiseras. I verksamheten hanteras en mycket stor mängd personuppgifter som avser en stor del av den svenska befolkningen. Ändamålet med behandlingen av personuppgifter avser bl.a. att ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret, vilket i sig kan uppfattas som en form av kartläggning av personliga förhållanden. Insamlingen av personuppgifter baseras på en skyldighet att lämna dessa och de uppgifter som samlas in rör personliga förhållanden av i många fall känsligt slag. Ett annat moment som kan aktualisera grundlagsskyddet är om en omfattande direktåtkomst till personuppgifterna hos myndigheten möjliggörs för en annan aktör.
Det kan konstateras att totalförsvarspliktigas skyldighet att lämna uppgifter om sina personliga förhållanden till bl.a. Rekryteringsmyndigheten redan regleras i lag, nämligen i lagen om totalförsvarsplikt. Att på automatisk väg behandla känsliga personuppgifter är dock i grunden förbjudet enligt dataskyddsförordningen. I den mån den nu aktuella lagen bör innehålla bestämmelser som tillåter Rekryteringsmyndigheten att behandla känsliga personuppgifter utöver vad som kommer att vara tillåtet enligt dataskyddsförordningen och dataskyddslagen påkallar 2 kap. 6 § andra stycket regeringsformen att även sådana bestämmelser ges i form av lag. Detsamma gäller bestämmelser om i vilka fall någon annan aktör ska få ha direktåtkomst till personuppgifter som behandlas med stöd av lagen.
De grundläggande bestämmelserna för behandlingen av personuppgifter i Rekryteringsmyndighetens verksamhet bör därför, liksom i dag, regleras i lag. Den grundläggande regleringen bör dock inte enbart ha sikte på att reglera sådana moment i behandlingen som kan betraktas som intrång i enskilds personliga förhållanden utan bör också avse sådant som är centralt för skyddet av personuppgifter, exempelvis ändamålsbegränsningar, sökförbud samt bestämmelser om bevarande och gallring. Lagen bör således innehålla alla de bestämmelser som kan sägas utgöra grunden för Rekryteringsmyndighetens behandling av personuppgifter både vad avser moment i personuppgiftsbehandlingen som kan betraktas som intrång
i den personliga integriteten och sådant som är centralt för att skydda den enskildes integritet.
Övriga bestämmelser kan regleras på en lägre normhierarkisk nivå i form av förordning och kompletterande föreskrifter. En ny förordning kan därmed meddelas med stöd av 8 kap.7 och 11 §§regeringsformen, dvs. enligt regeringens restkompetens och regeringens rätt att meddela verkställighetsföreskrifter. Strukturen i den nya förordningen bör följa strukturen i den nya lagen om behandling av personuppgifter i Rekryteringsmyndighetens verksamhet. Vid utformningen av bestämmelserna i den nya förordningen bör bestämmelserna i den nuvarande förordningen om behandling av personuppgifter om totalförsvarspliktiga beaktas, i den utsträckning de fortfarande är relevanta.
7. Allmänna bestämmelser
7.1. Lagens namn
Utredningens förslag: Lagen ska heta totalförsvarsdatalag.
All automatisk behandling av personuppgifter om totalförsvarspliktiga i Rekryteringsmyndighetens verksamhet regleras i dag i pliktregisterlagen och förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga. Den nuvarande regleringen omfattar dock inte enbart totalförsvarspliktiga även om huvuddelen av den personuppgiftsbehandling som myndigheten utför avser totalförsvarspliktiga. Inte heller den nu föreslagna lagen och förordningen omfattar endast totalförsvarspliktiga. Även personuppgifter som rör annan personal inom totalförsvaret kommer att omfattas av den nya regleringen (se avsnitt 7.3.3). Mot denna bakgrund anser vi att den nya lagen bör heta totalförsvarsdatalag. Namnet täcker in den behandling av personuppgifter som omfattas av lagen, dvs. behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret. Vidare markeras att lagen enbart innehåller bestämmelser av dataskyddsrättslig karaktär och inte reglerar Rekryteringsmyndighetens verksamhet i övrigt. Namnet överensstämmer också med andra författningar som rör behandling av personuppgifter på myndighetsområdet och som tillkommit på senare år, exempelvis polisdatalagen (2010:361), kustbevakningsdatalagen (2012:145) och utlänningsdatalagen (2016:27). Vi anser därför att totalförsvarsdatalag är ett lämpligt namn på den nya lagen. I konsekvens härmed bör den nya förordningen heta totalförsvarsdataförordning.
7.2. Lagens syfte
Utredningens förslag: I lagen ska en bestämmelse införas som
anger vilket syfte lagen har. Syftet med lagen ska vara att ge Rekryteringsmyndigheten möjlighet att i sin verksamhet behandla personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret på ett effektivt och ändamålsenligt sätt samtidigt som skyddet för den enskildes personliga integritet tillgodoses vid sådan behandling.
Enligt 1 § personuppgiftslagen (1998:204) är syftet med lagen att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. När personuppgiftslagen upphör att gälla kommer dataskyddsförordningen och den kompletterande dataskyddslagen att träda i dess ställe. Enligt skäl 10 i dataskyddsförordningen syftar den till att skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter ska vara likvärdigt i alla medlemsstater för att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flöden av personuppgifter inom unionen. I dataskyddslagen finns inte någon bestämmelse om syfte. Inte heller i pliktregisterlagen finns någon särskild bestämmelse som anger syftet med regleringen. I registerförfattningar av senare tid är det dock vanligt att det förekommer inledande bestämmelser som anger det övergripande syftet med regleringen. I exempelvis polisdatalagen, kustbevakningsdatalagen och utlänningsdatalagen finns sådana bestämmelser. En sådan bestämmelse klargör att lagen endast innehåller bestämmelser som är av dataskyddsrättslig karaktär och ger vidare vägledning för tolkning av de materiella bestämmelserna i den sektorsspecifika lagen. En bestämmelse om lagens syfte har även en symbolisk och informativ betydelse. Mot denna bakgrund anser vi att det är lämpligt att det i den nya lagen förs in en bestämmelse som anger syftet med lagen.
Rekryteringsmyndighetens verksamhet medför ett behov av omfattande behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret och i många fall rör behandlingen känsliga personuppgifter. Samtidigt kan en sådan behandling innebära en risk för intrång i den enskildes personliga integritet. Skyddet för den personliga integriteten måste därför värnas genom
bestämmelserna i lagen. Vid utformningen av lagen måste således både kravet på att Rekryteringsmyndighetens verksamhet ska kunna bedrivas på ett effektivt och ändamålsenligt sätt och skyddet för den personliga integriteten beaktas. Bestämmelserna i lagen har till syfte att balansera båda dessa intressen. Syftet med lagen är därför dubbelt, vilket bör komma till tydligt uttryck i lagen.
7.3. Lagens tillämpningsområde
Enligt våra direktiv ska vi analysera hur behandlingen av personuppgifter om totalförsvarspliktiga ska regleras och om fler kategorier än totalförsvarspliktiga bör ingå i en sådan reglering. Nedan följer en beskrivning av gällande rätt samt våra överväganden och förslag beträffande lagens tillämpningsområde och vilka personer som bör omfattas av lagen.
7.3.1. Gällande rätt
Av 1 § pliktregisterlagen framgår lagens tillämpningsområde. I bestämmelsens första stycke anges att lagen tillämpas vid behandling av personuppgifter om totalförsvarspliktiga i den verksamhet Rekryteringsmyndigheten bedriver för att
1. ta fram underlag för beslut om inskrivning, krigsplacering eller
annat ianspråktagande av personal till totalförsvaret,
2. redovisa personal med uppgifter inom totalförsvaret,
3. säkerställa att den registrerade fortlöpande får ändamålsenlig ut-
bildning och lämplig placering inom totalförsvaret,
4. se till att den registrerade fullgör sina skyldigheter såvitt avser
totalförsvarsplikten,
5. tillgodose den registrerades rättigheter och trygghet i hans eller
hennes egenskap av totalförsvarspliktig, och
6. planera, följa upp och utvärdera den verksamhet som anges i 1–5.
I andra stycket sägs att i de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av någon annan än Rekryteringsmyndig-
heten. En sådan bestämmelse finns i 6 § andra stycket där det föreskrivs att paragrafens första stycke, som under vissa förutsättningar tillåter att känsliga personuppgifter får behandlas, även gäller kommuner, landsting och statliga myndigheter om uppgifterna behövs för utredning om den totalförsvarspliktiges personliga förhållanden enligt 2 kap. 1 § lagen (1994:1809) om totalförsvarsplikt. Vidare finns i 13 § ett bemyndigande för regeringen att meddela föreskrifter om att annan än Rekryteringsmyndigheten får föra in personuppgifter i automatiserat register över totalförsvarspliktiga och rätta dessa. Sådana föreskrifter finns i 3 § förordningen till lagen.
I 5 § pliktregisterlagen anges att personuppgifter som samlats in av Rekryteringsmyndigheten ska anses insamlade för de ändamål som anges i 1 § första stycket om inte myndigheten vid insamlingen uttryckligen angett att den sker för andra ändamål. Motsvarande ska gälla vid myndighetens behandling av uppgifter som annan myndighet samlat in.
I förarbetena till bestämmelserna anges att skyldigheten att tjänstgöra för en stor del av totalförsvarets personal grundas på andra omständigheter än värnplikt och civilplikt. Så är fallet både i fredstid och även i vissa fall vid höjd beredskap. Detta gäller anställd personal vid Försvarsmakten, arbetstagare som är ianspråktagna av sina arbetsgivare för uppgifter vid höjd beredskap, medlemmar i frivilligorganisationer och vissa personer med begränsade uppgifter, t.ex. enligt förfogandelagstiftningen. Härtill kommer hälso- och sjukvårdspersonalen som Rekryteringsmyndigheten, enligt överenskommelse med Socialstyrelsen, ska hålla ett personalförsörjningsregister över. Rekryteringsmyndighetens arbetsuppgifter förutsätter en möjlighet att behandla personuppgifter om all personal inom totalförsvaret, dvs. såväl pliktpersonal som personal vars skyldighet att tjänstgöra grundar sig på annat än totalförsvarsplikt (prop. 1997/98:80, s. 30).
Vidare anges det i förarbetena att det för ett effektivt system för redovisning av totalförsvarets personal är nödvändigt att kunna ta fram uppgifter om de olika personalkategorierna i ett sammanhang. Regeringen ansåg att lagens tillämpningsområde därför bör omfatta behandling av personuppgifter om totalförsvarets hela personal. Dock med den begränsningen att det ska vara fråga om personer som har en uppgift att lösa vid höjd beredskap. Eftersom den behandling av personuppgifter beträffande totalförsvarets personal som
Rekryteringsmyndigheten behöver kunna utföra till övervägande del avser pliktpersonal, föreslog regeringen den författningstekniska lösningen att personer som har en uppgift inom totalförsvaret vid höjd beredskap jämställs med totalförsvarspliktiga vid tillämpning av pliktregisterlagen. Regeringen var också av uppfattningen att ett så omfattande och till innehåll känsligt automatiserat register som det Rekryteringsmyndigheten hanterar måste omgärdas med ett regelverk som garanterar ett starkt integritetsskydd för den enskilde. En så grundläggande bestämmelse som den om vilka som ska kunna registreras i registret borde därför ges i lagform (a. prop. s. 30).
Slutsatsen att lagen ska tillämpas på Rekryteringsmyndighetens behandling av personuppgifter ska enligt regeringen ses som en huvudprincip. Lagen ska också, för vissa situationer, innehålla bestämmelser som delvis rör verksamhet som utövas av annan (a. prop. s. 31).
I förarbetena till bestämmelserna anges slutligen att lagen endast bör reglera vad som ska gälla vid den behandling av uppgifterna som sker för vissa i lagen angivna ändamål. Tillämpningsområdet för lagen bör därför knytas till dessa så att det framgår att lagen bara gäller vid behandling för dem. Vidare bör det framgå att Rekryteringsmyndighetens insamling av personuppgifter ska anses ha skett för de i lagen angivna ändamålen om inget annat uttryckligen uppgivits vid denna insamling. Härigenom visas enligt regeringen tydligt att behandling för andra ändamål än dem som anges i lagen är tillåten men endast om Rekryteringsmyndigheten vid insamlingen av uppgifterna angett att de ska användas för dessa andra ändamål (a. prop. s. 32).
7.3.2. Metod för reglering av tillämpningsområde och ändamål
Utredningens förslag: Lagens tillämpningsområde ska behand-
las åtskilt från ändamålen med behandlingen.
Utformningen av ändamålsbestämmelser i särskilda registerförfattningar kan se olika ut. Utformningen av ändamålsbestämmelserna i nu gällande reglering för Rekryteringsmyndighetens behandling av personuppgifter avviker dock från den i registerförfattningar vedertagna metoden genom att lagens tillämpningsområde och ändamålen med behandlingen inte regleras åtskilt. Den metod som används i nuvarande reglering innebär att ändamålen med Rekryteringsmyndighetens behandling av personuppgifter anges genom en hänvisning i 5 § pliktregisterlagen till 1 § första stycket samma lag, dvs. till lagens tillämpningsområde. Därefter anges i 5 § att personuppgifter som samlats in av myndigheten ska anses insamlade för de ändamål som anges i 1 § om inte myndigheten har uttryckt ett annat ändamål i samband med insamlingen av uppgifterna. Denna regleringsmetod innebär att ändamålsbestämmelsen i sig inte begränsar när en behandling kan anses tillåten enligt pliktregisterlagen utan det som avgör är om myndigheten har uttryckt något annat ändamål. Ändamålsbegränsningen står följaktligen inte ”på egna ben”. Resultatet blir en sammanblandning av lagens tillämpningsområde och ändamålsbestämmelser. Följden blir att ändamålsbestämmelserna enbart specificerar tillämpningsområdet för lagen men inte begränsar vilken behandling som är tillåten inom ramen för lagen. Mot denna bakgrund är vår bedömning att den nya lagens tillämpningsområde ska regleras åtskilt från ändamålen med behandlingen. Detta bör komma till tydligt uttryck i den nya regleringen.
7.3.3. Lagens tillämpningsområde
Utredningens förslag: Lagen ska tillämpas i Rekryteringsmyn-
dighetens verksamhet vid behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret.
I de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av någon annan än Rekryteringsmyndigheten.
Vilka uppgifter i Rekryteringsmyndighetens verksamhet bör omfattas?
Rekryteringsmyndighetens verksamhet regleras i första hand genom bestämmelserna i förordningen (2010:1472) med instruktion för Totalförsvarets rekryteringsmyndighet. Enligt 1 § i instruktionen har Rekryteringsmyndigheten till uppgift att ansvara för att myndigheter och andra som har bemanningsansvar inom totalförsvaret får stöd och service i frågor som avser bemanning med totalförsvarspliktiga som skrivs in för värnplikt eller civilplikt. Stöd och service ska lämnas även till de bemanningsansvariga i fråga om totalförsvarspliktigas tjänstgöring och om redovisning av annan personal inom totalförsvaret. På uppdrag av Försvarsmakten ska Rekryteringsmyndigheten tillhandahålla urvalstester av dem som ansökt till militär utbildning inom Försvarsmakten. Myndigheten ska vidare utföra utredning om personliga förhållanden, mönstra, skriva in och krigsplacera totalförsvarspliktiga enligt lagen (1994:1809) om totalförsvarsplikt.
Enligt 2 § i instruktionen ska Rekryteringsmyndigheten särskilt ansvara för att information om vad lagen om totalförsvarsplikt innebär sprids till den som skriftligen lämnar uppgifter enligt 2 kap. 1 § lagen om totalförsvarsplikt. Det innebär att det är Rekryteringsmyndighetens uppgift att informera alla 18-åringar om skyldigheten att lämna uppgifter om hälsa, utbildning och andra personliga förhållanden i beredskapsunderlaget. Det är också Rekryteringsmyndigheten som ska informera om skyldigheten att genomgå mönstring från och med den 1 juli 2017 och skyldigheten att fullgöra grundutbildning med värnplikt från och med den 1 januari 2018.
Samtliga dessa uppgifter i Rekryteringsmyndighetens verksamhet bör enligt vår bedömning, liksom tidigare, omfattas av den föreslagna lagens tillämpningsområde.
Vilka personalkategorier bör omfattas?
Nuvarande reglering omfattar behandling av personuppgifter om totalförsvarspliktiga i Rekryteringsmyndighetens verksamhet (1 § pliktregisterlagen). Med totalförsvarspliktiga jämställs personer som har en skyldighet att fullgöra uppgift inom totalförsvaret vid höjd beredskap utan att skyldigheten grundar sig på totalförsvarsplikt (2 § pliktregisterlagen). Totalförsvarspliktiga är samtliga svenska medborgare – och de som utan att vara svenska medborgare är bosatta i Sverige – som är 16–70 år (se avsnitt 4.1.1 för en närmare beskrivning av totalförsvarspliktens innebörd).
Enligt Rekryteringsmyndighetens instruktion ska myndigheten även redovisa annan personal inom totalförsvaret. Annan personal avser både anställd personal och avtalspersonal, vilket innebär att tjänstgöringsskyldigheten har sin grund i det anställningsavtal eller annat avtal som ingåtts med Försvarsmakten eller annan arbetsgivare. Tjänstgöringen inom totalförsvaret grundar sig således på det ingångna avtalet och inte på totalförsvarsplikt. De som tjänstgör inom totalförsvaret enligt anställningsavtal består av yrkesofficerare, reservofficerare, kontinuerligt anställda eller tidvis tjänstgörande gruppbefäl, soldater och sjömän, tidvis tjänstgörande specialister, direktrekryterad personal för tjänstgöring i en internationell militär insats samt civila arbetstagare, exempelvis hälso- och sjukvårdspersonal, präster, jurister och tekniker. Personal som inte är anställda inom totalförsvaret utan har tecknat avtal om frivillig tjänstgöring i Försvarsmakten är bl.a. hemvärnsmän. Till annan personal inom totalförsvaret hör även personer med begränsade uppgifter, t.ex. enligt förfogandelagstiftningen, samt totalförsvarspliktiga som tjänstgör med allmän tjänsteplikt.
Rekryteringsmyndighetens verksamhet förutsätter följaktligen även fortsättningsvis att myndigheten kan behandla personuppgifter om både totalförsvarspliktiga och annan personal inom totalförsvaret. Mot denna bakgrund är vårt förslag att lagens tillämpningsområde ska omfatta Rekryteringsmyndighetens behandling av personuppgifter om såväl totalförsvarspliktiga som annan personal inom totalförsvaret.
I särskilda registerförfattningar har det varit brukligt att reglera den aktuella författningens tillämpningsområde genom att specificera i vilken verksamhet som den berörda lagen ska tillämpas. Så är exem-
pelvis fallet i polisdatalagen, kustbevakningsdatalagen och utlänningsdatalagen.
När det gäller den nya lagen bör det framgå att dess tillämpningsområde endast tar sikte på Rekryteringsmyndighetens verksamhet i fråga om totalförsvarspliktiga och annan personal inom totalförsvaret och således inte myndighetens uppdragsverksamhet som avser rekrytering till civila myndigheter, exempelvis Polismyndigheten och Kriminalvården. Det saknas skäl för att den särskilda reglering för behandling av personuppgifter som ges i lagen ska omfatta också den verksamheten. Vi gör därför bedömningen att det i författningstexten bör anges att lagens tillämpningsområde omfattar Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret. Däremot anser vi att det saknas skäl för att, såsom är fallet i dag, i lagen uttryckligen begränsa tillämpningsområdet till att endast omfatta behandling av uppgifter rörande, förutom totalförsvarspliktiga, personer som har en skyldighet att fullgöra uppgift inom totalförsvaret vid höjd beredskap. I vilka situationer det blir aktuellt att behandla uppgifter om dessa personkategorier regleras i de regelverk som styr Rekryteringsmyndighetens verksamhet. Det behöver alltså inte framgå av den nya lagen.
Bör andra myndigheter omfattas av lagens tillämpningsområde?
Av 1 § första stycket 1 pliktregisterlagen framgår att lagen tillämpas vid behandling av personuppgifter om totalförsvarspliktiga i den verksamhet som Rekryteringsmyndigheten bedriver för att ta fram underlag för beslut om inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret. I bestämmelsens andra stycke anges att i de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av någon annan än Rekryteringsmyndigheten. En sådan bestämmelse har införts i 6 § andra stycket pliktregisterlagen där det föreskrivs att statliga myndigheter m.fl. får behandla känsliga personuppgifter om uppgifterna behövs för utredning om den totalförsvarspliktiges personliga förhållanden enligt 2 kap. 1 § lagen om totalförsvarsplikt. I 2 kap. 1 § lagen om totalförsvarsplikt anges att för att den totalförsvarspliktiges förutsättningar att fullgöra värnplikt ska kunna utredas föreligger möj-
lighet efter begäran från, förutom Rekryteringsmyndigheten, annan statlig myndighet som regeringen bestämmer, en kommun eller ett landsting, att individen vid en personlig inställelse ska lämna nödvändiga uppgifter om hälsotillstånd, utbildning, arbete och personliga förhållanden i övrigt. Regeringen har föreskrivit att en totalförsvarspliktig är skyldig att lämna uppgifter om hälsotillstånd, utbildning, arbete och personliga förhållanden i övrigt på begäran av en länsstyrelse, Polismyndigheten, Säkerhetspolisen, Försvarsmakten, Post- och telestyrelsen, Trafikverket, Transportstyrelsen, Statens jordbruksverk, Migrationsverket, Statens energimyndighet och Affärsverket svenska kraftnät (4 kap. 5 § andra stycket förordningen [1995:238] om totalförsvarsplikt). På grundval av de inlämnade uppgifterna kan annan utredning utföras hos samtliga av dessa myndigheter. Vid annan utredning kan alltså de ovan angivna myndigheterna samla in, behandla och registrera känsliga personuppgifter om den totalförsvarspliktige med stöd av pliktregisterlagen.
Enligt 13 § pliktregisterlagen får regeringen meddela föreskrifter om att annan än Rekryteringsmyndigheten får föra in personuppgifter i det automatiserade registret över totalförsvarspliktiga och rätta dessa. Enligt 3 § och bilaga 2 i förordningen om behandling av personuppgifter om totalförsvarspliktiga får Affärsverket svenska kraftnät, Arbetsförmedlingen, Försvarsmakten, kommuner, landsting, Myndigheten för samhällsskydd och beredskap, Polismyndigheten, Posten AB, Regeringskansliet, Säkerhetspolisen, Trafikverket, Transportstyrelsen och Vattenfall AB föra in och rätta vissa uppgifter i registret över totalförsvarspliktiga.
Av det anförda följer att när dessa myndigheter m.fl. behandlar känsliga personuppgifter i samband med annan utredning eller för in och rättar vissa uppgifter i registret över totalförsvarspliktiga, omfattas behandlingen av pliktregisterlagen. Någon anledning till att inskränka eller utvidga den krets av myndigheter m.fl. som i vissa avseenden ska tillämpa den nya lagen i förhållande till vad som gäller enligt nuvarande reglering har inte kommit fram. Vi återkommer i avsnitt 9.3.3 och 9.9.2 till i vilka fall den nya lagen ska omfatta verksamhet som bedrivs av någon annan än Rekryteringsmyndigheten.
7.3.4. Vilken personuppgiftsbehandling bör omfattas av lagens tillämpningsområde?
Nästa fråga rörande tillämpningsområdet är vilken slags personuppgiftsbehandling som ska omfattas av den nya regleringen. Nedan följer en kort beskrivning av gällande rätt och relevanta delar i EU:s dataskyddsförordning och den kompletterande dataskyddslagen. Avsnittet avslutas med en redogörelse för våra överväganden och förslag.
Gällande rätt
Enligt 1 § tredje stycket pliktregisterlagen gäller lagen endast om behandlingen är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (jfr 3 § personuppgiftslagen).
Vid pliktregisterlagens tillkomst ansågs ett utvidgat integritetsskydd vara påkallat vid behandlingen av personuppgifter om totalförsvarspliktiga. I lagen anges därför uttryckligen att den endast gäller för sådan behandling som är helt eller delvis automatiserad samt för annan behandling om uppgifterna ingår i eller är avsedda att ingå i ett register. Avgränsningen av tillämpningsområdet ansågs vara så central att en upprepning var att föredra framför en hänvisning till personuppgiftslagen (prop. 1997/98:80, s. 28 f.) I likhet med personuppgiftslagen används dock i lagen inte begreppet register utan en modifierad formulering av dataskyddsdirektivets definition av ett register, nämligen en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Dataskyddsförordningen och dataskyddslagen
Dataskyddsförordningen kommer att gälla för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i
eller kommer att ingå i ett register (artikel 2.1). Ett register definieras som en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden (artikel 4.6). Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet (artikel 4.1).
Dataskyddsförordningen hindrar inte att medlemsstaterna fritt bestämmer tillämpningsområdet för nationell lagstiftning som kompletterar dataskyddsförordningen. Frågor som ligger utanför dataskyddsförordningens tillämpningsområde kan således regleras i en författning som kompletterar dataskyddsförordningen. En sådan författning behöver inte heller reglera alla typer av behandling eller personuppgifter som dataskyddsförordningen reglerar. Det innebär att den nationella registerlagstiftningen för den verksamhet som regleras kan ha ett vidare eller snävare tillämpningsområde än dataskyddsförordningen och t.ex. omfatta sådan manuell behandling som inte omfattas av dataskyddsförordningen samt uppgifter om avlidna personer.
Dataskyddsutredningen har genom sitt förslag till ny dataskyddslag med tillhörande förordning samlat generella bestämmelser om behandling av personuppgifter avsedda att komplettera dataskyddsförordningen. Dataskyddslagen ska, i enlighet med dataskyddsförordningen, tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register såsom definierat i dataskyddsförordningen. Någon skillnad mot tidigare gällande ordning enligt personuppgiftslagen är således inte avsedd. Vidare kommer bestämmelserna i dataskyddsförordningen och dataskyddslagen i tillämpliga delar gälla även vid behandling av personuppgifter som faller utanför dataskyddsförordningens tillämpningsområde. Det innebär att behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalför-
svaret kommer att omfattas av dataskyddslagens tillämpningsområde (se avsnitt 6.2.5 och 6.2.6).
Våra överväganden och förslag
Utredningens förslag: Lagen ska – i likhet med dataskydds-
förordningen och dataskyddslagen – tillämpas vid sådan behandling av personuppgifter som är helt eller delvis automatisk. Lagen gäller även för annan behandling av personuppgifter som ingår i eller kommer att ingå i en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier.
Särskilda registerförfattningar omfattar i princip samma slags behandling och personuppgifter som enligt dataskyddsdirektivet och personuppgiftslagen. Befintliga registerförfattningar har således i detta avseende i allmänhet samma tillämpningsområde som personuppgiftslagen.
Något tungt vägande skäl till varför den nya lagen skulle avvika från en sådan ordning finns inte. En lag som, liksom tidigare, reglerar all automatisk behandling av personuppgifter inom Rekryteringsmyndighetens verksamhetsområde överensstämmer också med regelsystemet i dataskyddsförordningen och den föreslagna dataskyddslagen (jfr kapitel 6). På de skäl som redovisats i avsnitt 6.2.6 anser vi att regleringen av Rekryteringsmyndighetens behandling av personuppgifter bör följa dataskyddslagens bestämmelser med undantag för de fall avvikelser är befogade på grund av verksamhetens särskilda karaktär. Enligt vår uppfattning bör den nya lagen således omfatta sådan behandling av personuppgifter som avses i den föreslagna dataskyddslagen. Eftersom denna avgränsning av tillämpningsområdet är så central för regleringen bör en upprepning göras i den nya lagen om att den, liksom tidigare, omfattar all behandling av personuppgifter som sker helt eller delvis automatiskt samt manuellt i register.
Lagen ska således tillämpas vid sådan behandling av personuppgifter i Rekryteringsmyndighetens verksamhet som är helt eller delvis automatisk. Lagen ska gälla även för annan behandling av personuppgifter som ingår i eller kommer att ingå i en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier. Det
innebär att även manuell behandling av personuppgifter omfattas av lagens tillämpningsområde under förutsättning att uppgifterna ingår i ett register såsom det definieras i dataskyddsförordningen. Den nya lagens tillämpningsområde kommer således inte att utvidgas i förhållande till vad som gäller för närvarande.
7.3.5. Vilken personuppgiftsbehandling faller utanför lagens tillämpningsområde?
Utredningens förslag: Vid sådan behandling av personuppgifter
som Rekryteringsmyndigheten i egenskap av vårdgivare utför inom hälso- och sjukvården tillämpas patientdatalagen. Lagen ska innehålla en upplysning om detta förhållande.
Rekryteringsmyndighetens personuppgiftsbehandling
Genom den begränsning av den nya lagens tillämpningsområde som föreslås ovan kommer viss behandling av personuppgifter hos Rekryteringsmyndigheten att falla utanför tillämpningsområdet. Det gäller de typer av behandlingar som redovisas i det följande.
Som vid alla myndigheter finns hos Rekryteringsmyndigheten behov av att behandla uppgifter för rent administrativa ändamål som inte har något samband med sådan verksamhet som avses i avsnitt 7.3.3 och som där föreslås omfattas av lagen. Det kan vara fråga om behandling av personuppgifter om anställda, arbetssökande eller leverantörer. Sådan personuppgiftsbehandling är att betrakta som intern administrativ verksamhet och faller som sådan utanför vårt uppdrag. Enligt vår bedömning finns det inte heller något behov av en särreglering för behandlingen av personuppgifter i Rekryteringsmyndighetens administrativa verksamhet. Sådan personuppgiftsbehandling föreslås således falla utanför lagens tillämpningsområde. För behandling av uppgifter som rör administrativa frågor blir i stället dataskyddsförordningen och den föreslagna dataskyddslagen tillämpliga fullt ut.
Liksom tidigare bör den nya lagen inte gälla manuell behandling av personuppgifter som inte ingår i eller är avsedda att ingå i ett register, dvs. en strukturerad samling av personuppgifter som är
tillgängliga enligt särskilda kriterier. Den manuella behandlingen av personuppgifter i Rekryteringsmyndighetens verksamhet är dock mycket begränsad. I princip alla personuppgifter som myndigheten samlar in, oavsett om de inhämtas från totalförsvarspliktiga eller från andra myndigheter m.fl., hanteras i Rekryteringsmyndighetens elektroniska informationssystem. Endast ett fåtal behandlingar av personuppgifter som utförs av Rekryteringsmyndigheten torde därigenom falla utanför lagens tillämpningsområde med anledning av denna begränsning.
Behandling av personuppgifter om rekryter som genomgår utbildning enligt förordningen (2015:613) om militär grundutbildning faller också utanför lagens tillämpningsområde. Först när rekryterna anställs, krigsplaceras eller tecknar avtal om frivillig tjänstgöring inom totalförsvaret omfattas de av den föreslagna lagens tillämpningsområde.
Det bör också erinras om att den personuppgiftsbehandling som utförs av hälso- och sjukvårdspersonal inom ramen för den medicinska och psykologiska verksamheten hos Rekryteringsmyndigheten omfattas av patientdatalagen (2008:355). Patientdatalagen är tillämplig för personuppgiftsbehandling i all individinriktad patientverksamhet som innefattar vård, undersökning eller behandling. Det är dock endast vårdgivares personuppgiftsbehandling inom hälso- och sjukvården som regleras av lagen (1 kap. 1 § patientdatalagen). Med vårdgivare avses – med ett undantag – en fysisk eller juridisk person som bedriver hälso- och sjukvård. Undantaget avser, enligt förarbetena till patientdatalagen, individinriktad hälso- och sjukvård som tillhandahålls av statliga myndigheter (prop. 2007/08:126, s. 49). Sådan hälso- och sjukvård bedrivs parallellt med annan verksamhet som utgör myndighetens huvuduppgift. I förarbetena anges universitet, högskolor, Statens institutionsstyrelse, Kriminalvården och Rekryteringsmyndigheten som exempel på myndigheter som bedriver sådan hälso- och sjukvård. Regeringen menar därför att det är naturligt att behandla dessa statliga myndigheter som separata vårdgivare i patientdatalagens mening (a. prop. s. 50). Numera framgår det direkt av 1 kap. 3 § patientdatalagen att vårdgivare bl.a. avser statlig myndighet i fråga om sådan hälso- och sjukvård som myndigheten har ansvar för. Det innebär att den personuppgiftsbehandling som utförs av hälso- och sjukvårdspersonal i Rekryteringsmyndighetens medicinska och psykologiska verksamhet faller
utanför lagens tillämpningsområde. Sådan personuppgiftsbehandling omfattas i stället av det förslag till ändring i patientdatalagen (SOU 2017:66) som överlämnades av Socialdataskyddsutredningen den 28 augusti 2017 och kommer således även fortsättningsvis att falla utanför lagens tillämpningsområde. En upplysningsbestämmelse om detta förhållande bör tas in i den nya lagen.
Utanför lagens tillämpningsområde faller också, såsom anförts ovan, Rekryteringsmyndighetens uppdragsverksamhet i förhållande till civila myndigheter som rör rekrytering till bl.a. Polismyndigheten och Kriminalvården.
Annans personuppgiftsbehandling som rör totalförsvarspliktiga m.fl.
Lagen ska endast tillämpas vid sådan behandling av personuppgifter som sker i Rekryteringsmyndighetens verksamhet, med undantag för vissa särskilt angivna fall. Det innebär att behandling av personuppgifter om totalförsvarspliktiga som andra aktörer utför i sin verksamhet i allmänhet faller utanför lagens tillämpningsområde. Bemanningsansvariga organ och andra myndigheter m.fl. som lämnar personuppgifter om totalförsvarspliktiga till Rekryteringsmyndigheten eller tar emot sådana uppgifter från myndigheten – i den mån det inte är fråga om direktåtkomst – omfattas således inte av bestämmelserna i den nya lagen. Detsamma gäller exempelvis beträffande Försvarsmaktens mottagande av uppgifter från Rekryteringsmyndigheten vid rekrytering i egen regi. Vid sådan behandling kommer i stället bestämmelserna i dataskyddsförordningen och den föreslagna dataskyddslagen att bli tillämpliga samt i förekommande fall bestämmelser i annan särskild registerförfattning.
Personuppgiftsbehandling som allmänt undantas
Avslutningsvis faller viss personuppgiftsbehandling utanför tillämpningsområdet för vårt lagförslag på grund av dataskyddsförordningens och dataskyddslagens bestämmelser. Bestämmelserna i dataskyddsförordningen och dataskyddslagen ska enligt 1 kap. 4 § i den senare lagen inte tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Sådan behandling faller
alltså också utanför tillämpningsområdet. Detsamma gäller för behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande samt för behandling av personuppgifter som utförs av en fysisk person som ett led i verksamhet av privat natur eller som har samband med hans eller hennes hushåll. Sådan behandling förekommer inte heller i Rekryteringsmyndighetens verksamhet.
7.4. Personuppgiftsansvar
7.4.1. Gällande rätt
Enligt 3 § personuppgiftslagen är personuppgiftsansvarig den som ensam eller tillsammans med andra bestämmer ändamålet och medlen för behandlingen av personuppgifter. Enligt 7 § pliktregisterlagen är Rekryteringsmyndigheten personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. I förarbetena (prop. 1997/98:80, s. 44 f.) till bestämmelsen anförde regeringen att Rekryteringsmyndigheten bör bära personuppgiftansvaret vid behandling av personuppgifter i myndighetens verksamhet. Någon annan som kan fullgöra de skyldigheter som följer med detta ansvar finns inte. Ansvaret kan emellertid endast omfatta Rekryteringsmyndighetens egen behandling av personuppgifter. De myndigheter och andra som lämnar uppgifter till Rekryteringsmyndigheten ansvarar för behandlingen till dess att uppgiften är överlämnad. På samma sätt är de organ inom totalförsvaret som erhåller uppgifter från Rekryteringsmyndigheten ansvariga för sin behandling från det att de tagit emot uppgiften. Bestämmelsen om att Rekryteringsmyndigheten bär personuppgiftsansvaret för sina behandlingsåtgärder, syftar till att klarlägga att ingen annan ansvarar för vad myndigheten gör med uppgifterna och att en registrerad alltid ska kunna vända sig till Rekryteringsmyndigheten för att få information och för att få felaktigheter rättade m.m., såvitt avser uppgifter som myndigheten behandlar. Bestämmelsen utesluter emellertid inte att annan bär ett ansvar för sin behandling av samma uppgift.
7.4.2. Dataskyddsförordningen
Enligt dataskyddsförordningen ska det finnas en personuppgiftsansvarig för all personuppgiftsbehandling. I artikel 4.7 definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.
Dataskyddsförordningen uppställer vissa skyldigheter för den personuppgiftsansvarige. Den personuppgiftsansvarige ska bl.a. ansvara för och kunna visa att behandlingen av personuppgifter sker på ett lagligt, korrekt och öppet sätt (artiklarna 5.1 a och 5.2), att oriktiga uppgifter rättas (artikel 16) och att den registrerade ersätts för skada som en rättstridig behandling av personuppgifter har medfört (artikel 82). Enligt skäl 45 bör behandlingens syfte fastställas i unionsrätten eller medlemsstaternas nationella rätt och genom denna grund är det möjligt att bl.a. precisera kraven för att fastställa vem den personuppgiftsansvarige är. Enligt samma skäl bör unionsrätten och medlemsstaternas nationella rätt också reglera frågan huruvida en personuppgiftsansvarig som utför en uppgift av bl.a. allmänt intresse ska vara en offentlig myndighet.
7.4.3. Våra överväganden och förslag
Utredningens förslag: Rekryteringsmyndigheten ska vara person-
uppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
En bestämmelse i den nya lagen som pekar ut Rekryteringsmyndigheten som personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför, bidrar till att tydliggöra för de registrerade vem som ska hållas ansvarig för behandlingen av personuppgifter enligt lagen. En sådan ordning har gällt sedan tidigare och är också tillåten enligt dataskyddsförordningen. Det har inte
framkommit något skäl till varför nuvarande ordning ska ändras. Tvärtom bör huvudregeln vara att den som utför själva behandlingen av personuppgifter också ska ha personuppgiftsansvaret. Rekryteringsmyndigheten bör följaktligen även fortsättningsvis vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
8. Rättslig grund och tillåtna ändamål
8.1. Rättslig grund för behandlingen av personuppgifter
8.1.1. Dataskyddsförordningen
Artikel 6.1
EU:s dataskyddsreglering utgår från att varje behandling av personuppgifter måste vila på en rättslig grund. Behandling av personuppgifter får därför bara ske under vissa särskilt angivna omständigheter.
I artikel 6.1 i dataskyddsförordningen finns en uttömmande uppräkning av de rättsliga grunderna. Om inget av de uppräknade villkoren är uppfyllt är behandlingen inte laglig och får därmed inte utföras. Den omständigheten att behandlingen är laglig enligt artikel 6.1 innebär dock inte att all behandling av personuppgifter är tillåten. Den personuppgiftsansvarige måste även uppfylla övriga i förordningen uppställda krav, exempelvis de allmänna principerna i artikel 5.
De olika villkoren i artikel 6.1 är i viss mån överlappande, vilket innebär att flera rättsliga grunder kan vara tillämpliga avseende en och samma behandling. Enligt förordningen är det dock, till skillnad mot tidigare, inte tillåtet för myndigheter att behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan den ansvariges berättigade intressen och den registrerades rättigheter och intressen när myndigheterna fullgör sina uppgifter (jfr 10 § f personuppgiftslagen). Detta framgår uttryckligen av artikel 6.1 andra stycket i förordningen.
Enligt artikel 6.1 är behandling endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
a) Den registrerade har lämnat sitt samtycke till att dennes per-
sonuppgifter behandlas för ett eller flera specifika ändamål.
b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den
registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
c) Behandlingen är nödvändig för att fullgöra en rättslig förplikt-
else som åvilar den personuppgiftsansvarige.
d) Behandlingen är nödvändig för att skydda intressen som är av
grundläggande betydelse för den registrerade eller för en annan fysisk person.
e) Behandlingen är nödvändig för att utföra en uppgift av allmänt
intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
f) Behandlingen är nödvändig för ändamål som rör den person-
uppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
I det följande redogörs översiktligt för de rättsliga grunder i artikel 6.1 som aktualiseras för Rekryteringsmyndighetens behandling av personuppgifter; behandling för att fullgöra en rättslig förpliktelse (led c), behandling som ett led i myndighetsutövning och behandling för att utföra en uppgift av allmänt intresse (led e).
Behandling för att fullgöra en rättslig förpliktelse
Enligt artikel 6.1 c är personuppgiftsbehandling laglig om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Bestämmelsen är i sak likalydande med artikel 7 c i dataskyddsdirektivet. Dataskyddsutredningen har i sina överväganden gjort bedömningen att begreppet rättslig förpliktelse i båda rättsakterna bör tolkas och tillämpas på samma sätt. Vidare gör Dataskyddsutredningen följande bedömning såvitt
avser innebörden av begreppet rättslig förpliktelse (SOU 2017:39, s. 113 f.).
För att en skyldighet ska utgöra en ”rättslig” förpliktelse måste den ha en legal grund. Detta följer både av begreppet i sig och av kravet i artikel 6.3 första stycket i dataskyddsförordningen om att grunden för behandlingen ska fastställas i enlighet med unionsrätten eller den nationella rätten. Detta innebär inte att förpliktelsen nödvändigtvis måste framgå av en författning eller liknande. Rättsliga förpliktelser kan också framgå av exempelvis förelägganden, myndighetsbeslut och domar som har meddelats med stöd av gällande rätt.
Rättsliga förpliktelser kan även, som en följd av den svenska arbetsmarknadsmodellen, följa av kollektivavtal. Förpliktelser som följer av avtal där den registrerade själv är part utgör däremot en separat rättslig grund enligt såväl dataskyddsförordningen som dataskyddsdirektivet.
Även statliga myndigheter kan, vid sidan av sina uppgifter och uppdrag, sägas ha rättsliga förpliktelser. Datainspektionen har bl.a. ansett att en skyldighet till följd av offentlighetsprincipen är en rättslig skyldighet (Datainspektionens rapport 2005:3 s. 15). Datainspektionen har dock inte ansett att innehållet i en myndighets arbetsordning kan grunda en rättslig skyldighet att behandla personuppgifter (Öman m.fl, kommentaren till 10 b § personuppgiftslagen). Såvitt avser statliga myndigheters uppdrag enligt myndighetsinstruktion eller av regeringen utfärdat regleringsbrev har Dataskyddsutredningen anfört följande (a.a. s. 117).
En myndighets uppdrag enligt myndighetsinstruktionen eller regleringsbrevet kan i vissa fall utgöra en i enlighet med nationell rätt (regeringsformen) fastställd rättslig förpliktelse i dataskyddsförordningens mening, t.ex. om myndigheten ges i uppdrag att föra ett visst personuppgiftsregister. I normalfallet torde dock myndighetens uppdrag i första hand utgöra en rättslig grund för behandling av personuppgifter med stöd av artikel 6.1 e i dataskyddsförordningen, dvs. på grundval av att uppdraget avser en uppgift av allmänt intresse.
Behandling som ett led i myndighetsutövning
Enligt artikel 6.1 e får personuppgifter behandlas bl.a. om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Av artikel 6.3 andra stycket följer att det måste finnas ett samband mellan behandlingen och myndighetsutövningen.
Av skäl 45 till dataskyddsförordningen framgår att det på unionsnivå eller nationellt bör regleras om en personuppgiftsansvarig som utför myndighetsutövning ska vara en myndighet eller någon annan som omfattas av offentligrättslig lagstiftning eller om denne kan vara en fysisk eller juridisk person som lyder under civilrättslig lagstiftning, t.ex. en yrkesorganisation. Vad gäller innebörden av begreppet myndighetsutövning anför Dataskyddsutredningen följande (SOU 2017:39, s. 119 f.).
Datalagskommittén bedömde att begreppet myndighetsutövning har en EG-gemensam innebörd, men att man till dess annat framkommer bör kunna utgå från att det som i Sverige brukar anses som myndighetsutövning faller under begreppet. Vi instämmer i denna bedömning. Termen används flitigt i svenska författningar, även i grundlag, men saknar legaldefinition. […] Myndighetsutövning mot enskilda karaktäriseras av beslut eller andra ensidiga åtgärder som ytterst är uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Befogenheten till myndighetsutövning måste alltså vara grundad på lag eller annan författning eller på annat sätt kunna härledas ur bemyndiganden från de högsta statsorganen. Myndighetsutövning kan både medföra förpliktelser för enskilda och mynna ut i gynnande beslut. Myndighetsutövning kan också ske i förhållandet mellan myndigheter, t.ex. när en myndighet har tillsyn över en annan myndighets verksamhet. Utanför begreppet myndighetsutövning faller däremot råd, upplysningar och andra inte bindande uttalanden samt sådan faktisk verksamhet som inte innebär tvång mot den enskilde (t.ex. undervisning). Gränsdragningen mellan offentligrättsliga och privaträttsliga regler är också av stor vikt när det gäller att bestämma begreppet myndighetsutövning.
Myndighetsutövning måste alltid ske med stöd i gällande rätt. Någon generell rätt till myndighetsutövning finns inte i Sverige. Av regeringsformen följer att myndighetsutövning som medför skyldigheter för den enskilde eller i övrigt avser ingrepp i den enskildes personliga eller ekonomiska förhållanden måste härröra från lag (8 kap. 2 § 2 och 3 § regeringsformen). Regeringen kan dock, med stöd av sin restkompetens, i förordning ge en myndighet befogenheter avseende gynnande myndighetsutövning (8 kap. 7 § första stycket 2 regeringsformen). Därutöver kan myndighetsutövning även utövas med stöd av direkt tillämpliga EU-förordningar. Vilka organ i Sverige som har myndighetsutövande uppgifter regleras i offentligrättslig lagstiftning.
Behandling för att utföra en uppgift av allmänt intresse
Enligt artikel 6.1 e får personuppgifter behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Såsom Dataskyddsutredningen påtalar definieras begreppet allmänt intresse varken i dataskyddsdirektivet eller i dataskyddsförordningen. Dataskyddsutredningen bedömer att mycket dock talar för att begreppet genom dataskyddsförordningen får anses ha fått en vidare unionsrättslig betydelse än begreppet hittills har haft (SOU 2017:39, s. 122 f.).
Innebörden av begreppet allmänt intresse har ännu inte heller utvecklats av EU-domstolen. I avsaknad av vägledande domar från EU-domstolen förefaller det med hänsyn till svensk förvaltningstradition rimligt att anta att alla uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse. Sådana uppgifter, som utförs i syfte att utföra ett uttryckligt uppdrag eller till följd av ett åliggande, bör anses vara av allmänt intresse oavsett om de faktiskt utförs i myndighetens egen regi, av egna anställda med hjälp av egen utrustning, eller om de genom utkontraktering utförs av någon annan (a.a. s. 124).
Särskilda registerförfattningar tar ofta sikte på behandling av personuppgifter inom en viss verksamhet som utförs för en uppgift av allmänt intresse. Sådana författningar innehåller i regel ändamålsbestämmelser. En närmare redogörelse för ändamålsbestämmelser ges i avsnitt 8.2.
Artikel 6.2
Av artikel 6.2 framgår att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen med hänsyn till behandling av personuppgifter för att efterleva artiklarna 6.1 c och 6.1 e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Sådana nationella bestämmelser förekommer ofta i särskilda registerförfattningar och kommer att utgöra en precisering av de allmänna principer för behandlingen som anges i artikel 5.
Artikel 6.3
Enligt artikel 6.3 ska den grund för behandlingen som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.
Enligt artikel 6.3 andra stycket ska syftet med behandlingen fastställas i den rättsliga grunden. I fråga om behandling enligt artikel 6.1 e, ska syftet vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Ändamålet behöver således inte framgå av den författning där själva uppgiften fastställs men måste vara nödvändigt för att utföra uppgiften. Bestämmelsen uttrycker det samband som måste finnas mellan behandlingen och den fastställda uppgiften och riktar sig till den som bestämmer de särskilda ändamålen för behandlingen, vilket i normalfallet är den personuppgiftsansvarige. Detta krav på samband framgår även av artikel 5.1 b, där det anges att de särskilda ändamålen ska vara berättigade (SOU 2017:39, s. 126 f.).
Genom kravet i artikel 6.3 att grunden för behandlingen ska fastställas i enlighet med unionsrätten eller den nationella rätten, begränsas tillämpningsområdet för den rättsliga grunden i artikel 6.1 e. Det räcker således inte att en behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse – uppgiften måste också vara fastställd i enlighet med gällande rätt.
Förhållandet mellan artiklarna 5 och 6 i dataskyddsförordningen
Utöver det grundläggande kravet på att all personuppgiftsbehandling måste vara laglig, uppställs i artikel 5 vissa allmänna krav på behandlingen. Artikel 5.1 i förordningen motsvarar i princip artikel 6 i dataskyddsdirektivet, som har genomförts i svensk rätt genom 9 § personuppgiftslagen.
Den första principen slås fast i artikel 5.1 a och innebär att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. I artikel 5.1 b anges vidare att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål. Ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden är så-
ledes inte förenligt med artikel 5. Ett tydligt angivet ändamål är som regel också en förutsättning för att kunna bedöma om behandlingen är laglig. Kopplingen mellan den rättsliga grunden och kravet på särskilda, uttryckligt angivna och berättigade ändamål förstärks genom dataskyddsförordningen (SOU 2017:39, s. 106 f.). Av artikel 6.3 andra stycket framgår att syftet med behandlingen ska fastställas i den rättsliga grunden. Vad gäller myndighetsutövning och uppgifter av allmänt intresse ska ändamålet med behandlingen vara nödvändigt för att utföra uppgiften eller myndighetsutövningen.
Enligt artikel 5.1 c–f ska uppgifterna vidare bl.a. vara adekvata och korrekta, får inte förvaras under en längre tid än vad som är nödvändigt samt måste behandlas på ett sätt som säkerställer lämplig säkerhet.
Dataskyddsutredningen påpekar att förordningen inte ställer något krav på att de särskilda ändamålen ska vara fastställda i författning, men det finns heller ingenting som hindrar att detta görs, förutsatt att bestämmelserna uppfyller ett mål av allmänt intresse och är proportionella mot det legitima mål som eftersträvas (artikel 6.3 andra stycket). Oavsett om ändamålen fastställts i författning eller inte är det dock enligt artikel 5.2 alltid den personuppgiftsansvarige som ansvarar för, och ska kunna visa att, principerna i artikel 5 efterlevs (a.a. s. 107 f.).
Artiklarna 5 och 6 är kumulativa. Det innebär att endast om någon av de rättsliga grunderna i artikel 6.1 är uppfylld får behandling av personuppgifter ske. Om behandlingen är laglig enligt artikel 6 måste dessutom samtliga principer i artikel 5 följas.
8.1.2. Våra överväganden
Utredningens bedömning: Den rättsliga grunden för Rekry-
teringsmyndighetens behandling av personuppgifter är fastställd i förordningen (2010:1472) med instruktion för Totalförsvarets rekryteringsmyndighet. Dataskyddsförordningens krav enligt artikel 6.3 första stycket att vissa rättsliga grunder ska vara fastställda i unionsrätten eller i nationell rätt medför således inte något behov av författningsändringar.
Både statliga och kommunala myndigheters verksamhet får i allt väsentligt anses vara av allmänt intresse. Myndigheter måste kunna bedriva ändamålsenlig och effektiv verksamhet, vilket bl.a. sker genom digital personuppgiftsbehandling. Informationsteknikens genomslag i allmänhet och i myndigheters uppgiftshantering i synnerhet, medför att myndigheter i praktiken inte kan välja att behandla personuppgifter manuellt, i vart fall inte på ett sätt som faller utanför dataskyddsförordningens tillämpningsområde. Av detta följer att det är den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen, dvs. allmänt intresse, som i normalfallet bör tillämpas av myndigheter vid deras behandling av personuppgifter.
Den nu föreslagna lagen och förordningen har, liksom tidigare, till huvudsakligt syfte att Rekryteringsmyndigheten ska kunna bedriva sin verksamhet på ett ändamålsenligt och effektivt sätt utan att den personliga integriteten hos totalförsvarspliktiga och annan personal inom totalförsvaret kränks. Mängden personuppgifter som Rekryteringsmyndigheten måste hantera inom ramen för sin verksamhet medför att annan behandling än automatisk i princip är utesluten. Behandlingen är också nödvändig för att myndigheten ska kunna bedriva sin verksamhet. Verksamheten, som i huvudsak består av att utföra utredning om personliga förhållanden, mönstra, skriva in och krigsplacera totalförsvarspliktiga, lämna stöd till bemanningsansvariga myndigheter m.fl. i frågor som avser bemanning med totalförsvarspliktiga samt redovisa annan personal inom totalförsvaret, måste således anses vara av allmänt intresse. Samtycke från den enskilde till att uppgifterna behandlas och registreras i myndighetens informationssystem krävs således inte.
Den behandling av personuppgifter som Rekryteringsmyndigheten utför i sin verksamhet med stöd av förordningen med instruktion för Totalförsvarets rekryteringsmyndighet (myndighetsinstruktionen) kan också betraktas som ett led i myndighetsutövning i enlighet med artikel 6.1 e i dataskyddsförordningen. Även denna rättsliga grund kan således bli tillämplig vid myndighetens personuppgiftsbehandling.
Mer tveksamt är om behandlingen kan anses nödvändig för att fullgöra en rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen. I enlighet med Dataskyddsutredningens resonemang (se avsnitt 8.1.1) skulle Rekryteringsmyndighetens uppdrag enligt myndighetsinstruktionen eller regleringsbrevet kunna utgöra en
fastställd rättslig förpliktelse i dataskyddsförordningens mening. Vi instämmer dock i Dataskyddsutredningens bedömning att det är den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen, dvs. allmänt intresse, som vanligen bör tillämpas av myndigheter, även utanför området för myndighetsutövning. Detta gör sig även gällande i fråga om Rekryteringsmyndighetens behandling av personuppgifter.
Även om det i nuvarande reglering inte uttryckligen anges om det rättsliga stödet för Rekryteringsmyndighetens behandling av personuppgifter är allmänt intresse, myndighetsutövning eller rättslig förpliktelse, får det förutsättas att det funnits stöd för behandlingen enligt ändamålen i artikel 7 i dataskyddsdirektivet, vilka har sin motsvarighet i dataskyddsförordningens artikel 6.1. Artikel 6.3 första stycket i dataskyddsförordningen kräver emellertid att den rättsliga grunden för sådan personuppgiftsbehandling som avses i artikel 6.1 c och e är fastställd i unionsrätten eller nationell rätt. I fråga om Rekryteringsmyndighetens behandling av personuppgifter finns den rättsliga grunden för behandlingen fastställd i myndighetsinstruktionen. Dataskyddsförordningens krav enligt artikel 6.3 första stycket att vissa rättsliga grunder ska vara fastställda i unionsrätten eller i nationell rätt medför således inte något behov av författningsändringar.
8.2. Tillåtna ändamål för behandlingen av personuppgifter
8.2.1. Allmänt om primära och sekundära ändamål
Det är vanligt att man i författningar som reglerar myndigheters personuppgiftsbehandling delar upp ändamålen med behandlingen av personuppgifter i primära och sekundära. De primära ändamålen avser att tillgodose de behov som finns att behandla personuppgifter i de berörda myndigheternas egen verksamhet. De sekundära
ändamålen reglerar i vilken utsträckning personuppgifter, som myn-
digheten samlat in för ett primärt ändamål, får behandlas för att lämnas ut till enskilda eller till andra myndigheter i syfte att tillgodose deras behov.
Det finns olika sätt att utforma ändamålsregleringen i en registerförfattning. Ett sätt är att uttömmande ange de ändamål för
vilken behandling får ske, både primära och sekundära. Ett annat sätt som har tillämpats i vissa hittills gällande registerförfattningar är att de i lagen angivna ändamålen kompletteras med en möjlighet att behandla uppgifter även för ändamål som inte är oförenliga med det för vilka uppgifterna samlades in, i enlighet med den s.k. finalitetsprincipen (jfr 9 § första stycket d personuppgiftslagen).
8.2.2. Gällande rätt
I 5 § pliktregisterlagen anges att personuppgifter som samlats in av Rekryteringsmyndigheten ska anses insamlade för de ändamål som anges i 1 § första stycket om inte Rekryteringsmyndigheten vid insamlingen uttryckligen angett att den sker för andra ändamål. Motsvarande ska gälla vid myndighetens behandling av uppgifter som annan myndighet har samlat in.
Som tidigare berörts i avsnitt 7.3.2 innebär utformningen av nämnda bestämmelse att ändamålen med Rekryteringsmyndighetens behandling av personuppgifter endast anges genom en hänvisning till 1 § första stycket samma lag, dvs. tillämpningsområdet. Ändamålen regleras således enligt nu gällande bestämmelser tillsammans med lagens tillämpningsområde.
8.2.3. För vilka primära ändamål ska personuppgifter få behandlas?
Nedan följer en uttömmande uppräkning av de ändamål för vilka Rekryteringsmyndigheten får behandla personuppgifter i dag enligt 1 § första stycket pliktregisterlagen.
Utredning om totalförsvarspliktigas personliga förhållanden, mönstring, inskrivning och krigsplacering av totalförsvarspliktiga
En stor del av den personuppgiftsbehandling som sker hos Rekryteringsmyndigheten i dag utförs i samband med myndighetens uppgift att utföra utredning om personliga förhållanden, mönstra, skriva in och krigsplacera totalförsvarspliktiga. Även myndighetens behandling av personuppgifter i samband med annan utredning än
mönstring omfattas. För dessa ändamål finns således ett behov av att Rekryteringsmyndigheten behandlar personuppgifter om totalförsvarspliktiga.
Redovisning av annan personal inom totalförsvaret
Rekryteringsmyndigheten har enligt myndighetsinstruktionen till uppgift att redovisa i princip all personal inom totalförsvaret. Detta innefattar både totalförsvarspliktiga, anställd personal, avtalspersonal och hemvärnsmän m.fl. inom totalförsvaret. En förutsättning för att myndigheten ska kunna redovisa annan personal än totalförsvarspliktiga, är dock att de berörda myndigheterna eller andra bemanningsansvariga organ som förfogar över dem har anmält personen i fråga till Rekryteringsmyndigheten för registrering.
Utbildning och placering inom totalförsvaret
Rekryteringsmyndigheten ska i sin verksamhet inte endast utreda och placera totalförsvarspliktiga inom totalförsvaret. Det åligger myndigheten att också säkerställa att den registrerade fortlöpande får ändamålsenlig utbildning och lämplig placering inom totalförsvaret. För detta ändamål måste Rekryteringsmyndigheten löpande behandla och uppdatera personuppgifter. Detta är av särskild vikt för att placera rätt person på rätt plats inom totalförsvaret och för att undvika ”dubbelplacering” av totalförsvarspliktiga.
Kallelse till mönstring och grundutbildning med värnplikt
Rekryteringsmyndigheten behöver behandla personuppgifter för att kalla totalförsvarspliktiga till mönstring och grundutbildning med värnplikt. Inom ramen för detta ändamål behöver myndigheten även pröva andra frågor, exempelvis föreläggande av vite vid utebliven inställelse m.m. Avsikten är att tillförsäkra att totalförsvarspliktiga fullgör sina skyldigheter och åtaganden såvitt avser totalförsvarsplikten enligt gällande reglering.
Totalförsvarspliktigas rättigheter
Behandling av personuppgifter är ibland nödvändig för att Rekryteringsmyndigheten ska kunna tillgodose totalförsvarspliktigas rättigheter. Det kan av olika skäl bli aktuellt att befria en totalförsvarspliktig från skyldigheten att tjänstgöra. Rätten till vapenfri tjänstgöring eller uppskov med tjänstgöringen kan finnas i vissa fall. Det kan också finnas rätt till olika typer av ersättningar, exempelvis vårdbidrag eller rätt till ekonomiskt bistånd.
Det åligger också Rekryteringsmyndigheten att försäkra sig om att en totalförsvarspliktig inte utsätts för onödiga påfrestningar i samband med utredning om dennes personliga förhållanden eller under tjänstgöringen. Även för dessa ändamål finns behov av att Rekryteringsmyndigheten behandlar personuppgifter om den totalförsvarspliktige.
Planering, uppföljning och utvärdering
Slutligen behöver Rekryteringsmyndigheten även behandla personuppgifter för planering, uppföljning och utvärdering av den ovan nämnda verksamheten.
Våra överväganden och förslag
Utredningens förslag: Personuppgifter får behandlas om det
behövs för att
1. ta fram underlag för beslut om mönstring, inskrivning, krigs-
placering eller annat ianspråktagande av personal till totalförsvaret,
2. redovisa personal med uppgifter inom totalförsvaret,
3. säkerställa att den registrerade fortlöpande får ändamålsenlig
utbildning och lämplig placering inom totalförsvaret,
4. se till att den registrerade fullgör sina skyldigheter i fråga om
totalförsvarsplikten,
5. tillgodose den registrerades rättigheter och trygghet i egen-
skap av totalförsvarspliktig,
6. fullgöra Rekryteringsmyndighetens serviceskyldighet gentemot
bemanningsansvariga organ inom totalförsvaret, och
7. planera, följa upp och utvärdera den verksamhet som anges i 1–6.
Vi vill inledningsvis erinra om att artikel 6.3 i dataskyddsförordningen medger ändamålsbegränsningar i förhållande till den rättsliga grunden för behandling av personuppgifter. Som konstaterats ovan finns den rättsliga grunden för Rekryteringsmyndighetens behandling av personuppgifter fastställd i myndighetsinstruktionen. Behandlingen får därigenom anses laglig enligt bestämmelserna i dataskyddsförordningen.
Trots att det finns en rättslig grund för Rekryteringsmyndighetens behandling av personuppgifter inom ramen för lagens tillämpningsområde är det av vikt att klargöra för vilka ändamål i vid mening som myndigheten får behandla uppgifter i sin verksamhet. Den behandling av personuppgifter som sker på grund av myndighetens uppdrag är både synnerligen omfattande och avser i hög grad känsliga personuppgifter. Till detta kommer att personuppgifterna i stor utsträckning har samlats in från de totalförsvarspliktiga själva utifrån den skyldighet som följer av lagen (1994:1809) om totalförsvarsplikt.
I enlighet med vad som är vanligt förekommande i registerförfattningar som rör särskilt integritetskänslig verksamhet, exempelvis polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145), är vårt förslag att lagen ska innehålla en uttömmande uppräkning av de primära ändamålen. De primära ändamålen bör omfatta samtliga uppgifter som Rekryteringsmyndigheten utför inom ramen för sin verksamhet enligt myndighetsinstruktionen och som förutsätter behandling av personuppgifter. Som tidigare anförts innebär omfattningen av de personuppgifter som myndigheten måste hantera att manuell behandling i princip är utesluten.
Vi bedömer att samtliga de ändamål som i dag anges i 1 § första stycket pliktregisterlagen alltjämt är berättigade och att en behandling med dessa ändamål som grund är nödvändig för att Rekryteringsmyndigheten ska kunna bedriva en ändamålsenlig och effektiv verksamhet. Därutöver åtar sig Rekryteringsmyndigheten uppgifter inom ramen för sin serviceskyldighet som också följer av myndighetens instruktion. Myndigheten ger bl.a. stöd och service till
bemanningsansvariga organ inom totalförsvaret i en inte obetydlig omfattning. För att Försvarsmakten ska kunna genomföra annan utredning enligt det förslag som Personalförsörjningsutredningen har lämnat i sitt betänkande En robust personalförsörjning av det mili-
tära försvaret (SOU 2016:63, s. 83 f.), behöver Försvarsmakten
information om de totalförsvarspliktiga i en helt annan omfattning än tidigare. Detta behov kan till viss del tillgodoses genom att Försvarsmakten beviljas direktåtkomst till personuppgifter i Rekryteringsmyndighetens informationssystem (se utredningens förslag i avsnitt 9.7.2). Därutöver kan Försvarsmakten behöva ytterligare information eller annat stöd och service i detta avseende. Även andra bemanningsansvariga inom totalförsvaret kan ha behov av Rekryteringsmyndighetens stöd och service i olika sammanhang. För att tillgodose dessa behov föreslår vi att det, utöver de ovan nämnda ändamålen, även ska vara möjligt för Rekryteringsmyndigheten att behandla personuppgifter för att fullgöra myndighetens serviceskyldighet gentemot de bemanningsansvariga organen inom totalförsvaret.
De föreslagna ändamålen kan inordnas under den rättsliga grund som tillåter att en behandling av personuppgifter sker, dvs. Rekryteringsmyndighetens uppdrag såsom det är formulerat i myndighetsinstruktionen. Myndighetens behandling av personuppgifter för de uppräknade ändamålen är således förenlig med den grundläggande dataskyddslagstiftningen.
Vi vill avslutningsvis erinra om de principer för behandling av personuppgifter som anges i artikel 5 i dataskyddsförordningen som bl.a. innebär att varje enskild behandling måste omfattas av särskilda, uttryckligt angivna och berättigade ändamål. För att en enskild behandling ska vara tillåten är det således inte tillräckligt att den har sin grund i Rekryteringsmyndighetens uppdrag såsom det är formulerat i myndighetsinstruktionen och att den kan inordnas under något av de primära ändamålen som anges i lagen. Dessa ändamål har ju getts en vid formulering och syftar snarare till att precisera den rättsliga grunden för behandlingen. Behandlingen måste alltså också uppfylla de kvalitativa krav som följer av artikel 5.
Det kan konstateras att den föreslagna ändamålsbestämmelsen innehåller ett behovskrav i stället för ett nödvändighetskrav. Detta för att terminologin ska överensstämma med vad som gäller enligt andra registerförfattningar, se exempelvis 2 kap. 7 § polisdatalagen,
3 kap. 2 § kustbevakningsdatalagen och 11 § utlänningsdatalagen (2016:27). Syftet med de olika sätten att uttrycka begränsningen är emellertid i allt väsentligt detsamma. Avsikten är att betona att behandling av uppgifter inte får ske slentrianmässigt och att en bedömning av behovet eller nödvändigheten måste göras innan en behandling påbörjas (jfr prop. 2015/16:65, s. 60).
8.2.4. För vilka sekundära ändamål ska personuppgifter få behandlas?
Utlämnande av uppgifter som behandlas helt eller delvis automatiskt eller ingår i ett manuellt register sker i regel med stöd av författningar som föreskriver alternativt tillåter utlämnande. Myndigheter är i vissa fall enligt lag eller förordning skyldiga att på begäran lämna ut uppgifter till andra. En myndighet är exempelvis enligt tryckfrihetsförordningen skyldig att lämna ut personuppgifter som ingår i allmänna handlingar, om inte sekretess gäller för uppgifterna. Sekretessbrytande uppgiftsskyldighet kan även följa av bestämmelser i lag eller förordning (jfr 10 kap. 28 § offentlighets- och sekretesslagen [2009:400]). Enligt 6 kap. 5 § offentlighets- och sekretesslagen ska vidare en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång.
Vidare kan det i författningar finnas bestämmelser som innebär att uppgifter får lämnas ut. Enligt 10 kap. 27 § offentlighets- och sekretesslagen får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. I många registerförfattningar förekommer också föreskrifter som innebär att myndigheten i fråga får lämna personuppgifter till andra myndigheter eller enskilda.
Våra överväganden och förslag
Utredningens förslag: Personuppgifter som behandlas för de
primära ändamålen får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Det kan konstateras att personuppgifter som behandlas i Rekryteringsmyndighetens verksamhet i olika sammanhang lämnas ut till andra myndigheter, företrädesvis Försvarsmakten, men även till enskilda. Sker uppgiftslämnandet för syften som gäller Rekryteringsmyndighetens verksamhet omfattas personuppgiftsbehandlingen genom utlämnandet av de primära ändamål som angetts i avsnitt 8.2.3. Om utlämnandet av uppgifterna i stället sker för mottagarens räkning, krävs att den efterföljande personuppgiftsbehandlingen också är laglig (se föregående avsnitt). En förutsättning är förstås att personuppgifterna behandlas helt eller delvis automatiskt eller ingår i manuella register. I sådana fall, dvs. när uppgiftslämnandet är författningsreglerat, får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, vid vilken man funnit att uppgiften ska eller får lämnas ut. Någon anledning att i den nya lagen förhindra att personuppgifter lämnas ut i sådana fall kan vi inte se. Vi föreslår därför att det i lagen införs en ändamålsbestämmelse som medger att personuppgifter – som behandlas med stöd av något eller några av de primära ändamål som anges i avsnitt 8.2.3 – också får behandlas för att fullgöra sådant uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning.
9. Den nya regleringen
9.1. Registret över totalförsvarspliktiga
9.1.1. Allmänt om begreppen register, databaser och gemensamt tillgängliga uppgifter
Register och databaser
Den nuvarande regleringen av Rekryteringsmyndighetens behandling av personuppgifter är uppbyggd med utgångspunkt i att behandlingen sker i ett register. Begreppet register är i viss mån föråldrat. Vi inleder därför med att kort behandla detta begrepp innan vi övergår till en närmare beskrivning av regleringen av Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret.
Begreppet register introducerades i och med datalagens (1973:289) införande och kom därigenom att bli ett centralt begrepp i svensk datalagstiftning. Med personregister avsågs enligt datalagen register, förteckning eller andra anteckningar som förs med hjälp av automatiserad databehandling (ADB) och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Den allmänt vedertagna termen för ADB-baserade uppgiftssamlingar har därför sedan datalagens införande varit register (SOU 2015:73 s. 187 f.).
Begreppet register återfinns i många äldre registerförfattningar som reglerar myndigheters automatiserade behandling av personuppgifter. Begreppet har emellertid kritiserats i ett flertal lagstiftningsarbeten, bl.a. för att ordet register har en teknisk anknytning och därför kan ha olika innebörd för olika yrkesgrupper. Redan i förarbetena till personuppgiftslagen (1998:204) kritiserades användningen av begreppet register vid automatiserad databehandling för att vara otidsenligt (prop. 1997/98:44, s. 39). På grund av den tek-
niska utvecklingen har det enligt propositionen i en sammansatt och komplex datormiljö blivit allt svårare att fastställa vad som är ett register i förhållande till ett annat. Det har också vuxit fram allt flexiblare och kraftfullare metoder för att med hjälp av datorer söka och hantera uppgifter som inte finns i någon registerstruktur. Samtidigt konstateras det i propositionen att det sagda inte hindrar att det som faktiskt är ett regelrätt datoriserat register också kallas för det. Flertalet särskilda registerförfattningar rör just upprättandet och förandet av traditionella datoriserade register, dvs. att uppgifterna läggs in i ett på visst sätt strukturerat register och bara får tas fram med hjälp av vissa angivna sökkriterier. Registerformen har därvid ofta valts medvetet för att skapa förutsägbarhet och säkerhet beträffande de uppgifter som behandlas med hjälp av datorer (a. prop. s. 39 f.).
Mot denna bakgrund ansåg regeringen att det var en fördel att personuppgiftslagen skulle omfatta all automatiserad behandling av personuppgifter utan hänsyn till det föråldrade registerbegreppet (a. prop. s. 39 f.). I personuppgiftslagen används därför inte begreppet register utan lagen gäller all helt eller delvis automatiserad behandling av personuppgifter, oavsett om de förekommer i ett register eller inte. Vid manuell behandling är personuppgiftslagen emellertid tillämplig endast om personuppgifterna ingår i ett register. I lagen används dock inte begreppet register utan dataskyddsdirektivets definition av begreppet, dvs. en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. I dessa fall är registerbegreppet således fortfarande av betydelse.
På senare år har modellen med register kritiserats i flera lagstiftningsärenden med motiveringen att den inte uppfyller dagens krav på teknikneutral lagstiftning.
I förarbetena till lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet bedömdes begreppet register inte längre vara ett relevant eller lämpligt sätt att se på samlingar av uppgifter i elektronisk form med undantag för vissa traditionella register som misstanke- och belastningsregistret (prop. 2004/05:164 s. 60). I stället valde lagstiftaren att använda begreppet databas, vilket definierades som en samling uppgifter som med hjälp av automatiserad behandling används gemensamt inom en verksamhet. Det rättsliga begreppet databas var enligt regeringen att föredra
framför registerbegreppet, i synnerhet som begreppet underlättar för en teknikoberoende lagstiftning (a. prop. s. 61).
I förarbetena till polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145) kritiserades både användningen av begreppet register och databas för att inte vara tillräckligt teknikneutrala i lagstiftning som rör personuppgiftsbehandling. I förarbetena till polisdatalagen konstaterade regeringen att registerbegreppet har kritiserats, bl.a. därför att det har en teknisk anknytning och därför att dagens datasystem normalt inte byggs som traditionella register (prop. 2009/10:85, s. 60 f.). Också begreppet databas har en stark teknisk anknytning och leder tanken till ett visst, i tekniskt avseende avgränsat, informationssystem. Detta är inte ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Uppgifter kan t.ex. införas helt ostrukturerat och oorganiserat i olika filer i en dator utan att detta förhindrar en effektiv hantering av uppgifterna för olika sammanställningar m.m. Det konstateras att även om registerbegreppet fortsättningsvis kommer att användas inom polisen för vissa särskilda fall, t.ex. när det gäller fingeravtrycks- eller signalementsregistret, penningtvättsregistret och det allmänna spaningsregistret, går utvecklingen mot att registerformen överges för mer sofistikerade datasystem. Som en följd av detta bör den nya regleringen inte bygga på att behandlingen av personuppgifter sker i olika register eller databaser utan i stället ges en mer generell utformning (a. prop. s. 60 f. och s. 229). Även i förarbetena till kustbevakningsdatalagen fördes liknande resonemang och regeringen fann att regleringen för Kustbevakningens del skulle utformas i enlighet med vad som hade beslutats för polisen (prop. 2011/12:45 s. 72 f.).
I stället för bestämmelser om register och databaser innehåller polisdatalagen och kustbevakningsdatalagen särskilda bestämmelser för uppgifter som görs och har gjorts gemensamt tillgängliga i den brottsbekämpande verksamheten. Registerbegreppet behålls endast för vissa särskilda fall. Genom en sådan formulering står det enligt regeringen klart att det viktiga inte är var eller med vilken metod uppgiften rent tekniskt är lagrad eller behandlas utan om ett flertal personer har möjlighet att ta del av uppgiften. Bestämmelserna ska framför allt reglera sådan behandling av uppgifter som sker i för verksamheten gemensamma uppgiftssamlingar. Härigenom införs ett relativt nytt begrepp inom lagstiftningen på personuppgifts-
behandlingsområdet, begreppet gemensamt tillgängliga uppgifter (prop. 2009/10:85, s. 126 f. och SOU 2015:73, s. 193 f.).
Gemensamt tillgängliga uppgifter
Särskilda bestämmelser om gemensamt tillgängliga uppgifter finns i 3 kap. polisdatalagen respektive 4 kap. kustbevakningsdatalagen. I förarbetena till polisdatalagen anges de principer som bör ligga till grund för gränsdragningen mellan behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga och annan behandling (prop. 2009/10:85, s. 127 f.).
En grundläggande förutsättning för att personuppgifter ska anses vara gemensamt tillgängliga är att de kan användas gemensamt av flera, dvs. att fler än en person har åtkomst till uppgifterna. Uppgifter som endast ett fåtal personer har rätt att ta del av bör dock inte anses som gemensamt tillgängliga. Att en uppgift ”är tillgänglig” för en viss person bör förstås så att personen har såväl faktisk möjlighet att ta del av uppgiften som rättslig behörighet till det. Det bör däremot inte spela någon roll hur många personer som faktiskt tar del av de aktuella uppgifterna. Det bör inte heller ha någon betydelse om den som har tillgång till uppgiften kan påverka den eller bara läsa den. Detta innebär att personuppgifter blir att anse som gemensamt tillgängliga om dessa behandlas för att en obestämd krets, t.ex. hela polisorganisationen, ska kunna ta del av uppgifterna (a. prop. s. 127).
Vidare bör enligt propositionen personuppgifter anses vara gemensamt tillgängliga även i vissa fall när den personkrets som har tillgång till uppgifterna är bestämd och avgränsad. Om uppgifterna är tillgängliga för ett stort antal bestämda personer, bör de således anses vara gemensamt tillgängliga. Uppgifter bör dock inte anses som gemensamt tillgängliga enbart därför att två eller flera personer har tillgång till dem. Kan man redan från början konstatera att personuppgifterna endast kommer att vara tillgängliga för en avgränsad krets bestående av en handfull personer, bör uppgifterna alltså inte anses som gemensamt tillgängliga. De integritetsskyddsintressen som motiverar särskilda regler för gemensamt tillgängliga uppgifter gör sig enligt propositionen inte lika starkt gällande när bara ett fåtal personer har tillgång till uppgifterna som när många personer har tillgång
till dem. Som en tumregel anges att uppgifter normalt bör anses som gemensamt tillgängliga när fler än ett tiotal personer har tillgång till dem. I viss utsträckning kan också tidsaspekten ha betydelse för om uppgifter ska anses vara gemensamt tillgängliga eller inte eftersom uppgifter som behandlas under en längre tid typiskt sett kommer fler till del, bl.a. därför att personer i en från början begränsad krets med tiden byts ut. Uppgifter ska också anses vara gemensamt tillgängliga när de sprids till andra myndigheter än polisen (a. prop. s. 128 f.).
9.1.2. Våra överväganden
Utredningens bedömning: Den nya lagen ska inte innehålla
bestämmelser som särskilt tar sikte på register, databaser eller gemensamt tillgängliga uppgifter utan ges en generell utformning.
Kartläggningen av behandlingen av personuppgifter i Rekryteringsmyndighetens verksamhet visar att det inte finns något behov av att i grunden förändra förutsättningarna för behandlingen. Däremot finns det ett behov av att klargöra hur behandlingen av personuppgifter ska beskrivas och om det också i fortsättningen finns behov av att i en reglering av myndighetens behandling av personuppgifter om totalförsvarspliktiga särskilja behandling som sker i register från annan behandling av personuppgifter som omfattas av lagen.
Vi har i avsnitt 5.5 bedömt att kartläggningen visar att den nuvarande regleringen fungerar i huvudsak väl. Samtidigt bör regleringen möjliggöra moderna och ändamålsenliga informationssystem och inte begränsa Rekryteringsmyndighetens möjligheter att utnyttja ny informationsteknik. Regleringen bör därför inte vara beroende av att vissa tekniska lösningar används, dvs. den bör vara i den meningen teknikneutral. Detta för att Rekryteringsmyndigheten så långt som möjligt ska kunna använda sig av den nya tekniken för att öka sin effektivitet men också för att underlätta och förenkla informationsutbytet med sina uppdragsgivare, andra myndigheter och enskilda. Regleringen bör också vara flexibel genom att den ska kunna anpassas till berörda myndigheters krav och inte behöva ändras inför varje förändring i Rekryteringsmyndighetens verksamhet.
Det kan konstateras att Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret huvudsakligen sker i elektronisk form genom myndighetens olika informationssystem. Det i pliktregisterlagen omnämnda automatiserade registret över totalförsvarspliktiga är således inte att betrakta som ett register i traditionell mening. Endast i fråga om registret över krigsplacerad personal vid andra myndigheter, registret över krigsfångar och det s.k. forskningsarkivregistret föreligger register i ordets rätta bemärkelse. I det särskilda registret över krigsplacerade för Rekryteringsmyndigheten in uppgifter om namn och personnummer på den krigsplacerade samt vid vilken myndighet han eller hon är krigsplacerad. Vid höjd beredskap har Rekryteringsmyndigheten i uppgift att registrera och rapportera krigsfångar (prop. 1997/98:80, s. 19). I Rekryteringsmyndighetens interna bestämmelser om forskningsarkivregister (RIB 2012:1) regleras hur vissa personuppgifter i myndighetens informationssystem Plis och Syom med tillhörande delsystem ska bevaras och överföras till ett särskilt forskningsarkivregister. Inget av de ovan nämnda registren påkallar emellertid någon särskild reglering.
I likhet med de resonemang som förts i flera lagstiftningsärenden på senare år är det enligt vår bedömning varken relevant eller lämpligt att beskriva Rekryteringsmyndighetens behandling i övrigt av personuppgifter om totalförsvarspliktiga genom användning av begreppet register. Inte heller begreppet databas ger en rättvisande beskrivning av den behandling som utförs. Varken begreppet register eller databas kan därför anses lämpliga eller tillräckligt teknikneutrala för att beskriva den aktuella behandlingen. Den nya regleringen bör således inte innehålla bestämmelser som särskilt tar sikte på register eller databaser utan i stället ges en generell utformning.
Frågan är då om det, i likhet med polisdatalagen och kustbevakningsdatalagen, bör införas särskilda bestämmelser om gemensamt tillgängliga uppgifter. Härigenom kan ett starkare integritetsskydd uppnås genom att mer restriktiva regler gäller för de gemensamt tillgängliga uppgifterna, vilka kan kompletteras med ytterligare integritetsskyddande bestämmelser om bl.a. sökning, direktåtkomst, bevarande och gallring (se t.ex. 3 kap.5–15 §§polisdatalagen).
Det kan inledningsvis konstateras att i stort sett samtliga personuppgifter om totalförsvarspliktiga som behandlas i Rekryteringsmyndighetens verksamhet är av sådan karaktär att de kan betraktas
som gemensamt tillgängliga. Såväl känsliga personuppgifter som andra integritetskänsliga uppgifter om de totalförsvarspliktiga behandlas regelmässigt i verksamheten. Flertalet anställda hos Rekryteringsmyndighet inklusive hälso- och sjukvårdspersonal har tillgång till många uppgifter av integritetskänslig karaktär inom ramen för sina respektive arbetsuppgifter.
De uppgifter som anställd personal hos Rekryteringsmyndigheten har tillgång till begränsas dock genom krav på behörighet. Åtkomsten begränsas såtillvida att de som har behörighet endast får tillgång till de delar av informationssystemen som de behöver för att kunna fullgöra sina arbetsuppgifter. Inloggning kan endast ske med hjälp av totalförsvarets elektroniska id-kort. Aktiviteter i systemen loggas och logguppföljning görs regelbundet av it-säkerhetschefen och verksamhetschefen.
Svårigheten att tydligt precisera vilka uppgifter som ska få göras gemensamt tillgängliga är en annan viktig aspekt som måste beaktas. Detta låter sig inte med lätthet göras i den verksamhet som bedrivs av Rekryteringsmyndigheten.
Motsvarande skäl som ovan anförts i fråga om Rekryteringsmyndighetens personuppgiftsbehandling lyftes även fram i Utlänningsdatautredningens förslag till ny utlänningsdatalag (SOU 2015:73, s. 198 f.). Vissa likheter kan skönjas i lagstiftningsarbetet rörande den nya utlänningsdatalagen och vårt lagförslag. I båda fallen har det i direktiven efterfrågats en modernare reglering mot tidigare mer renodlade registerförfattningar. Därtill berör lagregleringen flera myndigheter. Såväl Migrationsverkets som Rekryteringsmyndighetens behandling av personuppgifter är omfattande och avser till övervägande del integritetskänsliga personuppgifter. I Utlänningsdatautredningens betänkande kom utredningen fram till slutsatsen att det inte skulle finnas några särskilda regler om behandling av personuppgifter på utlännings- och medborgarskapsområdet som är gemensamt tillgängliga. Till skillnad från den tidigare utlänningsdataförordningen (2001:720) innehåller den nya utlänningsdatalagen (2016:27) således inte några bestämmelser som tar sikte på visst register i Migrationsverkets verksamhet utan lagens bestämmelser gäller generellt för den behandling som sker inom ramen för tillämpningsområdet.
Uppgifterna om totalförsvarspliktiga och annan personal inom totalförsvaret kommer också att omgärdas av särskilda skyddsregler i
enlighet med våra förslag. Personuppgiftsbehandlingen enligt den nya lagen kommer t.ex. att begränsas genom bestämmelser om lagens tillämpningsområde och särskilda ändamålsbestämmelser (se avsnitt 7.3 och 8.2). Därtill föreslås regler om att tillgången till personuppgifter ska begränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter (se avsnitt 9.6). En särskild reglering för när och hur direktåtkomst för andra aktörer får medges föreslås också (se avsnitt 9.7.2). På detta sätt begränsas risken för otillbörlig spridning av uppgifterna. Lagen föreslås också innehålla relativt utförliga bestämmelser om sökförbud (se avsnitt 9.8).
Mot denna bakgrund är vår bedömning att de föreslagna skyddsreglerna utgör ett tillräckligt integritetsskydd för den uppgiftsbehandling som sker hos Rekryteringsmyndigheten. Något behov av en mer restriktiv särreglering finns inte. Vi föreslår därför inte att det i den nya lagen bör införas särskilda bestämmelser om register, databaser eller gemensamt tillgängliga uppgifter utan regleringen bör ges en generell utformning.
9.2. Personuppgifter som får behandlas
9.2.1. Gällande rätt
Äldre registerförfattningar innehåller i regel bestämmelser om registerinnehåll, dvs. vilka kategorier av uppgifter eller personer som får behandlas. Pliktregisterlagen är inget undantag. I 8 § anges att i automatiserat register över totalförsvarspliktiga får personuppgifter föras in endast om den som (i) är eller har varit aktuell för mönstring eller annan utredning, (ii) genom avtal, beslut om krigsplacering eller på annat sätt är tagen i anspråk för totalförsvaret, (iii) ska utföra särskild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig för totalförsvaret, (iv) av en redan registrerad uppgetts som närstående, eller (v) nämns bland de uppgifter som åberopas av den registrerade, om de rör hans eller hennes tjänstgöring inom totalförsvaret. Därutöver får personuppgifter registreras om den som fattat beslut eller handlagt ärende som rör den registrerade hos Rekryteringsmyndigheten eller hos någon annan som utfört annan utredning. Detsamma gäller personuppgifter om den som gjort journalanteckning i samband med sådan utredning eller i samband med den registrerades tjänstgöring
inom totalförsvaret (8 § tredje stycket). I 9 § anges uttömmande vilka personuppgifter som får föras in i registret.
I moderna registerförfattningar har den tidigare ordningen med bestämmelser om registerinnehåll frångåtts. I exempelvis polisdatalagen, kustbevakningsdatalagen och utlänningsdatalagen är det ändamålsbestämmelserna som styr vilka uppgifter som får behandlas genom att det anges att personuppgifter får behandlas om det behövs för de ändamål för vilken behandlingen utförs (se bl.a. 2 kap. 7 § polisdatalagen, 3 kap. 2 § kustbevakningsdatalagen och 11 § utlänningsdatalagen). Polisadatalagen innehåller dock särskilda innehållsbestämmelser för fingeravtrycks- och signalementsregister (4 kap. 12–13 §§).
9.2.2. Våra överväganden och förslag
Utredningens förslag: Det ska i lagen inte anges vilka katego-
rier av personer eller personuppgifter som får behandlas.
Alla personuppgifter som är nödvändiga för de ändamål för vilken behandlingen utförs får behandlas.
I nu gällande pliktregisterlag anges uttömmande vilka kategorier av personer och personuppgifter som får behandlas. De skäl som vid lagens tillkomst motiverade särskilda bestämmelser om registerinnehåll gör sig enligt vår bedömning inte längre gällande. Då ansågs det i personuppgiftslagen uppställda kravet på att behandling av personuppgifter inte får avse fler uppgifter än som är nödvändigt med hänsyn till ändamålen med behandlingen inte vara tillräckligt ur integritetsskyddspunkt (SOU 1997:101 s. 155). Tvärtom ansågs det viktigt att register av det slag som Rekryteringsmyndigheten för – register med känsliga personuppgifter om en stor del av befolkningen – reglerades noggrant vad gällde innehållet. Även försvarssekretessen motiverade ett starkt skydd.
Inledningsvis kan vi konstatera att bestämmelser om registerinnehåll inte längre är en vedertagen ordning i särskilda registerförfattningar. Inte ens i registerförfattningar som rör särskilt integritetskänslig verksamhet, som polisdatalagen, kustbevakningsdatalagen och utlänningsdatalagen, har det ansetts befogat med sådana bestämmelser. Den behandling av personuppgifter som sker på grund av
Rekryteringsmyndighetens uppdrag är i och för sig än i dag synnerligen omfattande och avser i hög grad känsliga personuppgifter. Till detta kommer att personuppgifterna i stor utsträckning har samlats in från de totalförsvarspliktiga själva utifrån den skyldighet som följer av lagen (1994:1809) om totalförsvarsplikt. Vårt förslag innebär dock att den nya lagen, till skillnad mot tidigare, kommer att innehålla särskilda ändamålsbestämmelser med en uttömmande uppräkning av de primära ändamål för vilka Rekryteringsmyndigheten får behandla personuppgifter i sin verksamhet. När myndigheten får behandla de uppgifter som har samlats in begränsas således av ändamålsbestämmelserna.
Som redovisats i avsnitt 8.1.2 har behandlingen sin utgångspunkt i den rättsliga grund som framgår av Rekryteringsmyndighetens uppdrag såsom det är formulerat i myndighetsinstruktionen. För att en enskild behandling ska vara tillåten är det dock inte tillräckligt att den har sin utgångspunkt i den rättsliga grunden och att den kan inordnas under något av de primära ändamålen. Utöver det grundläggande kravet på att personuppgiftsbehandlingen måste vara laglig, ska personuppgifterna behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (artikel 5.1 a dataskyddsförordningen). Varje enskild behandling måste även omfattas av särskilda, uttryckligt angivna och berättigade ändamål och får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (artikel 5.1 b). Uppgifterna ska vidare vara adekvata och korrekta, får inte förvaras under en längre tid än vad som är nödvändigt samt måste behandlas på ett sätt som säkerställer lämplig säkerhet (artikel 5.1 c–f).
Genom dels kravet på en rättslig grund för behandlingen och de grundläggande bestämmelserna i dataskyddsförordningen, dels de föreslagna ändamålsbestämmelserna uppnås enligt vår bedömning en fullgod inramning av integritetsskyddet för Rekryteringsmyndighetens personuppgiftsbehandling.
Ur ett integritetsskyddsperspektiv kan det naturligtvis finnas fördelar med en reglering som tydligt specificerar de personuppgifter som får behandlas. Det gäller särskilt när det rör sig om personuppgiftsbehandling i register i traditionell mening, dvs. att uppgifter förs in i en uppgiftssamling på ett systematiskt sätt enligt särskilda kriterier och att de är sökbara med särskilda sökord eller liknande (se t.ex. prop. 2015/16:65 s. 78 f.). En sådan specificering
av vilka personuppgifter som får behandlas finns bl.a. i fråga om fingeravtrycks- och signalementsregistret enligt 4 kap. 13 § polisdatalagen.
Som redovisats i avsnitt 9.1.3, kan den behandling av personuppgifter som Rekryteringsmyndigheten utför inom ramen för sin verksamhet inte anses vara ett register i traditionell mening. Myndighetens personuppgiftsbehandling är omfattande och det kan inte anses ändamålsenligt att uttömmande specificera vilka kategorier av uppgifter som ska få behandlas. Därtill kan Rekryteringsmyndighetens behov av att behandla personuppgifter komma att förändras och variera över tid, vilket också talar emot att uttömmande reglera vilka personuppgifter som får behandlas. Det är således vår bedömning att den nya lagen, till skillnad mot tidigare, inte bör innehålla några bestämmelser som uttömmande anger vilka kategorier av personuppgifter som får behandlas. Detsamma gör sig gällande i fråga om vilka kategorier av personer som uppgifter ska få behandlas. Vi föreslår i stället att de i lagen föreslagna ändamålsbestämmelserna, tillsammans med de grundläggande kraven i dataskyddsförordningen, ska styra vilka personuppgifter som får behandlas i Rekryteringsmyndighetens verksamhet. Detta innebär att alla personuppgifter som är nödvändiga för de ändamål för vilken behandlingen utförs får behandlas.
9.3. Känsliga personuppgifter
9.3.1. Gällande rätt
Såvitt avser myndigheters behov av att behandla känsliga personuppgifter tillgodoses detta till viss del av regler i sektorspecifika registerförfattningar. Därutöver har behovet täckts in av bestämmelserna i personuppgiftslagen och personuppgiftsförordningen (1998:1191).
Enligt 13 § personuppgiftslagen är det som huvudregel förbjudet att behandla känsliga personuppgifter, dvs. uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk
övertygelse eller medlemskap i fackförening eller som rör hälsa eller sexualliv.
Känsliga personuppgifter får dock behandlas, om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna (15 §). Känsliga personuppgifter får också behandlas om behandlingen är nödvändig för att
a) den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter eller utöva sina skyldigheter enligt arbetsrätten, b) den registrerades eller någon annans vitala intressen ska kunna skyddas, om denne inte kan lämna sitt samtycke, eller för att c) rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras (16 §). Behandling kan vidare vara nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård (18 §). Känsliga personuppgifter får också under vissa förhållanden behandlas av ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte inom ramen för sin verksamhet samt för forsknings- och statistikändamål (17 och 19 §§).
Regeringen eller den myndighet som regeringen bestämmer, dvs. Datainspektionen, får vidare meddela föreskrifter om ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse (20 §).
Av 8 § personuppgiftsförordningen framgår slutligen att känsliga personuppgifter får behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Pliktregisterlagen
Enligt 6 § första stycket pliktregisterlagen får känsliga personuppgifter behandlas om det är nödvändigt för de ändamål som anges i 1 § första stycket samma lag. Detsamma gäller även kommuner, landsting och statliga myndigheter om uppgifterna behövs för utredning om den totalförsvarspliktiges personliga förhållanden enligt 2 kap. 1 § lagen om totalförsvarsplikt (andra stycket).
Av 1 § första stycket framgår att lagen tillämpas vid behandling av personuppgifter om totalförsvarspliktiga i den verksamhet Rekryteringsmyndigheten bedriver för att
1. ta fram underlag för beslut om inskrivning, krigsplacering eller
annat ianspråktagande av personal till totalförsvaret,
2. redovisa personal med uppgifter inom totalförsvaret,
3. säkerställa att den registrerade fortlöpande får ändamålsenlig ut-
bildning och lämplig placering inom totalförsvaret,
4. se till att den registrerade fullgör sina skyldigheter såvitt avser
totalförsvarsplikten,
5. tillgodose den registrerades rättigheter och trygghet i hans eller
hennes egenskap av totalförsvarspliktig, och
6. planera, följa upp och utvärdera den verksamhet som anges i 1–5.
I fråga om vilka känsliga personuppgifter som får registreras i det automatiserade registret över totalförsvarspliktiga anges i 9 § andra stycket att andra känsliga personuppgifter än sådana uppgifter som rör hälsa eller religiös övertygelse inte får föras in. Uppgifter om religiös övertygelse får endast registreras om den registrerade har lämnat sitt uttryckliga samtycke till att uppgifterna behandlas i registret och de rör hans eller hennes tjänstgöring inom totalförsvaret.
Av förarbetena (prop. 1997/98:80 s. 37 f.) till 6 § pliktregisterlagen framgår att Rekryteringsmyndigheten i sin verksamhet har behov av att kunna behandla såväl känsliga personuppgifter som uppgifter om lagöverträdelser och personnummer, för att kunna fullgöra ålagda uppgifter på ett tillfredsställande sätt. För sådana personuppgifter om totalförsvarspliktiga som Rekryteringsmyndigheten ska kunna behandla ger enligt regeringens bedömning, bortsett från de begränsningar som bör göras vad gäller ADB-registrering av känsliga uppgifter, den föreslagna bestämmelsen i personuppgiftslagen om att inte fler uppgifter får behandlas än vad som är nödvändigt med hänsyn till ändamålen, en lämplig avgränsning.
Regeringen anförde att myndigheten har ett behov av att i stor utsträckning kunna behandla uppgifter om den enskildes hälsa och i vissa fall uppgifter om religiös eller filosofisk övertygelse för att få ett underlag vid bedömningen av tjänstbarhet och för beslut om hur den enskilde ska användas inom totalförsvaret. Dessutom kan det förekomma att andra känsliga personuppgifter åberopas av den enskilde själv som skäl för befrielse från tjänstgöring eller för särskild typ av tjänstgöring. Rekryteringsmyndigheten behövde
såle-des enligt regeringens bedömning kunna behandla känsliga personuppgifter och i viss utsträckning även kunna behandla dem med automatik. En bestämmelse föreslogs därför i pliktregisterlagen som generellt medger Rekryteringsmyndigheten rätt att behandla känsliga personuppgifter om det är nödvändigt med hänsyn till de ändamål som anges i lagen. Rekryteringsmyndigheten behöver inhämta underlag för att kunna avgöra om den totalförsvarspliktige har förutsättningar för och är lämplig att fullgöra värnplikt eller civilplikt samt säkerställa att den totalförsvarspliktige och därmed jämställd personal erhåller ändamålsenlig utbildning och lämplig placering inom totalförsvaret. Av det sagda följer att det föreligger ett behov av att behandla känsliga personuppgifter, bl.a. uppgifter om hälsa och religiös övertygelse. Vad gäller andra känsliga personuppgifter såsom ras och etniskt ursprung, politiska åsikter och medlemskap i fackförening kan det aldrig bli aktuellt för Rekryteringsmyndigheten att behandla dessa då de varken är nödvändiga eller relevanta för de ändamål som anges i 1 § första stycket (a. prop. s. 38).
Därutöver bedömde regeringen att det fanns ett behov av bestämmelser som ger myndigheter och andra organ som kan utföra annan utredning än mönstring rätt att behandla känsliga personuppgifter (a. prop. s. 39 f.). Regeringen framhöll att de mindre omfattande utredningarna tjänar samma syften som Rekryteringsmyndighetens egen utredningsverksamhet och är mycket nära förknippade med denna på sådant sätt att överenskommelser myndigheterna emellan om samordning ofta är nödvändig. Praktiskt går det inte sällan till så att en myndighet först ber Rekryteringsmyndigheten om ett underlag som omfattar vissa uppgifter, varefter myndigheten själv kompletterar uppgifterna genom frågor till den totalförsvarspliktige. Underlaget tillställs därefter Rekryteringsmyndigheten tillsammans med en begäran om att den totalförsvarspliktige ska skrivas in. Rekryteringsmyndighetens och den andra myndighetens åtgärder kan därmed sägas vara förenade i samma utredningsärende. Regeringen ansåg att det borde markeras att detta är ett undantag från lagens tillämpningsområde i övrigt, och – vilket är en mycket viktig begränsning – att undantaget från personuppgiftslagens förbud mot behandling av känsliga personuppgifter för de berörda myndigheterna endast gäller i deras verksamhet för att utreda totalförsvarspliktigas förhållanden som sker med stöd av bestämmelserna i lagen om totalförsvarsplikt. Samma krav gäller
således självfallet även för dessa myndigheter som för Rekryteringsmyndigheten vid behandling av känsliga personuppgifter att detta endast får ske om det är nödvändigt med hänsyn till de ändamål som anges i lagen.
9.3.2. Dataskyddsförordningen och dataskyddslagen
I dataskyddsförordningens artikel 9.1 stadgas ett förbud mot att behandla särskilda kategorier av personuppgifter. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning är förbjuden. I förordningens skäl 10 och 51 används i stället benämningen känsliga respektive särskilt känsliga uppgifter. Dataskyddsutredningen har i sitt förslag till dataskyddslag använt sig av begreppet känsliga personuppgifter med motiveringen att begreppet är tydligare än särskilda kategorier av uppgifter och numera anses inarbetat även på EU-nivå (SOU 2017:39, s. 162).
Dataskyddsförordningens förbud mot att behandla känsliga personuppgifter är direkt tillämpligt i medlemsstaterna. Förbudet kompletteras dock av flera undantag som möjliggör behandling av känsliga personuppgifter i vissa fall, varav vissa innehåller hänvisningar till nationell rätt. Av artikel 9.2 g följer exempelvis att förbudet inte ska tillämpas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Kravet på stöd i nationell rätt har av Dataskyddsutredningen tolkats så att vissa av undantagen i sig bör föreskrivas i nationell rätt, antingen i generell eller i sektorspecifik reglering (a.a. s. 162 f.). Dataskyddsutredningen har därför i dataskyddslagen föreslagit vissa kompletterande bestämmelser om undantag från förbudet att behandla känsliga personuppgifter i artikel 9.1.
Enligt 3 kap. 1 § dataskyddslagen får, utöver vad som framgår av artikel 9.2 a, c, d, e eller f i dataskyddsförordningen, sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter) behandlas om förutsättningarna i någon av 2–8 §§ är uppfyllda. Bestämmelserna i 3 kap. 2 och 5–7 §§ omfattar behandling av känsliga personuppgifter inom arbetsrätten, hälso- och sjukvården och den sociala omsorgen samt för arkiv- och statistikändamål.
Mot bakgrund av att myndigheter ofta har berättigade skäl att behandla känsliga personuppgifter, och att sådan behandling i många fall sker i den registrerades eget intresse, har Dataskyddsutredningen bedömt att det även fortsättningsvis finns ett behov av generellt tillämpliga undantag som ska gälla i de fall där sektorspecifik reglering saknas (a.a. s. 172 f.). En särskild myndighetsreglering har därför föreslagits i 3 kap. 3 § dataskyddslagen med följande lydelse.
Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en myndighet
1. i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende,
2. om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, eller
3. i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Undantagen är generellt tillämpliga i den meningen att de gäller för verksamheter som inte har någon sektorsspecifik reglering av sin behandling av känsliga personuppgifter. Av författningskommentaren framgår att bestämmelsen har sin grund i artikel 9.2 g i dataskyddsförordningen om behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse.
Punkten 1 i bestämmelsen möjliggör behandling av känsliga personuppgifter i myndigheternas ärenden, förutsatt att uppgifterna förekommer i löpande text och inte har strukturerats i registerform eller på annat sätt sorterats. Bestämmelsen utesluter dock inte att handlingar som innehåller löpande text med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande. Uppgifterna måste ha lämnats in av någon utomstående eller vara nödvändiga för handläggningen av ärendet.
Punkten 2 möjliggör sådan behandling av känsliga personuppgifter som är oundviklig i myndigheternas verksamhet som en direkt följd av framför allt tryckfrihetsförordningens, offentlighets- och sekretesslagens och förvaltningslagens bestämmelser om hur inkomna handlingar ska hanteras, exempelvis genom krav på diarieföring och skyldighet att ta emot e-post. Behandling av känsliga personuppgifter med stöd av denna punkt får bara ske om uppgifterna har lämnats in till myndigheten, dvs. uppgifter i handlingar som definieras som inkomna enligt 2 kap. 6 § tryckfrihetsförordningen och själva behandlingen av uppgifterna är ett direkt krav enligt annan lag. Det bör noteras att enligt 1 kap. 5 § dataskyddslagen ska bestämmelsen i denna punkt gälla även för andra organ än myndigheter, i den mån offentlighetsprincipen och sekretesslagstiftningen enligt författning gäller i organets verksamhet.
Punkten 3 möjliggör behandling av känsliga personuppgifter hos myndigheter i enstaka fall även då behandlingen inte sker i löpande text med koppling till visst ärende eller krävs enligt annan lag. Så kan exempelvis vara fallet i faktisk verksamhet såsom inom en myndighet i samband med utvärdering. Kravet i punkten 3 på att behandlingen ska vara absolut nödvändig för ändamålet med behandlingen innebär att regleringen ska tillämpas mycket restriktivt och att behovet av att behandla den känsliga personuppgiften i det enskilda fallet noga ska prövas mot ändamålet med behandlingen. Vidare ställer bestämmelsen i punkten 3 krav på att ytterligare en avvägning ska göras för att behandling av känsliga personuppgifter ska få ske i det enskilda fallet. Det krävs en prövning av om en i och för sig absolut nödvändig behandling av känsliga personuppgifter ändå innebär ett otillbörligt intrång i den registrerades integritet. Vid bedömningen av om behandling utgör ett otillbörligt intrång ska vikt läggas vid sådana aspekter som uppgifternas känslighet, den inställning de registrerade kan antas ha till att uppgiften behandlas, den spridning uppgiften skulle komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet.
9.3.3. Våra överväganden och förslag
Utredningens förslag: Utöver vad som följer av 3 kap. data-
skyddslagen får känsliga personuppgifter behandlas om det är absolut nödvändigt för de ändamål som anges i lagen.
Detsamma ska gälla även vid annan utredning om den totalförsvarspliktiges personliga förhållanden som enligt 2 kap. 1 § lagen om totalförsvarsplikt utförs av annan än Rekryteringsmyndigheten.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter som begränsar användningen av känsliga personuppgifter.
I enlighet med Dataskyddsutredningens förslag kommer vi i det följande att använda begreppet känsliga personuppgifter i stället för uttrycket särskilda kategorier av personuppgifter som används i dataskyddsförordningen.
I Rekryteringsmyndighetens verksamhet förekommer känsliga personuppgifter i stor utsträckning och behandlingen omfattar flera av de kategorier av personuppgifter som anges i artikel 9.1 i dataskyddsförordningen. Undantaget i 3 kap. 3 § dataskyddslagen är begränsat såtillvida att den endast ger myndigheter rätt att behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det (punkten 1). Myndigheter och andra organ som omfattas av offentlighetsprincipen ska även få behandla känsliga personuppgifter om dessa har lämnats till myndigheten eller organet och behandlingen krävs enligt annan lag (punkten 2). Dessutom ska myndigheter få behandla känsliga personuppgifter om det är absolut nödvändigt för ändamålet med behandlingen och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (punkten 3). Enligt vår bedömning är nämnda undantag inte tillräckliga för att täcka all nödvändig behandling av känsliga personuppgifter som för närvarande utförs av Rekryteringsmyndigheten. Inte heller Försvarsmaktens och andra myndigheters m.fl. behov av att behandla känsliga personuppgifter vid annan utredning enligt lagen om totalförsvarsplikt täcks in av bestämmelsen.
Rekryteringsmyndighetens särpräglade verksamhet innebär att myndigheten har ett stort behov av att behandla känsliga personuppgifter för att kunna fullgöra sina uppgifter. Som redovisats ovan ansågs redan vid pliktregisterlagens tillkomst att behovet var omfattande. Samma behov finns än i dag.
Rekryteringsmyndigheten har behov av att i stor utsträckning kunna behandla uppgifter om enskildas hälsa. Framför allt resultaten från de medicinska och psykologiska undersökningar som genomförs under mönstring är nödvändig information för att myndigheten ska kunna bedöma om kraven för tjänstgöring är uppfyllda. Underlaget är avgörande för att Rekryteringsmyndigheten ska kunna fatta beslut om inskrivning till grundutbildning med värnplikt eller annan tjänstgöring inom totalförsvaret. Även vid annan utredning som utförs av andra myndigheter än Rekryteringsmyndigheten enligt lagen om totalförsvarsplikt föreligger ett behov av underlag i form av uppgifter om hälsa.
Rekryteringsmyndigheten har även behov av att i vissa fall behandla uppgifter om religiös övertygelse för att kunna fatta beslut om tjänstgöring inom totalförsvaret och i förlängningen lämplig befattning för den enskilde. Det kan finnas skäl för att inte kalla en totalförsvarspliktig till mönstring. Så kan vara fallet när den totalförsvarspliktige tillhör ett religiöst samfund. Enligt 10 kap. 8 § p. 2 lagen om totalförsvarsplikt får Rekryteringsmyndigheten i särskilda fall besluta att en totalförsvarspliktig tills vidare inte ska kallas till mönstring eller inkallelse till värnplikt eller civilplikt, om han eller hon med hänvisning till sin anslutning till visst religiöst samfund förklarar att han eller hon inte kommer att fullgöra vare sig värnplikt eller civilplikt. I 7 kap. 3 § förordningen (1995:238) om totalförsvarsplikt nämns Jehovas vittnen. Motsvarande resonemang gör sig gällande i fråga om en enskilds personliga övertygelse om att inte använda vapen. Till följd av detta regleras i 3 kap. 16 § samma lag en rätt för en totalförsvarspliktig att vara vapenfri.
Det kan även bli aktuellt för Rekryteringsmyndigheten att behandla andra känsliga personuppgifter än hälsa och religiös övertygelse. Så kan exempelvis bli fallet om en enskild själv, t.ex. i form av ett läkarintyg, lämnar och åberopar andra känsliga personuppgifter för att inte behöva mönstra, tjänstgöra eller inneha viss befattning inom totalförsvaret. I sådant fall råder inte Rekryteringsmyndigheten över vilka känsliga personuppgifter som kommer till
dess kännedom men som ändå måste behandlas av myndigheten vid beslutsfattandet. Det är dock inte möjligt att uttömmande ange de fall då ett sådant behov föreligger.
Det kan konstateras att de undantag från förbudet att behandla känsliga personuppgifter som anges i 3 kap. 2, 5 och 7 §§ dataskyddslagen inte är tillämpliga på Rekryteringsmyndighetens verksamhet. Inte heller de undantag som enligt 3 kap. 3 § dataskyddslagen generellt kan tillämpas av myndigheter och möjliggör viss ytterligare behandling av känsliga personuppgifter är tillräckliga för att myndigheten ska kunna fullgöra de uppgifter som åligger den. Det står klart att Rekryteringsmyndigheten har ett berättigat behov av att behandla känsliga personuppgifter i större omfattning än vad dataskyddslagens undantag medger. Detsamma gäller Försvarsmakten och andra myndigheter m.fl. som behöver behandla känsliga personuppgifter vid annan utredning enligt lagen om totalförsvarsplikt. Vi föreslår därför att en mer tillåtande reglering av behandling av känsliga personuppgifter bör införas i den nya lagen.
Nästa fråga är hur en sådan bestämmelse bör utformas. En grundläggande förutsättning för att en mer tillåtande reglering ska kunna införas i den nya lagen är att bestämmelserna utformas så att de är förenliga med regeringsformens och dataskyddsförordningens bestämmelser. Det innebär att kraven i artikel 9.2 g i dataskyddsförordningen måste vara uppfyllda. Av bestämmelsen framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av nationell rätt. Den nationella regleringen måste dock stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Därtill måste de grundläggande principerna för behandling av personuppgifter i artikel 5 i förordningen vara uppfyllda.
Ytterligare en förutsättning för att känsliga personuppgifter över huvud taget ska få behandlas är att behandlingen inte innebär ett otillbörligt intrång i den enskildes personliga integritet. Ur integritetsskyddspunkt är det således viktigt att möjligheten att behandla känsliga personuppgifter begränsas. Enligt vår bedömning är det därför lämpligt att regleringen, i likhet med vad som är fallet i dag, utformas med utgångspunkt från de i lagen angivna ändamålen.
I enlighet med nuvarande bestämmelse i pliktregisterlagen bör undantaget vidare inte begränsas till vissa känsliga personuppgifter, eftersom det inte är möjligt att förutse vilka personuppgifter som den enskilde själv kan komma att åberopa eller som av annat skäl måste behandlas av Rekryteringsmyndigheten.
Vårt förslag till ny reglering av Rekryteringsmyndighetens behandling av personuppgifter innebär att bestämmelsen ska tillämpas generellt i verksamheten. Någon åtskillnad görs alltså inte för behandling i register eller i annat sammanhang. Vi anser även att behovet av att behandla känsliga personuppgifter är lika stort i hela verksamheten. Den begränsning som finns i pliktregisterlagen i fråga om vilken sorts känsliga personuppgifter som får föras in i det automatiserade registret ska således inte finnas kvar. Det tillåtande undantag som vi föreslår ska alltså gälla generellt men måste kunna motiveras utifrån ett viktigt allmänt intresse. Bestämmelsen måste därför ges en särskilt restriktiv utformning. Vi föreslår därför att behandling endast får ske i de fall det är absolut nödvändigt. Samma begrepp används i dataskyddslagen (3 kap. 3 § 3) och även i flertalet registerförfattningar från senare tid, bl.a. polisdatalagen (2 kap. 10 §) och utlänningsdatalagen (15 §). I förarbetena (prop. 2015/16:65 s. 81) till utlänningsdatalagen diskuteras lämpligheten av att använda begreppet i lagtext. Ett skäl som väger tungt vid bedömningen är intresset av att så långt möjligt använda likartad terminologi i de olika lagar som reglerar myndigheternas personuppgiftsanvändning. Både i polisdatalagen och i åklagardatalagen används begreppet absolut nödvändigt för att avgränsa i vilken mån behandling av känsliga personuppgifter ska vara tillåten. Syftet med begränsningen att behandlingen ska vara absolut nödvändig är att markera att behandlingen av känsliga personuppgifter bör ske med försiktighet och aldrig slentrianmässigt. Rekvisitet innebär emellertid inte att känsliga personuppgifter endast får behandlas i undantagsfall. Genom rekvisitet markeras dock att behandling ska ske med restriktivitet och att behovet av att behandla den känsliga personuppgiften ska prövas noga i det enskilda ärendet. En sådan prövning ska inte bara göras när uppgiften samlas in eller behandlas för första gången utan även vid senare behandling av redan insamlade uppgifter.
Mot denna bakgrund är vår bedömning att bestämmelsen bör utformas i enlighet med motsvarande bestämmelser i bl.a. polisdatalagen och utlänningsdatalagen, dvs. att känsliga personuppgifter ska
få behandlas om det är absolut nödvändigt för de tillåtna ändamålen med behandlingen.
Som redovisats ovan har även andra myndigheter m.fl. behov av att behandla känsliga personuppgifter vid annan utredning än mönstring enligt lagen om totalförsvarsplikt. Sådan utredning tjänar i regel samma syfte som vid Rekryteringsmyndighetens egna utredningar. Att känsliga personuppgifter omfattas av pliktregisterlagens bestämmelser i nu aktuellt avseende ansågs i förarbetena bero på att Rekryteringsmyndighetens och den andra myndighetens åtgärder kunde sägas vara förenade i samma utredningsärende (prop. 1997/98:80, s. 40). Dock valde regeringen att i lagtexten markera att detta var ett undantag från lagens tillämpningsområde i övrigt och endast gällde i de berörda myndigheternas verksamhet för att utreda totalförsvarspliktigas förhållanden enligt lagen om totalförsvarsplikt. Motsvarande synsätt gör sig alltjämt gällande. Vi föreslår därför att aktuella myndigheter, liksom tidigare, bör omfattas av den föreslagna bestämmelsen om behandling av känsliga personuppgifter med den begränsningen att behandling av känsliga personuppgifter endast får ske om det är absolut nödvändigt med hänsyn till de ändamål som anges i lagen.
Vid kartläggningen har det kommit fram att det finns ett behov för Rekryteringsmyndigheten att kunna behandla känsliga personuppgifter för vissa statistikändamål och uppföljning av verksamheten. Det är naturligtvis av vikt att myndigheten fortlöpande kan bevaka att effektiviteten och kvaliteten upprättshålls i verksamheten. Detta behov omfattas av den föreslagna ändamålsbestämmelsen i avsnitt 8.2.3, dvs. att personuppgifter får behandlas för tillhandahållande av information som behövs i Rekryteringsmyndighetens verksamhet för att planera, följa upp och utvärdera verksamheten. Detta innebär att sådan behandling omfattas av den nu föreslagna bestämmelsen att känsliga personuppgifter ska få behandlas endast i de fall det är absolut nödvändigt för de i lagen tillåtna ändamålen.
Avslutningsvis föreslår vi att bestämmelsen om behandling av känsliga personuppgifter kompletteras med en upplysningsbestämmelse om att regeringen med stöd av 8 kap. 7 § regeringsformen kan meddela ytterligare föreskrifter som begränsar användningen av känsliga personuppgifter.
I avsnitt 11.3 behandlar vi frågan om bevarande av känsliga personuppgifter för arkivändamål.
9.4. Behandling av personnummer och samordningsnummer
9.4.1. Gällande rätt
Enligt 22 § personuppgiftslagen får uppgifter om personnummer eller samordningsnummer behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Uppgift om personnummer eller samordningsnummer utgör inte en känslig personuppgift enligt personuppgiftslagens definition men är ändå en uppgift som påkallar viss försiktighet när den behandlas. Bestämmelsen bör tillämpas restriktivt och innebär att en avvägning måste göras mellan behovet av att uppgiften behandlas och de integritetsrisker som behandlingen innebär. För en personuppgiftsansvarig som inte fått samtycke till behandling av personnummer eller samordningsnummer innebär bestämmelsen att denne själv måste göra den intresseavvägning som framgår av bestämmelsen. Den personuppgiftsansvarige torde också ha bevisbördan för att det finns sådana omständigheter som gör att uppgifter om personnummer eller samordningsnummer får behandlas (SOU 2017:39, s. 198 f.). I ett flertal sektorspecifika registerförfattningar har motsvarande avvägningar gjorts genom en hänvisning till 22 § personuppgiftslagen. Vikten av en säker identifiering har bl.a. föranlett att såväl polisdatalagen, kustbevakningsdatalagen och utlänningsdatalagen innehåller hänvisning till personuppgiftslagens bestämmelse om behandling av personnummer.
Enligt 50 § c personuppgiftslagen får regeringen eller den myndighet som regeringen bestämmer, dvs. Datainspektionen, meddela närmare föreskrifter om i vilka fall användning av personnummer är tillåten. Några sådana föreskrifter har inte meddelats av Datainspektionen men det är däremot relativt vanligt med sektorsspecifika förordningsbestämmelser om behandling av personnummer och samordningsnummer (a.a. s. 198).
Varken den nu gällande pliktregisterlagen eller förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga innehåller särskilda bestämmelser om personnummer eller samordningsnummer. Det innebär att personuppgiftslagens bestämmelser är tillämpliga vid sådan behandling hos Rekryteringsmyndigheten (jfr 4 § pliktregisterlagen).
9.4.2. Dataskyddsförordningen
Enligt artikel 87 i dataskyddsförordningen får medlemsstaterna närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Villkoren ska i sådana fall säkerställa att identifikationsuppgifterna bara får användas med iakttagande av lämpliga skyddsåtgärder för de registrerades fri- och rättigheter. Det finns inga uttalanden i skälen till dataskyddsförordningen som konkretiserar vilken typ av skyddsåtgärder det bör vara frågan om. Sannolikt kan kraven på skyddsåtgärder inte ställas särskilt högt eftersom det är upp till medlemsstaterna själva att bedöma om några särskilda villkor ska införas över huvud taget. I denna del ges alltså medlemsstaterna ett stort utrymme att själva bedöma vilka skyddsåtgärder som behövs (SOU 2017:39, s. 199).
9.4.3. Dataskyddslagen
Dataskyddsutredningen har i sitt förslag till dataskyddslag (SOU 2017:39, s. 197 f.) övervägt om det även fortsättningsvis bör finnas särskilda villkor för behandling av personnummer eller samordningsnummer. Även om personnummer och samordningsnummer inte har bedömts som känsliga personuppgifter i dataskyddsförordningens mening, har de ändå getts en särställning genom att medlemsstaterna medgetts möjlighet att införa särskilda villkor för behandlingen. Regeringen har uttalat att själva personnumret inte i sig är en integritetskränkande uppgift men att viss användning av det, såsom samköring av register och liknande, kan uppfattas som integritetskränkande. Regeringen har också uttalat att ”onödig” användning ska betraktas som ett integritetsintrång (se bl.a. prop. 1990/91:60, s. 69). Den nuvarande lydelsen i 22 § personuppgiftslagen, som innebär att en intresseavvägning ska ske, ligger väl i linje med förordningens intentioner. Det har inte framkommit att regleringen har mötts av kritik eller annars inte fungerat. Tvärtom har den i lagstiftningsärenden under de senaste åren bedömts vara flexibel och väl avpassad för att förhindra omotiverad behandling av personnummer och samordningsnummer (se t.ex. prop. 2014/15:148 s. 51). Dataskyddsutredningen har mot denna
bakgrund bedömt att en särreglering av personnummer och samordningsnummer i dataskyddslagen är motiverad (a.a. s. 200).
En bestämmelse motsvarande den i 22 § personuppgiftslagen föreslås därför i den nya dataskyddslagen. Enligt 3 kap. 13 § dataskyddslagen får följaktligen uppgifter om personnummer eller samordningsnummer behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Bestämmelsen innebär att en intresseavvägning mellan behovet av behandlingen och de integritetsrisker som den innebär ska göras. Omständigheter som bör tillmätas betydelse vid intresseavvägningen är exempelvis om det eftersträvade syftet med behandlingen hade kunnat uppnås på annat sätt, behandlingens omfattning och om den förutsätter samkörning av register (a.a. s. 373).
Av 3 kap. 14 § framgår vidare att regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten. Bestämmelsen motsvarar delvis 50 § c personuppgiftslagen. Bestämmelsen innehåller således ett bemyndigande för regeringen att meddela föreskrifter som tillåter behandling av personnummer och samordningsnummer i andra fall än enligt 3 kap. 13 §. I dag finns bestämmelser på förordningsnivå som reglerar behandlingen av personnummer och samordningsnummer i sektorsspecifika författningar. Dataskyddsutredningen har bedömt att det även fortsättningsvis finns behov av en möjlighet för regeringen att meddela sådana föreskrifter. Enligt Dataskyddsutredningen kan det inte uteslutas att det finns behov av föreskrifter som går utöver regeringens kompetens enligt 8 kap. 7 § 2 regeringsformen, varför ett bemyndigande behövs. Sådana föreskrifter får dock bara meddelas om dataskyddsförordningens krav på lämpliga skyddsåtgärder för de registrerades grundläggande rättigheter och friheter iakttas (a.a. s. 200).
9.4.4. Våra överväganden
Utredningens bedömning: Bestämmelserna om personnummer
och samordningsnummer i den föreslagna dataskyddslagen bör tillämpas vid behandling av personuppgifter enligt denna lag.
Bestämmelser om personuppgifter och samordningsnummer behöver därför inte föras in i lagen.
Dataskyddsutredningens förslag till bestämmelser i 3 kap. 13 och 14 §§ dataskyddslagen om personnummer och samordningsnummer motsvarar 22 § och delvis 50 § c personuppgiftslagen. En tillämpning av de föreslagna bestämmelserna i dataskyddslagen innebär därför inga större förändringar i förhållande till vad som gäller i dag. Vikten av en säker identifiering av totalförsvarspliktiga och annan personal inom totalförsvaret medför vidare att personnummer och samordningsnummer regelmässigt måste behandlas av Rekryteringsmyndigheten. Vi bedömer därför att det inte bör införas några inskränkningar i rätten att behandla personnummer eller samordningsnummer i förhållande till dataskyddslagens bestämmelser. Det har inte heller framkommit skäl att avvika från eller i övrigt föreskriva undantag från dataskyddsförordningens bestämmelser i detta avseende. Vi föreslår därför att bestämmelserna i den föreslagna dataskyddslagen bör tillämpas på motsvarande sätt vid behandling av personuppgifter enligt denna lag. Bestämmelser om personnummer och samordningsnummer behöver därför inte föras in i den nya lagen.
9.5. Behandling av personuppgifter om lagöverträdelser
9.5.1. Gällande rätt
Enligt 21 § första stycket personuppgiftslagen är det förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Med administrativa frihetsberövanden avses bl.a. frihetsberövanden enligt lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1988:870) om vård av missbrukare och lagen (1990:52) med särskilda bestämmelser om vård av unga. Personuppgifter om lagöverträdelser får dock behandlas för forskningsändamål om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (andra stycket). Regeringen eller den myndighet regeringen
bestämmer får meddela föreskrifter eller beslut i enskilda fall om undantag från förbudet (tredje och fjärde stycket). Datainspektionen har med stöd av bemyndigandet i 9 § personuppgiftsförordningen meddelat sådana föreskrifter bl.a. för att möjliggöra behandling av enstaka uppgifter som är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall, liksom behandling av enstaka uppgifter som är nödvändig för att anmälningsskyldighet enligt lag ska kunna fullgöras.14
Eftersom pliktregisterlagen inte innehåller några bestämmelser om behandling av personuppgifter om lagöverträdelser blir 21 § personuppgiftslagen tillämplig vid sådan behandling (jfr 4 § pliktregisterlagen). Enligt förarbetena (prop. 1997/98:80 s. 37) kan Rekryteringsmyndigheten ta in uppgifter om lagöverträdelser som innefattar brott från olika polisregister för att förhindra att en kriminellt belastad person placeras i en från säkerhetssynpunkt olämplig befattning. Vidare fick Rekryteringsmyndigheten uppgifter från dåvarande Kriminalvårdsstyrelsen om intagningar och avgångar från kriminalvårdsanstalter, främst som underlag för beslut om kallelser till mönstring och repetitionsövningar, och från domstolar om domar i mål om brott mot totalförsvarsplikten. Regeringen anförde att Rekryteringsmyndigheten som myndighet har rätt att behandla sådana uppgifter så länge behandlingen är nödvändig med hänsyn till ändamålen.
9.5.2. Dataskyddsförordningen
Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet. En betydande skillnad i dataskyddsförordningen jämfört med motsvarande bestämmelse i
14 DIFS 2010:1, Datainspektionens föreskrifter om ändring av Datainspektionens föreskrifter (DIFS 1998:3) om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m.
dataskyddsdirektivet (artikel 8.5) är att någon möjlighet för medlemsstaterna att på denna grund begränsa behandlingen av personuppgifter om avgöranden i tvistemål och administrativa sanktioner inte finns (SOU 2017:39, s. 192).
9.5.3. Dataskyddslagen
Dataskyddsutredningen har i sitt förslag till dataskyddslag (SOU 2017:39, s. 189 f.) analyserat i vilken utsträckning det bör införas regler i den kompletterande regleringen som tillåter behandling av uppgifter om lagöverträdelser som inte sker under kontroll av en myndighet. Utgångspunkten för analysen har varit den befintliga regleringen om behandling för forskningsändamål och den delegerade föreskriftsrätten i personuppgiftslagen. Dataskyddsutredningen har dock i sitt förslag inte behandlat frågan om behandling av uppgifter om lagöverträdelser för forskningsändamål. Denna fråga behandlas i stället av Forskningsdatautredningen i delbetänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50).
I 3 kap. 9–12 §§ i den föreslagna dataskyddslagen finns bestämmelser om personuppgifter som rör lagöverträdelser. Enligt 3 kap. 9 § får personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel enligt artikel 10 i dataskyddsförordningen behandlas av myndigheter. Bestämmelsen avses delvis motsvara 21 § första stycket personuppgiftslagen (a.a. s. 371). De delar av artikel 10 som rör behandling av uppgifter om fällande domar i brottmål, överträdelser och därmed sammanhängande säkerhetsåtgärder under kontroll av en myndighet är direkt tillämpliga. Dataskyddsutredningen anser emellertid att det är av stor vikt att regleringen i artikel 10 tydliggörs så långt som möjligt i nationell rätt även vad avser myndigheters behandling. Behandling av sådana uppgifter torde allmänt anses som integritetskänslig, och risken för missbruk, exempelvis genom otillbörlig spridning på internet, framstår som stor. Förordningens skäl 8 ger uttryck för att medlemsstaterna får införliva delar av förordningen i nationell rätt, om det krävs för att göra de nationella bestämmelserna begripliga för de personer de tillämpas på. Dataskyddsutredningen menar att ett sådant införlivande skulle fylla en viktig funktion när det gäller myndigheters
behandling av uppgifter om lagöverträdelser, bl.a. för att tydliggöra att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla uppgifter om lagöverträdelser. Bestämmelsen införlivar därför delvis första ledet i förordningens artikel 10 i svensk rätt genom att det tydliggörs att myndigheter får behandla sådana uppgifter om lagöverträdelser som avses i artikeln (a.a. s. 192 f.). Begreppet lagöverträdelser som innefattar brott är detsamma som i personuppgiftslagen (a.a. s. 371). I avvaktan på klargörande EU-rättslig praxis omfattas därför även fortsättningsvis uppgifter om misstankar om brott i viss utsträckning. Faktiska iakttagelser om en persons handlande omfattas normalt sett inte.
Enligt förslaget till 3 kap. 10 § får den myndighet som regeringen bestämmer i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter som avses i 9 §. Bestämmelsen avser enskilda organs behandling av personuppgifter som rör lagöverträdelser och motsvarar delvis 21 § fjärde stycket personuppgiftslagen (a.a. s. 371). Bestämmelsen innebär att den myndighet som regeringen bestämmer kan meddela särskilda beslut om att tillåta sådan behandling i enskilda fall. Sådana beslut bör förenas med villkor såsom återkallelseförbehåll, tidsbegränsningar eller krav på återrapportering, för att på så sätt uppfylla förordningens krav på att behandlingen ska ske under kontroll av en myndighet. Beslut som tillåter behandling av uppgifter om lagöverträdelser i enskilda fall bör dock meddelas endast om intresset av sådan behandling väger tyngre än de registrerades intresse av att behandling inte sker.
Av 3 kap. 11 § följer enligt förslaget att behandling av sådana personuppgifter som avses i 9 § får ske om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv. Bestämmelsen saknar direkt motsvarighet i personuppgiftslagen men kompletterar 9 § i fråga om sådan behandling av personuppgifter om lagöverträdelser för arkivändamål av allmänt intresse som utförs av andra än myndigheter (a.a. s. 372). För att andra än myndigheter ska få behandla personuppgifter om lagöverträdelser för arkivändamål av allmänt intresse med stöd av denna bestämmelse krävs att behandlingen sker som en följd av de skyldigheter att bevara och vårda handlingar som anges i föreskrifter. På generell nivå anges sådana skyldigheter i arkivlagen, arkivförordningen samt i Riksarkivets och andra arkivmyndigheters föreskrifter. Det utrymme för behandling
av personuppgifter om lagöverträdelser för arkivändamål av allmänt intresse som bestämmelsen ger är därmed i första hand tillgängligt för de organ som omfattas av arkivlagstiftningen. Bestämmelsen medför att dataskyddsförordningen och dataskyddslagen inte hindrar att ett enskilt organ som omfattas av offentlighetsprincipen arkiverar och bevarar allmänna handlingar som innehåller personuppgifter som rör lagöverträdelser.
Slutligen föreslås i 3 kap. 12 § att regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i 9 §. Bestämmelsen innehåller ett bemyndigande som motsvarar 21 § tredje stycket personuppgiftslagen och innebär att regeringen eller den myndighet som regeringen bestämmer kan tillåta behandling av sådana uppgifter om lagöverträdelser och liknande uppgifter som avses i 9 § i föreskriftsform. Sådana generella föreskrifter kan exempelvis reglera behandling på vissa områden eller för vissa ändamål. Ett krav enligt dataskyddsförordningen är dock att föreskrifter bara får meddelas om lämpliga skyddsåtgärder för de registrerades grundläggande rättigheter och friheter iakttas.
9.5.4. Våra överväganden
Utredningens bedömning: Bestämmelserna om personuppgifter
som rör lagöverträdelser i den föreslagna dataskyddslagen bör tillämpas vid behandling av personuppgifter enligt denna lag. Någon bestämmelse om behandling av personuppgifter som rör lagöverträdelser behöver därför inte föras in i lagen.
Enligt nuvarande ordning tillämpas 21 § personuppgiftslagen såvitt avser Rekryteringsmyndighetens behandling av personuppgifter som rör totalförsvarspliktigas lagöverträdelser (jfr 4 § pliktregisterlagen). Bestämmelsen i personuppgiftslagen kommer att ersättas av motsvarande bestämmelser i 3 kap. 9–12 §§ i den föreslagna dataskyddslagen. Utredningen anser att Rekryteringsmyndigheten bör omfattas av samma bestämmelser som andra myndigheter i detta avseende. En sådan ordning har även gällt sedan tidigare. Bestämmelserna om personuppgifter som rör lagöverträdelser i den föreslagna dataskyddslagen bör därför gälla även i fråga om Rekryterings-
myndighetens behandling av sådana uppgifter. Någon bestämmelse om behandling av personuppgifter som rör lagöverträdelser behöver därför inte föras in i den nya lagen. Vi vill dock erinra om att Rekryteringsmyndighetens behandling av personuppgifter som rör lagöverträdelser, liksom all behandling av personuppgifter, även måste uppfylla de grundläggande kraven för behandling i artikel 5 i dataskyddsförordningen.
9.6. Tillgång till personuppgifter
Det är numera vanligt att i registerförfattningar som reglerar myndigheters personuppgiftsbehandling inför bestämmelser som bygger på att principen att tillgången till personuppgifter ska begränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter. I registerförfattningar från senare tid som polisdatalagen, kustbevakningsdatalagen och utlänningsdatalagen finns sådana särskilda bestämmelser som reglerar tillgången till personuppgifter. Det har från integritetssynpunkt ansetts angeläget att åtkomsten till personuppgifter inte är vidare än nödvändigt eftersom stora informationssamlingar som lagras på ett sätt som gör dem enkelt sökbara på elektronisk väg allmänt sett utgör en betydande risk för intrång i den personliga integriteten (se bl.a. prop. 2011/12:45, s. 87 f.). Genom bestämmelser med en sådan innebörd åläggs den personuppgiftsansvarige att organisera sin verksamhet på ett sådant sätt att obefogad spridning av personuppgifter motverkas. En sådan bestämmelse får också till följd att enskilda tjänstemän blir förhindrade att lämna uppgifterna vidare till den som inte behöver dem för sitt arbete.
9.6.1. Våra överväganden och förslag
Utredningens förslag: Tillgången till personuppgifter ska be-
gränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om hur tillgången till personuppgifter ska begränsas.
Inom Rekryteringsmyndigheten sker en omfattande behandling av personuppgifter med ett ofta mycket integritetskänsligt innehåll. Många av de uppgifter som behandlas är känsliga personuppgifter. Det är därför särskilt angeläget att uppgifterna som behandlas inom Rekryteringsmyndigheten begränsas till en snäv personkrets för att undvika att uppgifterna sprids till någon som inte är behörig att ta del av dem. Endast de anställda som på grund av sina arbetsuppgifter behöver åtkomst till uppgifterna bör därför ha tillgång till dem. En bestämmelse där en sådan princip uttrycks bör därför tas in i den nya lagen. Det åligger därmed Rekryteringsmyndigheten i egenskap av personuppgiftsansvarig att begränsa tillgången till uppgifter för myndighetens anställda så att obefogad spridning motverkas.
Det är dock inte bara de anställda hos Rekryteringsmyndigheten som behöver tillgång till vissa av de uppgifter som behandlas i myndighetens verksamhet. Mellan Försvarsmakten och Rekryteringsmyndigheten finns exempelvis behov av ett omfattande informationsutbyte. Försvarsmakten har i sin verksamhet behov av att bl.a. behandla uppgifter om totalförsvarspliktiga och föreslås genom direktåtkomst få tillgång till vissa personuppgifter i Rekryteringsmyndighetens verksamhet (se avsnitt 9.7.2). Även vid Försvarsmaktens behandling av personuppgifter är det av vikt att åtkomsten till uppgifterna begränsas till vad de anställda vid myndigheten behöver för att kunna utföra sina arbetsuppgifter.
Den föreslagna bestämmelsen om tillgång till personuppgifter innebär endast en generell begränsning av åtkomsten till uppgifterna. Det är Rekryteringsmyndighetens uppgift att i egenskap av personuppgiftsansvarig, utifrån myndighetens organisation och behov, säkerställa att tillgången till personuppgifter begränsas i enlighet med bestämmelsen. Det innebär bl.a. att det vid tilldelning av behörighet för åtkomst till personuppgifter särskilt bör beaktas att det, utöver behovet av uppgifterna, ställs krav på utbildning och lämplighet. Det är vidare Rekryteringsmyndighetens ansvar att det inom myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifterna.
Bestämmelsen om tillgång till personuppgifter bör även kompletteras med en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § reger-
ingsformen kan meddela ytterligare föreskrifter om hur tillgången till personuppgifter ska begränsas.
9.7. Direktåtkomst
9.7.1. Allmänt om direktåtkomst
Utlämnande av uppgifter mellan myndigheter sker ofta genom direktåtkomst. Det finns dock inte någon legaldefinition av begreppet direktåtkomst. Med direktåtkomst avses i regel att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen (se bl.a. prop. 2009/10:85, s. 168). I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av (se bl.a. prop. 2011/12:45, s. 133). Vid direktåtkomst fattas beslutet om överföring i varje enskilt fall av mottagaren. Sekretessprövningen måste därför ske redan då uppgifterna görs tillgängliga för direktåtkomst, oavsett om någon mottagare vid den tidpunkten tar del av dem. En sådan prövning innefattar alla de uppgifter som mottagaren har möjlighet att ta del av genom sin direktåtkomst. Det innebär att det måste finnas en sekretessbrytande bestämmelse som omfattar alla de uppgifter som direktåtkomsten avser. Den direktåtkomst som en myndighet medger är vanligtvis begränsad så att mottagaren endast har tillgång till vissa bestämda uppgifter, såsom uppgifter i en viss databas eller i vissa dokument (a. prop. s. 132 f. och prop. 2015/16:65, s. 89).
Högsta förvaltningsdomstolen (HFD) har i rättsfallet HFD 2015 ref. 61 uttalat sig om hur begreppet direktåtkomst bör tolkas. I rättsfallet konstaterar HFD att gränsdragningen mellan vad som enligt bestämmelsen i 114 kap. 22 § socialförsäkringsbalken (2010:110) är direktåtkomst och annat utlämnande på medium för automatiserad behandling beror på om den aktuella upptagningen kan anses förvarad hos den mottagande myndigheten enligt 2 kap. 3 § tryckfrihetsförordningen, dvs. om den är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. En avgränsning görs på detta sätt av begreppet direkt-
åtkomst genom tillämpning av tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet. Det avgörande blir om upptagningen kan anses förvarad i tryckfrihetsförordningens mening. I det aktuella fallet handlade det om att socialnämnderna inte på egen hand kunde söka information i socialförsäkringsdatabasen utan ett utlämnande förutsatte att Försäkringskassan reagerade på en begäran om att de efterfrågade uppgifterna skulle lämnas ut. Försäkringskassan fick därigenom anses förfoga över frågan om och i så fall vilka uppgifter som skulle lämnas ut. HFD ansåg därför att socialnämnderna inte kunde anses ha någon sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket tryckfrihetsförordningen. Detta innebar att förfarandet inte var att betrakta som direktåtkomst. Genom avgörandet har HFD således klargjort att begreppet direktåtkomst ska tolkas med utgångspunkt från 2 kap. 3 § andra stycket tryckfrihetsförordningen.
Vid författningsreglering av direktåtkomst anges ofta att en myndighet får ha direktåtkomst. Innebörden av detta är inte att den eller de angivna myndigheterna har en ovillkorlig rätt att få ut uppgifterna genom direktåtkomst utan att den myndighet som innehar informationen har en rätt att medge sådan åtkomst. Att myndigheter medges direktåtkomst till uppgifter i andra myndigheters datasystem och att de upptagningar som direktåtkomsten avser blir allmänna handlingar hos de mottagande myndigheterna, innebär dock en ökad risk för intrång i den personliga integriteten (prop. 2011/12:45 s. 133 f.). Allmänna handlingar är som huvudregel offentliga och rätten att ta del av dem får begränsas endast av de skäl som anges i 2 kap. tryckfrihetsförordningen och endast om det anges i lag. Ju fler myndigheter som har direktåtkomst till uppgifter i ett datasystem, desto större blir således inte bara myndigheters möjlighet att få tillgång till dessa uppgifter utan också allmänhetens möjlighet.
Förutom att uppgifterna blir tillgängliga för fler personer, minskar även den utlämnande myndighetens möjlighet att kontrollera användningen av uppgifterna (se t.ex. prop. 2015/16:65 s. 89 f.). Den utlämnande myndigheten har därför ett principiellt ansvar att förvissa sig om att den myndighet som medges direktåtkomst vidtar de åtgärder som bedöms vara nödvändiga från säkerhetssynpunkt. Medgivandet av direktåtkomst förutsätter också att utlämnande får ske enligt den gällande sekretessregleringen för berörda
myndigheter. Det finns också en särskild bestämmelse i 11 kap. 4 § offentlighets- och sekretesslagen (2009:400) som reglerar överföring av sekretess vid direktåtkomst. Om en myndighet har elektronisk tillgång till en annan myndighets upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad hos den andra myndigheten, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Detta gäller dock inte om uppgiften ingår i ett beslut hos den mottagande myndigheten. Det finns också en bestämmelse om vad som gäller vid konkurrens mellan den överförda sekretessen och sekretess som är direkt tillämplig hos den mottagande myndigheten (11 kap. 8 §).
En annan viktig aspekt är hur uppgifterna sprids och används inom den mottagande myndigheten. Bestämmelser om informationssäkerhet, exempelvis system för behörighet, loggning och tillsyn, måste också tas i beaktande innan direktåtkomst medges (se bl.a. prop. 2009/10:85 s. 176 f.).
9.7.2. Reglering av direktåtkomst
Gällande rätt
Enligt 12 § pliktregisterlagen har Rekryteringsmyndigheten direktåtkomst till det automatiserade registret över totalförsvarspliktiga. Regeringen får meddela föreskrifter om att annan får ha direktåtkomst till registret.
I förarbetena (prop. 1997/98:80 s. 64) till bestämmelsen anges att direktåtkomsten till det automatiserade registret över totalförsvarspliktiga bör, av hänsyn till kravet på skydd för den registrerades personliga integritet, hållas begränsad. Direktåtkomst till registret innebär ökade risker för att obehöriga ska komma åt uppgifterna. Av effektivitetsskäl bör dock direktåtkomst tillåtas i de fall ett verkligt behov därav föreligger, under förutsättning att erforderligt skydd för uppgifterna kan garanteras. Av stor betydelse vid bedömningen är naturligtvis vilka personuppgifter som användaren ska kunna få tillgång till.
Av förarbetena framgår vidare att det, utöver Rekryteringsmyndighetens direktåtkomst till registret över totalförsvarspliktiga, bör övervägas från fall till fall vilka myndigheter m.fl. samt vilka uppgifter var och en av dessa ska få ta del av via egen bildskärm.
Bestämmelserna om direktåtkomst måste i praktiken vara relativt detaljerade och det är inte uteslutet att de behöver ändras med relativt täta mellanrum. Direktåtkomsten bör därför enligt regeringens bedömning regleras i förordningsform (a. prop. s. 65).
I förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga anges vilka myndigheter m.fl. som får medges direktåtkomst till registret över totalförsvarspliktiga. Av 3 § framgår att de myndigheter, kommuner, landsting och bolag som anges i bilaga 1 till förordningen får ha direktåtkomst till automatiserat register över totalförsvarspliktiga i enlighet med vad som anges i bilagan. Behandling av personuppgifter om totalförsvarspliktiga enligt första stycket får endast utföras om den är nödvändig för den egna verksamheten. Rekryteringsmyndigheten ska ställa de villkor för direktåtkomsten och registreringen av uppgifter som myndigheten bedömer vara nödvändiga för registrets säkerhet.
Av bilaga 1 till förordningen framgår att Affärsverket svenska kraftnät, Arbetsförmedlingen, Försvarsmakten, kommuner, landsting, Myndigheten för samhällsskydd och beredskap, Polismyndigheten, Posten AB, Regeringskansliet, Socialstyrelsen, Säkerhetspolisen, Trafikverket, Transportstyrelsen och Vattenfall AB får ha direktåtkomst till det automatiserade registret över totalförsvarspliktiga.
Skälen till att de i förordningen uppräknade myndigheterna har behov av och får medges direktåtkomst till registret över totalförsvarspliktiga framgår inte uttryckligen av några förarbeten. I Pliktregisterutredningens betänkande Behandling av personuppgifter om
totalförsvarspliktiga (SOU 1997:101) anges att det utöver Rekryterings-
myndigheten i första hand är de utbildnings- och bemanningsansvariga myndigheterna inom det militära och civila försvaret som kan ha ett befogat intresse av uppgifterna i informationssystemet Plis mot bakgrund av ändamålet med registret. Härutöver kan andra myndigheter ha behov av vissa uppgifter, till exempel lämnas uppgifter om in- och utryckningstider till Riksförsäkringsverket (a.a. s. 97). Bemanningsansvariga myndigheter och organ bör således ha åtkomst till uppgifter om den egna personalen. Detsamma gäller de myndigheter och andra organ som genomför utbildning av totalförsvarspliktiga såvitt avser dem som antagits till utbildningen. De personuppgifter som de bemanningsansvariga organen behöver om sin egen personal ansågs dock vara relativt få och som regel inte av känslig karaktär för den registrerade. Inom de bemannings- och
utbildningsansvariga enheterna bedömdes skyddet för personuppgifterna kunna hållas på en hög nivå (a.a. s. 173).
I bilaga 1 till förordningen anges vidare vilka personkategorier och personuppgifter enligt 8 och 9 §§ pliktregisterlagen som omfattas av direktåtkomsten för de angivna aktörerna. Direktåtkomsten får, beroende på vilken aktör som avses, omfatta uppgifter om den som (i) är eller har varit aktuell för mönstring eller annan utredning, (ii) genom avtal, beslut om krigsplacering eller på annat sätt är tagen i anspråk för totalförsvaret, eller (iii) ska utföra särskild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig för totalförsvaret (8 § första stycket p. 1–3). I samma bilaga anges uttömmande vilka personuppgifter som får omfattas av aktörernas direktåtkomst till registret över totalförsvarspliktiga. De uppgifter i registret som undantas från direktåtkomst är uppgift om – boende- och familjeförhållanden samt försörjning, om uppgiften
behövs för att Rekryteringsmyndigheten ska kunna fullgöra sina åligganden i fråga om förmåner till totalförsvarspliktiga, – utgången i mål om ansvar för brott mot totalförsvarsplikten, – att den registrerade har dömts till påföljd för brott som framgår
av uppgift ur belastningsregistret som Rekryteringsmyndigheten fått del av, – vad som bestämts vid inskrivningen enligt lagen om totalför-
svarsplikt eller lagen (1994:1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning15, samt – personliga förhållanden i övrigt som åberopas av den registrerade,
om de rör hans eller hennes tjänstgöring inom totalförsvaret (9 § första stycket p. 3, 7, 8, 10 och 13).
15 Lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning är numera upphävd.
Våra överväganden och förslag
Utredningens förslag: Myndigheter och enskilda ska medges
direktåtkomst till Rekryteringsmyndighetens personuppgifter endast i den utsträckning som framgår av lagen.
Direktåtkomst till personuppgifter får medges Försvarsmakten i den utsträckning som följer av föreskrifter som meddelats av regeringen och den registrerade själv. Direktåtkomst till den registrerade själv får endast avse personuppgifter i den registrerades ärende.
Regeringen får meddela föreskrifter om att medge annan aktör direktåtkomst. Sådan direktåtkomst ska begränsas till de personuppgifter som aktören behöver för att fullgöra sina uppgifter enligt lag eller förordning och får endast avse vissa uppgifter.
En ny reglering av direktåtkomst
Utgångspunkten för den nya regleringen bör enligt vår bedömning vara att begreppet direktåtkomst ges den innebörd som HFD slagit fast i rättsfallet HFD 2015 ref. 61. Det innebär att direktåtkomst föreligger om en myndighet hos en annan myndighet har en sådan teknisk tillgång till den aktuella upptagningen som avses i 2 kap. 3 § andra stycket tryckfrihetsförordningen, dvs. om upptagningen kan anses förvarad hos den mottagande myndigheten enligt tryckfrihetsförordningen.
Enligt förordningen om behandling av personuppgifter om totalförsvarspliktiga får ett flertal myndigheter m.fl. medges direktåtkomst till vissa särskilt angivna personuppgifter i Rekryteringsmyndighetens register över totalförsvarspliktiga. Såsom anförts ovan, är det vår bedömning att användningen av begreppet register inte längre är ett relevant sätt att beskriva personuppgiftsbehandlingen av totalförsvarspliktiga i Rekryteringsmyndighetens verksamhet. Fortsättningsvis kommer därför vad som nu föreslås i fråga om regleringen av direktåtkomst att avse personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret som generellt behandlas i Rekryteringsmyndighetens verksamhet.
Mot bakgrund av att det i Rekryteringsmyndighetens informationssystem finns stora mängder personuppgifter registrerade,
varav många av särskilt känslig karaktär, bör det av den nya lagen framgå i vilken utsträckning direktåtkomst får medges. Om en aktör ska kunna medges en mer omfattande direktåtkomst bör det uttryckligen framgå av lagen vem denne aktör är (se även avsnitt 6.3.3). Vi föreslår därför att utlämnande genom direktåtkomst av personuppgifter som behandlas i Rekryteringsmyndighetens verksamhet ska vara tillåtet endast i den utsträckning som följer av lagen. De närmare detaljerna om exempelvis vilka slags personuppgifter som direktåtkomsten får avse bör emellertid lämpligen, liksom hittills, regleras i förordning.
Det saknas behov av att, såsom är fallet i gällande lag, reglera att Rekryteringsmyndigheten har direktåtkomst till de personuppgifter som myndigheten behandlar. Någon sådan bestämmelse föreslås därför inte.
Som framgår ovan får ett flertal myndigheter m.fl. enligt nuvarande reglering medges direktåtkomst till vissa, särskilt angivna uppgifter hos Rekryteringsmyndigheten. I förarbetena redogörs dock inte närmare för skälen till att dessa aktörer har behov av direktåtkomst till Rekryteringsmyndighetens uppgifter. Nedan följer en redogörelse för samt vår bedömning av vilka aktörer som i den nya lagen har behov av och bör medges direktåtkomst till Rekryteringsmyndighetens personuppgifter.
Försvarsmaktens behov av direktåtkomst
Vår kartläggning av Rekryteringsmyndighetens behandling av personuppgifter visar att Försvarsmakten är den enda av de i förordningen uppräknade aktörerna som i praktiken har medgetts direktåtkomst till vissa uppgifter om totalförsvarspliktiga hos Rekryteringsmyndigheten. Det har inte varit aktuellt att medge någon annan aktör direktåtkomst sedan lagens och förordningens ikraftträdande.
Vi vill först erinra om att frågan om behovet och lämpligheten av direktåtkomst för Försvarsmakten tidigare har övervägts av regeringen. Det har inte framkommit att behovet av direktåtkomst skulle ha minskat. Tvärtom har behovet av elektroniskt informationsutbyte ökat avsevärt sedan nuvarande reglering trädde i kraft. Såväl Försvarsmakten som Rekryteringsmyndigheten har ofta behov av att snabbt och enkelt få omedelbar tillgång till information
om totalförsvarspliktiga. Direktåtkomst till sådana uppgifter innebär fördelar och effektivitetsvinster för båda myndigheterna. Försvarsmaktens anställda behöver vid direktåtkomst inte begära ut uppgifter från Rekryteringsmyndigheten vid handläggningen i varje enskilt fall, utan kan själv söka den information som krävs. Rekryteringsmyndigheten behöver å sin sida inte avsätta några resurser för att hantera förfrågningar från Försvarsmakten om utlämnande av sådana personuppgifter som nu omfattas av direktåtkomsten. Det kan vidare innebära fördelar från informationssäkerhetssynpunkt att överföring av uppgifter vid direktåtkomst kan ske på ett säkrare sätt än t.ex. genom e-post. Att lämna ut tillgänglig information genom direktåtkomst är således en förutsättning för att myndigheterna ska kunna bedriva sitt arbete effektivt. Verksamhetsskäl talar således för att ge Försvarsmakten fortsatt möjlighet till direktåtkomst. Det kan vidare konstateras att Försvarsmakten sedan lång tid tillbaka har direktåtkomst. Mot den bakgrunden är vår bedömning att Försvarsmakten, liksom tidigare, har ett behov av direktåtkomst till personuppgifter i Rekrytreringsmyndighetens informationssystem. Försvarsmakten bör följaktligen kunna medges sådan direktåtkomst. Direktåtkomsten är av sådan omfattning att det uttryckligen bör framgå av lagen att Försvarsmakten får medges direktåtkomst. Regeringen bör dock ges bemyndigande att meddela föreskrifter om i vilken utsträckning denna direktåtkomst får medges. Sådana bestämmelser kan alltså, liksom hittills, meddelas i förordning.
En annan viktig fråga i detta sammanhang är om Försvarsmakten bör medges direktåtkomst i samma utsträckning som enligt nuvarande reglering. Enligt bilaga 1 till förordningen om behandling av personuppgifter om totalförsvarspliktiga har Försvarsmakten i dag direktåtkomst till följande personuppgifter enligt 9 § första stycket pliktregisterlagen – personnummer eller samordningsnummer, namn, adress, telefon-
nummer och folkbokföringsort, – hinder för genomförande av utredning som avses i 3 § första
stycket, för utbildning eller för krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning,
– utbildning, anställning, kunskaper, färdigheter, anlag och intressen
som har betydelse för bedömningen av den registrerades användbarhet inom totalförsvaret, – om den registrerade är svensk medborgare eller inte, – att den registrerade genomgått säkerhetsprövning enligt säker-
hetsskyddslagen (1996:627), vilken säkerhetsklass prövningen avsett och resultatet av denna, samt – tjänstgöring inom totalförsvaret samt betyg, vitsord, förord-
nanden och utmärkelser som är att hänföra till denna.
Det är särskilt viktigt ur integritetshänseende att Försvarsmakten medges direktåtkomst endast till de uppgifter som myndigheten har ett verkligt behov av. I utredningen har det framkommit att Försvarsmakten har behov av direktåtkomst till samtliga personuppgifter som anges i 9 § första stycket pliktregisterlagen med undantag för punkten 3, dvs. boende- och familjeförhållanden samt försörjning. Uppgifterna behövs för att Försvarsmakten ska kunna genomföra annan utredning enligt det förslag som Personalförsörjningsutredningen har lämnat i sitt betänkande En robust personal-
försörjning av det militära försvaret (SOU 2016:63, s. 83 f.). Annan
utredning har tidigare använts för att skriva in totalförsvarspliktiga för civilplikt och för att inhämta information om den enskilde genom beredskapsunderlaget. Enligt Personalförsörjningsutredningens förslag ska totalförsvarspliktiga nu ges möjlighet att anmäla att de är intresserade av att genomföra annan utredning för att därefter ta ställning till om de vill mönstra. Annan utredning föreslås således kunna användas för att utreda den enskildes förutsättningar, kompetenser och kvalitéer och vilken befattning som den enskilde skulle kunna komma i fråga för.
För att möjliggöra att både Försvarsmakten och den totalförsvarspliktige får så mycket information som möjligt för att den totalförsvarspliktige ska kunna göra ett välgrundat val om eventuell mönstring – och i förlängningen för att kunna bedöma om denne är lämplig för mönstring – har Försvarsmakten behov av direktåtkomst till fler personuppgifter än tidigare. Vår bedömning är att Försvarsmakten, utöver de ovan uppräknade personuppgifterna, numera även har behov av och bör medges direktåtkomst till uppgifter om
– fysisk och psykisk hälsa och förmåga jämte de uppgifter som
ligger till grund för bedömningen härav, – utgången i mål om ansvar för brott mot totalförsvarsplikten, – att den registrerade har dömts till påföljd för brott som framgår
av uppgift ur belastningsregistret som Rekryteringsmyndigheten fått del av, – vad som bestämts vid inskrivningen för att fullgöra värnplikt
eller civilplikt, – krigsplacering, annat ianspråktagande av den registrerade för total-
försvaret eller särskild uppgift som han eller hon ska utföra vid höjd beredskap, samt – personliga förhållanden i övrigt som åberopas av den registrerade,
om de rör hans eller hennes tjänstgöring inom totalförsvaret.
För att värna om integritetsskyddet för de utlämnade uppgifterna – vilka i flera avseenden kan vara känsliga för den totalförsvarspliktige – bör det i den nya förordningen uttömmande anges vilka personuppgifter som omfattas av den medgivna direktåtkomsten.
Av 3 § andra stycket förordningen om behandling av personuppgifter om totalförsvarspliktiga framgår vidare att den personuppgiftsbehandling som följer av direktåtkomsten endast får utföras om den är nödvändig för den egna verksamheten. Det bör dock erinras om att regleringen av Försvarsmaktens uppdrag och uppgifter kan komma att förändras i framtiden med följden att behovet av direktåtkomst kan komma att variera över tid. Vi anser därför att en motsvarande bestämmelse för begränsning av Försvarsmaktens direktåtkomst till uppgifter i Rekryteringsmyndighetens verksamhet ska finnas i den nya förordningen.
Vi vill också erinra om den pågående översynen av lagstiftningen om personuppgiftsbehandlingen inom Försvarsmakten och Försvarets radioanstalt som ska redovisas den 31 maj 2018 (dir. 2017:42). Den särskilde utredaren ska översiktligt beskriva hur personuppgifter behandlas och vilken reglering som gäller för behandlingen inom Försvarsmakten och Försvarets radioanstalt. Utredaren ska bl.a. bedöma om den reglering som gäller vid behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och i Försvarets radioanstalts försvars-
underrättelse- och utvecklingsverksamhet är ändamålsenligt utformad och tillräcklig när det gäller skyddet för enskildas personliga integritet. Utredaren ska också analysera vilket utrymme det finns för nationell reglering av den personuppgiftsbehandling i Försvarsmakten och Försvarets radioanstalt som i dag regleras i personuppgiftslagen och utifrån den analysen bedöma om behandlingen helt eller delvis bör regleras särskilt.
De registrerades behov av direktåtkomst
Ytterligare en fråga som bör beaktas är om det finns andra än Försvarsmakten som bör kunna medges direktåtkomst till Rekryteringsmyndighetens personuppgifter. Rekryteringsmyndigheten har i detta avseende efterfrågat en möjlighet för totalförsvarspliktiga att genom direktåtkomst få ökad tillgång till vissa uppgifter om sig själva. I dag har totalförsvarspliktiga direktåtkomst till ”Min Sida” på webben och de uppgifter som finns tillgängliga där, i huvudsak beredskapsunderlaget och uppgifter om mönstring i form av ett digitalt brev i pdf-format. Med hänsyn till att Rekryteringsmyndighetens behandling och handläggning av uppgifter om totalförsvarspliktiga vid mönstring, utbildning, tjänstgöring eller liknande, i allt större utsträckning bygger på elektronisk hantering och kommunikation med såväl de totalförsvarspliktiga som berörda myndigheter, är vår bedömning att direktåtkomst bör få medges totalförsvarspliktiga. Vi föreslår därför att det ska vara möjligt för Rekryteringsmyndigheten att lämna ut uppgifter genom direktåtkomst till den registrerade själv. Möjligheten till direktåtkomst i dessa fall bör dock begränsas till personuppgifter i den registrerades eget ärende. Det ska alltså vara frågan om personuppgifter som hänför sig till den registrerade själv.
Sekretess till skydd för en enskild gäller som huvudregel inte i förhållande till den enskilde själv (jfr 12 kap. 1 § offentlighets- och sekretesslagen). Det är således – ur integritetshänseende – inte påkallat med författningsstöd för direktåtkomst som medges den registrerade själv. Vi har emellertid gjort den principiella bedömningen att de grundläggande reglerna för behandlingen bör ges i form av lag, bl.a. i vilka fall direktåtkomst ska vara möjlig. Av systematiska skäl bör därför även denna bestämmelse ges i form av lag.
För att säkerställa att personuppgifter genom direktåtkomsten inte lämnas ut till annan än den registrerade själv, bör Rekryteringsmyndigheten se till att det finns tillräckliga säkerhetsrutiner för detta.
Övriga aktörers behov av direktåtkomst
I fråga om de övriga aktörer som enligt nuvarande reglering får medges direktåtkomst till vissa uppgifter hos Rekryteringsmyndigheten, finner vi att sådan åtkomst inte fyller något egentligt behov. Vår utredning visar att ingen av dessa aktörer har haft sådan direktåtkomst sedan regleringens ikraftträdande och det har, såvitt framkommit, aldrig varit aktuellt att medge någon av dem direktåtkomst. Den omständigheten att vissa av de uppräknade aktörerna fortfarande, i egenskap av utbildnings- och bemanningsansvariga myndigheter inom det militära och civila försvaret, kan ha visst behov av uppgifter om den egna personalen respektive de som antagits till utbildning utgör inte tillräckligt skäl för att de i den nya lagen ska få medges direktåtkomst. Vår bedömning är att de uppgifter som eventuellt behöver lämnas ut till dessa aktörer för närvarande inte nödvändigtvis behöver lämnas ut genom direktåtkomst. Andra metoder för utlämnande av uppgifter får således användas i fråga om dessa aktörer. I den mån det i framtiden skulle uppstå ett behov av att medge andra aktörer än Försvarsmakten direktåtkomst bör det dock finnas möjlighet för regeringen att meddela föreskrifter om att så får ske i begränsad utsträckning. En sådan föreskriftsrätt bör således införas i den föreslagna lagen genom ett bemyndigande.
Nästa fråga av betydelse för att säkerställa skyddet för personuppgifter hos Rekryteringsmyndigheten är omfattningen av den direktåtkomst som får medges genom denna föreskriftsrätt. Det är, ur ett integritetsskyddsperspektiv, särskilt viktigt att endast sådana personuppgifter som den mottagande aktören kan antas ha ett reellt och konkret behov av omfattas av direktåtkomst. Direktåtkomsten bör därför begränsas till de personuppgifter som aktören behöver för att fullgöra sina uppgifter enligt lag eller förordning och får endast avse vissa uppgifter. Skulle det däremot bli aktuellt att medge någon av dessa övriga aktörer direktåtkomst av större omfattning bör detta, liksom i fråga om Försvarsmakten, uttryckligen regleras i lagen.
Skyddsregler vid direktåtkomst
Möjligheten att medge Försvarsmakten, de registrerade själva samt andra aktörer direktåtkomst till Rekryteringsmyndighetens personuppgifter innebär att risken för kränkning av den enskildes personliga integritet ökar. Det är därför nödvändigt med regler som säkerställer skyddet för personuppgifterna vid direktåtkomst.
Den första frågan som bör beaktas är hur uppgifterna sprids och används hos mottagaren, eftersom en begränsad krets av personer som har tillgång till uppgifterna minskar risken för integritetsintrång. Mottagaren måste därför begränsa åtkomstmöjligheterna så mycket som möjligt med hänsyn till den aktuella verksamheten och känsligheten hos personuppgifterna. Det är följaktligen den personuppgiftsansvarige som har medgetts direktåtkomst som ansvarar för att tillgången till personuppgifter begränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter. På detta sätt minskas risken för integritetsintrång genom att en begränsad krets av anställda hos mottagaren får tillgång till uppgifterna. Härigenom undviks också en otillbörlig spridning av uppgifterna. Det ankommer på Rekryteringsmyndigheten att innan en direktåtkomst i praktiken medges kontrollera att mottagaren har en fungerande ordning och kommer att behandla uppgifterna i enlighet med vad som ovan anförts.
En annan fråga av särskild vikt är att det hos mottagaren finns ett tillräckligt och fullgott säkerhetsskydd för de personuppgifter som myndigheten genom direktåtkomsten får tillgång till. Det åligger Rekryteringsmyndighet, i egenskap av personuppgiftsansvarig, att kontrollera och säkerställa att mottagaren har en acceptabel säkerhetsnivå och uppfyller kraven på behörighet och säkerhet (jfr artikel 32.2 i dataskyddsförordningen). På detta sätt uppnås ett starkt integritetsskydd för de registrerade genom att Rekryteringsmyndigheten inte får medge Försvarsmakten eller annan aktör direktåtkomst i praktiken förrän myndigheten har sett till att mottagaren uppfyller kraven på behörighet och säkerhet. En bestämmelse härom bör därför tas in i den föreslagna förordningen.
Ovan nämnda regler om tillgång till personuppgifter hos Rekryteringsmyndigheten, omfattningen av den i lag medgivna direktåtkomsten samt bestämmelser om informationssäkerhet och be-
hörighet, innebär enligt vår bedömning att de integritetsrisker som är förknippade med möjligheten till direktåtkomst motverkas.
9.7.3. En sekretessbrytande bestämmelse för direktåtkomst
Allmänt om sekretessbrytande regler
I vissa fall måste myndigheter kunna utbyta information mellan varandra för att kunna utföra sina uppgifter. Ibland kan det också vara nödvändigt att uppgifter lämnas ut till enskilda. En grundläggande förutsättning för att uppgifter ska få lämnas ut är dock att sekretess inte hindrar att så sker. En regel om direktåtkomst bryter inte reglerna om sekretess (se t.ex. prop. 2004/05:164, s. 83 och prop. 2015/16:65, s. 93). Regler om direktåtkomst brukar därför ofta kompletteras med sekretessbrytande bestämmelser som är utformade som regler om uppgiftsskyldighet. Dessa formuleras antingen som en rätt för mottagaren att ta del av uppgifter eller som en skyldighet för myndigheten i fråga att lämna uppgifter till mottagaren.
Enligt 8 kap. 1 § offentlighets- och sekretesslagen får en uppgift för vilken sekretess gäller enligt denna lag inte röjas för enskilda eller för andra myndigheter, om inte annat anges i denna lag eller i lag eller förordning som denna lag hänvisar till.
I offentlighets- och sekretesslagen finns ett flertal sekretessbrytande bestämmelser som innebär att sekretess inte hindrar ett utbyte av uppgifter mellan myndigheter. Bestämmelserna har utformats efter en intresseavvägning mellan myndigheternas behov av att utbyta uppgifter och det intresse som de aktuella sekretessbestämmelserna ska skydda.
Enligt 10 kap. 2 § offentlighets- och sekretesslagen hindrar inte sekretess att en uppgift lämnas till en annan myndighet om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Syftet med bestämmelsen är att förhindra att sekretessregleringen gör det omöjligt för en myndighet och dess personal att sköta de uppgifter som åvilar myndigheten. Bestämmelsen ska dock tillämpas restriktivt och får inte användas för att hjälpa en annan myndighet att fullgöra sin verksamhet (Lenberg, E. m.fl., kommentaren till 10 kap. 2 §). Enligt 10 kap. 17 § hindrar sekretess inte heller att en uppgift lämnas till en annan myndighet om uppgiften behövs där för tillsyn över eller revision hos den
myndighet där uppgiften förekommer. Bestämmelsen möjliggör utlämnande till bl.a. JO, JK och Datainspektionen. Vidare gäller enligt huvudregeln i 10 kap. 27 §, den s.k. generalklausulen, att en sekretessbelagd uppgift får lämnas ut till en annan myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Undantag från huvudregeln görs för vissa sekretessbestämmelser som dock inte är aktuella här. Enligt 10 kap. 28 § första stycket hindrar inte heller sekretess att en uppgift lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning. Det är sådana bestämmelser om uppgiftsskyldighet som i allmänhet brukar användas för att möjliggöra direktåtkomst.
Bestämmelsen i 6 kap. 5 § innebär att en myndighet på begäran av en annan myndighet ska lämna ut uppgifter i den mån hinder inte möter på grund av sekretess eller arbetets behöriga gång. Det innebär att om en myndighet begär att få del av uppgifter från en annan myndighet och någon av de ovan nämnda sekretessbrytande bestämmelserna är tillämpliga, så ska uppgifterna lämnas ut. Detsamma gäller om de begärda uppgifterna är offentliga, dvs. inte omfattas av sekretess. I sammanhanget bör även nämnas 12 kap. 2 § där det anges att sekretess till skydd för en enskild inte hindrar att en uppgift lämnas ut, exempelvis till en myndighet, om den enskilde samtycker till det.
Som exempel på sekretessbrytande bestämmelser som tar sikte på enskildas möjlighet att ta del av uppgifter kan nämnas 26 kap. 8 § och 27 kap. 7 §offentlighets- och sekretesslagen.
Sekretessbrytande regler för Rekryteringsmyndigheten
I 16 § pliktregisterlagen föreskrivs att för utlämnande av personuppgifter om totalförsvarspliktiga gäller de begränsningar som följer av offentlighets- och sekretesslagen. I förarbetena till bestämmelsen anförde regeringen att det var viktigt att framhålla att en föreskrift om direktåtkomst inte bryter reglerna om sekretess. För att klargöra detta förhållande fann regeringen att det skulle föras in en bestämmelse i pliktregisterlagen med erinran om att dåvarande sekretesslagen är tillämplig när det gäller utlämnande av uppgifter om totalförsvarspliktiga. Härigenom bedömde regeringen att den restrik-
tivitet vad gällde direktåtkomst skulle upprätthållas (prop. 1997/98:80, s. 65).
Enligt 4 § förordningen om behandling av personuppgifter om totalförsvarspliktiga får, i enlighet med 14 kap. 1 § andra meningen sekretesslagen, uppgifter endast lämnas ut med direktåtkomst om det är särskilt föreskrivet i lag eller förordning. Den sistnämnda bestämmelsen motsvarar 10 kap. 28 § första stycket offentlighets- och sekretesslagen, dvs. sekretess hindrar inte att en uppgift lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning.
För Rekryteringsmyndighetens del finns sekretessbrytande bestämmelser i förordningen (1995:238) om totalförsvarsplikt. Av 3 kap. 16 § framgår att Rekryteringsmyndigheten, i samband med att en totalförsvarspliktig rycker in för värnplikt eller civilplikt med längre grundutbildning än 60 dagar, ska lämna de journalhandlingar som upprättats vid mönstring eller särskild antagningsprövning enligt lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning (lagen är numera upphävd), till hälso- och sjukvårdspersonalen vid den organisatoriska enhet hos en myndighet, en kommun eller ett landsting där grundutbildningen ska genomföras (första stycket). Rekryteringsmyndigheten ska vid samma tidpunkt lämna uppgifter om den totalförsvarspliktiges psykiska funktionsförmåga, fysiska arbetsförmåga, allmänna begåvning och hälsotillstånd till den befattningshavare på en sådan enhet som anges i första stycket som har till uppgift att utbilda den totalförsvarspliktige (andra stycket). Rekryteringsmyndigheten ska också vid samma tidpunkt och till samma enheter som anges i första stycket lämna uppgift i form av fotografisk bild av den totalförsvarspliktige från det register som myndigheten för över sådana uppgifter. En sådan uppgift ska på begäran även lämnas till Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Försvarsmakten, Tullverket, Skatteverket och Kronofogdemyndigheten (tredje stycket).
Våra överväganden och förslag
Utredningens förslag: Det ska i lagen införas en sekretessbry-
tande bestämmelse om uppgiftsskyldighet i förhållande till Försvarsmakten som motsvarar den direktåtkomst som myndigheten får medges.
Regeringen får meddela föreskrifter om att annan myndighet vid direktåtkomst har rätt att ta del av de personuppgifter som omfattas av åtkomsten.
Det kan inledningsvis konstateras att det i nu gällande förordning finns sekretessbrytande regler om uppgiftsskyldighet för Rekryteringsmyndigheten endast i begränsad utsträckning. Den skyldighet som finns i 3 kap. 16 § förordningen om totalförsvarsplikt om att lämna ut uppgifter till exempelvis Försvarsmakten motsvarar långtifrån den direktåtkomst som myndigheten får medges och har behov av. Vi föreslår därför att en mer omfattande sekretessbrytande bestämmelse om uppgiftsskyldighet i förhållande till Försvarsmakten införs i den nya lagen. En sådan bestämmelse korresponderar med den ändamålsbestämmelse som vi föreslår ska införas i lagen, vilken medger att personuppgifter – som behandlas med stöd av något eller några av de primära ändamålen – också får behandlas för sådant uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning.
Av integritetshänsyn till personuppgifter som får lämnas ut genom direktåtkomst har vi i avsnitt 9.7.2 föreslagit att det i den nya förordningen tas in en bestämmelse som uttömmande specificerar vilka personuppgifter som Försvarsmakten får medges direktåtkomst till. Den sekretessbrytande bestämmelsen bör utformas som en rätt för Försvarsmakten att vid direktåtkomst ta del av de personuppgifter som därigenom omfattas av åtkomsten.
Behovet av sekretessbrytande regler i övrigt
Den föreslagna sekretessbrytande bestämmelsen tar enbart sikte på direktåtkomst som har medgetts Försvarsmakten. Frågan är om det finns behov av sekretessbrytande regler i övrigt.
Enligt 12 kap. 1 § offentlighets- och sekretesslagen gäller sekretess till skydd för en enskild inte i förhållande till den enskilde själv, om inte annat anges i den lagen. Det finns således inte något behov av att införa en sekretessbrytande regel för sådana fall. Enligt vår uppfattning bör det därför inte föreslås någon motsvarande bestämmelse som gäller till förmån för de registrerade själva.
För det fall behov skulle uppstå att medge även andra myndigheter än Försvarsmakten eller någon annan aktör direktåtkomst krävs sekretessbrytande bestämmelser också i sådana fall. Av 10 kap. 28 § offentlighets- och sekretesslagen framgår att ytterligare sekretessbrytande regler i förhållande till andra myndigheter kan ges i form av bestämmelser i förordning. Regeringen bör därför bemyndigas att få meddela föreskrifter med sekretessbrytande verkan i de fall regeringen med stöd av det bemyndigande som föreslås i avsnitt 9.7.2 tillåter att någon annan myndighet får medges direktåtkomst. En sådan sekretessbrytande bestämmelse bör få omfatta samma personuppgifter som direktåtkomsten avser. I det fall en enskild aktör ska få medges direktåtkomst följer av 8 kap. 1 § offentlighets- och sekretesslagen att en sekretessbrytande bestämmelse måste införas i denna lag eller i lag eller förordning som den lagen hänvisar till. Eftersom det inte finns något aktuellt behov av att tillåta direktåtkomst för någon enskild aktör saknas det också behov av en sekretessbrytande bestämmelse.
9.8. Sökförbud
9.8.1. Allmänt om sökbegränsningar
Vid behandling av personuppgifter är det betydelsefullt i vilken omfattning uppgifter kan sökas och sammanställas, inte minst ur ett integritetsperspektiv. Användningen av sökbegrepp som tar sikte på känsliga personuppgifter innebär i regel en integritetsrisk eftersom det skapar utrymme för kartläggning och sammanställning av enskildas personliga förhållanden, vilket i sig kan utgöra ett intrång i den enskildes personliga integritet. Som anförts i avsnitt 9.3.2 avses med känsliga personuppgifter uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska och biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa
samt uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1 i dataskyddsförordningen). I registerförfattningar som rör myndigheters personuppgiftsbehandling finns därför i regel bestämmelser som begränsar möjligheten att söka och sammanställa känsliga personuppgifter, t.ex. bestämmelser om vilka sökbegrepp som får användas, olika typer av sökbegränsningar och sökförbud.
En följd av att bestämmelser om sökförbud av vissa känsliga personuppgifter finns i olika registerförfattningar är att offentlighetsprincipen inskränks enligt den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen. En begäran om att få tillgång till en sammanställning av uppgifter som är resultatet av en förbjuden sökning ska enligt den bestämmelsen avslås på den grunden att sammanställningen inte anses förvarad hos myndigheten. Den utgör då följaktligen inte heller en allmän handling. Syftet med begränsningsregeln är att hindra allmänheten från att göra anspråk på att få del av sammanställningar av uppgifter ur upptagningar hos myndigheten som myndigheten själv, av integritetsskäl, är rättsligt förhindrad att ta fram i sin egen verksamhet. Integritetsskyddet ska alltså upprätthållas även om 2 kap. tryckfrihetsförordningen åberopas (se t.ex. prop. 2015/16:65, s. 85).
9.8.2. Gällande rätt
I pliktregisterlagen finns bestämmelser om förbud mot användning av vissa särskilt angivna sökbegrepp. Enligt 14 § första stycket pliktregisterlagen får personuppgifter som avses i 9 § första stycket 2 och 3 samt 5–9 inte användas som sökbegrepp annat än om det behövs för tillsyn, uppföljning eller utvärdering av Rekryteringsmyndighetens verksamhet eller för framtagande av material för forskning eller statistik. Det innebär att uppgift om hinder för genomförande av mönstring eller annan utredning, för utbildning eller för krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning inte får användas som sökbegrepp. Inte heller uppgift om boende- och familjeförhållanden och försörjning får enligt nuvarande reglering användas som sökbegrepp. Detsamma gäller uppgifter om resultat från kunskapsprov och anlagstest som utförts vid mönstring eller annan utredning. Uppgift om fysisk och psykisk hälsa och förmåga jämte de uppgifter som ligger
till grund för bedömningen härav faller också utanför vad som är tillåtet att söka fram. Sökning får vidare inte ske beträffande uppgifter om den registrerade är svensk medborgare eller inte, utgången i mål om ansvar för brott mot totalförsvarsplikten eller att den registrerade har dömts till påföljd för brott som framgår av uppgift ur belastningsregistret. Slutligen får inte heller uppgift om att den registrerade genomgått säkerhetsprövning enligt säkerhetsskyddslagen, vilken säkerhetsklass prövningen avsett och resultatet av denna användas som sökbegrepp.
9.8.3. Våra överväganden och förslag
Utredningens förslag: Vid sökning i personuppgifter är det
förbjudet att som sökbegrepp använda känsliga personuppgifter.
Det är också förbjudet att som sökbegrepp använda uppgifter om
1. hinder för mönstring, annan utredning, utbildning, krigs-
placering eller annat ianspråktagande av den registrerade för totalförsvarets räkning,
2. boende- och familjeförhållanden samt försörjning,
3. resultat från begåvningstest eller anlagstest som utförs vid
mönstring eller annan utredning,
4. medborgarskap, och
5. lagöverträdelser, säkerhetsprövning enligt säkerhetsskydds-
lagen samt vilken säkerhetsklass prövningen avsett och resultatet av denna.
De sökbegrepp som anges i andra stycket får användas som sökbegrepp vid behandling för ändamålet planering, uppföljning och utvärdering av verksamheten eller vid utlämnande för framställning av statistik eller för forskningsändamål. De sökbegrepp som anges i andra stycket 3 får även användas som sökbegrepp vid behandling för ändamålet att ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret.
I 3 kap. 4 § i den föreslagna dataskyddslagen uppställs ett generellt förbud för myndigheter att använda sökbegrepp som avslöjar känsliga personuppgifter. Bestämmelsen är dock enbart tillämplig vid myndigheters behandling som sker med stöd av 3 kap. 3 § samma lag. Såsom beskrivits ovan anser vi att nämnda bestämmelse inte är tillräcklig för att Rekryteringsmyndigheten ska kunna fullgöra sina uppgifter. Myndigheten har således ett berättigat behov av att behandla känsliga personuppgifter i större omfattning än vad dataskyddslagens undantag medger. Vi föreslår därför att en mer tillåtande bestämmelse om behandling av känsliga personuppgifter tas in i lagen (se avsnitt 9.3.3).
Vidare omfattar den nu föreslagna lagen, liksom tidigare, behandling av en stor mängd känsliga personuppgifter som – om det inte fanns några sökbegränsningar – skulle möjliggöra sammanställningar av stor omfattning eller kartläggning av totalförsvarspliktigas personliga förhållanden, vilket i sig kan utgöra ett intrång i den personliga integriteten.
Mot den bakgrunden föreslår vi att det i lagen, i likhet med nuvarande reglering, införs en bestämmelse om sökförbud. Av bestämmelsen bör det framgå att det vid sökning i personuppgifter ska vara förbjudet att som sökbegrepp använda känsliga personuppgifter, bl.a. uppgifter om fysisk och psykisk hälsa. Därutöver bör det vara förbjudet att som sökbegrepp använda uppgifter om
1. hinder för mönstring, annan utredning, utbildning, krigsplacer-
ing eller annat ianspråktagande av den registrerade för totalförsvarets räkning,
2. boende- och familjeförhållanden samt försörjning,
3. resultat från begåvningstest eller anlagstest som utförs vid mönst-
ring eller annan utredning,
4. medborgarskap, och
5. lagöverträdelser, säkerhetsprövning enligt säkerhetsskyddslagen
samt vilken säkerhetsklass prövningen avsett och resultatet av denna.
Det föreslagna sökförbudet omfattar samma sökbegrepp som enligt nu gällande reglering med undantag för uppgifter om resultat från kunskapsprov. Anledningen är att totalförsvarspliktiga vid mönstring
eller annan utredning inte längre utför kunskapsprov utan begåvningstest. Det innebär att sökförbudet i den nya lagen bör omfatta uppgifter om resultat från begåvningstest eller anlagstest som utförs vid mönstring eller annan utredning.
Från sökförbudet föreslår vi dock vissa generella undantag för de fall de ovan uppräknade sökbegreppen (p. 1–5) behöver användas vid behandling för ändamålet planering, uppföljning och utvärdering av Rekryteringsmyndighetens verksamhet. Den insamling av uppgifter och behandling av totalförsvarspliktigas personliga förhållanden som Rekryteringsmyndigheten utför inom ramen för sin verksamhet, dvs. de uppgifter som tidigare fanns i registret över totalförsvarspliktiga, är också betydelsefullt som underlag för statistik eller för forskningsändamål. Vi förslår därför att undantag från förbudet att använda de uppräknade sökbegreppen bör göras för framställning av statistik eller för forskningsändamål. De nu föreslagna undantagen gäller även enligt nu gällande lag. Skäl att frångå en sådan ordning har inte kommit fram.
Rekryteringsmyndigheten har även behov av att som sökbegrepp använda uppgifter om resultat från begåvningstest och anlagstest för att kunna ta fram underlag för inskrivning av lämpliga personer till grundutbildning med värnplikt. För att samtliga utbildningsplatser ska kunna tillsättas med personer som uppfyller kraven för inskrivning till grundutbildning med värnplikt använder sig Rekryteringsmyndigheten av den s.k. utbildningsreserven. Genom att söka på resultat från de begåvningstester eller anlagstester som utförs vid mönstring eller annan utredning kan myndigheten få fram vilka personer i utbildningsreserven som uppfyller kraven för inskrivning. Därefter kan en bedömning göras vilka av dessa som bör skrivas in till grundutbildning med värnplikt. Vi föreslår därför att uppgifter om resultat från begåvnings- eller anlagstest som utförs vid mönstring eller annan utredning (p. 3) ska få användas som sökbegrepp vid behandling för ändamålet att ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret.
Skulle en känslig personuppgift uppdagas vid en sökning för de ovan angivna ändamålen omfattas dock uppgiften av sökförbudet enligt huvudregeln, dvs. förbudet att som sökbegrepp använda känsliga personuppgifter.
9.9. Annans registrering och rättelse av uppgifter
9.9.1. Gällande rätt
Enligt 13 § pliktregisterlagen får regeringen meddela föreskrifter om att annan än Rekryteringsmyndigheten får föra in personuppgifter i det automatiserade registret över totalförsvarspliktiga och rätta dessa. Av 3 § första stycket förordningen om behandling av personuppgifter om totalförsvarspliktiga framgår att de myndigheter m.fl. som anges i bilagorna till förordningen får föra in uppgifter i registret över totalförsvarspliktiga och rätta dessa. Vilka personuppgifter som får föras in och rättas anges uttömmande i bilaga 2 till förordningen. Försvarsmakten får exempelvis föra in och rätta uppgifter om – personnummer eller samordningsnummer, namn, adress, telefon-
nummer och folkbokföringsort, – krigsplacering, annat ianspråktagande av den registrerade för total-
försvaret eller särskild uppgift som han eller hon ska utföra vid höjd beredskap, och – tjänstgöring inom totalförsvaret samt betyg, vitsord, förord-
nanden och utmärkelser som är att hänföra till denna (jfr 9 § första stycket punkterna 1, 11 och 12).
I förarbetena (prop. 1997/98:80 s. 62 f.) till nuvarande reglering anförde regeringen att effektivitetsskäl talar för att ett system där uppgiftslämnare lämnar uppgifterna genom att själva föra in dem i mottagarens register som förs med hjälp av automatiserad behandling ska tillåtas. Vissa organ inom totalförsvaret ska från egen terminal kunna lägga in uppgifter om sin personal direkt i Rekryteringsmyndighetens register som förs med hjälp av automatiserad behandling. Tre olika typer av anteckningar ska i första hand kunna göras på detta sätt:
1. journalanteckningar som under grundutbildningen förs av läkare
eller annan sjukvårdspersonal vid en utbildningsenhet,
2. utryckningsrapporter med uppgifter om antalet fullgjorda tjänst-
göringsdagar, vitsord m.m. som lämnas till Rekryteringsmyndig-
heten från den ansvariga utbildningsenheten efter det att den totalförsvarspliktige fullgjort sin grundutbildning, samt
3. anteckningar om att en person tagits i anspråk för ett organs
krigsorganisation.
En förutsättning är emellertid att säkerhet kan garanteras mot att obehöriga personer påverkar registerinnehållet. Sådan säkerhet kan enligt regeringens uppfattning skapas genom att endast vissa befattningshavare hos uppgiftslämnaren ges tillträde till registret. Personliga användarkort med koder måste utfärdas och möjligheterna för den behörige att föra in uppgifter måste begränsas till den art av uppgifter som vederbörande ska lämna till Rekryteringsmyndigheten. Säkerheten vid terminalen hos uppgiftslämnaren måste vara hög, utrustningen bör t.ex. vara inlåst när terminalen är obemannad. Rekryteringsmyndigheten måste ta på sig ett ansvar för att utbilda och informera uppgiftslämnarna i säkerhetsfrågor. De säkerhetsmässiga överväganden som bör föregå ett tillstånd för annan att föra in uppgifter i Rekryteringsmyndighetens register kan inte göras generellt. Varje organ – eller i vart fall typ av organ (t.ex. Försvarsmaktens utbildningsenheter) – bör prövas för sig. Regeringen bör från fall till fall kunna avgöra vilka organ, utöver Rekryteringsmyndigheten, som ska ha rätt att föra in uppgifter i det automatiserade registret över totalförsvarspliktiga samt vilken art av uppgifter dessa har rätt att lämna. Rekryteringsmyndigheten och de andra organ som behandlar personuppgifterna bär ansvaret för att tillräckliga säkerhetsåtgärder vidtas. De som medges rätt att föra in personuppgifter i det automatiserade registret över totalförsvarspliktiga bör också ges behörighet att rätta sina uppgifter som blivit felaktigt antecknade. Däremot bör det vara Rekryteringsmyndighetens sak att se till att inaktuella uppgifter gallras efterhand.
9.9.2. Våra överväganden och förslag
Utredningens förslag: Försvarsmakten får föra in och rätta per-
sonuppgifter i Rekryteringsmyndighetens informationssystem i den utsträckning som följer av förordning.
Regeringen får meddela föreskrifter om att även annan än Försvarsmakten får medges sådan rätt.
Försvarsmakten har enligt nu gällande reglering rätt att föra in och rätta vissa särskilt angivna personuppgifter i Rekryteringsmyndighetens register över totalförsvarspliktiga. Under utredningen har framkommit att Försvarsmakten använder sig av denna rätt att föra in och rätta sådana personuppgifter i Rekryteringsmyndighetens informationssystem. Det bör därför införas en bestämmelse i den nya lagen om att Försvarsmakten får föra in och rätta vissa personuppgifter i Rekryteringsmyndighetens informationssystem. I likhet med nuvarande ordning bör det i den nya förordningen uttömmande anges vilka personuppgifter som omfattas av rätten till registrering och rättelse. Enligt vår bedömning bör denna rätt omfatta samma uppgifter som enligt nuvarande reglering. Vad som gäller i fråga om rättelse behandlas i avsnitt 10.1.
I avsnitt 9.7.2 föreslås att regeringen får meddela föreskrifter om att medge annan aktör direktåtkomst till Rekryteringsmyndighetens informationssystem. I den mån regeringen medger andra aktörer än Försvarsmakten direktåtkomst enligt nämnda förslag, bör det också finnas möjlighet för dessa att föra in och rätta vissa uppgifter i Rekryteringsmyndighetens informationssystem. En bestämmelse som möjliggör detta bör därför föras in i den nya lagen. Även i sådana fall bör det i den nya förordningen uttömmande anges vilka personuppgifter som omfattas av rätten till registrering och rättelse.
Det bör i detta sammanhang erinras om att den behandling av personuppgifter som utförs av den aktuella aktören sker med stöd av den nu föreslagna lagen och inte med stöd av någon annan registerförfattning. Aktören i fråga blir personuppgiftsansvarig för den personuppgiftsbehandling som sker när uppgifterna förs in i Rekryteringsmyndighetens informationssystem samt vid rättelse av dem. Rekryteringsmyndigheten blir å sin sida personuppgiftsansvarig för den behandling av personuppgifterna som myndigheten utför. Det innebär att Rekryteringsmyndigheten och Försvarsmakten har ett gemensamt personuppgiftsansvar för den behandling som respektive myndighet utför (jfr artikel 26 i dataskyddsförordningen).
I Informationshanteringsutredningens förslag till Myndighetsdatalag (SOU 2015:39, s. 354 f.) föreslås att en överenskommelse om
hur skyddet för personuppgifter ska säkerställas bör träffas mellan myndigheter innan direktåtkomst medges samt vid andra former av informationsutbyten som innebär behandling av personuppgifter i gemensamma eller annars integrerade informationssystem. Överenskommelsen ska i första hand syfta till att klargöra ansvarsförhållandet mellan de berörda myndigheterna. Av överenskommelsen bör framgå hur utövande av de skyldigheter som personuppgiftsansvaret innefattar ska ske. Motsvarande synsätt fastställs i artikel 26 i dataskyddsförordningen. I bestämmelsen anges bl.a. att gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt förordningen, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Mot denna bakgrund är det lämpligt att Rekryteringsmyndigheten och Försvarsmakten träffar en gemensam överenskommelse om hur de skyldigheter som följer med respektive personuppgiftsansvar ska utövas. Detta är även av stor vikt för integritetsskyddet.
9.10. Rätten att göra invändningar
9.10.1. Gällande rätt
I gällande svensk rätt finns inte någon generell rätt för den registrerade att göra invändningar mot den behandling av personuppgifter som sker hos myndigheter. En begränsad rätt att motsätta sig behandling följer dock av personuppgiftslagen.
Enligt 11 § personuppgiftslagen får personuppgifter inte behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling. I 12 § första stycket personuppgiftslagen anges att den registrerade har rätt att när som helst återkalla sitt samtycke i vissa fall då behandling av personuppgifter bara är tillåten när den registrerade har lämnat sitt samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas. Av andra stycket följer att en registrerad, utöver vad som följer av första
stycket och 11 §, inte har rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt personuppgiftslagen.
Varken pliktregisterlagen eller förordningen om behandling av personuppgifter om totalförsvarspliktiga innehåller någon uttrycklig bestämmelse som tillåter Rekryteringsmyndigheten att behandla personuppgifter även om den registrerade motsätter sig behandlingen. Det innebär att personuppgiftslagens bestämmelser är tillämpliga, vilket betyder att behandling får ske trots att en totalförsvarspliktig motsätter sig behandling med undantag för behandling som sker för direkt marknadsföring (jfr 4 § pliktregisterlagen och 11 och 12 §§personuppgiftslagen).
9.10.2. Dataskyddsförordningen
Den registrerades rätt att göra invändningar mot behandling av personuppgifter regleras i artikel 21 i dataskyddsförordningen. Bestämmelsen innebär en utvidgad rätt att göra invändningar i förhållande till gällande rätt.
Enligt artikel 21.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f, inbegripet profilering som grundar sig på dessa bestämmelser. Rätten att göra invändningar avser sådan behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning eller som sker med stöd av en intresseavvägning (artikel 6.1 e eller f). Rättigheten gäller alltså inte vid behandling av personuppgifter som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse (artikel 6.1 c). Om den registrerade gör en invändning får den personuppgiftsansvarige inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.
I artikel 21.2 föreskrivs en rätt för den registrerade att när som helst invända mot behandling av personuppgifter som sker för direkt marknadsföring. Om den registrerade invänder mot sådan behand-
ling ska personuppgifterna inte längre behandlas för sådana ändamål (artikel 21.3). Rätten att invända mot behandling ska uttryckligen meddelas den registrerade senast vid den första kommunikationen med denne (artikel 21.4).
I dataskyddsförordningen ges en möjlighet att i nationell rätt begränsa bl.a. rätten att göra invändningar enligt artikel 21.1 om de förutsättningar som anges i artikel 23 är uppfyllda. Enligt artikel 23.1 får en sådan begränsning införas om den sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Därutöver måste begränsningen ske i syfte att säkerställa något av de i punkterna a–j uppräknade intressena, såsom den nationella säkerheten och försvaret (punkterna a och b) och andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet (punkten e). Vidare måste den lagstiftning som begränsar den registrerades rättigheter innehålla vissa specifika bestämmelser om bl.a. skyddsåtgärder i enlighet med artikel 23.2.
9.10.3. Dataskyddslagen
Dataskyddsutredningen har i sitt betänkande (SOU 2017:39 s. 207 f.) särskilt övervägt om rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen bör inskränkas generellt när det gäller sådan behandling som sker med stöd av artikel 6.1 e, dvs. med en fastställd uppgift av allmänt intresse som rättslig grund. Utredningen ansåg dock att rätten att göra invändningar mot myndigheters behandling av personuppgifter inte bör inskränkas på ett generellt plan genom ett undantag i den föreslagna dataskyddslagen. I stället bör sådana undantag övervägas på sektorspecifik nivå, om villkoren för behandling av personuppgifter med stöd av artikel 6.1 e specificeras genom författning.
9.10.4. Våra överväganden och förslag
Utredningens förslag: Dataskyddsförordningens bestämmelse
om rätt att göra invändningar (artikel 21.1) ska inte gälla vid behandling enligt denna lag eller föreskrifter som har meddelats med stöd av lagen. En sådan bestämmelse ska därför föras in i lagen.
Som framgår av avsnitt 8.1.2 är Rekryteringsmyndighetens personuppgiftsbehandling nödvändig för att myndigheten ska kunna bedriva sin verksamhet och får därför anses vara av allmänt intresse. Behandlingen kan också betraktas som ett led i myndighetsutövning. Behandlingen grundar sig därmed huvudsakligen på artikel 6.1 e i dataskyddsförordningen, vilket medför en rätt för den registrerade att med stöd av artikel 21.1 i förordningen invända mot behandlingen.
Det kan konstateras att Rekryteringsmyndighetens verksamhet och behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret utförs i syfte att säkerställa den nationella säkerheten och försvaret. Det kan också hävdas att personuppgiftsbehandlingen sker för att säkerställa skyddet för både den registrerades och andras rättigheter och friheter. Behandlingen grundar sig till övervägande del på den skyldighet för totalförsvarspliktiga att lämna uppgifter om sina personliga förhållanden i beredskapsunderlaget enligt lagen om totalförsvarsplikt. Samtycke från de totalförsvarspliktiga till att uppgifterna behandlas krävs således inte. Den behandling som tillåts enligt denna lag är en förutsättning för att Rekryteringsmyndigheten ska kunna utföra sitt uppdrag. Det är därför inte rimligt att en totalförsvarspliktig ska kunna invända mot behandlingen med följden att personuppgifterna inte längre får behandlas om inte Rekryteringsmyndigheten kan påvisa tvingande berättigade skäl för behandlingen. Att begränsa rätten att göra invändningar mot behandling av personuppgifter om totalförsvarspliktiga och annan personal på totalförsvarsområdet är nödvändigt för att totalförsvarets personalförsörjning ska kunna upprätthållas. En möjlighet för den registrerade att invända mot behandlingen skulle kunna få stora konsekvenser för bemanningen av totalförsvaret. Vi gör därför bedömningen att en begränsning av rätten att göra invändningar både är nödvändig och proportionerlig i förhållande
till sitt syfte. Begränsningen strider inte heller mot andemeningen i de grundläggande rättigheterna och friheterna.
I den nya lagen föreslås vidare att Rekryteringsmyndigheten ska följa dataskyddsförordningens direkt tillämpliga bestämmelser om skyddsåtgärder i form av bl.a. kravet på effektiva rättsmedel och säkerhet för personuppgifter (se avsnitt 9.11.3). Därutöver tillgodoses den registrerades möjligheter att åtgärda en felaktig personuppgiftsbehandling dels genom dataskyddsförordningens bestämmelser om rätt till rättelse, radering och begränsning av behandling (artiklarna 16–18), dels bestämmelserna om information och tillgång till personuppgifter i den föreslagna dataskyddslagen (5 kap. 1–3 §§). Samtliga nu uppräknade bestämmelser ska enligt våra förslag i avsnitt 10.1.3 och 10.3.3 tillämpas av Rekryteringsmyndigheten. Vår bedömning är att bestämmelser med det innehåll som krävs enligt artikel 23.2 i dataskyddsförordningen, bl.a. bestämmelser om skyddsåtgärder, finns i den reglering som föreslås gälla för Rekryteringsmyndighetens personuppgiftsbehandling.
Rekryteringsmyndighetens behandling av personuppgifter utförs i en verksamhet som inte omfattas av dataskyddsförordningens egentliga tillämpningsområde. Det står således i och för sig den svenske lagstiftaren fritt att föreslå ett undantag från rätten att göra invändningar på detta område. Vi har ändå funnit anledning att bedöma om förutsättningarna enligt dataskyddsförordningen för att föreskriva undantag från rätten att göra invändningar är uppfyllda och anser att så är fallet. En bestämmelse som anger att artikel 21.1 i dataskyddsförordningen inte ska gälla vid behandling enligt denna lag eller föreskrifter som har meddelats med stöd av lagen bör därför föras in i den nya lagen.
9.11. Säkerheten för personuppgifter
9.11.1. Gällande rätt
Dataskyddsrättsliga bestämmelser
I 31 § första stycket personuppgiftslagen föreskrivs att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av
a) de tekniska möjligheter som finns, b) vad det skulle kosta att genomföra åtgärderna, c) de särskilda risker som finns med behandlingen av personuppgifterna, och d) hur känsliga de behandlade personuppgifterna är. Vidare anges i 32 § personuppgiftslagen att tillsynsmyndigheten i enskilda fall får besluta om säkerhetsåtgärder enligt 31 §. Enligt 16 § personuppgiftsförordningen får Datainspektionen meddela närmare föreskrifter om säkerhetsåtgärder men har hittills endast lämnat vägledning i form av allmänna råd.
Pliktregisterlagen innehåller ingen särskild bestämmelse om säkerhet för personuppgifter som behandlas hos Rekryteringsmyndigheten. I stället är personuppgiftslagens bestämmelser om säkerhetsåtgärder tillämpliga (jfr 4 § pliktregisterlagen).
Av vikt för säkerheten vid behandlingen är vidare att Rekryteringsmyndigheten ska ställa de villkor för direktåtkomst och registrering av uppgifter som myndigheten bedömer vara nödvändiga för registrets säkerhet (3 § tredje stycket förordningen om behandling av personuppgifter). Därutöver ska Rekryteringsmyndigheten i sin årsredovisning varje år rapportera till Försvarsdepartementet om användandet av registret och efterlevnaden av säkerhetskraven (5 § andra stycket förordningen).
Informationssäkerhet i ett vidare perspektiv
För sekretesskyddade uppgifter som rör rikets säkerhet finns särskilda bestämmelser om säkerhetsskydd i säkerhetsskyddslagen (1996:627). Kompletterande bestämmelser finns i säkerhetsförordningen (1996:633) och i Försvarsmaktens (FFS 2003:7) föreskrifter om säkerhetsskydd. Reglerna om säkerhetsskydd är föremål för översyn.16
Rekryteringsmyndigheten har meddelat interna bestämmelser om säkerhetsskydd (RIB 2011:9). I de bestämmelserna regleras myndighetens säkerhetsskydd. Myndigheten har också beslutat interna bestämmelser om it-säkerhet (RIB 2011:10). De bestämmelserna gäller vid planering, utveckling, anskaffning och avveckling samt vid
16 Regeringen beslutade den 16 november 2017 en lagrådsremiss med förslag till en ny säkerhetsskyddslag.
drift, ändring och annan användning av informationstekniska system (it-system) inom Rekryteringsmyndigheten.
9.11.2. Dataskyddsförordningen
Artikel 32.1 i dataskyddsförordningen motsvarar i princip 31 § första stycket personuppgiftslagen. Enligt artikel 32.1 ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Åtgärderna ska vara lämpliga med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter.
Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats (artikel 32.2).
Artikel 32 kompletterar det grundläggande kravet i artikel 5.1 f i dataskyddsförordningen att personuppgifter, med användning av lämpliga tekniska eller organisatoriska åtgärder, ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse.
Dataskyddsutredningen har inte särskilt behandlat kraven på säkerhet i dataskyddsförordningen.
9.11.3. Våra överväganden
Utredningens bedömning: Dataskyddsförordningens bestämmel-
ser om säkerhet för personuppgifter (artiklarna 5.1 f och 32) är direkt tillämpliga och bör tillämpas av Rekryteringsmyndigheten. Någon bestämmelse om säkerhet för personuppgifter behöver därför inte föras in i lagen.
Av de direkt tillämpliga bestämmelserna om säkerhet för personuppgifter i dataskyddsförordningen (artiklarna 5.1 f och 32) följer att en personuppgiftsansvarig ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas i myndighetens verksamhet. Bestämmelserna ska tillämpas av alla personuppgiftsansvariga, såväl enskilda som offentliga, när förordningens bestämmelser börjar gälla. Rekryteringsmyndigheten har hittills haft att tillämpa personuppgiftslagens generellt gällande bestämmelser om säkerhet för personuppgifter. Vi ser inte att det finns något behov av att nu införa särskilda bestämmelser med andra krav på säkerhet än de som följer av dataskyddsförordningen. Någon bestämmelse om säkerhet för personuppgifter behöver därför inte föras in i den nya lagen.
Det kan dock konstateras att det kan behövas bestämmelser om säkerhet som rör vissa delar av den personuppgiftsbehandling som äger rum hos Rekryteringsmyndigheten. Det är exempelvis viktigt att Rekryteringsmyndigheten ställer de villkor för direktåtkomst och registrering av personuppgifter som myndigheten bedömer vara nödvändiga för att säkerställa en nödvändig säkerhetsnivå. Vi har i avsnitt 9.7.2 ovan lämnat ett förslag till bestämmelse i den nya förordningen som säkerställer skyddet för personuppgifter i detta avseende. En annan viktig säkerhetsfråga är att anställdas tillgång till personuppgifter begränsas. I denna del föreslår vi en bestämmelse i den nya lagen.
Den personuppgiftsansvariges skyldighet att se till att lämpliga tekniska och organisatoriska säkerhetsåtgärder vidtas har ett nära samband med ansvaret för informationssäkerheten i hela verksamheten. Inte minst har denna omständighet aktualitet i Rekryteringsmyndighetens verksamhet där personuppgiftsbehandlingen är av vikt för rikets säkerhet. Det kan konstateras att Rekryteringsmyndigheten har utfärdat interna bestämmelser om säkerhetsskydd och it-säkerhet som kompletterar de grundläggande bestämmelser som finns på området i bl.a. säkerhetsskyddslagen.
9.12. Personuppgiftsincidenter
9.12.1. Allmänt om begreppet personuppgiftsincident
Begreppet personuppgiftsincident definieras i artikel 4.12 i dataskyddsförordningen som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Begreppet motsvarar till viss del vad som brukar kallas dataintrång. Med personuppgiftsincident avses dock inte bara ett sådant avsiktligt intrång, utan även olyckshändelser och andra oavsiktliga händelser som får oönskade effekter, t.ex. brand.
I 20 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap och i 10 a § säkerhetsskyddsförordningen används uttrycket it-incident för att beskriva i princip samma sak (SOU 2017:29 s. 329). Eftersom begreppet personuppgiftsincident används i dataskyddsförordningen kommer vi fortsättningsvis att använda oss av detta begrepp.
9.12.2. Gällande rätt
Det finns inga bestämmelser om personuppgiftsincidenter i personuppgiftslagen eller i pliktregisterlagen. Incidenter behandlas inte heller i Datainspektionens allmänna råd om säkerhet. Av 20 § första stycket förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap framgår dock att en myndighet skyndsamt ska rapportera it-incidenter som inträffat i myndighetens informationssystem till Myndigheten för samhällsskydd och beredskap. Det gäller om incidenten allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation. En myndighet som tillhandahåller it-tjänster åt en annan organisation ska informera och vid behov samråda med den eller de uppdragsgivare som berörs av incidenten (andra stycket). Rapporteringsskyldigheten omfattar dock inte sådana it-incidenter som enligt 10 a § säkerhetsskyddsförordningen ska rapporteras till Säkerhetspolisen eller Försvarsmakten (tredje stycket). Exempel på sådana incidenter är incidenter i informationssystem där hemliga
uppgifter som gäller Sveriges säkerhet behandlas eller i informationssystem som särskilt behöver skyddas mot terrorism. Säkerhetsskyddsförordningen gäller för myndigheter, kommuner och landsting och för vissa bolag, föreningar, stiftelser och enskilda (SOU 2017:29, s. 330 f.). Rekryteringsmyndigheten har med stöd av säkerhetsskyddsförordningen utfärdat interna bestämmelser om säkerhetsskydd (RIB 2011:9) och om it-säkerhet (RIB 2011:10).
9.12.3. Dataskyddsförordningen
Enligt skäl 85 i dataskyddsförordningen kan en personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt leda till fysisk, materiell eller immateriell skada för fysiska personer. Exempel på skador som kan uppkomma är enligt nämnda skäl bl.a. diskriminering, identitetsstöld, bedrägeri, ekonomisk förlust, skadat anseende eller förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt. Enligt artikel 33.1 i dataskyddsförordningen ska den personuppgiftsansvarige vid en personuppgiftsincident således utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till den tillsynsmyndighet som är behörig i enlighet med artikel 55, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska den åtföljas av en motivering till förseningen.
Anmälan ska enligt tredje stycket åtminstone
a) beskriva personuppgiftsincidentens art, inbegripet, om så är möj-
ligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
b) förmedla namnet på och kontaktuppgifterna för dataskydds-
ombudet eller andra kontaktpunkter där mer information kan erhållas,
c) beskriva de sannolika konsekvenserna av personuppgiftsincidenten,
och
d) beskriva de åtgärder som den personuppgiftsansvarige har vid-
tagit eller föreslagit för att åtgärda personuppgiftsincidenten,
inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål (fjärde stycket). Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av artikeln (femte stycket).
Av artikel 34.1 i dataskyddsförordningen följer vidare att om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten. Informationen ska innehålla en tydlig och klar beskrivning av personuppgiftsincidentens art och åtminstone de upplysningar och åtgärder som avses i artikel 33.3 b, c och d (andra stycket). Information till den registrerade krävs dock inte enligt tredje stycket om något av följande villkor är uppfyllt:
a) Den personuppgiftsansvarige har genomfört lämpliga tekniska
och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.
b) Den personuppgiftsansvarige har vidtagit ytterligare åtgärder som
säkerställer att den höga risk för registrerades rättigheter och friheter som avses i punkt 1 sannolikt inte längre kommer att uppstå.
c) Det skulle inbegripa en oproportionell ansträngning. I så fall ska
i stället allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt.
Om den personuppgiftsansvarige inte redan har informerat den registrerade om personuppgiftsincidenten får tillsynsmyndigheten, efter att ha bedömt sannolikheten för att personuppgiftsincidenten medför en hög risk, kräva att personuppgiftsbiträdet gör det eller
får besluta att något av de villkor som avses i punkt 3 uppfylls (fjärde stycket).
9.12.4. Förslag till brottsdatalag
Utredningen om 2016 års dataskyddsdirektiv har i delbetänkandet
Brottsdatalag (SOU 2017:29 s. 330 f.) föreslagit att den personupp-
giftsansvarige inom 72 timmar ska anmäla en personuppgiftsincident till tillsynsmyndigheten. Ett undantag föreslås emellertid från denna skyldighet i de fall där incidenten rör nationell säkerhet. Någon anmälan behöver inte göras om det kan antas att incidenten inte har medfört eller kommer att medföra någon risk för otillbörligt intrång i den registrerades personliga integritet.
Enligt utredningen uppfyller en personuppgiftsincident kriterierna för en it-incident. Det innebär att de flesta behöriga myndigheter kommer att behöva anmäla sådana incidenter enligt två olika förfaranden och till olika myndigheter. It-incidenter som kan antas påverka säkerheten för hemliga uppgifter som rör Sveriges säkerhet ska enligt förslaget dock enbart anmälas enligt säkerhetsskyddsförordningen. Behovet av att skydda sådan information anses vara så viktigt att endast den myndighet som utövar tillsyn över säkerhetsskyddet ska få ta del av den. Även om den rapporteringen har ett annat syfte än rapporteringen av personuppgiftsincidenter, anser utredningen att behovet av skydd för uppgifter som rör Sveriges säkerhet väger tyngre än behovet av att skydda enskilda från eventuella intrång i den personliga integriteten. Eftersom nationell säkerhet ligger utanför direktivets tillämpningsområde bedömer utredningen att sådana personuppgiftsincidenter som ska anmälas enligt 10 a § säkerhetsskyddsförordningen inte bör anmälas till tillsynsmyndigheten (a.a. s. 331 f.).
9.12.5. Våra överväganden och förslag
Utredningens förslag: Dataskyddsförordningens bestämmelser
om anmälan av en personuppgiftsincident till tillsynsmyndigheten och information till den registrerade (artiklarna 33 och 34) ska inte gälla vid behandling enligt denna lag eller föreskrifter
som har meddelats med stöd av lagen. En sådan bestämmelse ska därför föras in i lagen.
Inledningsvis bör det framhållas att dataskyddsförordningen inte omfattar behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten (artikel 2.2 a). I skäl 16 till dataskyddsförordningen anges verksamhet som rör nationell säkerhet som ett exempel på en verksamhet som enligt led a inte omfattas av unionsrättens tillämpningsområde. I 1 kap. 2 § den föreslagna dataskyddslagen föreslås att bestämmelserna i dataskyddsförordningen, i den ursprungliga lydelsen, och i lagen i tillämpliga delar ska gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten. Vi har anslutit oss till Dataskyddsutredningens förslag (se avsnitt 6.2.6). Det innebär att dataskyddsförordningen och dataskyddslagen även kommer att omfatta Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret. Med detta sagt, bör det erinras om att dataskyddsförordningens bestämmelser inte har utformats med verksamhet som nationell säkerhet och försvar i åtanke. Tvärtom faller sådan verksamhet som huvudregel utanför unionsrätten och dataskyddsförordningens tillämpningsområde, vilket följer direkt av dataskyddsförordningen (artikel 2.2 a och skäl 16). Detta innebär att det finns skäl att särskilt överväga om vissa av de skyldigheter som åläggs personuppgiftsansvariga i dataskyddsförordningen fullt ut bör tillämpas av myndigheter verksamma inom totalförsvaret, såsom Rekryteringsmyndigheten.
Det är av stor vikt att det finns ett tillräckligt skydd för personuppgifter som behandlas inom Rekryteringsmyndighetens verksamhetsområde. Den information som hanteras av Rekryteringsmyndigheten är emellertid per definition i hög grad av betydelse för rikets säkerhet. Det finns redan i dag en ordning som innebär att it-incidenter som allvarligt kan antas påverka säkerheten i informationssystem där hemliga uppgifter som rör rikets säkerhet behandlas, ska anmälas till Försvarsmakten och Säkerhetspolisen. Behovet av att skydda sådan information anses vara så viktigt att endast den myndighet som utövar tillsyn över säkerhetsskyddet ska få ta del av den (SOU 2017:29, s. 332). Detta synsätt gör sig alltjämt gällande i fråga om Rekryteringsmyndighetens behandling
av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret. De särskilda behov som följer av sådan personuppgiftsbehandling på totalförsvarsområdet måste därför särskilt beaktas i den nu föreslagna regleringen. Vi bedömer mot denna bakgrund att behovet av skydd för uppgifter som rör Sveriges säkerhet och försvar medför att dataskyddsförordningens bestämmelser om anmälan av en personuppgiftsincident till tillsynsmyndigheten och information till den registrerade inte ska tillämpas av Rekryteringsmyndigheten. En bestämmelse som anger att artiklarna 33 och 34 i dataskyddsförordningen inte ska gälla vid behandling enligt denna lag eller föreskrifter som har meddelats med stöd av lagen ska därför föras in i den nya lagen.
Det kan emellertid konstateras att den rapporteringsskyldighet som i dag gäller i förhållande till Försvarsmakten och Säkerhetspolisen rör it-incidenter och inte personuppgiftsincidenter. Begreppen kan uppfattas ha olika räckvidd. Det kan därför finnas anledning att framöver överväga om personuppgiftsincidenter får ett likvärdigt skydd vid den it-incidentrapportering som beskrivs ovan jämfört med den rapportering som ska ske enligt dataskyddsförordningen. Vi bedömer att det är lämpligare att sådana överväganden görs i ett bredare sammanhang som omfattar också annan personuppgiftsbehandling som rör rikets säkerhet. Vi gör därför inga ytterligare överväganden i den frågan.
9.13. Tillsynsmyndighetens befogenheter
9.13.1. Gällande rätt
Tillsynsmyndighetens, dvs. Datainspektionens, befogenheter regleras i 43–47 §§personuppgiftslagen. Enligt 43 § personuppgiftslagen har Datainspektionen rätt att för sin tillsyn på begäran få tillgång till personuppgifter, upplysningar och dokumentation om behandlingen av personuppgifter och säkerheten vid denna samt tillträde till lokaler som har anknytning till behandlingen. Om Datainspektionen inte efter en begäran enligt 43 § kan få tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig, får myndigheten med stöd av 44 § vid vite förbjuda den personupp-
giftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem. Om Datainspektionen enligt 45 § konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, ska myndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på något annat sätt eller är saken brådskande, får myndigheten vid vite förbjuda den personuppgiftsansvarige att fortsätta behandla personuppgifterna på något annat sätt än genom att lagra dem. I 46 § första stycket anges att den personuppgiftsansvarige ska ha fått tillfälle att yttra sig innan Datainspektionen beslutar om vite enligt 44 eller 45 §. Om saken är brådskande, får dock myndigheten i avvaktan på yttrandet meddela ett tillfälligt beslut om vite. Det tillfälliga beslutet ska omprövas, när tiden för yttrande har gått ut. Enligt 47 § får Datainspektionen ansöka hos förvaltningsrätten om att sådana personuppgifter som har behandlats på ett olagligt sätt ska utplånas. Beslut om utplånande får inte meddelas om det är oskäligt.
Pliktregisterlagen
Bestämmelserna i personuppgiftslagen om Datainspektionens befogenheter att meddela förbud mot att behandla personuppgifter är i dag inte tillämpliga vid personuppgiftsbehandling om totalförsvarspliktiga i Rekryteringsmyndighetens verksamhet. I 17 § pliktregisterlagen anges att tillsynsmyndigheten enligt personuppgiftslagen inte får förbjuda Rekryteringsmyndigheten att behandla personuppgifter om totalförsvarspliktiga. I förarbetena (prop. 1997/98:80, s.48 f.) till bestämmelsen anförde regeringen att Rekryteringsmyndighetens registrering och övriga behandling av personuppgifter om totalförsvarspliktiga är nödvändig för att totalförsvarets personalförsörjning ska klaras. Det är inte rimligt att Datainspektionen ska ha möjlighet att förbjuda behandling av personuppgifter i en statlig verksamhet av sådan vikt, även om inspektionen skulle finna att uppgifterna behandlas på ett olagligt sätt. Det förefaller inte troligt att ett behov skulle uppkomma för Datainspektionen att förbjuda Rekryteringsmyndigheten att behandla personuppgifter. En sådan åtgärd förutsätter i praktiken dels att Rekryteringsmyndigheten behandlat uppgifterna på ett olagligt sätt, dels att
myndigheten inte rättat sig efter påpekanden från Datainspektionen. Med tanke på den betydelse som Rekryteringsmyndighetens behandling av personuppgifter har för Sveriges totalförsvar anser regeringen dock att lagstiftningen inte ens bör ge Datainspektionen möjlighet att stoppa verksamheten. I övrigt är dock Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga underkastad Datainspektionens tillsyn.
9.13.2. Dataskyddsförordningen och dataskyddslagen
Dataskyddsförordningen innehåller direkt tillämpliga bestämmelser om tillsynsmyndighetens befogenheter. Dessa befogenheter är mer detaljerat reglerade än dem som anges i personuppgiftslagen. Tillsynsmyndighetens utredningsbefogenheter enligt artikel 58.1 i dataskyddsförordningen motsvarar i stora drag de befogenheter som tillkommer myndigheten enligt personuppgiftslagen. De s.k. korrigerande befogenheterna, som framgår av artikel 58.2, är däremot mer omfattande. Enligt led g i den angivna artikeln får bl.a. tillsynsmyndigheten förelägga om radering av personuppgifter och enligt led i får myndigheten påföra administrativa sanktionsavgifter. Vidare anges i artikel 58.3 vilken möjlighet myndigheten har att utfärda tillstånd och att ge råd (SOU 2017:39, s. 309).
Enligt artikel 58.5 ska det i den nationella lagstiftningen fastställas att tillsynsmyndigheten har befogenhet att upplysa de rättsliga myndigheterna om överträdelser av förordningen och vid behov inleda eller på annat vis delta i rättsliga förfaranden, för att verkställa bestämmelserna. Varje medlemsstat får enligt artikel 58.6 föreskriva att dess tillsynsmyndighet ska ha ytterligare befogenheter, utöver dem som avses i punkterna 1, 2 och 3. Utredningen om tillsynen över den personliga integriteten har i sitt betänkande Ett samlat
ansvar för tillsyn över den personliga integriteten (SOU 2016:65,
s. 154 f.) konstaterat att det för närvarande inte finns något behov av att ge Datainspektionen sådana ytterligare befogenheter.
I artikel 58.4 anges att utövandet av de befogenheter som tillsynsmyndigheten tilldelas enligt denna artikel ska omfattas av lämpliga skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställs i unionsrätten och i medlemsstaternas nationella rätt i enlighet med stadgan. I artikel 83.8 upprepas kravet på lämpliga
skyddsåtgärder avseende tillsynsmyndighetens befogenheter att påföra administrativa sanktionsavgifter.
Dataskyddsutredningen har i sitt förslag till dataskyddslag föreslagit att tillsynsmyndighetens befogenheter enligt dataskyddsförordningen ska gälla även vid myndighetens tillsyn över att de bestämmelser som kompletterar förordningen följs (SOU 2017:39 s. 377). I enlighet härmed anges i 6 kap. 1 § i den föreslagna dataskyddslagen att de befogenheter som tillsynsmyndigheten har enligt artikel 58.1, 58.2 och 58.3 i dataskyddsförordningen även gäller vid tillsyn över efterlevnaden av bestämmelserna i lagen och andra författningar som kompletterar dataskyddsförordningen. Bestämmelsen saknar direkt motsvarighet i personuppgiftslagen men fyller i sak samma funktion som 2 a § andra stycket förordningen (2007:975) med instruktion för Datainspektionen. Bestämmelsen innebär att de tillsynsåtgärder som tillsynsmyndigheten kan vidta vid överträdelser av förordningen också kan vidtas vid överträdelser av bestämmelser i svensk rätt som kompletterar förordningen. Detta gäller oavsett om dessa kompletterande bestämmelser om behandling av personuppgifter finns i dataskyddslagen eller i sektorsspecifika författningar.
Dataskyddsutredningen föreslår att det i 6 kap. 2–4 §§ förslaget till dataskyddslag regleras vissa ytterligare frågor som rör tillsynsmyndighetens handläggning och beslut. I korthet innebär förslagen att innan tillsynsmyndigheten fattar vissa ingripande beslut ska den som beslutet gäller ha fått tillfälle att yttra sig över allt material av betydelse för beslutet, om det inte är uppenbart obehövligt. Om saken är brådskande kan dock ett tillfälligt beslut fattas, i avvaktan på yttrandet (6 kap. 3 §). Bestämmelsen reglerar tillsynsmyndighetens kommunikationsplikt och motsvarar således delvis 46 § första stycket personuppgiftslagen (a.a. s. 379). Bestämmelsen gäller sådana beslut som tillsynsmyndigheten meddelar med stöd av de korrigerande befogenheter som föreskrivs i artikel 58.2 i förordningen, oavsett om mottagaren är en enskild eller en myndighet. Avseende andra slags beslut gäller förvaltningslagens allmänna bestämmelser om kommuniceringsskyldighet. Kravet på kommunikation omfattar enbart sådant material som utgör underlag för beslutet, inte varje uppgift som har tillförts ärendet utifrån. Sådant material som helt saknar relevans för ett beslut i ett ärende omfattas alltså inte av kravet på kommunikation. Med material av betydelse avses sådana
omständigheter eller uppgifter i materialet som påverkar tillsynsmyndighetens ställningstagande i den fråga som beslutet gäller.
Vissa ingripande beslut ska delges, om det inte är uppenbart obehövligt. Vissa former av stämningsmannadelgivning ska få användas bara om det finns särskild anledning att anta att mottagaren har avvikit eller på annat sätt håller sig undan (6 kap. 4 §). Bestämmelsen motsvarar delvis 46 § andra stycket personuppgiftslagen.
Om det finns skäl att ifrågasätta giltigheten av en unionsrättsakt som påverkar tillämpningen av förordningen, ska tillsynsmyndigheten få ansöka hos förvaltningsrätten om att en tillsynsåtgärd ska vidtas, i stället för att själv besluta om åtgärden (6 kap. 2 §). Bestämmelsen avser tillsynsmyndighetens möjlighet att anhängiggöra ett mål i domstol om behandling av personuppgifter och saknar motsvarighet i personuppgiftslagen.
Enligt artikel 58.2 g i dataskyddsförordningen får tillsynsmyndigheten bl.a. förelägga en personuppgiftsansvarig om att uppgifter ska raderas om personuppgifterna inte längre är nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats eller om personuppgifterna har behandlats på ett olagligt sätt (se även artikel 17). Enligt 47 § personuppgiftslagen får beslut om utplåning endast fattas av förvaltningsrätten, på ansökan av tillsynsmyndigheten. Enligt Dataskyddsutredningen är ett föreläggande om radering av personuppgifter dels en mycket ingripande åtgärd, dels i vissa fall otillåten i det allmännas verksamhet om tillämplig gallringsföreskrift saknas. Utredningen anser dock att detta inte utgör något skäl för att frångå principen om att prövningen av om åtgärd ska vidtas ska göras av tillsynsmyndigheten som första instans. Mot denna bakgrund samt med beaktande av att tillsynsmyndighetens förelägganden kan överklagas, saknas det enligt utredningens bedömning skäl att föreskriva en särskild ordning, såsom krav på förhandstillstånd eller beslut av domstol, när tillsynsmyndigheten utövar sin befogenhet enligt artikel 58.2 g att förelägga om radering av personuppgifter (a.a. s. 317).
9.13.3. Våra överväganden och förslag
Utredningens förslag: Tillsynsmyndigheten får inte förbjuda
Rekryteringsmyndigheten att behandla personuppgifter om totalförsvarspliktiga eller annan personal inom totalförsvaret. Artikel 58.2 f i dataskyddsförordningen och 6 kap. 1 § dataskyddslagen ska i denna del inte gälla vid behandling enligt denna lag eller föreskrifter som har meddelats med stöd av lagen. En sådan bestämmelse ska därför föras in i lagen.
I övrigt ska bestämmelserna om tillsynsmyndighetens befogenheter i dataskyddsförordningen (artikel 58) och den föreslagna dataskyddslagen (6 kap. 1 §) tillämpas vid Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret.
Enligt gällande rätt finns det i dag ingen möjlighet för Datainspektionen att förbjuda Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga (se 17 § pliktregisterlagen). Motsvarande skäl som anfördes vid bestämmelsen införande gör sig alltjämt gällande. Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga är nödvändig för att totalförsvarets personalförsörjning ska upprätthållas och det är varken rimligt eller lämpligt att införa en möjlighet att förbjuda sådan behandling. De korrigerande befogenheter i form av bl.a. varningar, reprimander och förelägganden som Datainspektionen innehar enligt artikel 58.2 i dataskyddsförordningen, är enligt vår bedömning fullt tillräckliga för att säkerställa en rättssäker behandling och handläggning av personuppgifterna. Därtill finns andra skyddsåtgärder i form av kravet på effektiva rättsmedel enligt förordningen samt de i förvaltningslagen uppställda kraven på god förvaltning (partsinsyn, kommunikationsskyldighet etc.). Det saknas därför enligt vår bedömning skäl att frångå nuvarande ordning. Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret bör således undantas från tillsynsmyndighetens befogenhet enligt artikel 58.2 f i dataskyddsförordningen och 6 kap. 1 § dataskyddslagen att förbjuda behandling. En sådan bestämmelse ska därför föras in i den nya lagen. Det innebär att tillsynsmyndigheten inte med omedelbar verkan kan besluta om att införa vare sig en tillfällig eller definitiv begränsning, dvs. ett förbud, mot
Rekryteringsmyndighetens behandling av personuppgifter. I övrigt ska bestämmelserna om tillsynsmyndighetens befogenheter i dataskyddsförordningen (artikel 58) och den föreslagna dataskyddslagen (6 kap. 1 §) tillämpas vid Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret.
Vi vill dock i detta sammanhang särskilt erinra om att dataskyddsförordningens bestämmelser endast gäller i ”tillämpliga delar” vid personuppgiftsbehandling som utförs som ett led i en verksamhet som inte omfattas av unionsrätten (jfr 1 kap. 2 § dataskyddslagen). Kapitel VII (Samarbete och enhetlighet) och kapitel X (Delegerade akter och genomförandeakter) i förordningen kan exempelvis inte bedömas utgöra ”tillämpliga delar”. Förordningens bestämmelser om tillsynsmyndigheternas skyldighet att samarbeta med varandra är alltså inte tillämpliga. Detta innebär att Datainspektionen, i egenskap av svensk tillsynsmyndighet, inte har alla de befogenheter i förhållande till Rekryteringsmyndigheten som anges i förordningen, dvs. även utöver vad som särskilt föreslås i detta avsnitt.
10. Vissa andra frågor av särskild vikt för dataskyddet
Regleringen av Rekryteringsmyndighetens verksamhet, såvitt avser behandlingen av personuppgifter, bör enligt vårt förslag i avsnitt 6.2.6 anpassas till bestämmelserna i dataskyddsförordningen och den kompletterande dataskyddslagen. Det är emellertid inte möjligt att i detta betänkande behandla alla bestämmelser i förordningen och dataskyddslagen som därigenom blir direkt tillämpliga vid Rekryteringsmyndighetens personuppgiftsbehandling. Vi har därför valt att i betänkandet i första hand behandla frågor där en särskild reglering är påkallad för Rekryteringsmyndighetens del, exempelvis rätten att behandla känsliga personuppgifter. Vi behandlar också frågor som inte behandlas vare sig i dataskyddsförordningen eller i dataskyddslagen men som ändå är av stor vikt vid införandet av en ny reglering, såsom bestämmelser om direktåtkomst. De frågor där en särskild reglering är påkallad behandlas framför allt i kapitel 9. I det nu aktuella kapitlet behandlar vi vissa andra frågor som också är av särskild vikt för dataskyddet, även om en särskild reglering för Rekryteringsmyndigheten inte är påkallad i dessa delar. Detta innebär att flera bestämmelser i dataskyddsförordningen och i mindre utsträckning även i dataskyddslagen, som blir direkt tillämpliga för Rekryteringsmyndigheten, inte tas upp särskilt i detta betänkande. Ett sådant exempel är bestämmelserna om överklagande (artiklarna 78 och 79 i dataskyddsförordningen och 8 kap. 2–6 §§ dataskyddslagen).
10.1. Rättelse och annan korrigering
10.1.1. Gällande rätt
Av 18 § pliktregisterlagen följer att bestämmelserna i personuppgiftslagen (1998:204) om den personuppgiftsansvariges skyldighet att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man, till vilken uppgifterna har lämnats ut, ska gälla även då personuppgifter behandlats i strid med lagen eller föreskrifter som utfärdats med stöd av lagen.
I förarbetena till bestämmelsen (prop. 1997/98:80 s. 43 f.) bedömde regeringen att den registrerade bör ha samma möjlighet att få personuppgifter rättade eller korrigerade på annat sätt om behandlingen strider mot bestämmelserna i en särskild registerförfattning som i andra fall. Skyldigheten för den personuppgiftsansvarige att på begäran av den registrerade snarast rätta, blockera eller utplåna personuppgifter gäller enligt 28 § personuppgiftslagen endast uppgifter som inte behandlats i enlighet med personuppgiftslagen eller föreskrifter som meddelats med stöd av den lagen. Den personuppgiftsansvarige ska också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Den personuppgiftsansvarige ska vidare se till att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana uppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen (9 § första stycket punkten h personuppgiftslagen).
10.1.2. Dataskyddsförordningen och dataskyddslagen
Enligt artikel 16 i dataskyddsförordningen har den registrerade rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter rättade och ofullständiga personuppgifter kompletterade. Artikel 18 ger även den registrerade rätt att under vissa omständigheter kräva att behandlingen av personuppgifter begränsas. Enligt Dataskyddsutredningen finns bestämmelsernas motsvarighet i 28 § personuppgiftslagen första meningen, som an-
ger att den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast bl.a. rätta eller blockera sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen (SOU 2017:39 s. 230 f.). Personuppgiftslagen innehåller inte något undantag från dessa rättigheter. Det bör i detta sammanhang också nämnas att det enligt artikel 17 i dataskyddsförordningen under vissa särskilt angivna förutsättningar föreligger en rätt till radering (”rätten att bli bortglömd”). Bestämmelsen har sin motsvarighet i 28 § personuppgiftslagen.
Dataskyddsutredningen har föreslagit att det i förhållande till artiklarna 16, 17 och 18 i dataskyddsförordningen inte bör införas något generellt undantag från den registrerades rättigheter vid behandling av personuppgifter. Utredningen har övervägt om ett sådant bör införas i fråga om rätten till rättelse eller begränsning då behandling sker för arkivändamål av allmänt intresse. Ett undantag i denna del föreslås emellertid endast för arkivmyndigheternas del (a.a. s. 230). Utredningen konstaterar vidare att rätten till radering inte gäller enligt artikel 17.3 vid behandling för arkivändamål av allmänt intresse, i den utsträckning som rätten sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen.
Enligt artikel 19 i dataskyddsförordningen ska den personuppgiftsansvarige underrätta dem som personuppgifter har lämnats ut till, om rättelse, radering eller begränsning sker enligt artiklarna 16– 18. Motsvarande underrättelseskyldighet regleras i 28 § andra meningen personuppgiftslagen. I denna bestämmelse anges att underrättelse inte behöver lämnas, om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Ett näst intill likalydande undantag från underrättelseskyldigheten gäller även enligt artikel 19 i dataskyddsförordningen. Undantaget innebär t.ex. att en myndighet inte behöver informera dem som har tagit del av en allmän handling om att behandlingen av uppgifter i handlingen har begränsats. Något ytterligare undantag, utöver den i förordningen direkt tillämpliga bestämmelsen, behöver enligt Dataskyddsutredningens bedömning inte införas i svensk rätt (a.a. s. 231).
10.1.3. Våra överväganden
Utredningens bedömning: Dataskyddsförordningens bestämmel-
ser om rätt till rättelse, radering och begränsning av behandling (artiklarna 16–18) är direkt tillämpliga och bör tillämpas av Rekryteringsmyndigheten. Någon bestämmelse om rättelse och annan korrigering behöver därför inte föras in i lagen.
Det är viktigt att det även fortsättningsvis finns en möjlighet för enskilda att se till att en felaktig behandling av personuppgifter rättas eller korrigeras på annat sätt av Rekryteringsmyndigheten. Detta behov tillgodoses i dag genom pliktregisterlagens bestämmelse därom med hänvisning till 28 § personuppgiftslagen. I och med dataskyddsförordningens ikraftträdande den 25 maj 2018 kommer emellertid förordningens bestämmelser om den registrerades rätt till rättelse, radering respektive begränsning av behandlingen (artiklarna 16–18) att bli direkt tillämpliga. Dataskyddsutredningens bedömning innebär att förordningens bestämmelser kommer att gälla generellt även i myndigheternas verksamhet. Skäl att avvika från eller i övrigt föreskriva undantag från detta när det gäller Rekryteringsmyndighetens verksamhet har inte framkommit. Bestämmelserna bör följaktligen tillämpas även av Rekryteringsmyndigheten. Någon bestämmelse om rättelse och annan korrigering behöver därför inte föras in i den nya lagen.
Vad som nu anförts gäller även Försvarsmakten och andra som medges rätt att, förutom att föra in personuppgifter i Rekryteringsmyndighetens informationssystem, rätta personuppgifter.
10.2. Anmälningsskyldighet och dataskyddsombud
10.2.1. Gällande rätt
Pliktregisterlagen innehåller inte några bestämmelser om anmälningsskyldighet eller dataskyddsombud. Det innebär att personuppgiftslagens bestämmelser om anmälningsskyldighet respektive personuppgiftsombud ska tillämpas (jfr 4 § pliktregisterlagen).
Av 36 § personuppgiftslagen framgår att behandling av personuppgifter som är helt eller delvis automatiserad omfattas av anmälningsskyldighet till tillsynsmyndigheten, dvs. Datainspektionen. Om den personuppgiftsansvarige utser och anmäler ett personuppgiftsombud till tillsynsmyndigheten behöver dock ingen anmälan enligt 36 § göras (37 §).
Dataskyddsdirektivets bestämmelser om personuppgiftsombud har implementerats i svensk rätt genom bestämmelserna om personuppgiftsombud i 38–40 §§personuppgiftslagen. Personuppgiftsombudet har till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpekar eventuella brister för honom eller henne. Har personuppgiftsombudet anledning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, ska personuppgiftsombudet anmäla förhållandet till tillsynsmyndigheten. Personuppgiftsombudet ska även i övrigt samråda med tillsynsmyndigheten vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter ska tillämpas (38 §). Personuppgiftsombudet ska vidare föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits (39 §). Slutligen ska personuppgiftsombudet hjälpa den registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga (40 §).
10.2.2. Dataskyddsförordningen
Motsvarande bestämmelser om dataskyddsombud finns i artiklarna 37– 39 i dataskyddsförordningen. Myndigheter som behandlar personuppgifter måste enligt förordningen utnämna dataskyddsombud. Enligt artikel 37.1 ska den personuppgiftsansvarige och personuppgiftsbiträdet utnämna ett dataskyddsombud om behandlingen genomförs av en myndighet eller ett offentligt organ. Dataskyddsombud ska också utses av personuppgiftsansvariga eller personuppgiftsbiträden vilkas kärnverksamhet består av behandling som kräver regelbunden och systematisk övervakning av de registrerade i stor
omfattning. Detsamma gäller om kärnverksamheten består av behandling i stor omfattning av känsliga personuppgifter och personuppgifter som rör fällande domar i brottmål och överträdelser.
I artiklarna 37.5 och 38 finns bestämmelser om dataskyddsombudets kvalifikationer och ställning. Ett dataskyddsombud ska ha till uppgift att informera de personuppgiftsansvariga, biträden och anställda om skyldigheterna enligt förordningen och andra unions- eller medlemsstatsreglerade dataskyddsbestämmelser. Ombudet ska också bl.a. övervaka efterlevnaden av förordningen och samarbeta med tillsynsmyndigheten (artikel 39). Enligt artikel 38.5 ska dataskyddsombudet, när det gäller dennes genomförande av sina uppgifter, vara bundet av sekretess eller konfidentialitet i enlighet med unionsrätten eller medlemsstaternas nationella rätt.
10.2.3. Våra överväganden
Utredningens bedömning: Dataskyddsförordningens bestämmel-
ser om dataskyddsombud (artiklarna 37–39) är direkt tillämpliga och bör tillämpas av Rekryteringsmyndigheten. Bestämmelser om dataskyddsombud behöver därför inte föras in i lagen.
Rekryteringsmyndigheten har utsett ett personuppgiftsombud som för en förteckning över de behandlingar som myndigheten genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte funnits (jfr 37 och 39 § personuppgiftslagen). I och med dataskyddsförordningens ikraftträdande upphör dock personuppgiftslagen att gälla. Det innebär att dataskyddsförordningens bestämmelser om krav på dataskyddsombud i myndigheters och offentliga organs verksamhet blir direkt tillämpliga. I likhet med vad som anförts i föregående avsnitt saknas skäl att avvika från eller i övrigt föreskriva undantag från dataskyddsförordningens bestämmelser. Bestämmelserna bör således tillämpas av Rekryteringsmyndigheten i likhet med andra myndigheter. Bestämmelser om dataskyddsombud behöver därför inte föras in i den nya lagen.
10.3. Information till den registrerade
10.3.1. Gällande rätt
I pliktregisterlagen finns inte några bestämmelser som reglerar den registrerades rätt till information. Rekryteringsmyndighetens skyldighet att, i egenskap av personuppgiftsansvarig, lämna information till den registrerade om myndighetens behandling av uppgifter om denne regleras i stället i personuppgiftslagen (jfr 4 § pliktregisterlagen).
I förarbetena (prop. 1997/98:80 s. 42 f.) till pliktregisterlagen konstaterade regeringen att det saknas skäl att göra undantag, vare sig genom utvidgning eller genom inskränkning, från den informationsskyldighet gentemot den registrerade som föreskrivs i personuppgiftslagen. Enligt regeringen är personuppgiftslagens bestämmelser om den personuppgiftsansvariges informationsplikt tillräckliga. För Rekryteringsmyndighetens del innebär reglerna om information till den registrerade bl.a. att sådan självmant ska lämnas vid mönstringen och vid motsvarande utredningar, där den totalförsvarspliktige själv lämnar uppgifterna till Rekryteringsmyndigheten. Information om behandling av personuppgifter som Rekryteringsmyndigheten hämtat från annan myndighet eller annat organ behöver dock inte ges till den registrerade om det framgår av lag eller förordning att dessa uppgifter ska lämnas ut till myndigheten. Detta undantag från informationsskyldigheten följer av 24 § andra stycket personuppgiftslagen.
Enligt 23–25 §§personuppgiftslagen är en personuppgiftsansvarig skyldig att självmant tillhandahålla den registrerade information om behandlingen av personuppgifter. Den registrerade har vidare enligt 26 § första stycket personuppgiftslagen rätt att på begäran få information om och tillgång till de personuppgifter som behandlas.
I 27 § personuppgiftslagen anges att bestämmelserna i 23–26 §§ om den registrerades rätt till information inte gäller i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade.
10.3.2. Dataskyddsförordningen och dataskyddslagen
Den personuppgiftsansvariges skyldighet att självmant ge den registrerade information om och tillgång till de personuppgifter som behandlas regleras i artiklarna 13–15 i dataskyddsförordningen. Enligt artiklarna 13 och 14 ska den personuppgiftsansvarige bl.a. lämna information om sin identitet och kontaktuppgifter, dataskyddsombudets kontaktuppgifter, ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen. För att säkerställa en rättvis och transparent behandling ska den personuppgiftsansvarige vid insamlingen av personuppgifterna även lämna den registrerade information om bl.a. den period under vilken personuppgifterna kommer att lagras, rätten att begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade samt rätten att inge klagomål till en tillsynsmyndighet. I artikel 14.5 föreskrivs dock flera direkt tillämpliga undantag från rätten till information. Den personuppgiftsansvarige behöver t.ex. inte förse den registrerade med information om denne redan förfogar över informationen, tillhandahållandet av informationen visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning eller personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt, inbegripet andra lagstadgade sekretessförpliktelser. Av artikel 15 följer att den registrerade har rätt att på begäran få information om och tillgång till de personuppgifter som behandlas, bl.a. i form av registerutdrag. Denna rätt ska enligt artikel 15.4 inte inverka menligt på andra rättigheter och friheter. Artikel 23 möjliggör ytterligare undantag i medlemsstaternas nationella rätt från de skyldigheter och rättigheter som föreskrivs i nämnda bestämmelser.
Dataskyddsutredningen har föreslagit att motsvarande undantag som i 27 § personuppgiftslagen ska tas in i den föreslagna dataskyddslagen. I 5 kap. 1 § första stycket i den föreslagna dataskyddslagen anges att den registrerades rätt till information och tillgång till personuppgifter enligt artiklarna 13–15 i dataskyddsförordningen inte gäller sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Första stycket innebär att sådan sekretess eller tystnadsplikt
gentemot den registrerade som har stöd i författning, har företräde framför rätten att få information och tillgång till de personuppgifter som behandlas. Bestämmelsen har vidare stöd i artikel 23 i dataskyddsförordningen (SOU 2017:39 s. 204 f. och 375).
Av 5 kap. 2 § i förslaget till dataskyddslag följer vidare att bestämmelsen om den registrerades rätt till tillgång till personuppgifter i artikel 15 i dataskyddsförordningen inte gäller personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande. Undantaget i första stycket gäller inte om personuppgifterna
1. har lämnats ut till tredje part,
2. behandlas enbart för arkivändamål av allmänt intresse eller sta-
tistiska ändamål, eller
3. har behandlats under längre tid än ett år i löpande text som inte
fått sin slutliga utformning.
Bestämmelsen föreskriver undantag från den personuppgiftsansvariges skyldighet att på den registrerades begäran lämna s.k. registerutdrag. Bestämmelsen motsvarar i sak 26 § tredje stycket personuppgiftslagen (a.a. s. 376). Undantaget begränsas genom andra stycket. Begränsningen i punkten 1 innebär att rätten till registerutdrag ändå gäller, om den handling där personuppgifterna förekommer har lämnats ut till någon tredje part. Punkten 2 innebär bl.a. att rätten till registerutdrag omfattar personuppgifter i sådana utkast eller minnesanteckningar som har tagits om hand för arkivering. Med behandling för arkivändamål av allmänt intresse eller statistiska ändamål avses detsamma som i dataskyddsförordningen. Slutligen innebär punkten 3 att personuppgifter som förekommer i löpande text som inte har fått sin slutliga utformning ska lämnas ut, om behandlingen har pågått under längre tid än ett år. Minnesanteckningar, som normalt får sin slutliga utformning i samband med att de förs, omfattas däremot inte av punkten 3. Personuppgifter som förekommer i sådana handlingar behöver således inte lämnas ut, även om behandlingen pågått i mer än ett år, om inte någon av punkterna 1 eller 2 är tillämpliga (a.a. s. 376).
I detta sammanhang kan nämnas att Dataskyddsutredningen föreslår att det i 5 kap. 3 § dataskyddslagen tas in en bestämmelse som i sak motsvarar 8 a § personuppgiftslagen, dvs. ett bemyndig-
ande för regeringen att meddela föreskrifter om ytterligare begränsningar av vissa rättigheter och skyldigheter enligt artikel 23 i dataskyddsförordningen. Artikel 23 möjliggör därmed att undantag från förordningens bestämmelser tas in i sektorspecifika författningar.
10.3.3. Våra överväganden
Utredningens bedömning: Bestämmelserna om information och
tillgång till personuppgifter i den föreslagna dataskyddslagen (5 kap. 1–3 §§) bör tillämpas vid behandling av personuppgifter enligt denna lag. Bestämmelser om information och tillgång till personuppgifter behöver därför inte föras in i lagen.
Dataskyddsutredningens förslag till bestämmelser i 5 kap. 1 och 2 §§ dataskyddslagen om information och tillgång till personuppgifter motsvarar i allt väsentligt bestämmelserna i personuppgiftslagen som redan tillämpas av Rekryteringsmyndigheten. En tillämpning av de föreslagna bestämmelserna i dataskyddslagen kommer därför att innebära få förändringar i förhållande till vad som gäller i dag. Det har inte heller framkommit skäl att avvika från eller i övrigt föreskriva undantag från dataskyddsförordningens eller dataskyddslagens bestämmelser i detta avseende. Vi föreslår därför att bestämmelserna i den föreslagna dataskyddslagen bör tillämpas på motsvarande sätt vid behandling av personuppgifter enligt denna lag. Bestämmelser om information och tillgång till personuppgifter behöver därför inte föras in i den nya lagen.
Det föreslagna bemyndigandet i 5 kap. 3 § dataskyddslagen innebär vidare att regeringen med stöd i artikel 23 i dataskyddsförordningen kan meddela ytterligare begränsningar i vissa av de rättigheter som följer av förordningen.
10.4. Skadestånd
10.4.1. Gällande rätt
Pliktregisterlagen innehåller, i likhet med många andra särskilda registerförfattningar, en hänvisning till skadeståndsbestämmelsen i personuppgiftslagen (19 § pliktregisterlagen). Av 48 § personuppgiftslagen framgår att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling i strid med lagen har orsakat. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte beror på honom eller henne (andra stycket).
I de fall den registrerade anser att Rekryteringsmyndighetens behandling av personuppgifter har skett i strid med pliktregisterlagen, kan den registrerade yrka att myndigheten ska betala ersättning med stöd av nämnda bestämmelse i personuppgiftslagen. Ersättning kan utgå för såväl ekonomisk som ideell skada. Skadeståndsansvaret är strikt i den meningen att det inte finns något krav på uppsåt eller oaktsamhet. Så snart behandlingen av personuppgifter har skett i strid med personuppgiftslagen är den eller de personer som är personuppgiftsansvariga avseende behandlingen ersättningsskyldiga gentemot den registrerade (Öman m.fl., kommentaren till 48 §). Endast i den mån ersättningsfrågan inte omfattas av bestämmelsen i personuppgiftslagen, exempelvis beräkning av den ersättning som ska utgå, tillämpas de allmänna skadeståndsreglerna i skadeståndslagen (1972:207).
10.4.2. Dataskyddsförordningen och dataskyddslagen
I dataskyddsförordningen finns bestämmelser om skadestånd i artikel 82. Av artikel 82.1 framgår att varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av förordningen ska ha rätt till ersättning från den personuppgiftsansvarige för den uppkomna skadan. Under vissa förutsättningar kan även personuppgiftsbiträden bli skadeståndsskyldiga.
I skäl 146 och artikel 82.2–5 preciseras närmare under vilka förutsättningar personuppgiftsansvariga kan bli skadeståndsskyldiga. Varje personuppgiftsansvarig som medverkat vid behandlingen ska
ansvara för skada som orsakats av behandling i strid med förordningen. Med behandling som strider mot dataskyddsförordningen avses enligt skäl 146 även behandling som strider mot nationella bestämmelser som specificerar förordningen. Ansvar kan undgås endast om den personuppgiftsansvarige visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.
Artikel 82, som är direkt tillämplig, tar över de allmänna skadeståndsreglerna i skadeståndslagen (jfr 1 kap. 1 § skadeståndslagen). Dataskyddsförordningen innebär också ett förtydligande jämfört med dataskyddsdirektivet av att varje personuppgiftsansvarig och personuppgiftsbiträde som har medverkat vid en behandling kan hållas ansvarig för hela skadan, dvs. att ett solidariskt ansvar gäller när det finns flera personuppgiftsansvariga eller personuppgiftsbiträden för samma behandling (SOU 2017:39, s. 277 f.).
Dataskyddsutredningen bedömer att skadeståndsbestämmelserna i dataskyddsförordningen innebär ett i princip strikt skadeståndsansvar för såväl ekonomisk som ideell skada enligt förordningen, dvs. en liknande reglering som den som gäller enligt personuppgiftslagen. Förarbetsuttalanden rörande personuppgiftslagen och den praxis som har utvecklats vid tillämpningen av 48 § personuppgiftslagen bör därför kunna vara vägledande även vid prövning av rätten till ersättning enligt artikel 82 i dataskyddsförordningen (a.a. s. 277 och s. 304). Enligt 8 kap. 1 § i den föreslagna dataskyddslagen gäller rätten till ersättning enligt artikel 82 i dataskyddsförordningen även vid överträdelser av bestämmelser i lagen och andra författningar som kompletterar dataskyddsförordningen. Bestämmelsen, som har sin grund i förordningens artikel 82 och skäl 146, upplyser om att den rätt till ersättning som regleras i dataskyddsförordningen även gäller vid överträdelser av de bestämmelser om behandling av personuppgifter som finns i dataskyddslagen och i andra författningar som kompletterar dataskyddsförordningen, t.ex. i så kallade registerförfattningar. Bestämmelsen saknar motsvarighet i personuppgiftslagen.
Enligt Dataskyddsutredningen behövs inte några nationella bestämmelser i övrigt, utöver dem som redan finns i rättegångsbalken och skadeståndslagen, för att uppfylla dataskyddsförordningens krav på rättsmedel enligt artikel 79 (a.a. s. 305).
10.4.3. Våra överväganden
Utredningens bedömning: Bestämmelserna om skadestånd i
dataskyddsförordningen (artikel 82) och den föreslagna dataskyddslagen (8 kap. 1 § ) bör tillämpas även vid behandling av personuppgifter enligt denna lag. Någon bestämmelse om skadestånd behöver därför inte föras in i lagen.
Enligt 19 § pliktregisterlagen tillämpas personuppgiftslagens bestämmelser om skadestånd då personuppgifter behandlats i strid med lagen. Bestämmelserna i personuppgiftslagen kommer att ersättas av motsvarande bestämmelser om skadestånd i dels dataskyddsförordningen (artikel 82), dels den föreslagna dataskyddslagen (8 kap. 1 §). Genom skäl 146 i dataskyddsförordningen och 8 kap. 1 § dataskyddslagen slås det fast att rätten till ersättning enligt artikel 82 i dataskyddsförordningen även gäller vid överträdelser av bestämmelser enligt lagen och andra författningar som kompletterar dataskyddsförordningen. Det innebär att bestämmelsen även blir tillämplig vid Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret. Det saknas därför behov av en bestämmelse om skadestånd i den nya lagen.
10.5. Administrativa sanktionsavgifter
10.5.1. Gällande rätt
Administrativa sanktionsavgifter är en företeelse som varken finns i dataskyddsdirektivet eller den nuvarande svenska personuppgiftsregleringen. Utöver de nu gällande bestämmelserna om skadestånd och straff vid överträdelse av personuppgiftsregleringen (48 och 49 §§personuppgiftslagen) finns dock en möjlighet för Datainspektionen att utfärda vite.
Enligt 44 och 45 §§personuppgiftslagen får Datainspektionen vid vite förbjuda en personuppgiftsansvarig att fortsätta att behandla uppgifter på annat sätt än att lagra dem, om inspektionen inte på begäran får tillgång till ett tillräckligt underlag för att konstatera att behandlingen är laglig eller om tillsynsmyndigheten konstaterar att
personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt. Detsamma gäller om den personuppgiftsansvarige inte frivilligt följer ett beslut om säkerhetsåtgärder.
Bestämmelserna om vite i personuppgiftslagen gäller även för statliga och kommunala myndigheter som är personuppgiftsansvariga. I flera registerförfattningar som reglerar behandling av personuppgifter vid statliga myndigheter finns dock bestämmelser som föreskriver att Datainspektionens befogenhet enligt personuppgiftslagen att besluta om vite inte ska gälla i samband med tillsyn över den berörda myndigheten. Som skäl har i dessa fall anförts att det följer av allmänna rättsgrundsatser att vite inte bör användas som sanktionsmedel mellan statliga myndigheter (se bl.a. SOU 2015:39 s. 631). Någon sådan bestämmelse finns dock inte i pliktregisterlagen. I praktiken har emellertid Datainspektionen aldrig utnyttjat möjligheten att besluta om vite (SOU 2017:39 s. 276).
10.5.2. Dataskyddsförordningen
Administrativa sanktionsavgifter är en nyhet i dataskyddsförordningen. Sanktionsavgifterna införs enligt skäl 148 för att stärka verkställigheten av förordningen.
Artikel 83 i dataskyddsförordningen hänvisar till ett antal artiklar i förordningen som vid överträdelse föranleder en administrativ sanktionsavgift, om förutsättningarna i övrigt är uppfyllda enligt artikel 83.2. I artikel 83.1 anges att det är den nationella tillsynsmyndigheten som ska besluta om sanktionsavgifter vid överträdelser av förordningens bestämmelser. Enligt artikel 83.2 ska tillsynsmyndigheten vid beslutet bl.a. beakta överträdelsens karaktär, svårighetsgrad och varaktighet samt om överträdelsen skett med uppsåt eller genom oaktsamhet. Vidare ska tillsynsmyndigheten beakta antalet berörda registrerade, vilken skada de har lidit, om den personuppgiftsansvarige har försökt förebygga eller i efterhand komma till rätta med överträdelsen och eventuell ekonomisk vinst som görs eller ekonomisk förlust som undviks genom överträdelsen.
Av artikel 83.3 framgår att vid överträdelse av flera av dataskyddsförordningens bestämmelser får den administrativa sanktionsavgiftens totala belopp inte överstiga det belopp som fastställs för den allvarligaste överträdelsen. Överträdelser enligt förordningen kan
vara mer eller mindre allvarliga. En mindre allvarlig överträdelse, såsom överträdelse av regler om inbyggt dataskydd, förteckningar och konsekvensbeskrivningar, ska resultera i en avgift upp till 10 000 000 EUR eller 2 procent av den globala årsomsättningen om det gäller ett företag, beroende på vilket belopp som är högst (artikel 83.4). För allvarligare överträdelser, såsom överträdelser av regler om de grundläggande principerna för behandling och behandling av känsliga personuppgifter, registrerades rätt till information, rättelse och radering, överföring av uppgifter till tredje land och underlåtenhet att rätta sig efter tillsynsmyndighetens förelägganden, ska avgiften uppgå till högst 20 000 000 EUR eller 4 procent av den globala årsomsättningen (artikel 83.5).
Utöver överträdelse av förordningens bestämmelser kan också underlåtelse att rätta sig efter tillsynsmyndighetens instruktioner, förelägganden eller beslut resultera i sanktionsavgift (artiklarna 83.5 e och 83.6). I detta avseende fyller sanktionsavgiften samma funktion som ett vite (SOU 2017:39 s. 280). Enligt artikel 83.5 e kan en personuppgiftsansvarig eller ett personuppgiftsbiträde få betala sanktionsavgift vid – underlåtenhet att rätta sig efter ett föreläggande från tillsynsmyn-
digheten, – underlåtenhet att rätta sig efter ett beslut om en tillfällig eller per-
manent begränsning av behandling av uppgifter, – underlåtenhet att rätta sig efter ett beslut om att avbryta upp-
giftsflöden, eller – underlåtenhet att ge tillsynsmyndigheten tillgång till uppgifter.
Sanktionsavgiften ska i dessa fall uppgå till maximalt 20 000 000 EUR eller 4 procent av den globala årsomsättningen. Motsvarande gäller vid underlåtenhet att rätta sig efter förelägganden från tillsynsmyndigheten (artikel 83.6).
Varje medlemsstat får reglera om och i vilken utsträckning det ska vara möjligt att besluta om sanktionsavgifter för offentliga myndigheter och organ i medlemsstaten (artikel 83.7).
Tillsynsmyndighetens befogenhet att besluta om administrativa sanktionsavgifter ska enligt artikel 83.8 omfattas av lämpliga rättssäkerhetsgarantier i form av effektiva rättsmedel och rättssäkerhet.
I artikel 83.9 anges vidare att om det inte finns några regler om administrativa sanktionsavgifter i en medlemsstats rättssystem får förfarandet inledas av tillsynsmyndigheten och sanktionsavgifter utdömas av behörig nationell domstol.
10.5.3. Dataskyddslagen
Dataskyddsutredningen har inom ramen för sitt utredningsuppdrag bl.a. analyserat om, och i så fall i vilken utsträckning, det bör vara möjligt att besluta om administrativa sanktionsavgifter även inom den offentliga sektorn. Utredningen har anfört bl.a. följande (SOU 2017:39 s. 287 f.)
Inledningsvis kan det konstateras att regleringen syftar till att skydda enskildas integritet, och att enskildas intresse av skydd för sin personliga integritet väger lika tungt om uppgifter behandlas i det allmännas verksamhet som i den privata sektorn. Såväl statliga som kommunala myndigheter hanterar mycket stora mängder personuppgifter, ofta mycket känsliga sådana, som dessutom i allt ökande grad utbyts över myndighets- och nationsgränser utan enskildas samtycke. Trots att det allmännas verksamhet i och för sig är reglerad i högre grad genom annan lagstiftning än personuppgiftsrelaterad sådan, exempelvis i tryckfrihetsförordningen, offentlighets- och sekretesslagen (2009:400) och arkivlagstiftningen, sker själva behandlingen av personuppgifter på i stort sett samma villkor och enligt samma regelverk som för personuppgiftsansvariga i privat sektor. Det framgår vidare av tillsynsmyndigheternas granskningar under senare år att några av de grövre överträdelserna mot dataskyddslagstiftningens grundläggande principer har gjorts av myndigheter. Det är alltså högst tveksamt om myndigheter kan förväntas att i högre grad än enskilda följa regleringen om dataskydd. Inte heller borde behovet av avskräckande sanktioner vara mindre när det gäller myndigheternas personuppgiftsbehandling.
Utredningen anför vidare att behovet av skydd inte kan anses vara mindre vid personuppgiftsbehandling av myndigheter än av enskilda. Tjänstefelsansvaret är inte en tillräckligt effektiv sanktion mot systematiska överträdelser på myndighetsnivå. Inte heller effektivitetsargument leder till ett annat ställningstagande eftersom liknande sanktionsavgifter har ansetts utgöra en effektiv sanktion på flera andra områden trots att vitet eller avgiften betalas av statliga myndigheter till staten.
Mot denna bakgrund och med stöd i artikel 83.7 i dataskyddsförordningen föreslås i 7 kap. 1–4 §§ dataskyddslagen bestämmelser om att administrativa sanktionsavgifter ska kunna påföras statliga och kommunala myndigheter.
Enligt 7 kap. 1 § första stycket får sanktionsavgift tas ut av en myndighet vid överträdelser som avses i artikel 83.4, 83.5 och 83.6 i dataskyddsförordningen, varvid artikel 83.1, 83.2 och 83.3 i förordningen ska tillämpas. Vid överträdelser som avses i artikel 83.4 i dataskyddsförordningen ska avgiften bestämmas till högst 10 000 000 kronor och annars till högst 20 000 000 kronor (andra stycket).
Någon möjlighet att påföra sanktionsavgift vid överträdelser mot artikel 10, dvs. behandling av personuppgifter som rör lagöverträdelser, följer inte direkt av dataskyddsförordningen. Dataskyddsutredningen förslår dock att det i 7 kap. 2 § tas in en bestämmelse om att sanktionsavgift får tas ut vid överträdelser av artikel 10. Enligt artikel 10 får emellertid myndigheter behandla personuppgifter som rör lagöverträdelser. Det blir därmed inte aktuellt att ta ut sanktionsavgift av en myndighet enligt denna paragraf (a.a. s. 383).
Av 7 kap. 3 § följer att sanktionsavgift inte får beslutas, om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig enligt 6 kap. 3 § inom fem år från den dag då överträdelsen ägde rum. Bestämmelsen innebär dels att det finns en bortre tidsgräns för när sanktionsavgift får beslutas, dels att om kommunikation enligt 6 kap. 3 § samma lag inte har skett mot den som ska påföras avgiften inom fem år från överträdelsen, får den inte beivras. Tidsfristen börjar löpa när behandlingen upphör. Så länge otillåten eller felaktig behandling pågår är det fråga om en pågående överträdelse. Den i bestämmelsen angivna tiden förskjuts då framåt så länge behandlingen pågår (a.a. s. 384).
Slutligen föreslås i 7 kap. 4 § att en sanktionsavgift som beslutats enligt dataskyddsförordningen eller lagen ska tillfalla staten.
10.5.4. Våra överväganden
Utredningens bedömning: Bestämmelserna om administrativa
sanktionsavgifter i den föreslagna dataskyddslagen (7 kap.) bör tillämpas vid behandling av personuppgifter enligt denna lag. Någon bestämmelse om administrativa sanktionsavgifter behöver därför inte föras in i lagen.
Som framgår av redovisningen ovan är inte dataskyddsförordningens bestämmelser om administrativa sanktionsavgifter direkt tillämpliga beträffade offentliga myndigheter och organ. I stället har medlemsstaterna getts möjlighet att själva besluta om administrativa sanktionsavgifter ska kunna beslutas för personuppgiftsansvariga i offentlig verksamhet. I dag gäller enligt flera registerförfattningar på myndighetsområdet att Datainspektionen saknar befogenhet att besluta om vite. Som skäl har angetts att det följer av allmänna rättsgrundsatser att vite inte bör användas som sanktionsmedel mellan statliga myndigheter. Informationshanteringsutredningen har i betänkandet SOU 2015:39 med förslag till en myndighetsdatalag föreslagit att tillsynsmyndigheten inte bör ha befogenhet att besluta om vitesföreläggande mot vare sig statliga eller kommunala myndigheter (s. 628 f.). Utredningen ansåg att starka principiella skäl talar mot en sådan ordning. Dataskyddsutredningen har emellertid funnit att dataskyddsförordningens bestämmelser om administrativa sanktionsavgifter bör gälla även för myndigheter och föreslår därför att det införs regler om detta i 7 kap. i dataskyddslagen. Det saknas skäl för att Rekryteringsmyndigheten inte skulle omfattas av samma sanktionsbestämmelser som andra myndigheter. Bestämmelserna om administrativa sanktionsavgifter i den föreslagna dataskyddslagen bör därför gälla även i fråga om Rekryteringsmyndighetens behandling av personuppgifter. Någon bestämmelse om administrativa sanktionsavgifter behöver därför inte föras in i den nya lagen.
11. Bevarande och gallring m.m.
11.1. Allmänt om bevarande och gallring
Enligt 2 kap. 1 § tryckfrihetsförordningen har varje svensk medborgare rätt att ta del av allmänna handlingar. Bestämmelsen medför en skyldighet för myndigheterna att bevara handlingar för att möjliggöra denna rätt till handlingsoffentlighet. Enligt 2 kap. 18 § tryckfrihetsförordningen ska bestämmelser om hur allmänna handlingar ska bevaras och gallras meddelas i lag. Bestämmelser om myndigheternas skyldighet att bevara och gallra allmänna handlingar finns framför allt i arkivlagen (1990:782), arkivförordningen (1991:446) och Riksarkivets föreskrifter (RA-FS och RA-MS). Bestämmelser om gallring finns även ofta i registerförfattningar som reglerar behandling av personuppgifter.
Allmänna handlingar ska enligt huvudregeln i 3 § arkivlagen bevaras, vilket innebär att myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser (i) rätten att ta del av allmänna handlingar, (ii) behovet av information för rättskipningen och förvaltningen, och (iii) forskningens behov. Enligt 10 § arkivlagen får dock allmänna handlingar under vissa förutsättningar gallras. Med gallring avses att allmänna handlingar eller uppgifter i allmänna handlingar förstörs. Vanliga pappershandlingar förstörs fysiskt. Gallring av elektroniska handlingar innebär i regel att viss information raderas från databäraren. Med gallring avses dock inte bara att en allmän handling eller uppgifter i en sådan handling rent faktiskt förstörs. Gallring innebär också att åtgärder vidtas med en allmän handling som medför förlust av betydelsebärande data, förlust av möjliga sammanställningar, förlust av sökmöjligheter, eller förlust av möjligheter att bedöma handlingens autenticitet (RA-FS 1997:4 ändrad genom RA-FS 2008:4).
När det gäller gallring är arkivlagens bestämmelser subsidiära i förhållande till annan lagstiftning. Det innebär att om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning har de bestämmelserna företräde (10 § tredje stycket arkivlagen). Av 14 § arkivförordningen framgår vidare att statliga myndigheter får gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. Om det i författningar som exempelvis rör myndigheters behandling av personuppgifter inte finns några särskilda regler om gallring, ska således arkivlagens bestämmelser om bevarande som huvudprincip tillämpas. Grundprincipen i arkivlagstiftningen är således att allmänna handlingar ska bevaras. Några särskilda hänsyn till vilken risk bevarandet kan medföra ur integritetshänseende ska inte tas. Bestämmelser om gallring som inte specifikt rör handlingar som innehåller personuppgifter föranleds i stället vanligtvis av kostnads- och utrymmesskäl.
I personuppgiftslagen (1998:204) är utgångspunkten en annan. Enligt 9 § första stycket personuppgiftslagen får personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Tryckfrihetsförordningens och arkivlagens bestämmelser har dock företräde framför personuppgiftslagens bestämmelser. Det följer av 8 § första stycket personuppgiftslagen att bestämmelserna i lagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen. I paragrafens andra stycke anges att bestämmelserna i personuppgiftslagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Personuppgiftslagens bestämmelser medför således inte att personuppgifter som ingår i allmänna handlingar ska utplånas eller gallras. För personuppgifter som inte ingår i allmänna handlingar gäller emellertid regeln i 9 § första stycket personuppgiftslagen, vilket innebär att personuppgiften inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
I registerförfattningar är det vanligt med bestämmelser om gallring. Sådana bestämmelser innebär i allmänhet att en omvänd princip tillämpas där huvudregeln är gallring och inte, som i arkivlagen, bevarande.
11.2. Bevarande och gallring i Rekryteringsmyndighetens verksamhet
11.2.1. Gallring
Gällande rätt m.m.
I 15 § pliktregisterlagen finns en bestämmelse om gallring. Enligt bestämmelsens första stycke ska en personuppgift i det automatiserade registret över totalförsvarspliktiga gallras så snart uppgiften inte längre behövs för de ändamål som anges i 1 § första stycket. Personuppgifter beträffande dem som avses i 8 § första stycket 1–3, dvs. den som (i) är eller har varit aktuell för mönstring eller annan utredning, (ii) genom avtal, beslut om krigsplacering eller på annat sätt är tagen i anspråk för totalförsvaret eller (iii) ska utföra särskild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig för totalförsvaret, ska gallras senast vid utgången av det kalenderår den registrerade fyller 70 år, om inte han eller hon även därefter har en uppgift inom totalförsvaret vid höjd beredskap. Uppgifter om närstående, beslutsfattare, handläggare, den som gjort journalanteckning samt om personer som nämns bland vad som antecknats med stöd av 9 § första stycket 13 ska härvid anses som uppgifter om den totalförsvarspliktige. Regeringen får meddela föreskrifter om kortare tid för gallring än vad som följer av detta stycke.
I förarbetena (prop. 1997/98:80 s. 71 f.) till bestämmelsen anges bl.a. följande. För personuppgifter som Rekryteringsmyndigheten behandlar utan att registrera dem i register som förs med hjälp av automatiserad behandling, krävs inga särskilda bestämmelser om gallring. Här är arkivlagens huvudregel om att handlingarna ska bevaras och de möjligheter arkivmyndigheten (Riksarkivet) har att lämna föreskrifter tillräckliga. Integritetsskyddet motiverar dock en i förhållande till arkivlagen omvänd gallringsprincip för register som förs med hjälp av automatiserad behandling med personuppgifter. För personuppgifter i det automatiserade registret över total-
försvarspliktiga bör utgångspunkten därför vara att uppgifterna ska gallras efter en bestämd tid. Behovet av uppgifterna för de ändamål som Rekryteringsmyndigheten samlade in dem för bör vara vägledande vid bedömningen av hur länge uppgifterna ska bevaras i registret. Det finns som regel inte skäl att hålla uppgifterna ordnade i register, med de sökmöjligheter och möjligheter till att ta fram olika sammanställningar av uppgifter som detta innebär, när detta inte längre behövs för de ändamål för vilka registren skapats. När uppgifterna inte längre behövs för något av dessa ändamål ska de gallras, om inte särskilda skäl talar för att de ska bevaras.
De uppgifter Rekryteringsmyndigheten samlar in och registrerar är av skilda slag. En del av dem förlorar mycket snabbt i värde medan andra behövs under hela den tid den registrerade är totalförsvarspliktig. En stor del av underlaget från mönstringen torde t.ex. vara ointressant med hänsyn till de angivna ändamålen efter det att grundutbildningen genomförts. Uppgifter om vilken utbildning den totalförsvarspliktige erhållit och vilka färdigheter han därvid förvärvat är däremot intressanta under en längre tid. Det är svårt att avgöra när en viss uppgift förlorar sin relevans. Regeringen föreslår att den yttersta gränsen för ett bevarande av uppgifter i registret med personuppgifter om totalförsvarspliktiga som förs med hjälp av automatiserad behandling anges i lagen. Det kan uttryckas så att en uppgift ska gallras så snart den inte längre behövs för något av de ändamål som den insamlats för och som framgår av lagen. Uppgifterna ska därvid – som huvudregel – gallras senast vid utgången av det kalenderår den registrerade fyller 70 år (a. prop. s. 71).
I vissa fall kan det förekomma att personer har uppgifter att fylla inom totalförsvaret även efter det att totalförsvarsplikten upphört för deras del. Till exempel kan medlemmar i frivilligorganisationer kvarstå som medlemmar efter det att de fyllt 70 år och därvid också behålla sina krigsuppgifter inom organisationen. De som ska ställa egendom till förfogande vid höjd beredskap, de som ingår som ledamöter i värderingsnämnder och vissa andra personer med mer eller mindre särpräglade uppgifter, är skyldiga att utföra sina åligganden oavsett om de är över eller under 70 år. I gallringsbestämmelsen behövs därmed också ett undantag från sjuttioårsgränsen för dem som även därefter har en uppgift vid höjd beredskap (a. prop. s. 71 f.).
Regeringen har inte beslutat närmare föreskrifter om när personuppgifter om totalförsvarspliktiga ska gallras. Rekryteringsmyn-
dighetens interna bestämmelser om gallring av upptagningar respektive in- och utdata i systemen Plis och Syom (RIB 2011:13 och RIB 2011:15) innehåller dock gallringsfrister för personuppgifter om totalförsvarspliktiga. Alla personuppgifter om totalförsvarspliktiga ska gallras ur systemet Plis Prov en gång om året. Plis Prov innehåller medicinska och psykologiska uppgifter, resultat från begåvningstester samt svar från frågeformulär som samlats in i samband med eller under utredning inför mönstring och antagningsprövning. Innan gallring sker i Plis Prov, ska en kontroll genomföras för att säkerställa att all information som ska överföras till Plis är gjord. EKG-data som samlats in i samband med mönstring sparas i en separat databas fram till och med det levnadsår då den totalförsvarspliktige fyller 47 år. Uppgifterna överförs därefter till Rekryteringsmyndighetens s.k. forskningsarkivregister. Efter att uppgifterna överförts till forskningsarkivregistret ska alla EKG-data gallras ur den separata databasen. Detsamma gäller för personuppgifter om totalförsvarspliktiga i informationssystemet Syom. Efter att de personuppgifter om totalförsvarspliktiga som ska sparas för forskningens behov har överförts till forskningsarkivet, ska personuppgifter om totalförsvarspliktiga gallras ur Syom vid ett tillfälle årligen. Undantag är personuppgifter i tjänstgörings- och krigsplaceringsregistren som ska gallras kontinuerligt.
Enligt Riksarkivets föreskrifter (RA-MS 2011:50) får vidare in- och utdata till systemen Plis och Syom samt övriga uppgifter rörande totalförsvarspliktiga gallras när de inte längre behövs för verksamheten, under förutsättning att Rekryteringsmyndigheten fastställer ett särskilt tillämpningsbeslut (RIB 2011:15).
Den gallring som Rekryteringsmyndigheten enligt 15 § pliktregisterlagen utför omfattar endast gallring av personuppgifter i det automatiserade registret över totalförsvarspliktiga, dvs. myndighetens informationssystem. Det innebär i praktiken att huvuddelen av uppgifterna överförs och sparas i myndighetens s.k. forskningsarkivregister i syfte att utgöra underlag för forskning. De uppgifter som alltjämt behövs i Rekryteringsmyndighetens löpande verksamhet, exempelvis namn, adress och tjänstgöringsuppgifter, sparas i informationssystemen Plis eller Atlas till och med den tidpunkt då den totalförsvarspliktige fyller 70 år. I de fall den totalförsvarspliktige har en uppgift inom totalförsvaret vid höjd beredskap, sparas uppgifterna ännu längre. Därefter överförs uppgifterna till en särskild
databas för långtidslagring, ett s.k. elektroniskt slutarkiv. Vissa uppgifter överförs sedan till Krigsarkivet. I Krigsarkivet förvaras i pappersform läkarhandlingar om avregistrerade totalförsvarspliktiga födda före 1946, de som frikallades före 1988 och vapenfria tjänstepliktiga. Här finns även akter över vapenfria tjänstepliktiga. Läkarhandlingarna bevaras också i form av mikrofilm hos Rekryteringsmyndigheten. I Krigsarkivet ingår också det s.k. inskrivningsarkivregistret (föregångaren till Plis), vilket omfattar data om samtliga som mönstrat mellan åren 1969–1997. Även detta bevaras också hos Rekryteringsmyndigheten i form av mikrofilm. Vid vilken tidpunkt handlingar ska överföras från Rekryteringsmyndigheten till Krigsarkivet fastställs genom en överenskommelse mellan de båda myndigheterna.
Någon regelrätt gallring i arkivlagens mening, dvs. att uppgifterna rent faktiskt förstörs genom att informationen raderas från databäraren, sker alltså i allmänhet inte.
Dataskyddsförordningen
Enligt artikel 5.1 e i dataskyddsförordningen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).
Av artikel 6.2 framgår bl.a. att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva punkt 6.1 e, dvs. behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Enligt artikel 6.3 andra stycket andra meningen kan dessutom den rättsliga grunden, som fastställs i den nationella rätten, innehålla särskilda bestämmelser
för att anpassa tillämpningen av bestämmelserna i förordningen i form av bl.a. lagringstid.
11.2.2. Bevarande för arkivändamål
Gällande rätt
I pliktregisterlagen finns ingen bestämmelse om att personuppgifter om totalförsvarspliktiga som behandlas enligt lagen får bevaras för arkivändamål. Någon sådan ansågs inte behövas för behandling som skedde utanför registret (prop. 1997/98:80, s. 71 f.). Enligt 15 § andra stycket pliktregisterlagen får dock regeringen meddela föreskrifter om undantag från skyldigheten att gallra personuppgifter ur registret i fråga om bevarande av material för forskningens behov. Sådana uppgifter ska dock avföras från registret vid den tidpunkt de annars skulle ha gallrats enligt första stycket.
Av förarbetena (a. prop. s. 72 f.) till bestämmelsen framgår att många av de personuppgifter som Rekryteringsmyndigheten registrerar har ett mycket stort värde för forskningen. Uppgifterna innehåller en allsidig information beträffande en stor del av befolkningen vid en viss ålder. Samma slags uppgifter insamlas år efter år och förändringar av t.ex. folkhälsan kan härigenom kontinuerligt följas. Undantag från skyldigheten att gallra uppgifter bör göras med hänsyn till forskningen. Ett sådant undantag medför att uppgifterna inte behöver överföras till annan databärare med någon typ av informationsförlust som följd, vilket torde vara en stor fördel för forskningen. Avgörandet av vilka uppgifter som ska bevaras med hänsyn till forskningens behov borde enligt regeringen överlåtas till Riksarkivet.
Såvitt avser Rekryteringsmyndighetens läkarhandlingar bevaras dessa genom att uppgifterna förs över till Rekryteringsmyndighetens s.k. forskningsarkivregister. Läkarhandlingarna bevaras även i Rekryteringsmyndighetens centrala läkarhandlingsarkiv. Läkarhandlingsarkivet innehåller journaler med medicinska uppgifter om alla män som är födda 1946 eller senare och som har mönstrat till och med den 30 juni 2010. Journaler finns också om de kvinnor som antagningsprövats vid Rekryteringsmyndigheten till och med den 30 juni 2010. Journalhandlingar i pappersform mikrofilmas. Avsikten är att denna information ska föras över på digitalt medium i informa-
tionssystemet Atlas. I informationssystemen Plis och Atlas förvaras också resultaten för de personer som Rekryteringsmyndigheten testat för Försvarsmaktens grundläggande militära utbildning (GMU) efter halvårsskiftet 2010. I de arkiverade handlingarna finns uppgifter om bl.a. längd, vikt, blodtryck, syn, hörsel, kondition, muskelstyrka, i vissa fall EKG samt psykologiska förmågor, som exempelvis ledaregenskaper och lämplighet att bli befäl.
I 6 § förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga anges att Riksarkivet får meddela föreskrifter om undantag från skyldigheten att gallra personuppgifter i fråga om bevarande av material för forskningens behov. Av Riksarkivets föreskrifter (RA-MS 2011:50) framgår bl.a. att vissa särskilt angivna upptagningar i Rekryteringsmyndighetens informationssystem (Plis) och systemet för krigsplacering (Syom) ska, med undantag från gallringsplikten i 15 § pliktregisterlagen, bevaras och överföras till det s.k. forskningsarkivregistret hos Rekryteringsmyndigheten. Även uppgifter om totalförsvarspliktigas personliga förhållanden, det s.k. beredskapsunderlaget, ska bevaras. Överföring av uppgifter från Plis och Syom till det s.k. forskningsarkivregistret ska ske minst en gång per år (2 §). Medicinska journalhandlingar för värnpliktiga samt systembeskrivningar och systemdokumentation avseende upptagningar rörande totalförsvarspliktiga ska också bevaras (3 §).
I Rekryteringsmyndighetens interna bestämmelser om forskningsarkivregister (RIB 2012:1) regleras hur personuppgifter i Rekryteringsmyndighetens informationssystem Plis och Syom med tillhörande delsystem ska bevaras och överföras till det särskilda forskningsarkivregistret (1 §).
Dataskyddsförordningen
Enligt artikel 5.1 b i dataskyddsförordningen ska ytterligare behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, inte anses vara oförenlig med de ursprungliga ändamålen. Av artikel 5.1 e framgår att personuppgifter får lagras under en längre tid än vad som normalt gäller, om uppgifterna enbart kommer att behandlas för arkivändamål av all-
mänt intresse eller för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål. Detta under förutsättning att lämpliga tekniska och organisatoriska åtgärder genomförs i enlighet med kraven i artikel 89.1 för att säkerställa de registrerades fri- och rättigheter.
Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska enligt artikel 89.1 omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att ändamålen kan uppfyllas på det sättet. När ändamålen kan uppfyllas genom vidarebehandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.
Dataskyddslagen
Enligt Dataskyddsutredningens direktiv är det av central betydelse att myndigheternas bevarande av allmänna handlingar inte hindras av dataskyddsregleringen och att myndigheternas möjlighet att använda uppgifter i dessa handlingar säkerställs. Även behandling av personuppgifter för andra arkivändamål av allmänt intresse samt för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål måste garanteras. Samtidigt ska skyddet för den registrerades fri- och rättigheter beaktas. Utgångspunkten för Dataskyddsutredningens uppdrag har därför varit att vissa grundläggande bestämmelser, liknande de som i dag finns i personuppgiftslagen, behöver tas in i den generella reglering som ska komplettera dataskyddsförordningen. Dataskyddsutredningen har mot bakgrund härav bl.a. analyserat vilka bestämmelser om myndigheters bevarande av allmänna handlingar, användning av uppgifter i dessa och överlämnande av arkivmaterial till en arkivmyndighet som behövs i den generella regleringen. Vidare har Dataskyddsutredningen analyserat vilka övriga bestämmelser om behandling av personuppgifter för arkivändamål av allmänt intresse samt för vetenskapliga eller
historiska forskningsändamål eller för statistiska ändamål som bör finnas i den generella regleringen.
Enligt Dataskyddsutredningen (SOU 2017:39 s. 216 f.) står det klart att den behandling av personuppgifter som myndigheter och andra organ utför när de som en följd av arkivlagens bestämmelser arkiverar sina allmänna handlingar utgör en vidarebehandling som sker för arkivändamål av allmänt intresse. Behandlingen ska därmed enligt artikel 5.1 b i dataskyddsförordningen inte anses som oförenlig med de ursprungliga ändamålen. Det krävs då inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs (skäl 50).
Bestämmelsen i 8 § andra stycket första meningen personuppgiftslagen tydliggör att personuppgiftslagen inte hindrar att en myndighet, i enlighet med arkivbestämmelserna, arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Det finns enligt Dataskyddsutredningen ingenting i dataskyddsförordningen som förhindrar att ett sådant synsätt bibehålls. Tvärtom säkerställs offentlighetsprincipens ställning genom artikel 86 i förordningen (a.a. s. 220).
Personuppgifter som behandlas enbart för arkivändamål av allmänt intresse ska enligt 4 kap. 1 § första stycket i den föreslagna dataskyddslagen inte få användas för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. I andra stycket föreskrivs att denna begränsning inte ska hindra en myndighet från att använda personuppgifter som finns i allmänna handlingar.
Bestämmelsen motsvarar delvis 9 § fjärde stycket och delvis 8 § andra stycket andra meningen personuppgiftslagen. Första stycket utgör en sådan lämplig och särskild åtgärd som krävs enligt förordningen för att säkerställa den registrerades grundläggande rättigheter och intressen. Bestämmelsen förhindrar att personuppgifter som finns hos den personuppgiftsansvarige enbart för arkivändamål av allmänt intresse används för att vidta åtgärder rörande den registrerade, om det inte finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Begränsningen gäller alla typer av personuppgifter och inte bara känsliga sådana. För att bestämmelsen över huvud taget ska aktualiseras krävs att den aktuella användningen är förenlig med det ändamål för vilket uppgifterna ursprungligen samlades in. Bestämmelsen kan alltså inte tillämpas till stöd
för en vidarebehandling som i sig är otillåten. Andra stycket innebär att användningsbegränsningen i första stycket inte gäller för myndigheters användning av personuppgifter i allmänna handlingar (a.a. s. 373 f.).
Förslag till forskningsdatalag
Forskningsdatautredningen har i delbetänkandet Personuppgifts-
behandling för forskningsändamål (SOU 2017:50) föreslagit en kom-
pletterande lag vid behandling av personuppgifter för forskningsändamål – forskningsdatalagen. Lagen innehåller de kompletterade nationella bestämmelser som utredningen bedömt nödvändiga för att dataskyddsförordningen, den föreslagna dataskyddslagen och lagen sammantaget ska uppfylla det övergripande syftet att möjliggöra personuppgiftsbehandling för forskningsändamål och samtidigt skydda den enskildes fri- och rättigheter. Personuppgiftsbehandling för forskningsändamål definieras av Forskningsdatautredningen som arbete som är eller avses vara en del av forskningsprocessen, inklusive förberedande eller avslutande aktiviteter såsom iordningställande och dokumentation av databaser för användning i forskning eller arkivering av forskningsmaterial. Enligt utredningen ska personuppgiftsbehandling för ändamålet forskning och för forskningsändamål betraktas som likställda (a.a. s. 106 f.). Forskningsdatalagen föreslås träda i kraft den 25 maj 2018.
11.2.3. Våra överväganden och förslag
Utredningens bedömning och förslag: Det behöver inte infö-
ras någon kompletterande ändamålsbestämmelse i lagen för Rekryteringsmyndighetens egen arkivering av personuppgifter. Lagen bör inte heller innehålla någon särskild bestämmelse om gallring. Rekryteringsmyndighetens bevarande av personuppgifter om totalförsvarspliktiga i det s.k. forskningsarkivregistret omfattas inte av den föreslagna forskningsdatalagens tillämpningsområde.
I lagen ska föreskrivas att personuppgifter ska avskiljas så att tillgången till dem begränsas när de inte längre behövs i Rekryteringsmyndighetens löpande verksamhet för de primära ända-
målen. Personuppgifter om totalförsvarspliktiga ska avskiljas senast vid utgången av det kalenderår den totalförsvarspliktige fyller 70 år, om inte den totalförsvarspliktige därefter har en uppgift inom totalförsvaret vid höjd beredskap.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om avskiljande av personuppgifter.
Behovet av en kompletterande ändamålsbestämmelse för arkivändamål
Det står enligt vår bedömning klart att personuppgifter i Rekryteringsmyndighetens kärnverksamhet fortsätter att vara en del av denna verksamhet även efter det att de handlingar som de ingår i har arkiverats, i vart fall så länge arkiveringen sker hos Rekryteringsmyndigheten. Arkivering av personuppgifter omfattas därmed enligt vår mening av den nya lagens tillämpningsområde.
Vi har emellertid i avsnitt 8.2.3 och 8.2.4 föreslagit att ändamålsbestämmelserna i den nya lagen ska vara uttömmande. Frågan uppstår då om det finns behov av en kompletterande ändamålsbestämmelse som tar sikte på Rekryteringsmyndighetens egen arkivering av personuppgifter.
Det framgår av artikel 5.1 b i dataskyddsförordningen att vidarebehandling av personuppgifter för bl.a. arkivändamål av allmänt intresse i enlighet med artikel 89.1 inte ska anses vara oförenlig med de ursprungliga ändamålen. Dataskyddsutredningen har, med hänvisning till skäl 50 till dataskyddsförordningen, gjort bedömningen att det då inte krävs någon annan rättslig grund för arkiveringen än den med stöd av vilken insamlingen av personuppgifter medgavs. I skäl 50 anges att om behandling av personuppgifter är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Ytterligare behandling för bl.a. arkivändamål av allmänt intresse bör betraktas som förenlig och laglig behandling av uppgifter. Enligt vår bedömning saknas det skäl att uppfatta detta på annat
sätt än att en myndighets arkivering av personuppgifter till följd av arkivlagens bestämmelser alltid är tillåten, även om en registerförfattning har uttömmande ändamålsbestämmelser. Det kan vidare konstateras att pliktregisterlagen redan i dag innehåller en uttömmande uppräkning av ändamålsbestämmelser. Såvitt vi har erfarit har det inte satts i fråga att myndighetens egen arkivering av personuppgifter inte skulle ske utifrån ett tillåtet ändamål, trots att det saknas en uttrycklig hänvisning till 8 § andra stycket personuppgiftslagen. Myndigheters arkivering av sina allmänna handlingar i enlighet med arkivlagens bestämmelser och myndighetsarkivens betydelse för det nationella kulturarvet, bl.a. i syfte att tillgodose offentlighetsprincipen och forskningens behov, får anses som helt grundläggande för alla myndigheters verksamhet, oavsett hur den är reglerad i övrigt. Något annat rättsligt stöd för vidarebehandling av personuppgifter hos myndigheter för arkivändamål av allmänt intresse än det som ges i dataskyddsförordningen kan därför inte anses påkallat. Vi anser därför att det saknas behov av att införa en kompletterande ändamålsbestämmelse i den nya lagen för Rekryteringsmyndighetens egen arkivering av de personuppgifter som behandlas med stöd av lagen.
Behovet av en särskild gallringsbestämmelse
Vi har i avsnitt 8.1.2 konstaterat att Rekryteringsmyndighetens personuppgiftsbehandling är nödvändig för att myndigheten ska kunna bedriva sin verksamhet och att det för myndigheten finns en i svensk rätt fastställd rättslig grund för behandlingen. Enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är det då tillåtet att i en registerförfattning behålla specifika bestämmelser i form av lagringstid. Vi bedömer därför att en särskild gallringsbestämmelse är förenlig med dataskyddsförordningen och kan införas i den föreslagna lagen. Frågan är då om det finns behov av en särskild gallringsbestämmelse.
Det kan konstateras att det i Rekryteringsmyndighetens verksamhet behandlas en betydande mängd personuppgifter om ett stort antal totalförsvarspliktiga i myndighetens olika informationssystem. Behandlingen grundar sig till övervägande del på den skyldighet för totalförsvarspliktiga att lämna uppgifter om sina person-
liga förhållanden i beredskapsunderlaget enligt lagen (1994:1809) om totalförsvarsplikt. Många av de personuppgifter som behandlas utgör även känsliga personuppgifter. Det finns också personuppgifter som inte betraktas som känsliga personuppgifter men som ändå kan uppfattas som integritetskänsliga. Dessa omständigheter talar för att den nya lagen bör innehålla en specialreglering med gallring som utgångspunkt.
Det finns dock omständigheter som talar för det motsatta förhållandet, dvs. att ingen särskild gallringsbestämmelse bör införas i den nya lagen. Den gallring som Rekryteringsmyndigheten utför enligt 15 § pliktregisterlagen av personuppgifter om totalförsvarspliktiga innebär i praktiken att den gallring i egentlig mening som sker, dvs. att information förstörs, är ytterst begränsad. Huvuddelen av de personuppgifter som behandlas i den löpande verksamheten överförs vid olika tidpunkter då de inte längre behövs till myndighetens s.k. forskningsarkivregister och sparas där i syfte att utgöra underlag för forskning. Övriga uppgifter sparas som regel i 70 år i något av Rekryteringsmyndighetens informationssystem för den löpande verksamheten för att därefter överföras till ett elektroniskt slutarkiv. När handlingar ska överföras till Krigsarkivet fastställs genom en överenskommelse mellan Rekryteringsmyndigheten och Krigsarkivet. Det kan alltså konstateras att någon gallring i egentlig mening inte sker utan de personuppgifter som inte längre behöver vara tillgängliga i de olika informationssystemen för en aktiv hantering, dvs. det som i pliktregisterlagen benämns registret, bevaras i andra lagringsutrymmen för forsknings- eller andra arkivändamål. Vi kan konstatera att det alltjämt finns ett stort behov av att för forskningsändamål bevara många av de personuppgifter som behandlas i Rekryteringsmyndighetens verksamhet. Dessa omständigheter talar för att bevarande enligt arkivlagens bestämmelser bör vara utgångspunkten i den nya lagen. Vi anser därför att lagen inte bör innehålla någon bestämmelse om gallring. I stället ska bestämmelserna om gallring i arkivlagen gälla inklusive möjligheterna för Riksarkivet att meddela föreskrifter.
Avskiljande av inaktuella personuppgifter
Det är viktigt att personuppgifter endast finns tillgängliga så länge som det finns berättigade ändamål för behandlingen (jfr artikel 5.1 b i dataskyddsförordningen). Det är därför – ur ett integritetsskyddsperspektiv – angeläget att uppgifter som inte längre behövs för något av de i lagen angivna ändamålen avförs från den löpande verksamheten så att de inte längre finns tillgängliga för Rekryteringsmyndighetens samtliga anställda. De uppgifter om totalförsvarspliktiga som behandlas i myndighetens verksamhet är ofta av integritetskänslig karaktär och är tillgängliga för ett flertal av myndighetens anställda. Från integritetsskyddssynpunkt är det därför viktigt att uppgifterna finns tillgängliga för de anställda endast så länge som de har behov av uppgifterna för att kunna utföra sina arbetsuppgifter. Vi föreslår därför att en bestämmelse införs i den nya lagen som innebär att personuppgifter ska avskiljas och överföras till annan form av lagring när de inte längre behövs i den löpande verksamheten för de primära ändamålen.
Utformningen av bestämmelsen bör enligt vår bedömning vara generell i den meningen att det bör ankomma på Rekryteringsmyndigheten själv att bestämma hur avskiljandet ska ske så länge det inte innebär någon informationsförlust av något slag. Någon anledning att i lagen precisera hur personuppgifterna ska avskiljas föreligger inte enligt vår bedömning.
Det kan vara svårt att avgöra om, och på vilket sätt, personuppgifter om totalförsvarspliktiga kan komma att få betydelse i ett senare skede. De uppgifter som Rekryteringsmyndigheten samlar in och behandlar är av vitt skilda slag, varav vissa kan vara nödvändiga under hela den period som en enskild är totalförsvarspliktig eller på annat sätt verksam inom totalförsvaret, och andra inte. För att tillgodose integritetsskyddet är det därför av vikt att föreskriva en yttersta gräns för hur länge personuppgifter får behandlas i den löpande verksamheten innan de ska avskiljas. Vi föreslår att personuppgifter om totalförsvarspliktiga ska avskiljas senast vid utgången av det kalenderår den totalförsvarspliktige fyller 70 år, dvs. vid totalförsvarspliktens upphörande. Om det dock vid en tidigare tidpunkt står klart att uppgifterna saknar betydelse utifrån de i lagen angivna ändamålen ska de avskiljas redan vid denna tidpunkt.
Det är dock inte ovanligt att totalförsvarspliktiga har uppgifter att fylla inom totalförsvaret även efter det att totalförsvarsplikten har upphört, t.ex. medlemmar i frivilligorganisationer som väljer att kvarstå som medlemmar efter att de fyllt 70 år och som därmed behåller sina krigsuppgifter. Det kan också föreligga en skyldighet för vissa totalförsvarspliktiga att utföra uppgifter inom totalförsvaret vid höjd beredskap trots att de har fyllt 70 år. I likhet med nu gällande reglering bör därför bestämmelsen kompletteras med ett undantag från sjuttioårsgränsen för dem som därefter har en uppgift inom totalförsvaret vid höjd beredskap. Ett sådant undantag bör därför föras in i den nya lagen.
Upplysning om ytterligare bestämmelser
Vi föreslår att bestämmelsen om avskiljande av inaktuella personuppgifter kompletteras med en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela ytterligare föreskrifter om avskiljande och gallring av personuppgifter. Vårt förslag till ny förordning bör innehålla en sådan föreskriftsrätt för Rekryteringsmyndigheten.
Arkivering för forskningens behov
Forskningsdatautredningen har gjort bedömningen att begreppen forskning och forskningsändamål bör likställas så att den reglering som gäller för behandling av personuppgifter för forskning också kommer att gälla för forskningsändamål. Som redovisas ovan överför Rekryteringsmyndigheten en betydande mängd personuppgifter om totalförsvarspliktiga till myndighetens s.k. forskningsarkivregister för att bevaras för forskningens behov. Vi bedömer att detta bevarande dock inte kan anses utgöra en sådan behandling för forskningsändamål som avses i den föreslagna forskningsdatalagen och som i så fall skulle omfattas av de särskilda krav som föreslås i den lagen, bl.a. i form av etikprövning om känsliga personuppgifter avses att behandlas (SOU 2017:50, s. 200 f.). Enligt vår bedömning omfattas därmed inte Rekryteringsmyndighetens bevarande av personuppgifter om totalförsvars-
pliktiga i det s.k. forskningsarkivregistret av den föreslagna forskningsdatalagens tillämpningsområde utan av de generella bestämmelserna i dataskyddsförordningen och den kommande dataskyddslagen om bevarande för arkivändamål av allmänt intresse.
11.3. Särskilt om bevarande av känsliga personuppgifter för arkivändamål
11.3.1. Dataskyddsförordningen
Av artikel 9.1 i dataskyddsförordningen framgår att behandling som avslöjar känsliga personuppgifter ska vara förbjuden. Enligt artikel 9.2 j gäller dock inte förbudet om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det enligt artikel 89.2 föreskrivas undantag från de rättigheter som avses i artiklarna 15, 16, 18 och 21, med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1. Detta får bara göras i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen och sådana undantag krävs för att uppnå dessa ändamål. Möjligheten att föreskriva sådana undantag gäller enligt artikel 89.3 även avseende behandling av personuppgifter för arkivändamål av allmänt intresse.
11.3.2. Dataskyddslagen
Behandling för arkivändamål av allmänt intresse av personuppgifter som inte utgör känsliga personuppgifter regleras av direkt tillämpliga bestämmelser i dataskyddsförordningen (jfr artikel 5.1 b och e och artikel 89.1). Vidare följer det direkt av förordningen att vidare-
behandling av personuppgifter för arkivändamål av allmänt intresse inte ska anses som oförenlig med de ursprungliga ändamålen (artikel 5.1 b). Det behövs därmed, enligt skäl 50, inte någon separat rättslig grund för en sådan behandling. Enligt Dataskyddsutredningen talar det faktum att behandling av känsliga personuppgifter för arkivändamål särbehandlas i artikel 9.2 j i dataskyddsförordningen dock för att all behandling av känsliga personuppgifter för arkivändamål, även vidarebehandling, måste omfattas av en särskild undantagsreglering för att vara tillåten. Denna bestämmelse förutsätter nämligen att gällande rätt innehåller bestämmelser om lämpliga och särskilda skyddsåtgärder för att säkerställa den registrerades rättigheter och intressen. Den vidarebehandling av känsliga personuppgifter som myndigheter och andra organ utför som en följd av arkivlagens bestämmelser är därmed inte tillåten enbart på grundval av det undantag från förbudet som tillämpats vid behandlingen för det ursprungliga ändamålet. Utredningen har därför gjort bedömningen att det i den föreslagna dataskyddslagen behövs en bestämmelse som, i likhet med 8 § andra stycket första meningen personuppgiftslagen, tillåter att en myndighet arkiverar och bevarar allmänna handlingar som innehåller känsliga personuppgifter samt att arkivmaterial som innehåller känsliga personuppgifter tas om hand av en arkivmyndighet. Den svenska lagstiftningen på detta område, med beaktande av de skyddsåtgärder som föreskrivs i form av sekretess och i registerförfattningar och genom gallringsföreskrifter, måste enligt utredningen i sig anses vara proportionell till det eftersträvade syftet och förenlig med det väsentliga innehållet i rätten till dataskydd (SOU 2017:39 s. 221 f.).
Eftersom behandling för arkivändamål av allmänt intresse av personuppgifter som inte utgör känsliga personuppgifter regleras av direkt tillämpliga bestämmelser i dataskyddsförordningen har den föreslagna bestämmelsen i dataskyddslagen utformats som ett undantag från förbudet mot behandling av känsliga personuppgifter. Av den föreslagna bestämmelsen i 3 kap. 6 § första stycket dataskyddslagen följer således att känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas för arkivändamål av allmänt intresse om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv. För att känsliga personuppgifter ska få behandlas för arkivändamål av allmänt intresse enligt första stycket
krävs att behandlingen sker som en följd av de skyldigheter att bevara och vårda handlingar som anges i föreskrifter. Detta krav gäller oavsett om personuppgifterna samlas in för arkivändamål av allmänt intresse eller om uppgifter som samlats in för andra ändamål vidarebehandlas för arkivändamål av allmänt intresse. På generell nivå anges sådana skyldigheter i arkivlagen, arkivförordningen samt i Riksarkivets och andra arkivmyndigheters föreskrifter. Det utrymme för behandling av känsliga personuppgifter för arkivändamål av allmänt intresse som första stycket ger är därmed i första hand tillgängligt för myndigheter och andra organ som omfattas av arkivlagstiftningen. Bestämmelsen medför, tillsammans med 3 kap. 11 § dataskyddslagen, att dataskyddsförordningen och dataskyddslagen inte hindrar att en myndighet eller ett annat organ som omfattas av offentlighetsprincipen arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Den författningstekniska skillnaden mellan 8 § andra stycket första meningen personuppgiftlagen och den föreslagna bestämmelsen innebär således ingen saklig förändring i denna del (a.a. s. 222 och s. 368 f.).
11.3.3. Våra överväganden
Utredningens bedömning: Bestämmelsen om behandling av käns-
liga personuppgifter för arkivändamål av allmänt intresse i den föreslagna dataskyddslagen (3 kap. 6 §) bör tillämpas i Rekryteringsmyndighetens verksamhet. Någon motsvarande bestämmelse behöver därför inte föras in i lagen.
I 3 kap. 6 § i den föreslagna dataskyddslagen finns en bestämmelse om behandling av känsliga personuppgifter för arkivändamål av allmänt intresse. Det saknas skäl för att Rekryteringsmyndigheten inte skulle omfattas av samma bestämmelse som andra myndigheter i detta avseende. Bestämmelsen om behandling av känsliga personuppgifter för arkivändamål av allmänt intresse i den föreslagna dataskyddslagen bör därför gälla även i Rekryteringsmyndighetens verksamhet. Någon motsvarande bestämmelse behöver därför inte föras in i den nya lagen.
12. Sekretess
12.1. Allmänt om offentlighet och sekretess
Enligt 2 kap. 1 § tryckfrihetsförordningen har var och en rätt att ta del av allmänna handlingar. Den rätten får enligt 2 kap. 2 § första stycket tryckfrihetsförordningen begränsas endast om det är påkallat med hänsyn till vissa särskilt angivna intressen, bl.a. skyddet för enskilds personliga eller ekonomiska intressen. En sådan begränsning ska enligt andra stycket anges noga i en bestämmelse i en särskild lag eller, om det i ett visst fall anses lämpligare, i en annan lag som den särskilda lagen hänvisar till. Den särskilda lag som avses i bestämmelsen är offentlighets- och sekretesslagen (2009:400). Regeringen har meddelat närmare tillämpningsföreskrifter i offentlighets- och sekretessförordningen (2009:641).
Sekretess innebär inte enbart en begränsning av rätten att ta del av allmänna handlingar. Enligt 3 kap. 1 § offentlighets- och sekretesslagen definieras sekretess som ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av allmän handling eller på något annat sätt. Sekretess innebär således dels handlingssekretess, dels tystnadsplikt.
Sekretessens styrka bestäms i regel genom s.k. skaderekvisit. Ett rakt skaderekvisit innebär att uppgifterna som huvudregel är offentliga och att sekretess endast gäller om det kan antas att viss skada uppstår om de lämnas ut, dvs. det är en presumtion för offentlighet. Vid ett omvänt skaderekvisit är utgångspunkten den motsatta, dvs. presumtionen är att uppgifterna omfattas av sekretess. Uppgifterna får då lämnas ut endast om det står klart att uppgifterna kan röjas utan att viss skada uppstår. Sekretessen kan även vara absolut, vilket innebär att de uppgifter som sekretessen omfattar ska hemlighållas utan någon skadeprövning om uppgifterna begärs ut.
Som huvudregel följer inte sekretess med en uppgift när den lämnas över till en annan myndighet. Enligt 8 kap. 1 § offentlighets- och sekretesslagen får uppgifter för vilka sekretess gäller inte röjas för andra myndigheter, om inte annat anges i lagen eller lag eller förordning som lagen hänvisar till. När uppgifter ska lämnas mellan myndigheter måste därför hänsyn tas till sekretesslagstiftningen. Det finns dock vissa bestämmelser i offentlighets- och sekretesslagen om överföring av sekretess mellan myndigheter, dvs. bestämmelser som möjliggör ett utbyte av uppgifter mellan myndigheter trots sekretess (se avsnitt 9.7.3 för en närmare beskrivning av dessa). Behovet av sekretessbrytande regler för Rekryteringsmyndighetens del behandlas i avsnitt 9.7.3 och 12.3.2.
12.2. Gällande rätt
Enligt 16 § pliktregisterlagen gäller de begränsningar som följer av offentlighets- och sekretesslagen (2009:400) för utlämnande av personuppgifter om totalförsvarspliktiga.
Detta innebär att det inte finns några särskilda bestämmelser om utlämnande av personuppgifter i pliktregisterlagen. I stället gäller bestämmelserna i 2 kap. tryckfrihetsförordningen om utlämnande av allmänna handlingar samt bestämmelserna i offentlighets- och sekretesslagen om informationsutbyte mellan myndigheter och sekretess för olika typer av uppgifter. Ett flertal bestämmelser i offentlighets- och sekretesslagen kan således aktualiseras vid ett utlämnande av allmänna handlingar och uppgiftsutbyte mellan myndigheter i fråga om personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret. Nedan följer en kort redogörelse för tillämpliga bestämmelser.
12.2.1. Försvarssekretess
Enligt 15 kap. 2 § offentlighets- och sekretesslagen gäller sekretess för uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. För uppgift i en allmän handling gäller sekretessen i högst
fyrtio år. Om det finns särskilda skäl, får dock regeringen meddela föreskrifter om att sekretessen ska gälla under längre tid.
För att undvika ett onödigt hemlighållande av uppgifter som rör de många verksamhetsområden och företeelser som försvarssekretessen omfattar har bestämmelsen utformats med ett rakt skaderekvisit. Samhällets åtgärder för landets försvar ska således inte undandras offentlighet annat än då det verkligen är påkallat. Sekretessen gäller därför bara om det kan antas att ett röjande av uppgifter skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet. Det är alltså inte bara antagna skador mot landets försvar i vedertagen mening som medger sekretess utan också ett sådant röjande av uppgifter som vållar fara för rikets säkerhet på annat sätt än genom skador för de traditionella försvarsintressena. Ett röjande av uppgifter om den civila säkerhetstjänsten kan t.ex. vålla fara för rikets säkerhet trots att någon skada för försvaret egentligen inte har inträffat (Lenberg m.fl., kommentaren till 15 kap. 2 §). För Rekryteringsmyndighetens del torde det framför allt vara uppgifter om totalförsvarspliktigas krigsplacering och befattning med anledning härav som omfattas av bestämmelsen om försvarssekretess.
12.2.2. Kunskapsprov m.m.
Enligt 17 kap. 4 § offentlighets- och sekretesslagen gäller sekretess för uppgift som ingår i eller utgör underlag för kunskapsprov eller psykologiskt prov under en myndighets överinseende, om det kan antas att syftet med provet motverkas om uppgiften röjs. Någon sekretesstid är inte föreskriven i bestämmelsen.
Bestämmelsen aktualiseras vid utlämnande av uppgifter i de kunskapsprov (numera begåvningstest) och anlagstest som totalförsvarspliktiga får genomföra vid mönstring eller annan utredning inför eventuell plikttjänstgöring. Sekretess gäller endast om det kan antas att syftet med provet motverkas om uppgiften röjs. Utformningen av skaderekvisitet innebär att bestämmelsen framför allt får betydelse för de s.k. standardiserade proven, dvs. prov som upprepas. Så länge samma provhandlingar används gäller alltså sekretess för uppgifterna i dessa. Det bör observeras att någon sekretess av hänsyn till skyddet för enskildas personliga förhållanden inte gäller enligt bestämmelsen (Lenberg m.fl., kommentaren till 17 kap. 4 §).
12.2.3. Hälsotillstånd samt hälso- och sjukvård
Enligt 21 kap. 1 § första stycket offentlighets- och sekretesslagen gäller sekretess för uppgift som rör en enskilds hälsa eller sexualliv, såsom uppgifter om sjukdomar, missbruk, sexuell läggning, könsbyte, sexualbrott eller annan liknande uppgift, om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Bestämmelsen är en primär sekretessbestämmelse och kan tillämpas av alla myndigheter och andra organ som ska tillämpa offentlighets- och sekretesslagen. Den innebär således ett minimiskydd för känsliga uppgifter om enskildas hälsa och sexualliv inom hela den offentliga sektorn. Sekretessen avgränsas med ett rakt kvalificerat skaderekvisit som innebär att sekretess gäller endast om det måste antas att den enskilde eller någon närstående till den enskilde kommer att lida betydande men om uppgiften röjs. Skaderekvisitet är alltså utformat med en särskilt stark offentlighetspresumtion (Lenberg m.fl., kommentaren till 21 kap. 1 §).
Uppgifter om enskildas hälsa och sexualliv skyddas även av bestämmelsen om hälso- och sjukvårdssekretess i 25 kap. 1 §. Av bestämmelsen följer att sekretess gäller inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Detsamma gäller i annan medicinsk verksamhet, exempelvis rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, fastställande av könstillhörighet, abort, sterilisering, omskärelse och åtgärder mot smittsamma sjukdomar. Sekretesstiden för uppgifter i allmänna handlingar är enligt bestämmelsen högst sjuttio år.
Bestämmelsen är tillämplig för den personal som är verksam i det allmännas hälso- och sjukvård, t.ex. läkare, sjuksköterskor, psykologer, kuratorer och psykoterapeuter. Genom att bestämmelsen även gäller vid ”annan medicinsk verksamhet” omfattas t.ex. hälsoundersökning vid mönstring hos Rekryteringsmyndigheten (SOU 1997:101, s. 52). Medicinska och psykologiska uppgifter om totalförsvarspliktiga som inhämtats i samband med urvalstester för olika uppdragsgivares räkning omfattas också av sekretess enligt denna bestämmelse.
Sekretessen på hälso- och sjukvårdsområdet avgränsas med ett omvänt skaderekvisit. Detta innebär att en uppgift inte får lämnas ut, om det inte står klart att uppgiften kan röjas utan att den enskilde eller hans eller hennes närstående lider men. Det råder alltså en presumtion för sekretess.
12.2.4. Personuppgifter
Av 21 kap. 7 § offentlighets- och sekretesslagen framgår att sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen (1998:204). Bestämmelsen innehåller således ett generellt förbud mot att lämna ut personuppgifter. Någon sekretesstid är inte föreskriven i bestämmelsen.
Bestämmelsen är tillämplig hos sådana myndigheter som är personuppgiftsansvariga eller som annars har tillgång till personuppgifter. Bedömningen ska dock inte ta sikte på om myndighetens eget utlämnande av uppgifter skulle strida mot personuppgiftslagen. Enligt 8 § första stycket personuppgiftslagen ska nämligen bestämmelserna i den lagen inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter. Bedömningen ska således avse om det kan antas att uppgifterna efter utlämnandet kommer att behandlas i strid med personuppgiftslagen, dvs. om det kan antas att mottagaren kommer att behandla uppgiften i strid med denna (Lenberg m.fl., kommentaren till 21 kap. 7 §).
Dataskyddsutredningen har i sitt förslag till dataskyddslag (SOU 2017:39 s. 253 f.) bl.a. lämnat förslag om hur de bestämmelser i offentlighets- och sekretsslagen som innehåller hänvisningar till personuppgiftslagen bör anpassas till den nya regleringen. Av artikel 86 i dataskyddsförordningen följer att nationella bestämmelser om tillgång till allmänna handlingar ges företräde framför förordningens bestämmelser om skydd för personuppgifter. I artikeln nämns att detta görs för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd av personuppgifter enligt förordningen. Enligt Dataskyddsutredningen innebär bestämmelsen i 21 kap. 7 § offentlighets- och sekretesslagen ett uttryckligt stöd i svensk rätt för en sådan sammanjämkning mellan de nämnda
rättigheterna. Detta talar för att bestämmelsen fyller en funktion även fortsättningsvis. Eftersom Dataskyddsutredningen har föreslagit att personuppgiftslagen ska upphävas och materiellt ersättas av dataskyddsförordningen och förslaget till dataskyddslag, har utredningen lämnat förslag till en ny bestämmelse i offentlighets- och sekretesslagen som ska ersätta den nuvarande bestämmelsen i 21 kap. 7 §.
Enligt den föreslagna nya lydelsen av 21 kap. 7 § offentlighets- och sekretesslagen gäller sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen, i den ursprungliga lydelsen, eller dataskyddslagen. Ändringen innebär dels ett förtydligande av att prövningen enligt denna bestämmelse gäller den behandling som kommer att ske efter ett eventuellt utlämnande, dels att hänvisningen till personuppgiftslagen ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen (a.a. s. 388). En konsekvens av att hänvisningen inte enbart avser nationell rätt är att utlämnanden till utländska mottagare som omfattas av dataskyddsförordningens tillämpningsområde också omfattas av sekretessbestämmelsen. I övrigt är äldre förarbetsuttalanden relevanta även fortsättningsvis.
12.2.5. Folkbokföringsuppgifter
Enligt 22 kap. 1 § offentlighets- och sekretesslagen gäller sekretess för uppgift om en enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i verksamhet som avser
1. folkbokföringen eller annan liknande registrering av befolkningen
och, i den utsträckning regeringen meddelar föreskrifter om det, i annan verksamhet som avser registrering av en betydande del av befolkningen, eller
2. förande av eller uttag ur sjömansregistret.
Enligt bestämmelsens andra stycke gäller sekretess i verksamhet som avses i första stycket 1 för uppgift i form av fotografisk bild av den enskilde, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Punkten 1 gäller först och främst den egentliga folkbokföringen. Därmed avses folkbokföring enligt folkbokföringslagen (1991:481). Folkbokföringsuppgifter, t.ex. personnummer, namn och adress, är normalt offentliga. Under vissa förutsättningar och efter särskild ansökan kan en person få sina personuppgifter av detta slag skyddade genom att en sekretessmarkering förs in i folkbokföringssystemet. För att inte sekretessen inom den egentliga folkbokföringen ska kunna kringgås genom att uppgifterna får en vidsträcktare offentlighet i andra register som omfattar befolkningen är bestämmelsen tillämplig också i fråga om annat befolkningsregister som baserar sig på uppgifter från folkbokföringsmyndigheten. Med uttrycket annan liknande registrering av befolkningen i punkten 1 avses sålunda t.ex. det automatiserade centrala statliga person- och adressregistret SPAR. Försäkringskassans register över befolkningen och Statistiska centralbyråns register över totalbefolkningen, s.k. RTBregister, träffas också av bestämmelsen (Lenberg m.fl., kommentaren till 22 kap. 1 §).
Punkten 1 är också aktuell för vissa myndighetsregister som omfattar endast ett begränsat urval av befolkningen. I punkten bemyndigas nämligen regeringen att meddela föreskrifter om sekretess i annan verksamhet än den redan nämnda, om verksamheten avser registrering av en betydande del av befolkningen. Hur stor del av befolkningen som härmed avses är inte reglerat i lag eller närmare angivet i några förarbeten. Tanken är emellertid att uppgifter i sådana register som det ligger nära till hands att söka i efter t.ex. en adress, ska kunna omfattas av sekretess (prop. 1993/94:165 s. 40 f.). Sådana föreskrifter har regeringen meddelat i 6 § offentlighets- och sekretessförordningen.
Enligt 6 § offentlighets- och sekretessförordningen gäller sekretess i verksamhet, som avser registrering av betydande del av befolkningen, för
1. uppgift om en enskilds personliga förhållanden, om det av sär-
skild anledning kan antas att den enskilde eller någon närstående till honom eller henne lider men om uppgiften röjs, och
2. uppgift i form av fotografisk bild av den enskilde, om det inte står
klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider men.
Sådan verksamhet som avses i bestämmelsen är bl.a. Rekryteringsmyndighetens hantering av information om personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret.
Sekretessen enligt ovan nämnda bestämmelser gäller för uppgifter om enskildas personliga förhållanden. Förutsättningen för sekretessen är att det av särskild anledning kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Det raka skaderekvisit som sålunda föreskrivs innebär att sekretesskydd kan ges dels åt uppgifter av typiskt sett ömtålig art – t.ex. uppgifter om ändrad könstillhörighet, adoption m.m. – dels, på grund av speciella omständigheter, åt normalt harmlösa uppgifter. För uppgifter om namn, adress, personnummer, civilstånd eller nationalitet gäller alltså normalt inte någon sekretess. Det måste föreligga någon särskild anledning för att sådana uppgifter ska få hemlighållas. En särskild anledning som nämns i förarbetena till offentlighets- och sekretesslagen kan vara t.ex. att uppgifter ur folkbokföringen begärs om utlänningar med en viss nationalitet (prop. 1979/80:2 Del A, s. 211).
12.2.6. Totalförsvarsplikt m.m.
Utredning, inskrivning, krigsplacering m.m.
Enligt 38 kap. 1 § offentlighets- och sekretesslagen gäller sekretess för uppgift om en enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i ärende som angår
1. utredning om totalförsvarspliktigas personliga förhållanden,
2. antagning av kvinnor till befattningar inom totalförsvaret som
kräver längre grundutbildning än 60 dagar,
3. inskrivning och krigsplacering av totalförsvarspliktiga,
4. antagning till utbildning vid Försvarsmakten, eller
5. skyldighet att tjänstgöra med totalförsvarsplikt samt uppskov med
och avbrott i sådan tjänstgöring.
Sekretessen gäller inte beslut i ärende. För uppgift i en allmän handling gäller sekretessen i högst femtio år.
Även före pliktregisterlagens införande hade bestämmelsen sin huvudsakliga motsvarighet i 7 kap. 12 § första stycket dåvarande sekretesslagen. Sekretessen gällde i ärende om inskrivning av totalförsvarspliktiga och i ärende om antagning av kvinnor till befattningar inom totalförsvaret som krävde längre grundutbildning än 60 dagar för uppgift om enskilds personliga förhållanden, om det kunde antas att den enskilde eller någon honom närstående led men om uppgiften röjdes (nuvarande punkter 2 och 3). Motsvarande sekretess gällde i ärende angående antagning till utbildning vid Försvarsmakten, skyldighet att tjänstgöra med totalförsvarsplikt samt uppskov med och avbrott i sådan tjänstgöring (nuvarande punkter 4 och 5). I samband med att pliktregisterlagen infördes kompletterades sekretessen att gälla också uppgifter i utredning om totalförsvarspliktigas personliga förhållanden samt i ärende om krigsplacering av totalförsvarspliktiga (nuvarande punkter 1 och 3).
Bestämmelsen om sekretess enligt punkten 1 är i första hand tillämplig hos Rekryteringsmyndigheten som ansvarar för och genomför mönstring och andra utredningar beträffande de totalförsvarspliktiga. Bestämmelsen är dock även tillämplig hos andra myndigheter som utför utredningar om totalförsvarspliktigas personliga förhållanden. I förarbetena (prop. 1997/98:80 s. 74 f.) till bestämmelsen diskuterades frågan om sekretess för personuppgifter som framkommer vid utredning om totalförsvarspliktigas personliga förhållanden. Sveriges Psykologförbund anförde bl.a. att för uppgifter som framkommit vid en psykologisk undersökning som utförs vid mönstring eller motsvarande gäller endast sekretess enligt ett rakt skaderekvisit. Vid sådan undersökning inhämtas ofta mycket känsliga uppgifter av personlig natur avseende de enskilda individer som omfattas av undersökningen. När sådan psykologisk undersökning genomförs inom t.ex. hälso- och sjukvården, socialtjänsten eller skolans elevvård, skyddas uppgifter av ett omvänt skaderekvisit. Enligt förbundets uppfattning talade starka skäl för att motsvarande sekretesskydd med omvänt skaderekvisit borde införas för uppgifter från psykologiska undersökningar som utförs vid mönstring eller motsvarande. Även Rekryteringsmyndigheten ansåg att uppgifter hänförliga till medicinska eller psykologiska undersökningar borde skyddas med ett omvänt skaderekvisit. Båda remissinstanserna påpekade således att journalhandlingar som lämnas från utbildningsenheterna till Rekryteringsmyndigheten liksom uppgifter
ur psykologiska undersökningar som utförts hos myndigheten och överlämnas till utbildningsenheter, är skyddade med olika skaderekvisit beroende på hos vilken myndighet uppgifterna finns. Detta förhållande ansåg regeringen inte vara ändamålsenligt men då frågan inte hade behandlats av utredningen, behövde denna fråga övervägas ytterligare innan ett ställningstagande kunde göras.
Sekretessen gäller också i ärenden om antagning av kvinnor till vissa befattningar inom totalförsvaret (punkten 2). Lagen (1994:1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning upphävdes dock den 1 juli 2010, då även kvinnor kom att omfattas av de allmänna bestämmelserna om skyldighet att genomgå mönstring och fullgöra värnplikt.
Vidare gäller sekretessen i ärenden om inskrivning och krigsplacering av totalförsvarspliktiga (punkten 3). I denna del är bestämmelsen tillämplig hos Rekryteringsmyndigheten och Statens överklagandenämnd. Som exempel på vad som kan sekretessbeläggas vid inskrivningen kan nämnas uppgifter som kommer fram vid de psykologiska undersökningarna. Att det finns behov av sekretess för sådana undersökningar som görs i samband med inskrivning är uppenbart. Vårdmyndigheter lämnar bl.a. känsliga uppgifter om värnpliktiga. Dessa uppgifter omfattas av sekretess hos ursprungsmyndigheterna. De bör inte vara offentliga när de förekommer i ärende om inskrivning av värnpliktig (prop. 1979/80:2 Del A, s. 204 f.). Det är dock inte bara dessa mera utpräglat känsliga uppgifter som bestämmelsen avser att skydda utan den tar sikte på ömtåliga uppgifter över huvud taget som förekommer i sammanhanget. I fråga om de medicinska undersökningar av hälsotillstånd och fysiska kvalifikationer i övrigt som försiggår vid inskrivningen är också bestämmelserna i 25 kap. 1 § offentlighets- och sekretesslagen tillämpliga. Under grundutbildningen förekommer det att förbandsläkare och annan hälso- och sjukvårdspersonal vid utbildningsenheterna för journalanteckningar beträffande pliktpersonal. Rekryteringsmyndigheten behöver dessa journalanteckningar som underlag vid bedömningen av hur den totalförsvarspliktige bäst ska kunna användas inom totalförsvaret efter genomförd grundutbildning. Sekretess kan gälla även för dessa uppgifter.
Sekretessen enligt första stycket gäller också i ärenden om antagning till utbildning vid Försvarsmakten (punkten 4). Härmed avses framför allt de särskilda prövningar som vissa aspiranter till fast
anställning vid försvaret går igenom före antagningen. Den 1 juli 2010 infördes vissa frivilliga utbildningar inom Försvarsmakten. Bestämmelsen är tillämplig på ömtåliga personliga uppgifter som förekommer vid dessa prövningar i samband med t.ex. psykologiska prov och medicinska och andra undersökningar.
Vidare gäller sekretessen enligt första stycket i ärenden som angår skyldighet att tjänstgöra med totalförsvarsplikt samt uppskov med och avbrott i sådan tjänstgöring (punkten 5).
En förutsättning för att sekretess ska gälla i de aktuella ärendena enligt punkterna 1–5 är att det kan antas att uppgifterna gäller enskilds personliga förhållanden samt att den enskilde eller någon närstående till denne lider men om uppgifterna röjs. Ett rakt skaderekvisit gäller alltså med en presumtion för offentlighet. Genom att sekretessen är begränsad till att gälla endast för uppgifter om enskilds personliga förhållanden kan bara sådana uppgifter om ekonomiska förhållanden som är av mera personlig natur sekretesskyddas. Detta innebär t.ex. att en näringsidkare inte kan påräkna något sekretesskydd för uppgifter om sin rörelse som lämnas i ett anståndsärende (Lenberg, E. m.fl., kommentaren till 38 kap. 1 §).
Personalvård för den som tjänstgör med totalförsvarsplikt
Enligt 38 kap. 2 § offentlighets- och sekretesslagen gäller sekretess inom personalvård med avseende på den som tjänstgör med totalförsvarsplikt för uppgift som hänför sig till psykologisk undersökning och för uppgift om en enskilds personliga förhållanden hos en konsulent eller annan befattningshavare som särskilt har till uppgift att bistå med råd och hjälp i personliga angelägenheter, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. För uppgift i en allmän handling gäller sekretessen i högst femtio år.
Enligt bestämmelsen gäller sekretess inom Försvarsmaktens personalsociala verksamhet avseende de totalförsvarspliktiga. Sekretessen gäller med ett omvänt skaderekvisit och tar sikte på bl.a. uppgifter som hänför sig till psykologisk undersökning. Det råder således en presumtion för att uppgifterna omfattas av sekretess. Att märka är att psykologiska undersökningar som sker i annat än personalvårdande sammanhang, t.ex. vid inskrivningen, inte omfattas av den strängare sekretessen i denna paragraf. Sekretessen gäller här vidare för uppgifter om enskildas personliga förhållanden hos försvarets särskilda personalvårdsfunktionärer. I fråga om den personalsociala verksamhet som avser anställda inom Försvarsmakten finns motsvarande bestämmelser i 39 kap. 1 § offentlighets- och sekretesslagen (Lenberg, E. m.fl., kommentaren till 38 kap. 2 §).
Utbildning för totalförsvarsändamål
Enligt 38 kap. 3 § offentlighets- och sekretesslagen gäller sekretess inom verksamhet som avser utbildning för totalförsvarsändamål av den som tjänstgör med totalförsvarsplikt för uppgift som hänför sig till psykologisk undersökning och för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. För uppgift i en allmän handling gäller sekretessen i högst femtio år.
Sekretess gäller således för uppgifter som hänför sig till psykologiska undersökningar och för uppgifter om den totalförsvarspliktiges personliga förhållanden inom verksamhet som avser utbildning för totalförsvarsändamål. Bestämmelsen är därmed tillämplig hos befattningshavare vid totalförsvarets utbildningsenheter.
Av förarbetena (prop. 1997/98:80, s. 75 f.) till bestämmelsen framgår bl.a. följande. När den totalförsvarspliktige rycker in till grundutbildning får den utbildningsansvarige, utöver basdata som adress, personnummer osv., tillgång till en mängd känsliga uppgifter om den totalförsvarspliktige. Av uppgifterna framgår bl.a. omdömen lämnade av Rekryteringsmyndigheten om den totalförsvarspliktiges psykiska funktionsförmåga, allmänna begåvning, hälsa, fysiska arbetsförmåga samt befäls- och arbetsledarlämplighet. Uppgifterna lämnas i form av ett hälsokort och ett grundutbildningskort. I grundutbildningskortet anges till en början den kravprofil som ställs för den
befattning den totalförsvarspliktige tagits ut till både vad avser psykologisk profil och medicinsk profil. Kraven anges med en graderad sifferkod och med en skriftlig redogörelse för graderingens betydelse. I utbildningskortet anges därefter den pliktiges psykologiska profil och medicinska profil ställd mot nyss nämnda kravprofil för befattningen. Avseende psykologisk profil för den totalförsvarspliktige anges, utöver en sifferkod, skriftliga omdömen om dennes befäls- och arbetsledarlämplighet, psykiska funktionsförmåga, resultat av begåvningsprov och hälsa. I den medicinska profilen anges skriftliga omdömen om bl.a. uppgifter om den pliktiges fysiska arbetsförmåga och även sådana uppgifter som exempelvis anlag för cellskräck eller svindel.
Sekretessen avgränsas med ett omvänt skaderekvisit. Detta innebär att en uppgift inte får lämnas ut, om det inte står klart att uppgiften kan röjas utan att den enskilde eller hans eller hennes närstående lider men. Presumtionen är alltså för sekretess. Enligt regeringen motiverar de aktuella personuppgifternas känslighet ett omvänt skaderekvisit (a. prop. s. 76). Som påpekats ovan, har uppgifter från psykologiska undersökningar således ett starkare sekretesskydd hos befattningshavaren vid utbildningsenheten än vad uppgifterna har hos Rekryteringsmyndigheten.
Det förekommer att utbildning av totalförsvarspliktiga som ska tjänstgöra med civilplikt genomförs hos ett organ som inte är en myndighet. Om det skulle vara aktuellt att lämna ut uppgifter till dessa utbildningsanordnare, torde detta kunna ske med förbehåll med stöd av 10 kap. 14 § offentlighets- och sekretesslagen (a. prop. s. 76).
12.3. Våra överväganden och förslag
12.3.1. Ett förstärkt sekretesskydd
Utredningens bedömning och förslag: Uppgifter om totalför-
svarspliktigas personliga förhållanden omfattas av sekretesskydd i flera bestämmelser i offentlighets- och sekretesslagen. Dessa bestämmelser täcker den verksamhet där Rekryteringsmyndigheten använder sig av sådana uppgifter. Det finns således inget behov av andra sekretessbestämmelser än de befintliga för att skydda de totalförsvarspliktigas personliga integritet.
Sekretesskyddet bör dock stärkas i ärenden som rör utredning, inskrivning, krigsplacering m.m. Ett sekretesskydd med omvänt skaderekvisit ska därför införas i 38 kap. 1 § offentlighets- och sekretesslagen. Det innebär att uppgifter om enskilds personliga förhållanden som förekommer i den typen av ärenden inte får lämnas ut, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Skäl att förlänga sekretesstiden har dock inte kommit fram.
Tanken bakom såväl offentlighets- och sekretesslagstiftningen som personuppgiftslagen och annan lagstiftning som reglerar behandlingen av personuppgifter är behovet av att kunna skydda den enskildes personliga integritet. När information ska utbytas eller lämnas ut måste hänsyn tas till om – och i så fall i vilken grad – sekretess gäller för de aktuella uppgifterna. Samtidigt är det viktigt med ett effektivt sekretesskydd för känsliga personuppgifter.
Den behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret som sker i Rekryteringsmyndighetens verksamhet omfattas av den befintliga sekretessregleringen som det redogjorts för i avsnitt 12.2. Dessa bestämmelser täcker den verksamhet där Rekryteringsmyndigheten använder sig av sådana uppgifter. Det finns således inget behov av andra sekretessbestämmelser än de befintliga för att skydda de totalförsvarspliktigas personliga integritet.
Samtliga uppgifter som Rekryteringsmyndigheten erhåller och behandlar vid bl.a. utredning om totalförsvarspliktigas personliga förhållanden, inskrivning och krigsplacering av totalförsvarspliktiga, antagning till utbildning vid Försvarsmakten eller vid tjänstgöring med totalförsvarsplikt omfattas av sekretess enligt 38 kap. 1 § offentlighets- och sekretesslagen. För uppgifterna råder en presumtion för offentlighet (rakt skaderekvisit). I den mån uppgifter om en totalförsvarspliktigs hälsotillstånd förekommer inom ramen för den medicinska grenen av verksamheten omfattas de dock även av sekretess enligt 25 kap. 1 § offentlighets- och sekretesslagen och skyddas då av ett omvänt skaderekvisit. För denna typ av uppgifter är alltså sekretesskyddets styrka beroende av var i verksamheten som uppgifterna befinner sig. Uppgifter om den totalförsvarspliktiges personliga förhållanden som framkommer vid mönstring eller annan utredning lämnas regelmässigt över till befattningshavare vid total-
försvarets utbildningsenheter, företrädesvis Försvarsmakten. För denna verksamhet gäller det motsatta förhållandet, dvs. det råder en presumtion för sekretess (omvänt skaderekvisit). Detta innebär att samtliga uppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret som lämnas över från Rekryteringsmyndigheten till Försvarsmakten eller andra mottagare för utbildning för totalförsvarsändamål, åtnjuter ett svagare sekretesskydd hos Rekryteringsmyndigheten än hos totalförsvarets utbildningsenheter.
Detta förhållande, som uppmärksammades av regeringen redan vid tillkomsten av bestämmelsen i dess nuvarande lydelse, är enligt vår bedömning inte tillfredsställande. En betydande del av de uppgifter som lämnas till och behandlas av Rekryteringsmyndigheten är antingen känsliga personuppgifter eller uppgifter av mycket integritetskänslig karaktär. Därtill rör det sig om en betydande mängd uppgifter om en stor del av befolkningen. Flertalet av uppgifterna härrör också från den lagstadgade skyldigheten för totalförsvarspliktiga att lämna uppgifter om sina personliga förhållanden och lämnas under straffansvar (jfr 2 kap. 1 § och 10 kap. 1 § lagen (1994:1809) om totalförsvarsplikt). Dessa omständigheter talar sammantaget för att uppgifterna bör omfattas av ett starkt sekretesskydd även hos Rekryteringsmyndigheten. Uppgifterna bör följaktligen åtnjuta ett lika starkt sekretesskydd hos Rekryteringsmyndigheten som hos totalförsvarets utbildningsenheter. Vi föreslår mot denna bakgrund att ett motsvarande sekretesskydd med omvänt skaderekvisit bör införas i 38 kap. 1 § offentlighets- och sekretesslagen. Uppgifter om en enskilds personliga förhållanden som avses i denna bestämmelse ska således inte få lämnas ut, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Ett förstärkt sekretessskydd kommer därmed även att gälla i de fall andra myndigheter ska tillämpa bestämmelsen såsom Statens ansvarsnämnd och Försvarsmakten.
Det kan konstateras att uppgifter om enskilds hälsotillstånd åtnjuter sekretesskydd under en längre tid enligt 25 kap. 1 § offentlighets- och sekretesslagen än uppgifter som behandlas i Rekryteringsmyndighetens verksamhet med stöd av 38 kap. 1 §. Skäl att stärka sekretesskyddet enligt den senare bestämmelsen också på så sätt att sekretesstiden förlängs har emellertid inte kommit fram.
Lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning har upphävts. Eftersom uppgift-
erna bevaras fram till dess att den enskilde fyller 47 år finns det dock fortfarande behov av sekretess för uppgifter som har lämnats i ärenden enligt den lagen. Bestämmelsen i 38 kap. 1 § 2 om sekretess för uppgift som förekommer i ärende som angår antagning av kvinnor till befattningar inom totalförsvaret som kräver längre grundutbildning än 60 dagar bör därför finnas kvar.
12.3.2. En ny sekretessbrytande bestämmelse
Utredningens förslag: Den del av Rekryteringsmyndighetens
verksamhet som avser medicinsk insats ska trots sekretess kunna lämna uppgift om en enskild till inskrivningsverksamheten inom samma myndighet, om det krävs att uppgiften lämnas för inskrivning enligt lagen (1994:1809) om totalförsvarsplikt.
Enligt 38 kap. 1 § första stycket 1 offentlighets- och sekretesslagen gäller sekretess för samtliga uppgifter som framkommer vid utredning om totalförsvarspliktigas personliga förhållanden. Uppgifter om hälsotillstånd som lämnas i samband härmed inom ramen för den medicinska grenen av verksamheten omfattas även av sekretess enligt 25 kap. 1 § offentlighets- och sekretesslagen. Enligt denna bestämmelse gäller sekretess även inom annan medicinsk verksamhet än hälso- och sjukvård, varmed bl.a. avses Rekryteringsmyndighetens verksamhet, för uppgifter om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider men. För Rekryteringsmyndighetens medicinska verksamhet gäller således samma sekretess som för annan hälso- och sjukvård.
Möjligheten att lämna ut sekretessbelagda uppgifter som omfattas av sekretess enligt 25 kap. 1 § offentlighets- och sekretesslagen till annan verksamhet är mycket begränsad och förekommer endast i undantagsfall (se de sekretessbrytande bestämmelserna i 25 kap.11–14 §§offentlighets- och sekretesslagen). Sekretess enligt 25 kap. 1 § har också undantagits från tillämpningsområdet för den s.k. generalklausulen i 10 kap. 27 § offentlighets- och sekretesslagen, som i vissa fall bryter sekretess mellan myndigheter (andra stycket).
Enligt 8 kap. 1 § offentlighets- och sekretesslagen får en uppgift för vilken sekretess gäller enligt den lagen inte röjas för andra myndigheter, om inte annat anges i den lagen eller i lag eller förordning som lagen hänvisar till. Av 8 kap. 2 § följer att vad som föreskrivs om sekretess mot andra myndigheter i 1 § och vad som föreskrivs i andra bestämmelser om uppgiftslämnande till andra myndigheter och överföring av sekretess mellan myndigheter, gäller också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra. Det är således inte fritt fram för personal inom en myndighet att lämna uppgifter som omfattas av sekretess till varandra.
Frågan om det finns en sekretessgräns mellan olika verksamheter inom en myndighet har behandlats i ett antal olika propositioner (se t.ex. prop. 2007/08:126, s. 162 f.). I dessa förarbeten har slagits fast att om olika delar av en myndighets verksamhet har att tillämpa olika sekretessbestämmelser får de anses utgöra olika verksamhetsgrenar i sekretesslagens mening. Först om olika delar av en myndighet utgör olika verksamhetsgrenar i sekretesslagens mening finns det skäl att även ta ställning till om de också är att betrakta som självständiga i förhållande till varandra. Frågan om när verksamhetsgrenar inom samma myndighetsorganisation är att betrakta som självständiga i förhållande till varandra kan dock vara svårbedömd och har diskuterats både i lagstiftningsarbetet och i rättspraxis (se bl.a. a. prop. s. 162 f. och HFD 2013 ref. 40).
Det kan konstateras att den behandling av personuppgifter som utförs inom Rekryteringsmyndighetens medicinska verksamhet omfattas av patientdatalagens tillämpningsområde. Uppgifter om en totalförsvarspliktigs hälsotillstånd som behandlas i denna verksamhet, t.ex. vid medicinska undersökningar, omfattas av den s.k. hälso- och sjukvårdssekretessen i 25 kap. 1 § offentlighets- och sekretesslagen. Den verksamhet som bedrivs i samband med inskrivning av totalförsvarspliktiga till värnplikt, civilplikt eller i en utbildningsreserv enligt lagen om totalförsvarsplikt omfattas av pliktregisterlagen och kommer även att omfattas av den nya lagens tillämpningsområde. De uppgifter som behandlas i denna verksamhet omfattas av sekretess enligt 38 kap. 1 § offentlighets- och sekretesslagen.
Eftersom inskrivningsverksamheten och den medicinska delen av verksamheten tillämpar helt skilda sekretessbestämmelser talar mycket för att de kan anses utgöra olika verksamhetsgrenar i offent-
lighets- och sekretesslagens mening. Vidare är Rekryteringsmyndigheten organiserad på ett sådant sätt att det kan hävdas att de båda verksamhetsgrenarna kan anses vara självständiga i förhållande till varandra. Det kan därför finnas ett behov av att möjligheten att lämna över uppgifter från den medicinska verksamheten till inskrivningsverksamheten säkerställs genom en sekretessbrytande bestämmelse.
För att ställning ska kunna tas till om en totalförsvarspliktig ska skrivas in till värnplikt, civilplikt eller i en utbildningsreserv enligt lagen om totalförsvarsplikt behövs uppgifter om den totalförsvarspliktiges hälsa. Uppgifter om hälsa inhämtas framför allt vid de medicinska undersökningar som genomförs i samband med mönstringen. För att inskrivningshandläggarna ska kunna fatta ett välgrundat beslut om inskrivning krävs att de har tillgång till ett fullständigt beslutsunderlag om den totalförsvarspliktiges hälsotillstånd. Uppgifterna behövs också för att ställning ska kunna tas till om den totalförsvarspliktige av hälsoskäl inte är lämplig för tjänstgöring inom totalförsvaret.
För att säkerställa att uppgifter om hälsotillstånd kan lämnas över från Rekryteringsmyndighetens medicinska verksamhet till personal som arbetar inom inskrivningsverksamheten utan hinder av sekretess, föreslår vi att en sekretessbrytande bestämmelse införs i 25 kap. offentlighets- och sekretesslagen. Bestämmelsen ska endast vara tillämplig då uppgifter lämnas inom Rekryteringsmyndigheten. Det ska också understrykas att uppgifter bara får lämnas till den personal inom inskrivningsverksamheten som behöver dem för beslut om inskrivning enligt lagen om totalförsvarsplikt. I förhållande till övrig personal gäller vanliga regler om sekretess.
13. Ikraftträdande
13.1. Ikraftträdande
Utredningens förslag: Lagen och förordningen liksom lagen om
ändring i offentlighets- och sekretesslagen ska träda i kraft den 1 november 2018.
Dataskyddsförordningen trädde i kraft den 4 maj 2016. Enligt artikel 99.2 i dataskyddsförordningen ska förordningen tillämpas från och med den 25 maj 2018. Av artikel 94 följer vidare att dataskyddsdirektivet ska upphöra att gälla med verkan från samma dag och att hänvisningar till det upphävda direktivet ska anses som hänvisningar till förordningen. Eftersom dataskyddsförordningen till alla delar är bindande och direkt tillämplig i medlemsstaterna, måste nationella författningar som inte är förenliga med förordningen antingen upphävas eller anpassas per detta datum.
Dataskyddsutredningen har föreslagit att den kompletterande dataskyddslagen ska träda i kraft den 25 maj 2018, samtidigt som personuppgiftslagen (1998:204) ska upphöra att gälla. Personuppgiftslagen föreslås dock övergångsvis fortsätta gälla i den utsträckning som det i en annan lag eller förordning finns bestämmelser som innehåller hänvisningar till den (SOU 2017:39, s. 340 f.). Vårt förslag till ny lag och förordning har utformats mot bakgrund av den föreslagna dataskyddslagens bestämmelser. Eftersom den nya lagen föreslås ha företräde framför dataskyddslagen (se avsnitt 6.2.6) innebär det att bestämmelserna i dataskyddslagen ska gälla om inte annat följer av den nya lagen eller föreskrifter som har meddelats med stöd av denna. En förutsättning för att den nya lagen och förordningen ska kunna träda i kraft är därmed att dataskyddslagen har trätt i kraft. Eftersom både dataskyddsförordningen och dataskyddslagen ska tillämpas från och med den 25 maj 2018 bör den
föreslagna regleringen träda i kraft så snart som möjligt därefter. Vi föreslår därför att den nya lagen och förordningen ska träda i kraft den 1 november 2018.
Eftersom dataskyddsförordningen är direkt tillämplig och enligt vårt förslag i tillämpliga delar ska tillämpas av Rekryteringsmyndigheten från och med den 25 maj 2018 (se 1 kap. 2 § dataskyddslagen) medför ett införande av de föreslagna övergångsbestämmelserna vissa tillämpningsproblem för myndigheten. Som övergångsbestämmelserna är utformade innebär de att personuppgiftslagen, genom hänvisningen till densamma i pliktregisterlagen, övergångsvis ska tillämpas trots att dataskyddsförordningen är direkt tillämplig och därigenom har företräde framför personuppgiftslagen. I praktiken innebär det att Rekryteringsmyndigheten under övergångsperioden den 25 maj 2018 till och med den 31 oktober 2018 har att tillämpa fyra lagar parallellt – dataskyddsförordningen, dataskyddslagen, personuppgiftslagen och pliktregisterlagen. Rekryteringsmyndighetens behandling av personuppgifter utgör emellertid ett led i en verksamhet som inte omfattas av unionsrätten och faller som sådan utanför dataskyddsförordningens egentliga tillämpningsområde (jfr artikel 2.2. a i dataskyddsförordningen). Det är således inte nödvändigt att dataskyddsförordningen och dataskyddslagen ska tillämpas redan från och med den 25 maj 2018. I stället skulle enbart pliktregisterlagen och personuppgiftslagen kunna tillämpas under övergångsperioden. Detta förutsätter emellertid att övergångsbestämmelserna till dataskyddslagen utformas på ett annat sätt än vad som nu har föreslagits. Denna fråga får således beaktas inom ramen för det fortsatta lagstiftningsarbetet om införandet av den kompletterande dataskyddslagen och de överväganden som då görs av behovet av övergångsbestämmelser till den lagen.
De föreslagna ändringarna i offentlighets- och sekretesslagen (2009:400) är i och för sig inte beroende av att dataskyddsförordningen och dataskyddslagen har trätt i kraft men bör ändå träda i kraft vid samma tidpunkt som den nya lagen och förordningen, dvs. den 1 november 2018.
Eftersom den nya lagen och förordningen ersätter pliktregisterlagen respektive förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga, bör dessa författningar upphävas när den nya regleringen träder i kraft. Den nya lagen och förordningen kompletterar dataskyddsförordningen och den föreslagna
dataskyddslagen samt innehåller hänvisningar till dessa. Vid den nya regleringens ikraftträdande har såväl dataskyddsförordningen som dataskyddslagen trätt i kraft. Några särskilda övergångsbestämmelser med anledning av detta behövs således inte. Enligt vår bedömning finns det inte heller i övrigt behov av några särskilda övergångsbestämmelser med anledning av de förslag som lämnas.
14. Konsekvenser
14.1. Vårt uppdrag
Kommittéförordningen
Enligt 14–15 a §§kommittéförordningen (1998:1474) ska en utredning redovisa vilka konsekvenser förslagen i ett betänkande kan få i vissa avseenden. Om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda, ska en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt, ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, ska kommittén föreslå en finansiering (14 §). Om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen, ska konsekvenserna i det avseendet anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen (15 §). Om ett betänkande innehåller förslag till nya eller ändrade regler, ska förslagens kostnadsmässiga och andra konsekvenser anges i betänkandet. Konsekvenserna ska anges på ett sätt som motsvarar de krav på innehållet i konsekvensutredningar som finns i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning (15 a §).
Våra direktiv
Enligt våra direktiv ska vi bedöma de ekonomiska konsekvenserna för det allmänna och för enskilda som utredningens förslag kan komma att medföra. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna ska vi föreslå hur dessa ska finansieras. Vi ska också redovisa förslagens konsekvenser för den personliga integriteten.
14.2. Vårt förslag till ny reglering
I enlighet med våra direktiv har vi utarbetat ett förslag till en ny lag om behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret i Rekryteringsmyndighetens verksamhet (totalförsvarsdatalagen) och en anslutande förordning (totalför-
svarsdataförordningen) som föreslås ersätta den nu gällande plikt-
registerlagen respektive förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga. Vi har också analyserat vilket förhållande lagstiftningen ska ha till EU:s dataskyddsförordning och den kommande kompletterande dataskyddslagen. I den delen har vi funnit att dataskyddsförordningen och den kompletterande dataskyddslagen i tillämpliga delar ska tillämpas vid Rekryteringsmyndighetens behandling av personuppgifter i enlighet med bestämmelserna i förslaget till dataskyddslag. Utgångspunkten för vårt uppdrag har varit att Rekryteringsmyndighetens verksamhet ska kunna bedrivas effektivt med rationellt datorstöd samtidigt som enskildas rätt till personlig integritet tillgodoses.
Syftet med förslagen är att införa en modern, teknikneutral och flexibel reglering för Rekryteringsmyndighetens personuppgiftsbehandling för att myndighetens verksamhet ska kunna bedrivas så effektivt och ändamålsenligt som möjligt samtidigt som enskildas rätt till personlig integritet tillgodoses vid sådan behandling.
14.3. Konsekvenser för den personliga integriteten
Vår bedömning: Sammantaget gör vi bedömningen att våra
förslag innebär en förstärkning av skyddet för enskildas personliga integritet. Förslagen kan emellertid i vissa enskilda delar uppfattas ha negativa konsekvenser för den personliga integriteten. I dessa delar har den avvägning som vi har gjort mellan detta och andra intressen redovisats.
Dataskyddsförordningens bestämmelser anses sammantaget innebära ett förstärkt skydd för enskildas personliga integritet och ge enskilda bättre möjligheter att kontrollera behandlingen av deras personuppgifter. Vårt förslag innebär att förordningens bestämmelser i tillämpliga delar även ska tillämpas i fråga om Rekryteringsmyndighetens behandling av personuppgifter liksom bestämmelser i den kompletterande dataskyddslagen. Enbart i de fall där det finns behov av särskilda bestämmelser för myndighetens del har sådana föreslagits. Dessa bestämmelser innebär i flertalet fall inte någon avvikelse från de generellt tillämpliga bestämmelserna utan endast en precisering av dessa. Våra författningsförslag syftar allmänt till att modernisera regleringen så att den är anpassad till gällande terminologi och dagens användning av datorstöd samt annan reglering på området. På detta sätt blir regleringen tydligare och enklare att tillämpa. Sammantaget innebär detta enligt vår bedömning en förstärkning av skyddet för enskildas personliga integritet vid Rekryteringsmyndighetens behandling av personuppgifter.
I enlighet med vårt uppdrag har vi också analyserat den behandling av personuppgifter som får ske hos Rekryteringsmyndigheten utifrån det nya grundlagsskyddet för den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen. Genom vår analys har vi funnit att grundlagsskyddet påkallar lagstöd för vissa delar av den behandling som sker och vi har utformat våra bestämmelser utifrån det. I samband därmed har vi också funnit att de grundläggande bestämmelserna för behandling av personuppgifter om totalförsvarspliktiga bör ges i form av lag, medan övriga bestämmelser kan regleras på en lägre normhierarkisk nivå i form av förordning. Det kan således konstateras att skyddet för den personliga integriteten har beaktats också utifrån ett mer principiellt perspektiv.
I materiell mening innebär förslagen inte så stora förändringar jämfört med den nu gällande regleringen. Däremot har de enskilda bestämmelserna om exempelvis ändamålsbegränsningar, sökförbud och avskiljande av personuppgifter utformats så att de är bättre anpassade till dagens förhållanden både rent faktiskt och rättsligt. Bestämmelsen om begränsning av tillgången till personuppgifter är dock en nyhet och innebär ett förstärkt skydd för den personliga integriteten. Även förslaget om ett starkare sekretesskydd för uppgift om enskilds personliga förhållanden i ärenden om bl.a. utredning om totalförsvarspliktigas personliga förhållanden innebär ett förstärkt integritetsskydd.
Det föreslagna undantaget för behandling av känsliga personuppgifter innebär en utvidgad möjlighet till behandling både i förhållande till nu gällande bestämmelser i pliktregisterlagen och till vad som avses gälla generellt på myndighetsområdet i den kommande dataskyddslagen. Bestämmelsen har emellertid utformats med en begränsning att sådan behandling måste vara absolut nödvändig för de i lagen angivna ändamålen. Det är vår bedömning att förslaget är väl motiverat med hänsyn till Rekryteringsmyndighetens behov. Det får därför anses vara ett viktigt allmänt intresse att behandlingen kan ske. Bestämmelsen har dock avgränsats så att nödvändiga integritetsskyddsaspekter beaktas. Vårt förslag om att dataskyddsförordningens och dataskyddslagens bestämmelser om tillsynsmyndighetens befogenhet att förbjuda behandling inte ska gälla vid behandling enligt denna lag kan uppfattas som negativt för skyddet för enskildas personliga integritet. Detsamma gäller det föreslagna undantaget från skyldigheten att rapportera personuppgiftsincidenter till tillsynsmyndigheten enligt dataskyddsförordningen. Båda förslagen har emellertid motiverats med hänsyn till att myndighetens verksamhet har betydelse för rikets säkerhet.
Det kan konstateras att våra förslag i vissa enskilda delar kan uppfattas ha negativa konsekvenser för den personliga integriteten. I dessa delar har den avvägning som vi har gjort mellan detta och andra intressen redovisats. Sammantaget gör vi emellertid bedömningen att förslagen innebär en förstärkning av skyddet för enskildas personliga integritet.
14.4. Ekonomiska konsekvenser
Vår bedömning: Förslagen kommer inte att innebära någon kost-
nadsökning för det allmänna eller för enskilda.
Vår konsekvensbedömning utgår från vårt uppdrag så som det är formulerat i direktiven. Det innebär att vi har gjort en analys av om den nya lagstiftningen bör vara helt fristående och har därvid funnit att dataskyddsförordningen och den kompletterande dataskyddslagen i tillämpliga delar i princip ska tillämpas även i fråga om Rekryteringsmyndighetens behandling av personuppgifter. Genom bestämmelser i dataskyddslagen görs dataskyddsförordningen tillämplig även för personuppgiftsbehandling som sker i verksamhet som inte omfattas av unionsrätten. En konsekvensanalys av denna bestämmelse görs i det lagstiftningsärende som rör den lagen. Det framstår inte som meningsfullt att i detalj försöka analysera vilka konsekvenser som enskilt kan uppstå för Rekryteringsmyndigheten med anledning av detta. Vi har därför begränsat konsekvensanalysen till sådana konsekvenser som följer direkt av våra förslag. I de delar dataskyddsförordningen och den kompletterande dataskyddslagen ska tillämpas av Rekryteringsmyndigheten kan det dock antas uppstå behov av ökad administration, nya interna rutiner, utbildningsinsatser m.m.
Förslagen avser att reglera en redan pågående verksamhet hos Rekryteringsmyndigheten och har därför anpassats till befintliga informationssystem. Dessa kan således behållas. Eftersom förslagen är teknikoberoende kan även informationssystemen utvecklas och ändras utan att lagstiftningen behöver ändras. De krav som regleringen ställer bör därför kunna uppfyllas genom en anpassning eller utveckling av de befintliga systemen samt genom utbildning och instruktioner till myndighetens anställda. Kostnader för utbildning täcks normalt av myndighetens anslag och bör därför rymmas inom befintliga kostnadsramar. Nya interna föreskrifter och styrande dokument som kan komma att krävas med anledning av den nya lagstiftningen får anses ingå i de normala uppgifterna för Rekryteringsmyndigheten. Även förslaget om krav på avskiljande får anses utgöra en del av det ordinarie utvecklingsarbetet och borde följaktligen inte medföra några större merkostnader för Rekryteringsmyndigheten.
Förslagen har inga ekonomiska konsekvenser för kommuner, landsting, företag eller andra enskilda. Vi gör därför bedömningen att författningsförslagen inte kommer att medföra sådana kostnadsmässiga konsekvenser som avses i 14 § kommittéförordningen.
14.5. Konsekvenser i övrigt
Vår bedömning: Förslagen förväntas inte få några konsekvenser
i övrigt.
Förslagen får inte några särskilda konsekvenser för kommuner, landsting eller den kommunala självstyrelsen. Förslagen förväntas inte heller få några konsekvenser för jämställdheten, integrationen eller andra sådana konsekvenser som avses i 15 och 15 a §§kommittéförordningen.
15. Författningskommentar
15.1. Förslaget till totalförsvarsdatalag
Lagens syfte
1 § Syftet med denna lag är att ge Totalförsvarets rekryteringsmyndig-
het (Rekryteringsmyndigheten) möjlighet att i sin verksamhet behandla personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret på ett effektivt och ändamålsenligt sätt samtidigt som skyddet för den enskildes personliga integritet tillgodoses vid sådan behandling.
I paragrafen anges lagens övergripande syfte. Övervägandena finns i avsnitt 7.2.
Syftet med lagen är dubbelt. Lagen ska både ge Rekryteringsmyndigheten möjlighet att i sin verksamhet behandla personuppgifter om totalförsvarspliktiga och annan personal inom försvaret på ett effektivt och ändamålsenligt sätt och samtidigt skydda enskilda mot att deras personliga integritet kränks vid sådan behandling. Därmed tydliggörs att lagen har till syfte att balansera båda dessa intressen.
Paragrafen är en portalbestämmelse som har en informativ och symbolisk betydelse. Paragrafen klargör dels den övergripande målsättningen med regleringen, vilken är att reglera Rekryteringsmyndighetens personuppgiftsbehandling i förhållande till enskildas behov av dataskydd. Paragrafen klargör även att lagen endast innehåller dataskyddsrättsliga bestämmelser och att den ger vägledning för hur de materiella bestämmelserna i lagen bör tolkas.
Lagens tillämpningsområde
2 § Denna lag tillämpas i Rekryteringsmyndighetens verksamhet vid
behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret.
I de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av någon annan än Rekryteringsmyndigheten.
När sådan behandling av personuppgifter som avses i första stycket utförs av Rekryteringsmyndigheten i egenskap av vårdgivare inom hälso- och sjukvården tillämpas patientdatalagen (2008:355) .
Paragrafen anger lagens materiella tillämpningsområde. Övervägandena finns i avsnitt 7.3.3 (första och andra stycket) och 7.3.5 (tredje stycket).
I första stycket anges att lagen tillämpas i Rekryteringsmyndighetens verksamhet vid behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret. Begreppen behandling respektive personuppgifter har samma betydelse som i artikel 4 i dataskyddsförordningen. Med behandling avses således en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. Begreppet personuppgifter omfattar varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Behandling av personuppgifter om avlidna eller juridiska personer omfattas således inte av lagens bestämmelser (jfr artikel 4.1 och skäl 27 i dataskyddsförordningen).
Både behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret omfattas. Med behandling av personuppgifter om annan personal inom totalförsvaret avses den
behandling som Rekryteringsmyndigheten på grund av sitt uppdrag utför beträffande både anställd personal och avtalspersonal. Bestämmelsen är uttömmande i den meningen att lagen varken är tillämplig på Rekryteringsmyndighetens interna administrativa verksamhet eller civila uppdragsverksamhet. Med administrativ verksamhet avses t.ex. anställning och avlöning av personal, lokalfrågor, fakturahantering och liknande administrativa göromål hos myndigheten. Den civila uppdragsverksamheten omfattar uppdrag som Rekryteringsmyndigheten inom sakområdet åtar sig att utföra åt andra myndigheter, kommuner, landsting och enskilda, exempelvis uppdrag om rekrytering åt Polismyndigheten, Kriminalvården eller Myndigheten för samhällsskydd och beredskap. Även behandling av personuppgifter om rekryter som genomgår utbildning enligt förordningen (2015:613) om militär grundutbildning faller utanför lagens tillämpningsområde. Detsamma gäller sådan behandling av personuppgifter om totalförsvarspliktiga som bemanningsansvariga organ utför. Behandling av personuppgifter inom viss annan verksamhet faller också utanför lagens tillämpningsområde på grund av hur tillämpningsområdet för dataskyddsförordningen respektive den kompletterande dataskyddslagen har bestämts.
I andra stycket anges att i de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av någon annan än Rekryteringsmyndigheten. Här avses i första hand 9 § andra stycket som ger annan än Rekryteringsmyndigheten rätt att behandla känsliga personuppgifter enligt lagen vid annan utredning om den totalförsvarspliktiges personliga förhållanden enligt 2 kap. 1 § lagen (1994:1809) om totalförsvarsplikt. I 4 kap. 5 § andra stycket förordningen (1995:238) om totalförsvarsplikt anges uttömmande vilka aktörer som har sådan rätt. Därtill kan Försvarsmakten medges rätt att föra in och rätta personuppgifter i Rekryteringsmyndighetens informationssystem (14 § första stycket). Även annan aktör än Försvarsmakten kan medges en sådan rätt (14 § andra stycket).
Tredje stycket innehåller en upplysning om att patientdatalagen
tillämpas när sådan behandling av personuppgifter som avses i första stycket utförs av Rekryteringsmyndigheten i egenskap av vårdgivare inom hälso- och sjukvården. Genom bestämmelsen erinras om att vårdgivares behandling av personuppgifter inom hälso- och sjukvården, dvs. sådan personuppgiftsbehandling som utförs i Rekry-
teringsmyndighetens medicinska verksamhet, omfattas av patientdatalagen och faller därmed utanför denna lags tillämpningsområde.
3 § Lagen tillämpas vid sådan behandling av personuppgifter som är
helt eller delvis automatisk. Lagen gäller även för annan behandling av personuppgifter som ingår i eller kommer att ingå i en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier.
I paragrafen anges vilken typ av personuppgiftsbehandling som regleras av lagen. Övervägandena finns i avsnitt 7.3.4.
Paragrafen begränsar lagens tillämpningsområde genom att det klargörs att inte all slags behandling av personuppgifter omfattas av tillämpningsområdet. Det krävs att behandlingen är helt eller delvis automatisk eller ingår i eller kommer att ingå i en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier. Rekvisiten är desamma som i artikel 2.1 i dataskyddsförordningen och ska ha motsvarande innebörd (jfr artikel 4 i dataskyddsförordningen). Helt manuell behandling av personuppgifter som inte ingår i ett register eller annan samling som är tillgänglig för sökning faller därmed utanför lagens tillämpningsområde.
Förhållandet till annan dataskyddsreglering
4 § Lagen (2018:xx) med kompletterande bestämmelser till EU:s data-
skyddsförordning (dataskyddslagen) gäller vid behandling av personuppgifter i Rekryteringsmyndighetens verksamhet, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.
Vad som anges i första stycket innebär att denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
Paragrafen reglerar förhållandet mellan lagens bestämmelser om personuppgiftsbehandling och andra dataskyddsbestämmelser. I paragrafen anges inledningsvis lagens relation till den generella dataskyddslag som Dataskyddsutredningen har föreslagit i sitt betänk-
ande Ny dataskyddslag. Kompletterande bestämmelser till EU:s data-
skyddsförordning (SOU 2017:39). Dataskyddslagen avser att komplet-
tera dataskyddsförordningen på nationell generell nivå. Paragrafen innehåller även en upplysning om lagens förhållande till dataskyddsförordningen. Övervägandena finns i avsnitt 6.2.6.
Första stycket uttrycker förhållandet mellan dataskyddslagen och
denna lag. Av 1 kap. 3 § dataskyddslagen följer att om en annan lag eller en förordning innehåller någon bestämmelse som rör behandling av personuppgifter och som avviker från den lagen tillämpas den bestämmelsen. Bestämmelsen i första stycket innebär att dataskyddslagen gäller vid behandling av personuppgifter i Rekryteringsmyndighetens verksamhet. En förutsättning är dock att inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen. Dataskyddslagen är således subsidiär i förhållande till denna lag eller föreskrifter som har meddelats med stöd av lagen.
Andra stycket innehåller en upplysning om att denna lag, till följd
av bestämmelserna i dataskyddslagen, kompletterar dataskyddsförordningen. Enligt 1 kap. 2 § dataskyddslagen ska bestämmelserna i dataskyddsförordningen, i den ursprungliga lydelsen, och i dataskyddslagen i tillämpliga delar gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen. Bestämmelsen innebär att förordningens bestämmelser gäller som svensk rätt vid personuppgiftsbehandling som utförs i sådan verksamhet som enligt artikel 2.2 a och 2.2 b i dataskyddsförordningen är undantagen från förordningens tillämpningsområde. Förordningens bestämmelser gäller alltså även vid personuppgiftsbehandling som utförs som ett led i en verksamhet som inte omfattas av unionsrätten, bl.a. verksamhet som rör nationell säkerhet och försvar. Någon avvikande bestämmelse föreslås inte i denna lag. Till följd av 1 kap. 2 § dataskyddslagen blir dataskyddsförordningen, i tillämpliga delar, direkt tillämplig vid behandling av personuppgifter i Rekryteringsmyndighetens verksamhet.
Begränsningen av dataskyddsförordningens generella tillämplighet genom uttrycket ”tillämpliga delar” i 1 kap. 2 § dataskyddslagen innebär att vissa bestämmelser i dataskyddsförordningen inte kan tillämpas i rent nationell verksamhet och därmed inte heller av Rekryteringsmyndigheten eller Datainspektionen i egenskap av natio-
nell tillsynsmyndighet. Förordningens bestämmelser i kapitel VII om tillsynsmyndigheternas skyldighet att samarbeta med varandra kan inte bli tillämpliga. Detsamma gäller bestämmelserna i kapitel X om kommissionens befogenhet att anta delegerade akter. I denna lag föreskrivs också särskilt att dataskyddsförordningens och dataskyddslagens bestämmelser i vissa avseenden inte ska gälla vid Rekryteringsmyndighetens behandling av personuppgifter enligt lagen, se kommentaren till 5 §. Vilka bestämmelser som i övrigt kan komma att falla utanför förordningens egentliga tillämpningsområde får avgöras i rättstillämpningen.
Förutom något enstaka undantag innehåller lagen inte några termer och uttryck som avviker från de som används i dataskyddsförordningen och dataskyddslagen utan de ska förstås på samma sätt. Det innebär bl.a. att definitionerna i artikel 4 i dataskyddsförordningen gäller vid tillämpning av lagen (jfr 1 kap. 1 § andra stycket dataskyddslagen).
5 § Vid behandling enligt denna lag eller föreskrifter som har meddelats
med stöd av lagen gäller inte följande bestämmelser i dataskyddsförordningen och dataskyddslagen:
1. artikel 21.1 i dataskyddsförordningen om rätt att göra invändningar,
2. artikel 33 i dataskyddsförordningen om anmälan av en personuppgiftsincident till tillsynsmyndigheten,
3. artikel 34 i dataskyddsförordningen om information till den registrerade om en personuppgiftsincident, och
4. artikel 58.2 f i dataskyddsförordningen och 6 kap. 1 § dataskyddslagen om tillsynsmyndighetens befogenhet att införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling.
Paragrafen reglerar dataskyddsförordningens tillämplighet i fråga om rätten att göra invändningar samt anmälan av personuppgiftsincidenter till tillsynsmyndigheten och information till den registrerade med anledning härav. Paragrafen reglerar också dataskyddsförordningens och dataskyddslagens tillämplighet i fråga om tillsynsmyndighetens befogenhet att förbjuda Rekryteringsmyndighetens behandling av personuppgifter. Övervägandena finns i avsnitt 9.10.4, 9.12.5 och 9.13.3.
Första stycket 1 innebär att dataskyddsförordningens bestämmelse
om den registrerades rätt att göra invändningar mot behandling av personuppgifter inte gäller vid behandling enligt denna lag eller föreskrifter som har meddelats med stöd av lagen.
Första stycket 2 och 3 innebär att inte heller bestämmelserna i
dataskyddsförordningen om anmälan av en personuppgiftsincident till tillsynsmyndigheten och information till den registrerade i samband därmed gäller vid behandling enligt denna lag eller föreskrifter som har meddelats med stöd av lagen.
Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga är nödvändig för att totalförsvarets personalförsörjning ska kunna upprätthållas. Genom första stycket 4 undantas därför Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret från tillsynsmyndighetens befogenhet enligt artikel 58.2 f i dataskyddsförordningen och 6 kap. 1 § dataskyddslagen att förbjuda behandling. I övrigt ska bestämmelserna om tillsynsmyndighetens befogenheter i dataskyddsförordningen och dataskyddslagen tillämpas vid Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret.
Personuppgiftsansvar
6 § Rekryteringsmyndigheten ska vara personuppgiftsansvarig för den
behandling av personuppgifter som myndigheten utför.
I paragrafen regleras vem som ska vara personuppgiftsansvarig för behandlingen av personuppgifter. Övervägandena finns i avsnitt 7.4.3.
Av definitionen i artikel 4.7 i dataskyddsförordningen framgår att personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Det är således tillåtet enligt dataskydds-
förordningen att i nationell lagstiftning peka ut vem som är personuppgiftsansvarig.
I bestämmelsen anges att Rekryteringsmyndigheten ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Bestämmelsen klargör för de registrerade vem som ska hållas ansvarig för behandlingen av personuppgifter enligt lagen. Bestämmelsen innebär att Rekryteringsmyndigheten ansvarar för den personuppgiftsbehandling som sker inom ramen för myndighetens verksamhet. Bestämmelsen utesluter emellertid inte att Rekryteringsmyndigheten kan ha ett med andra aktörer, t.ex. myndigheter, gemensamt personuppgiftsansvar.
Ändamål
7 § Personuppgifter får behandlas om det behövs för att
1. ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret,
2. redovisa personal med uppgifter inom totalförsvaret,
3. säkerställa att den registrerade fortlöpande får ändamålsenlig utbildning och lämplig placering inom totalförsvaret,
4. se till att den registrerade fullgör sina skyldigheter i fråga om totalförsvarsplikten,
5. tillgodose den registrerades rättigheter och trygghet i egenskap av totalförsvarspliktig,
6. fullgöra Rekryteringsmyndighetens serviceskyldighet gentemot bemanningsansvariga organ inom totalförsvaret, och
7. planera, följa upp och utvärdera den verksamhet som anges i 1–6.
Paragrafen reglerar de primära ändamålen, dvs. de ändamål för vilka personuppgifter får behandlas i Rekryteringsmyndighetens verksamhet. De uppräknade ändamålen i punkterna 1–7 är uttömmande och motsvarar de centrala delarna i Rekryteringsmyndighetens verksamhet. Övervägandena och en närmare beskrivning av ändamålen finns i avsnitt 8.1.2 och 8.2.3.
En första förutsättning för att Rekryteringsmyndigheten ska få behandla personuppgifter är att behandlingen vilar på en rättslig grund. I artikel 6.1 i dataskyddsförordningen finns en uttömmande uppräkning av de rättsliga grunderna. Behandling av personuppgif-
ter får inte utföras om inte minst ett av de uppräknade villkoren är uppfyllt. Flera rättsliga grunder kan också vara tillämpliga för en och samma behandling. Behandling av personuppgifter för de i lagen angivna ändamålen kan i teorin grundas på vilken som helst av punkterna i artikel 6.1 c och e i dataskyddsförordningen. Framför allt torde dock den rättsliga grunden allmänt intresse (punkten e) bli tillämplig.
Utöver att det finns en rättslig grund för behandlingen enligt artikel 6.1 c och e krävs att den rättsliga grunden är fastställd i unionsrätten eller nationell rätt (artikel 6.3 första stycket). Den rättsliga grunden för Rekryteringsmyndighetens behandling av personuppgifter finns fastställd i förordningen (2010:1472) med instruktion för Totalförsvarets rekryteringsmyndighet (myndighetsinstruktionen).
De primära ändamålen syftar till att precisera den rättsliga grunden för behandlingen. Artikel 6.3 andra stycket i dataskyddsförordningen medger ändamålsbegränsningar i förhållande till den rättsliga grunden. De primära ändamålen kan inordnas under den rättsliga grund som tillåter att en behandling av personuppgifter sker, dvs. Rekryteringsmyndighetens uppdrag så som det är formulerat i myndighetsinstruktionen. Rekryteringsmyndighetens behandling av personuppgifter för de uppräknade ändamålen är således förenlig med de grundläggande rättsliga förutsättningarna för behandlingen.
För att en enskild behandling ska vara tillåten är det emellertid inte tillräckligt att den har sin grund i Rekryteringsmyndighetens uppdrag så som det är formulerat i myndighetsinstruktionen och kan inordnas under något av de vitt formulerade primära ändamålen för myndighetens behandling. Därtill måste den enskilda behandlingen uppfylla de grundläggande principerna i artikel 5 i dataskyddsförordningen som bl.a. innebär att varje sådan behandling måste vara förenlig med särskilda, uttryckligt angivna och berättigade ändamål.
8 § Personuppgifter som behandlas enligt 7 § får också behandlas för
att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Paragrafen reglerar för vilka sekundära ändamål som personuppgifter får behandlas i Rekryteringsmyndighetens verksamhet. Behandling enligt denna bestämmelse förutsätter att uppgifterna har samlats in för något primärt ändamål som följer av 7 §. Bestämmelsen utgör således inte något stöd för att samla in personuppgifter enbart i syfte att behandla dem enligt denna paragraf. Övervägandena finns i avsnitt 8.2.4.
Av bestämmelsen framgår att personuppgifter som behandlas enligt 7 § också får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Ett uppgiftslämnande kan ske av olika anledningar. I vissa fall sker utlämnandet på grund av en skyldighet att lämna uppgifter till vissa myndigheter enligt olika författningar. I andra fall är myndigheterna enligt lag eller förordning skyldiga att på begäran lämna ut uppgifter till andra. Vidare finns det ett antal författningar med bestämmelser som medger att uppgifter får lämnas ut utan att det finns någon uttrycklig skyldighet att göra det. Det kan exempelvis vara fråga om en åtgärd som vidtas för att fullgöra serviceskyldigheten gentemot enskilda enligt 4 § förvaltningslagen (1986:223). Ett annat exempel är 10 kap. 27 § offentlighets- och sekretesslagen som innebär att en sekretessbelagd uppgift får lämnas till en annan myndighet, om det är uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse som sekretessen ska skydda.
Behandling av känsliga personuppgifter
9 § Utöver vad som följer av 3 kap. dataskyddslagen får känsliga person-
uppgifter behandlas om det är absolut nödvändigt för de ändamål som anges i 7 och 8 §§.
Vad som anges i första stycket gäller även vid annan utredning om den totalförsvarspliktiges personliga förhållanden som enligt 2 kap. 1 § lagen ( 1994:1809 ) om totalförsvarsplikt utförs av annan än Rekryteringsmyndigheten.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter som begränsar användningen av känsliga personuppgifter.
Paragrafen reglerar när känsliga personuppgifter får behandlas. Med känsliga personuppgifter avses samtliga kategorier av personuppgifter som anges i artikel 9.1 i dataskyddsförordningen och som där benämns särskilda kategorier av personuppgifter. Övervägandena finns i avsnitt 9.3.3.
Av första stycket följer att känsliga personuppgifter, utöver vad som följer av 3 kap. dataskyddslagen, får behandlas för de ändamål som avses i 7 och 8 §§ om det är absolut nödvändigt. De grundläggande bestämmelserna om när känsliga personuppgifter får behandlas regleras i artikel 9.2 i dataskyddsförordningen. Genom 3 kap. 1 och 3 §§ dataskyddslagen ges stöd för ytterligare behandling av känsliga personuppgifter på myndighetsområdet. Bestämmelsen i denna lag tillåter att känsliga personuppgifter därutöver får behandlas om det är absolut nödvändigt för de ändamål som gäller för myndighetens behandling. Behandling av känsliga personuppgifter är tillåten för samtliga primära ändamål i 7 § och sekundära ändamål i 8 §. Syftet med begränsningen att behandlingen ska vara absolut nödvändig är att markera att behandlingen av känsliga personuppgifter bör ske med försiktighet och aldrig slentrianmässigt. Rekvisitet innebär emellertid inte att känsliga personuppgifter endast får behandlas i undantagsfall. Rekryteringsmyndighetens verksamhet kräver regelmässigt att vissa typer av känsliga personuppgifter kan behandlas, exempelvis uppgifter om hälsa. Genom kravet på absolut nödvändighet markeras dock att behandlingen ska ske med restriktivitet och att behovet av att behandla den känsliga personuppgiften ska prövas noga i det enskilda fallet. En sådan prövning ska inte bara göras när uppgiften samlas in eller behandlas för första gången utan även vid senare behandling av redan insamlade uppgifter.
Det bör noteras att en tillåten behandling av känsliga personuppgifter förutsätter att behandlingen är tillåten enligt de grundläggande principerna i artikel 5 i dataskyddsförordningen. Det kan alltså förutsättas att det aldrig blir aktuellt att behandla vissa typer av känsliga personuppgifter, såsom ras, etniskt ursprung, politiska åsikter eller medlemskap i fackförening, eftersom sådana uppgifter
över huvud taget inte är relevanta för den uppgift som Rekryteringsmyndigheten har att utföra.
I andra stycket anges att motsvarande ska gälla vid annan utredning om den totalförsvarspliktiges personliga förhållanden som enligt 2 kap. 1 § lagen om totalförsvarsplikt utförs av annan än Rekryteringsmyndigheten. Annan utredning innebär att en totalförsvarspliktig är skyldig att, på begäran av Rekryteringsmyndigheten, en annan statlig myndighet som regeringen bestämmer, en kommun eller ett landsting, skriftligen eller muntligen eller, om det behövs, vid en personlig inställelse lämna nödvändiga uppgifter om hälsotillstånd, utbildning, arbete och personliga förhållanden i övrigt. Såväl Försvarsmakten som andra myndigheter m.fl. har i samband med annan utredning ett berättigat behov av att behandla känsliga personuppgifter i större omfattning än vad dataskyddslagens undantag medger. Dessa aktörer ges därför vid sådan behandling en motsvarande rätt att behandla känsliga personuppgifter som den Rekryteringsmyndigheten har.
I tredje stycket finns en upplysningsbestämmelse om att regeringen kan meddela ytterligare föreskrifter om begränsning av användningen av känsliga personuppgifter.
Tillgången till personuppgifter
10 § Tillgången till personuppgifter ska begränsas till vad varje an-
ställd behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om hur tillgången till personuppgifter ska begränsas.
Paragrafen reglerar den interna tillgången till personuppgifter för personal som arbetar vid Rekryteringsmyndigheten. Övervägandena finns i avsnitt 9.6.1.
I första stycket slås fast att tillgången till personuppgifter hos Rekryteringsmyndigheten ska begränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter. Bestämmelsen har sin grund i att risken för integritetsintrång minskar om endast en begränsad krets av anställda har tillgång till uppgifterna. Det är Rekryteringsmyndigheten som avgör vilka uppgifter som respek-
tive anställd behöver för att kunna fullgöra sina uppgifter. Rekryteringsmyndigheten ansvarar också för att myndighetens informationssystem utformas så att det är möjligt att på ett ändamålsenligt sätt begränsa tillgången till information, t.ex. genom krav på behörighet, utbildning och lämplighet.
I andra stycket finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela föreskrifter om hur tillgången till personuppgifter ska begränsas.
Direktåtkomst
11 § Direktåtkomst till personuppgifter får medges
1. Försvarsmakten i den utsträckning som följer av föreskrifter som meddelats av regeringen, och
2. den registrerade själv. Direktåtkomst enligt första stycket 2 får endast avse personuppgifter i den registrerades ärende.
Regeringen får meddela föreskrifter om att medge annan aktör direktåtkomst. Sådan direktåtkomst ska begränsas till de personuppgifter som aktören behöver för att fullgöra sina uppgifter enligt lag eller förordning och får endast avse vissa personuppgifter.
I paragrafen anges vilka aktörer som får medges direktåtkomst till Rekryteringsmyndighetens personuppgifter. Övervägandena finns i avsnitt 9.7.2.
Högsta förvaltningsdomstolen har i rättsfallet HFD 2015 ref. 61 uttalat att begreppet direktåtkomst ska tolkas med utgångspunkt från 2 kap. 3 § andra stycket tryckfrihetsförordningen. I rättsfallet slås fast att med direktåtkomst avses att en myndighet hos en annan myndighet har en sådan teknisk tillgång till den aktuella upptagningen som avses i 2 kap. 3 § andra stycket tryckfrihetsförordningen, dvs. att upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan avläsas, avlyssnas eller på annat sätt uppfattas. Avgörande för om direktåtkomst föreligger är således om upptagningen kan anses förvarad hos den mottagande myndigheten enligt tryckfrihetsförordningen.
I bestämmelsen föreskrivs att direktåtkomst får medges. Det innebär att det är det den myndighet som avses lämna ut uppgifter genom direktåtkomst som avgör om direktåtkomst ska medges i praktiken. Det ankommer således på Rekryteringsmyndigheten att avgöra om direktåtkomst faktiskt ska medges. Att bestämmelsen ger Rekryteringsmyndigheten en möjlighet att medge direktåtkomst innebär således inte någon rätt för de angivna mottagarna att få sådan åtkomst.
I första stycket 1 och 2 anges vilka aktörer som får medges direktåtkomst. Utöver Försvarsmakten kan direktåtkomst medges den registrerade själv. Omfattningen av den medgivna direktåtkomsten regleras för Försvarsmaktens del i föreskrifter som meddelas av regeringen.
Av andra stycket följer att direktåtkomst för den registrerade själv endast får avse personuppgifter i den registrerades eget ärende. Det ska alltså vara frågan om personuppgifter som hänför sig till den registrerade själv. Det ankommer på Rekryteringsmyndigheten att genom tillräckliga säkerhetsrutiner se till att personuppgifter genom direktåtkomsten inte lämnas ut till någon annan än den registrerade.
I tredje stycket finns ett bemyndigande för regeringen att meddela föreskrifter om att medge annan aktör direktåtkomst. Befogenheten är begränsad såtillvida att direktåtkomsten endast får omfatta de personuppgifter som aktören i fråga behöver för att fullgöra sina uppgifter enligt lag eller förordning. Därtill får den medgivna direktåtkomsten endast avse vissa personuppgifter. Detta innebär att endast sådana uppgifter som mottagaren har ett konkret behov av får omfattas av direktåtkomsten.
Bestämmelserna om att direktåtkomst får medges bryter inte eventuell sekretess som kan gälla för uppgifterna. Bestämmelser som har en sekretessbrytande verkan vid utlämnande till andra myndigheter i samband med direktåtkomst finns i 12 §.
Utlämnande av uppgifter till myndigheter
12 § Försvarsmakten har rätt att vid direktåtkomst enligt 11 § första
stycket 1 ta del av de personuppgifter som omfattas av åtkomsten.
Regeringen får meddela föreskrifter om att annan myndighet vid direktåtkomst som medges med stöd av 11 § tredje stycket har rätt att ta del av de personuppgifter som omfattas av åtkomsten.
Paragrafen reglerar utlämnande av uppgifter till Försvarsmakten och andra myndigheter. Övervägandena finns i avsnitt 9.7.3.
Av första stycket följer att Försvarsmakten har rätt att vid direktåtkomst som medges med stöd av 11 § första stycket 1 ta del av de personuppgifter som omfattas av åtkomsten. Regleringen i 11 § första stycket 1 innebär att det framgår av bestämmelse i förordning vilka personuppgifter som direktåtkomsten omfattar. Den omständigheten att Försvarsmakten har rätt att ta del av personuppgifter innebär att bestämmelsen har en sådan sekretessbrytande verkan som följer av 10 kap. 28 § första stycket offentlighets- och sekretesslagen. Rätten att ta del av personuppgifter enligt bestämmelsen tar dock enbart sikte på ett utlämnande av uppgifter som sker i samband med direktåtkomst. Det är således inte frågan om någon generell uppgiftsskyldighet i fråga om de personuppgifter som omfattas av bestämmelsen.
I andra stycket finns ett bemyndigande för regeringen att meddela föreskrifter om att även annan myndighet har rätt att vid direktåtkomst som medges med stöd av 11 § tredje stycket ta del av de personuppgifter som omfattas av åtkomsten. Även en sådan bestämmelse i förordning har sekretessbrytande verkan i enlighet med vad som följer av 10 kap. 28 § första stycket offentlighets- och sekretesslagen. I likhet med vad som gäller enligt första stycket tar rätten att ta del av personuppgifter enbart sikte på ett utlämnande som sker i samband med direktåtkomst.
Sökförbud
13 § Vid sökning i personuppgifter är det förbjudet att som sökbegrepp
använda känsliga personuppgifter.
Det är också förbjudet att som sökbegrepp använda uppgifter om
1. hinder för mönstring, annan utredning, utbildning, krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning,
2. boende- och familjeförhållanden samt försörjning,
3. resultat från begåvningstest eller anlagstest som utförs vid mönstring eller annan utredning,
4. medborgarskap, och
5. lagöverträdelser, säkerhetsprövning enligt säkerhetsskyddslagen (1996:627) samt vilken säkerhetsklass prövningen avsett och resultatet av denna.
De sökbegrepp som anges i andra stycket får användas som sökbegrepp vid behandling för ändamål som avses i 7 § första stycket 7 eller vid utlämnande enligt 8 § för framställning av statistik eller för forskningsändamål. De sökbegrepp som anges i andra stycket 3 får även användas som sökbegrepp vid behandling för ändamål som avses i 7 § första stycket 1.
Paragrafen innehåller ett förbud mot att använda känsliga personuppgifter och andra integritetskänsliga uppgifter som sökbegrepp. Övervägandena finns i avsnitt 9.8.3.
Enligt första stycket är det vid sökning i personuppgifter förbjudet att som sökbegrepp använda känsliga personuppgifter. Det innebär bl.a. att uppgift om totalförsvarspliktigas fysiska och psykiska hälsa omfattas av förbudet. Sökförbudet införs för att tillgodose kraven på särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen enligt artikel 9.2 g i dataskyddsförordningen. Förbudet omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information så att känsliga personuppgifter avslöjas.
Sökförbudet innebär att offentlighetsprincipen, i den mån den är tillämplig, inskränks enligt den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen. En begäran att få tillgång till en sammanställning av uppgifter som är resultatet av en förbjuden sökning ska alltså avslås på den grunden att sammanställ-
ningen inte anses förvarad hos myndigheten. Det bör dock understrykas att begränsningsregeln inte hindrar att sökningar görs för att söka fram redan upprättade elektroniska handlingar vid en begäran om tillgång till sådana allmänna handlingar.
Av andra stycket följer att vissa andra typer av integritetskänsliga uppgifter än sådana som betecknas som känsliga personuppgifter inte heller får användas som sökbegrepp. Förbudet gäller uppgifter om hinder för mönstring, annan utredning, utbildning, krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning, boende- och familjeförhållanden samt försörjning, resultat från begåvningstest eller anlagstest som utförs vid mönstring eller annan utredning, medborgarskap, lagöverträdelser, säkerhetsprövning enligt säkerhetsskyddslagen samt vilken säkerhetsklass prövningen avsett och resultatet av denna.
I tredje stycket anges undantag från sökförbudet. Av bestämmelsen följer att de uppgifter som anges i andra stycket får användas som sökbegrepp vid behandling av personuppgifter för de ändamål som anges i 7 § första stycket 7, dvs. för att planera, följa upp och utvärdera Rekryteringsmyndighetens verksamhet enligt 7 § första stycket 1–6. Uppgifterna får även användas som sökbegrepp vid uppgiftslämnande enligt 8 § för framställning av statistik eller för forskningsändamål. Uppgifter om resultat från begåvningstest eller anlagstest som utförs vid mönstring eller annan utredning får vidare användas som sökbegrepp vid behandling för det ändamål som framgår av 7 § första stycket 1, dvs. för att ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret. Skulle emellertid en känslig personuppgift upptäckas vid sådana sökningar som avses i detta stycke, omfattas uppgiften av sökförbudet enligt huvudregeln i första stycket.
Annans registrering och rättelse av uppgifter
14 § Försvarsmakten får föra in och rätta personuppgifter i Rekryterings-
myndighetens informationssystem i den utsträckning som följer av förordning.
Regeringen får meddela föreskrifter om att även annan än Försvarsmakten får medges sådan rätt.
Paragrafen reglerar vilka aktörer som får föra in och rätta uppgifter i Rekryteringsmyndighetens informationssystem. Övervägandena finns i avsnitt 9.9.2.
Enligt första stycket får Försvarsmakten föra in och rätta personuppgifter i Rekryteringsmyndighetens informationssystem. Vilka personuppgifter som omfattas av denna rätt till registrering och rättelse följer av föreskrifter som regeringen meddelar. Försvarsmakten är personuppgiftsansvarig för den behandling som myndigheten utför enligt denna bestämmelse. Rekryteringsmyndigheten ansvarar för att ställa de villkor för registreringen av personuppgifterna som myndigheten bedömer vara nödvändiga för att säkerställa en lämplig säkerhetsnivå.
I andra stycket finns ett bemyndigande för regeringen att meddela föreskrifter om att medge andra aktörer än Försvarsmakten rätt att registrera och rätta personuppgifter.
Avskiljande
15 § Personuppgifter ska avskiljas så att tillgången till dem begränsas
när de inte längre behövs i Rekryteringsmyndighetens löpande verksamhet för de ändamål som anges i 7 §. Personuppgifter om totalförsvarspliktiga ska avskiljas senast vid utgången av det kalenderår den totalförsvarspliktige fyller 70 år, om inte den totalförsvarspliktige därefter har en uppgift inom totalförsvaret vid höjd beredskap.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om avskiljande av personuppgifter.
I paragrafen regleras avskiljande av personuppgifter som inte längre behövs i Rekryteringsmyndighetens löpande verksamhet. Övervägandena finns i avsnitt 11.2.3.
Enligt första stycket första meningen ska Rekryteringsmyndigheten, i egenskap av personuppgiftsansvarig, avskilja personuppgifter när de inte längre behövs i den löpande verksamheten för de ändamål som anges i 7 §. Med avskiljande menas att personuppgifterna tas bort från de informationssystem som används i verksamheten enligt 2 §. Det åligger Rekryteringsmyndigheten att införa rutiner för när avskiljande ska ske och på vilket sätt. Avskilj-
andet får dock inte innebära att uppgifter gallras i strid med arkivlagen (1990:782) eller föreskrifter som har meddelats med stöd av den lagen. Det är också Rekryteringsmyndighetens ansvar att begränsa den interna tillgången till avskilda personuppgifter till det som varje anställd behöver för att kunna fullgöra sina arbetsuppgifter, se kommentaren till 10 §.
I första stycket andra meningen anges att personuppgifter om totalförsvarspliktiga ska avskiljas senast vid utgången av det kalenderår den totalförsvarspliktige fyller 70 år, om inte den totalförsvarspliktige därefter har en uppgift inom totalförsvaret vid höjd beredskap. Bestämmelsen föreskriver en yttersta tidsgräns för hur länge uppgifter om totalförsvarspliktiga kan få vara tillgängliga i den löpande verksamheten. När totalförsvarsplikten upphör torde det i normalfallet inte längre vara nödvändigt att behandla uppgifter om totalförsvarspliktiga i Rekryteringsmyndighetens verksamhet. Om det vid en tidigare tidpunkt står klart att uppgifterna saknar betydelse utifrån de i lagen angivna primära ändamålen ska de avskiljas redan vid denna tidpunkt. I undantagsfall kan totalförsvarspliktiga även efter att totalförsvarsplikten har upphört ha en uppgift att utföra vid höjd beredskap. Som exempel kan nämnas medlemmar i frivilligorganisationer som väljer att kvarstå som medlemmar efter att de fyllt 70 år och som därmed behåller sina krigsuppgifter. I bestämmelsen föreskrivs undantag för sådana fall.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om avskiljande av personuppgifter.
15.2. Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
25 kap.
13 b §
Paragrafen innehåller en ny sekretessbrytande bestämmelse. Bestämmelsen innebär att sekretess inte hindrar att en uppgift lämnas från den verksamhet som Rekryteringsmyndigheten i egenskap av vårdgivare bedriver inom hälso- och sjukvården, dvs. den medicinska grenen av verksamheten, till myndighetens inskrivningsverksam-
het. En förutsättning för sekretessgenombrott är att uppgiften är nödvändig för att en totalförsvarspliktig ska kunna skrivas in till värnplikt, civilplikt eller i en utbildningsreserv enligt lagen (1994:1809) om totalförsvarsplikt. En uppgift får endast lämnas till personal som arbetar inom inskrivningsverksamheten och som behöver uppgiften för att kunna fatta beslut om inskrivning. Övervägandena finns i avsnitt 12.3.2.
38 kap.
1 §
Paragrafen reglerar sekretess för uppgift om en enskilds personliga förhållanden om uppgiften förekommer i ärende som angår utredning om totalförsvarspliktigas personliga förhållanden, antagning av kvinnor till befattningar inom totalförsvaret som kräver längre grundutbildning än 60 dagar, inskrivning och krigsplacering av totalförsvarspliktiga, antagning till utbildning vid Försvarsmakten, skyldighet att tjänstgöra med totalförsvarsplikt samt uppskov med och avbrott i sådan tjänstgöring. Sekretessen avgränsas med ett omvänt
skaderekvisit. Ändringen innebär att en uppgift om en enskilds per-
sonliga förhållanden som förekommer i sådana ärenden inte får lämnas ut, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Presumtionen är alltså för sekretess. Genom ändringen står det klart att uppgifter om totalförsvarspliktigas personliga förhållanden som framkommer vid mönstring eller annan utredning har ett lika starkt sekretesskydd hos Rekryteringsmyndigheten som vad uppgifterna har hos befattningshavare vid totalförsvarets utbildningsenheter. Det förstärkta sekretesskyddet gäller för samtliga ärenden som omfattas av paragrafen och därmed även hos Statens ansvarsnämnd och Försvarsmakten. Övervägandena finns i avsnitt 12.3.1.
Kommittédirektiv 2016:103
Behandlingen av personuppgifter om totalförsvarspliktiga
Beslut vid regeringssammanträde den 1 december 2016
Sammanfattning
En särskild utredare ska göra en översyn av regleringen av behandlingen av personuppgifter om totalförsvarspliktiga (lagen [1998:938] respektive förordningen [1998:1229] om behandling av personuppgifter om totalförsvarspliktiga). Utgångspunkten är att Totalförsvarets rekryteringsmyndighets verksamhet ska kunna bedrivas effektivt med rationellt datorstöd samtidigt som enskildas rätt till personlig integritet tillgodoses.
Utredaren ska bl.a.
- analysera hur behandlingen av personuppgifter om totalförsvarspliktiga ska regleras och om fler kategorier av personer ska ingå i en sådan reglering, och i analysen ta hänsyn till verksamhetens särskilda art och förändringar som gjorts i verksamheten, regeringsformen och senare tillkommen lagstiftning,
- analysera vilket förhållande lagstiftningen ska ha till EU:s dataskyddsreglering och den kompletterande nationella lagstiftning som kommer att föreslås till följd av den, och
- lämna förslag till ny lag och förordning samt eventuella andra behövliga och lämpliga författningsändringar.
Uppdraget ska redovisas senast den 4 december 2017.
Verksamheten vid Totalförsvarets rekryteringsmyndighet
Totalförsvarets rekryteringsmyndighet ansvarar för att myndigheter och andra som har bemanningsansvar inom totalförsvaret får stöd och service i frågor om bemanning med totalförsvarspliktiga som skrivs in för värnplikt eller civilplikt. Stöd och service ska lämnas även till de bemanningsansvariga i fråga om totalförsvarspliktigas tjänstgöring och om redovisning av annan personal inom totalförsvaret. På uppdrag av Försvarsmakten ska Totalförsvarets rekryteringsmyndighet tillhandahålla urvalstester av dem som ansökt till militär utbildning inom Försvarsmakten. Totalförsvarets rekryteringsmyndighet ska vidare göra en utredning om de totalförsvarspliktigas personliga förhållanden, placera dem i befattningsgrupper och skriva in dem för värnplikt, civilplikt eller i en utbildningsreserv enligt lagen (1994:1809) om totalförsvarsplikt. Det är Totalförsvarets rekryteringsmyndighet som beslutar och delger den enskilde besked om krigsplacering. Vidare svarar Totalförsvarets rekryteringsmyndighet, på uppdrag av Försvarsmakten, för att kalla in totalförsvarspliktig personal till utbildning. Totalförsvarets rekryteringsmyndighet svarar också för ärenden om uppskov. Det är Totalförsvarets rekryteringsmyndighet som redovisar totalförsvarets personal och för register över alla svenskar som är krigsplacerade.
Våren 2010 beslutade riksdagen att försvarets personalförsörjning ska bygga på frivillighet och inte på plikt från och med den 1 juli 2010. Det innebär att Totalförsvarets rekryteringsmyndighet i dagsläget inte mönstrar, skriver in eller kallar totalförsvarspliktiga till grundutbildning. Genom ett webbaserat frågeformulär samlar myndigheten in uppgifter om alla svenska 18-åringars personliga förhållanden. De uppgifterna används sedan för att bedöma om de ska mönstra och kanske tjänstgöra, om regeringen beslutar att totalförsvarsplikten ska aktiveras av beredskapsskäl.
Totalförsvarets rekryteringsmyndighet får inom sakområdet åta sig att utföra uppdrag åt andra myndigheter samt åt kommuner, landsting och enskilda. Myndigheten utför uppdrag om exempelvis rekrytering åt polisen, personal till Kriminalvården, Tullverket och Myndigheten för samhällsskydd och beredskap. Vid behandlingen av personuppgifter för de uppdrag som inte avser totalförsvarspliktiga tillämpas personuppgiftslagen (1998:204). Myndighetens uppdrag i detta sammanhang är dock bara att tillhandahålla tekniskt stöd
för rekryteringen och att genomföra medicinska och psykologiska undersökningar och tester. Uppdragsgivarna är ansvariga för hanteringen av ansökan, vilket sker enligt personuppgiftslagen, men Totalförsvarets rekryteringsmyndighet är personuppgiftsbiträde. När det gäller den medicinska och psykologiska verksamheten tillämpas patientdatalagen (2014:821).
Behandlingen och regleringen av personuppgifter
I sin verksamhet, såväl innan totalförsvarsplikten förklarades vilande som i dag, behandlar Totalförsvarets rekryteringsmyndighet således en mängd personuppgifter, ofta av mycket integritetskänslig karaktär.
Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter avseende behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.
Dataskyddsdirektivet gäller dock inte för behandling av personuppgifter på områden som faller utanför gemenskapsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område (artikel 3.2).
Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen. Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.
Personuppgiftslagen är tillämplig även utanför EU-rättens område och gäller både för myndigheter och enskilda som behandlar personuppgifter. Personuppgiftslagen är samtidigt subsidiär vilken innebär att lagens bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning. Det finns en stor mängd sådana bestämmelser i s.k. särskilda registerförfattningar som främst reglerar hur olika myndigheter får behandla personuppgifter, t.ex. studiestödsdatalagen (2009:287) och polisdatalagen (2010:361).
Personuppgiftslagen kompletteras också av bestämmelser i personuppgiftsförordningen som bl.a. pekar ut Datainspektionen som tillsynsmyndighet enligt lagen.
I den verksamhet som Totalförsvarets rekryteringsmyndighet bedriver har man, på grund av verksamhetens särskilda karaktär och hantering av integritetskänsliga uppgifter, ansett det nödvändigt att reglera behandlingen av personuppgifter om totalförsvarspliktiga i en särskild lag: lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga (prop. 1997/98:80, s. 25 f.), som trädde i kraft den 24 oktober 1998, samma dag och år som personuppgiftslagen. Lagen gäller även i annan verksamhet om det särskilt anges. Med totalförsvarspliktiga jämställs personer som har en skyldighet att fullgöra en uppgift inom totalförsvaret vid höjd beredskap utan att skyldigheten grundar sig på totalförsvarsplikt. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen om behandling av personuppgifter om totalförsvarspliktiga kompletteras också av bestämmelser i förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga.
Om inget annat följer av lagen om behandling av personuppgifter om totalförsvarspliktiga eller av föreskrifter som meddelats med stöd av lagen, tillämpas personuppgiftslagen.
Uppdraget att göra en total översyn av regleringen
Lagen om behandling av personuppgifter om totalförsvarspliktiga kom till 1998 och har ändrats endast ett fåtal gånger sedan dess. Utredaren behöver därför göra en översyn av regleringen. Arbetet ska bedrivas med utgångspunkten att myndighetens verksamhet ska kunna utföras effektivt med rationellt datorstöd samtidigt som enskildas rätt till personlig integritet tillgodoses.
En modernisering av både lag och förordning
Efter det att lagen och förordningen trädde i kraft har betydande förändringar skett när det gäller totalförsvarsplikten. Alla totalförsvarspliktiga är skyldiga att medverka i en lämplighetsundersökning genom att i ett webbaserat frågeformulär lämna uppgifter om vissa av sina personliga förhållanden. Det är Totalförsvarets rekryteringsmyndighets uppgift att informera alla 18-åringar om vad lagen om totalförsvarsplikt innebär och att regeringen kan återinföra skyldigheten att mönstra. Därför måste ungdomarna lämna uppgifter om hälsa, utbildning och andra vissa personliga förhållanden i beredskapsunderlaget. En omständighet som gör verksamheten så särpräglad är att en totalförsvarspliktig är skyldig under straffansvar att medverka i en utredning om sina personliga förhållanden. Det rör sig i dessa fall om behandling av mycket integritetskänslig information, uppgifter om hälsa, socialt liv, försörjning, personlighet, fysik och förekomst i belastningsregister.
Sedan den 1 juli 2010 gäller skyldigheten att fullgöra värnplikt och civilplikt med längre grundutbildning, när sådan tjänstgöring tillämpas, för både män och kvinnor. Regeringen kan bestämma att skyldigheterna att genomgå mönstring och fullgöra värnplikt eller civilplikt ska tillämpas igen, om det behövs för Sveriges försvarsberedskap. Ett sådant beslut fattade regeringen i december 2014 (dnr Fö2014/02039/MFI). Då beslutade regeringen att ge Försvarsmakten rätt att kalla in värnpliktig personal till repetitionsutbildning. I och med beslutet aktiverades en del av den vilande totalförsvarsplikten.
Sedan 2010 finns en frivillig militär grundutbildning inom Försvarsmakten. Totalförsvarets rekryteringsmyndighet lämnar stöd åt Försvarsmakten vid rekrytering till utbildningen. Genom förordningen (2015:613) om militär grundutbildning infördes den 1 januari 2016 en ny militär grundutbildning. Denna förlängda grundutbildning, bestående av minst 120 utbildningsdagar och högst 365 utbildningsdagar, genomgås i sin helhet med rekrytförmåner. Den som genomgått utbildningen ska kunna krigsplaceras enligt lagen (1994:1809) om totalförsvarsplikt, anställas som kontinuerligt eller tidvis tjänstgörande gruppbefäl, soldat eller sjöman, påbörja utbildning som kan leda till anställning som yrkes- eller reservofficer eller teckna avtal som hemvärnsman.
Det försämrade omvärldsläget har också föranlett en ny inriktning av det svenska försvaret. Riksdagens försvarspolitiska inriktning för perioden 2016 t.o.m. 2020 innebär att det enskilt viktigaste är att öka den operativa förmågan i Försvarsmaktens krigsförband och att säkerställa den samlade förmågan i totalförsvaret (prop. 2014/15:109, bet. 2014/15:FöU11, rskr. 2014/15:251). Vidare har regeringen konstaterat att beroendet av krigsplacerad men inte anställd totalförsvarspliktig personal för att fullt kunna bemanna alla krigsförband kommer att kvarstå under överskådlig tid. Av den anledningen tillsatte regeringen en utredning som hade till uppgift att lämna förslag på en långsiktigt hållbar personalförsörjning av det militära försvaret där en utökad användning av totalförsvarsplikten kompletterar frivilligheten när krigsorganisationens behov inte kan tryggas enbart genom frivillig rekrytering, utredningen om en långsiktigt hållbar personalförsörjning av det militära försvaret (dir. 2015:98). Utredningen, som redovisade sitt uppdrag i september 2016 (En robust försörjning av det militära försvaret, SOU 2016:63), kom bl.a. fram till att regeringen under första kvartalet 2017 bör besluta att totalförsvarspliktiga ska vara skyldiga att genomgå mönstring respektive fullgöra grundutbildning med värnplikt. Betänkandet har remitterats och bereds nu i Regeringskansliet. Sammantaget innebär detta att det även fortsättningsvis är nödvändigt att Totalförsvarets rekryteringsmyndighet har möjlighet att hantera personuppgifter för att kunna lösa alla de uppgifter som anges i lagen om totalförsvarsplikt. Förutsättningarna för att aktivera plikten, helt eller delvis, måste upprätthållas.
Regleringen av behandlingen av personuppgifter om totalförsvarspliktiga behöver därför ses över. Vid översynen ska hänsyn tas till lagen om totalförsvarsplikt och de möjligheter till tillämpning av totalförsvarsplikten som därmed ges, samt till hela personalförsörjningssystemet, inklusive den frivilliga utbildningen. Den behandling av personuppgifter som sker hos Totalförsvarets rekryteringsmyndighet behöver kartläggas och behovet av särskilda bestämmelser för totalförsvarspliktiga behöver identifieras. Samma sak gäller även för annan personuppgiftsbehandling som förekommer hos myndigheten. Finns det skäl för att utsträcka den nuvarande lagens tillämpningsområde – eller ska tillämpningsområdet i huvudsak vara detsamma som i dag?
Utredaren ska
- göra en översyn av regleringen,
- kartlägga den behandling av personuppgifter som sker hos Totalförsvarets rekryteringsmyndighet,
- analysera om de förändringar som har skett inom totalförsvaret och den förändring som skett och fortfarande sker på försvarsområdet bör påverka lagstiftningen om behandlingen av personuppgifter,
- analysera om fler kategorier än totalförsvarspliktiga bör ingå i en sådan reglering och
- föreslå en ny lag och förordning om behandling av personuppgifter på området.
Kravet på lagreglering för viss personuppgiftsbehandling i regeringsformen
Sedan den 1 januari 2011 anges i 2 kap. 6 § andra stycket regeringsformen att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar av denna fri- och rättighet får enligt 2 kap. 20 § första stycket regeringsformen under vissa förutsättningar göras genom lag.
De nya bestämmelserna i regeringsformen innebär att en viss behandling av personuppgifter måste regleras i lag. Lagstiftningen behöver därför granskas ur ett grundlagsperspektiv, bl.a. när det gäller bestämmelser om direktåtkomst för andra än Totalförsvarets rekryteringsmyndighet. Häri ingår uppgiften att utreda om de myndigheter, kommuner, landsting och bolag som för närvarande finns upptagna i bilagan till förordningen även fortsättningsvis behöver ha sådan direktåtkomst och om andra behöver tillkomma.
Utredaren ska därför
- beakta den ändring som har skett genom införandet av 2 kap. 6 § andra stycket regeringsformen i sitt förslag till ny lagstiftning.
Uppdraget att analysera vilket förhållande lagstiftningen ska ha till annan reglering på området
Med anledning av den nya EU-regleringen av personuppgiftsbehandling och den kommande kompletterande nationella lagstiftningen som kommer att föreslås till följd av EU-regleringen, behöver det analyseras vilket förhållande lagstiftningen ska ha till denna reglering.
Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Förordningen utgör en ny generell reglering för personuppgiftsbehandling inom EU och ersätter det nuvarande dataskyddsdirektivet. Förordningen ska tillämpas från och med den 25 maj 2018. Det huvudsakliga syftet med förordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Från dataskyddsförordningens tillämpningsområde undantas bl.a. behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten, t.ex. allmän säkerhet och försvar.
Det finns också dataskyddsregler som har antagits inom ramen för Europarådet. Dessa finns i första hand i den europeiska konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS 108), den s.k. dataskyddskonventionen och dess tilläggsprotokoll. Konventionen har ett generellt tillämpningsområde och kompletteras av ett antal rekommendationer antagna av ministerkommittén om hur personuppgifter bör behandlas inom olika områden. Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen. En översyn av konventionen pågår inom Europarådet.
Vilket förhållande ska regleringen ha till dataskyddsförordningen och den kommande nationella kompletterande regleringen?
Den nuvarande lagen om behandling av personuppgifter om totalförsvarspliktiga innehåller bestämmelser om personuppgiftsbehandling som ligger utanför EU-rättens tillämpningsområde (artikel 3.2
dataskyddsdirektivet och artikel 2.2 dataskyddsförordningen). Regeringen ansåg dock vid lagens tillkomst att regleringen av hanteringen av personuppgifter inom detta område borde följa personuppgiftslagens bestämmelser utom i de fall avvikelser var befogade på grund av verksamhetens särskilda karaktär. En viss särskild reglering vid sidan av personuppgiftslagen ansågs således nödvändig (prop. 1997/98:80, s. 25 f.). Vidare uttalades att registret över totalförsvarspliktiga kommer att bli ett av landets mest omfattande personregister och att det kommer att innehålla många uppgifter av känslig karaktär. Personuppgiftslagens tillkomst ansågs inte utgöra tillräckligt skäl att frångå den uppfattning som riksdagen gett uttryck för; att stora personregister med känsliga uppgifter ska lagregleras. I en lag om behandling av personuppgifter om totalförsvarspliktiga ansågs därför de yttre gränserna för verksamheten behöva dras upp i de fall dessa inte överensstämde med vad som redan gällde enligt personuppgiftslagen. Även särskilda regler för behandlingen av känsliga uppgifter krävdes, bl.a. för att möjliggöra för Totalförsvarets pliktverk (numera Totalförsvarets rekryteringsmyndighet) att inhämta känsliga uppgifter från andra myndigheter (prop. 1997/98:801, s. 26 f. och s. 38).
Dataskyddsutredningen (dir. 2016:15) har i uppdrag att ta fram författningsbestämmelser som upphäver den nuvarande generella personuppgiftsregleringen och som på ett generellt plan kompletterar dataskyddsförordningen. I uppdraget ingår också bl.a. att undersöka om det finns personuppgiftsbehandling utanför EU-rättens tillämpningsområde som inte omfattas av särreglering, överväga om det behöver införas generella bestämmelser för sådan personuppgiftsbehandling, och i så fall lämna sådana författningsförslag som är behövliga och lämpliga.
I den nu aktuella utredarens uppdrag ingår att analysera om fler personalkategorier än de totalförsvarspliktiga ska ingå i särlagstiftningen. I uppdraget ingår också att överväga om annan personuppgiftsbehandling som förekommer hos myndigheten bör omfattas av den nya regleringen. Detta innebär att förhållandet till den nya EU-regleringen liksom till de författningsförslag som Dataskyddsutredningen lämnar kan behöva beaktas.
Utredaren ska därför
- analysera möjligheterna till en helt fristående lagstiftning om behandlingen av personuppgifter om totalförsvarspliktiga och eventuellt andra kategorier av personer inom försvaret och relationen till annan reglering på området, och
- lämna sådana författningsförslag som är behövliga och lämpliga.
Behövs kompletterande nationella bestämmelser?
Utredaren är oförhindrad att ta upp och belysa även andra frågeställningar som är relevanta för uppdraget. Om utredaren kommer fram till att det – på grund av dataskyddförordningens ikraftträdande eller personuppgiftslagens och personuppgiftsförordningens upphävande – krävs kompletterande nationella bestämmelser i andra delar än i dem som ska utredas särskilt ska sådana föreslås.
Konsekvensbeskrivningar
Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen för det allmänna och för enskilda. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna ska utredaren föreslå hur dessa ska finansieras. Utredaren ska också redovisa förslagens konsekvenser för den personliga integriteten.
Samråd och redovisning av uppdraget
Utredaren ska hålla sig väl informerad om och beakta relevant arbete som bedrivs inom Regeringskansliet, utredningsväsendet, inom EU och inom Europarådet. Detta innebär bl.a. att utredaren ska följa och i möjligaste mån också samråda med övriga utredningar på totalförsvarets område eller som har i uppdrag att anpassa svensk rätt till reformen av EU:s dataskyddsregelverk. Till sådana utredningar hör bl.a. Dataskyddsutredningen (dir. 2016:15). Under genomförandet av uppdraget ska utredaren, i den utsträckning som bedöms lämpligt, också ha en dialog med och inhämta upplysningar från Försvarsmakten och Totalförsvarets rekryteringsmyndighet samt
från de myndigheter och andra organisationer i övrigt som kan vara berörda av de aktuella frågorna.
Uppdraget ska redovisas senast den 4 december 2017.
(Försvarsdepartementet)