Läs Datainspektionens yttrande i pdf
Yttrande Diarienr 2017-01-24 1965-2016 Ert diarienr Ju2016/06793/Å Justitiedepartementet/Å 103 33 Stockholm Ett samlat ansvar för tillsyn över den personliga integriteten (SOU 2016:65) Datainspektionen har granskat betänkandet huvudsakligen utifrån myndighetens uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Inledningsvis vill Datainspektionen understryka vikten av att de förslag som tas fram av de olika utredningar som har till uppgift att anpassa svensk lagstiftning till EU:s nya dataskyddsreform, som ska börja tillämpas eller vara implementerad i maj 2018, tas om hand på ett samlat och genomtänkt sätt. Om så inte sker ser inspektionen en uppenbar risk för att frågor dels ”hamnar mellan stolarna”, dels hanteras på ett sätt som medför att bland annat likformighet och systematik i regelverket blir lidande. Sådana brister riskerar enligt Datainspektionen att allvarligt försvåra både tillämpningen av reglerna och inspektionens tillsyn. Datainspektionen lämnar följande synpunkter på betänkandet. Sammanfattning Datainspektionen delar utredningens bedömning att det vare sig är möjligt eller lämpligt att samla all tillsyn över behandling av personuppgifter hos en enda myndighet. Datainspektionen delar utredningens bedömning att inspektionen även i fortsättningen bör vara den centrala tillsynsmyndigheten i Sverige när det gäller personuppgiftsbehandling, men att viss tillsyn härutöver bör utföras av andra myndigheter. Datainspektionen delar utredningens bedömning att myndighetsnamnet Datainspektionen inte ska ändras. Postadress: Box 8114, 104 20 Stockholm Webbplats: www.datainspektionen.se E-post: [email protected] Telefon: 08-657 61 00 1 (9) Datainspektionen tillstyrker utredningens förslag att inspektionen ska utses till svensk nationell tillsynsmyndighet enligt Europaparlamentets och rådets förordning (EU) 2016/679 (dataskyddsförordningen). Tillstyrkandet gäller under förutsättning att Datainspektionen i enlighet med förordningens artikel 52.4 tillförs tillräckliga personella, tekniska och ekonomiska resurser för att kunna utföra tillsynsmyndighetens uppgifter enligt förordningen. Datainspektionen tillstyrker utredningens förslag att inspektionen ska utses till svensk nationell tillsynsmyndighet enligt Europaparlamentets och rådets direktiv (EU) 2016/680 (dataskyddsdirektivet). Tillstyrkandet gäller under förutsättning att Datainspektionen i enlighet med direktivets artikel 42.4 tillförs tillräckliga personella, tekniska och ekonomiska resurser för att kunna utföra tillsynsmyndighetens uppgifter enligt direktivet. Datainspektionen tillstyrker utredningens förslag att det ska införas en bestämmelse i inspektionens instruktion som föreskriver att chefen för Datainspektionen anställs av regeringen för en period om minst fyra år. Till skillnad från utredningen anser inspektionen att möjligheterna till förlängning av anställningen ska begränsas till två förlängningsperioder. Datainspektionen anser att det bör göras det tillägget i 33 § andra stycket i lagen (1994:620) om offentlig anställning som utredningen berör avseende anställningsskydd. Datainspektionen delar, såvitt nu kan bedömas, utredningens bedömning att det saknas behov av att föreskriva att inspektionen ska ha ytterligare befogenheter utöver dem som följer av artikel 58 i dataskyddsförordningen. Inspektionen bedömer dock, mot bakgrund av att artikel 58 endast träffar överträdelser av dataskyddsförordningen, att de befogenheter som räknas upp i förordningen även behöver införas i den nationella lagstiftning som i andra sammanhang tas fram med anledning av förordningen. Datainspektionen tillstyrker utredningens förslag om att inspektionens instruktion, med hänsyn till dataskyddsförordningens och dataskyddsdirektivets krav på oberoende, ändras på så sätt att det i instruktionen inte längre ska föreskrivas att myndighetens verksamhet särskilt ska inriktas på att informera om gällande regler samt ge råd och hjälp åt personuppgiftsombud. Datainspektionen har i och för sig ingen erinran mot utredningens förslag om att tillsynen över bestämmelserna i lagen (2003:389) om elektronisk kommunikation avseende abonnentförteckningar och s.k. cookies ska utföras av Datainspektionen i stället för Post- och telestyrelsen (PTS). Inspektionen anser dock att man bör avvakta genomförandet av denna del av utredningens förslag till dess det finns förutsättningar att fullt ut beakta de förslag som EUkommissionen alldeles nyligen lagt och som ska ersätta det s.k. e-Privacydirektivet (2002/58/EG). Datainspektionen delar utredningens bedömning att Inspektionen för vård och omsorg (IVO) i större utsträckning än vad som skett hittills bör samråda med Datainspektionen i de fall det i IVO:s verksamhet uppkommer frågor med bäring på behandling av personuppgifter, samt i frågor som har med IVO:s framtagande av riktlinjer som rör vård- och omsorgsgivares informationshantering att göra. Datainspektionen delar utredningens bedömning att ansvarsfördelningen mellan Centrala etikprövningsnämnden (CEPN) och Datainspektionen följer av den nuvarande lagstiftningen. Inspektionen delar också utredningens tolkning av regelverket. Datainspektionen tillstyrker utredningens förslag om att tillsynen över den öppna polisen ensamt ska utföras av inspektionen, vilket innebär en återgång till den ordning som gällde före den 1 mars 2012. Datainspektionen tillstyrker utredningens förslag om att tillsynen över Säkerhetspolisen ska utföras av både inspektionen och Säkerhets- och integritetsskyddsnämnden (SIN). Datainspektionen anser att det, i syfte att åstadkomma likriktning, förutsägbarhet och ett mer effektivt utnyttjande av allmänna medel, finns anledning att i författning närmare reglera de båda tillsynsmyndigheternas respektive uppdrag och inriktning. Datainspektionen delar utredningens bedömning att inspektionen bör tillföras resurser motsvarande 9,5 årsarbetskrafter för att kunna lösa uppgiften som ensam tillsynsmyndighet avseende den öppna polisen, kunna lösa de tillkommande tillsynsuppgifterna enligt lagen om elektronisk kommunikation som utredningen föreslår, samt kunna hantera den ökade mängden samråd avseende IVO som utredningen förutser. Datainspektionen anser att det är angeläget att utreda inspektionens roll som tillsynsmyndighet på inkassoområdet. Frågan om en och samma myndighet ska ansvara för tillsynen över all personuppgiftsbehandling i samhället Datainspektionen tillstyrker utredningens förslag om att inspektionen inte ska tilldelas ett tillsynsansvar som omfattar all personuppgiftsbehandling i samhället. Däremot ställer sig Datainspektionen positiv till de överflyttningar av tillsynsansvar från vissa myndigheter till inspektionen som utredningen föreslår i syfte att åstadkomma en mer ändamålsenlig ansvarsfördelning än i dag (se vidare nedan). Datainspektionen som tillsynsmyndighet enligt dataskyddsförordningen och dataskyddsdirektivet Datainspektionen delar utredningens bedömning att inspektionen, som i dag är den centrala tillsynsmyndigheten på dataskyddsområdet och har ett brett mandat som utövats under lång tid, ska utses till svensk nationell tillsynsmyndighet enligt dataskyddsförordningen och dataskyddsdirektivet. Datainspektionen anser vidare att inspektionen är den enda myndighet i Sverige i dag som, när det gäller oberoende, befogenheter, organisation samt allsidighet på dataskyddsområdet såväl nationellt som internationellt, uppfyller de krav som förordningen och direktivet ställer upp på de blivande tillsynsmyndigheterna. Datainspektionen, som således tillstyrker utredningens förslag avseende tillsynsmyndighet, anser att det är tillräckligt att utseendet av inspektionen som tillsynsmyndighet görs i förordning (och inte i lag). Datainspektionen måste tillföras tillräckliga resurser för att kunna utföra uppgifterna enligt förordningen och direktivet Om Datainspektionen ska kunna fungera som tillsynsmyndighet enligt dataskyddsförordningen och dataskyddsdirektivet är det helt avgörande att det säkerställs att myndigheten förfogar över de personella, tekniska, och finansiella resurser samt de lokaler och den infrastruktur som behövs för att kunna lösa sina uppgifter och utöva sina befogenheter. I detta ligger också att utföra uppgifter inom ramen för det ömsesidiga biståndet, samarbetet och deltagandet i dataskyddsstyrelsens (EDPB) verksamhet. Utredningen har i betänkandet utgått ifrån Datainspektionens underlag för budgetperioden 2017-2019 (resursförstärkning om knappt 12 MSEK för 2017 samt drygt 16,5 MSEK per år för 2018 och 2019) och bedömt att dessa belopp, i avvaktan på ytterligare klarhet, ska läggas till grund för den fortsatta bedömningen av Datainspektionens resursbehov. Enligt Datainspektionen finns det, i ljuset av vad som blivit känt efter det att inspektionen lämnande det i föregående stycke nämnda budgetunderlaget, anledning att anta att beloppen behöver höjas väsentligt redan under innevarande år för att kraven enligt dataskyddsreformen ska kunna mötas på ett adekvat sätt. Mot den bakgrunden har Datainspektionen äskat om ytterligare resurser för 2017. Inom ramen för det arbetet har inspektionen tagit fram ett underlag där de ökade resursbehoven beskrivs. Underlaget bifogas detta yttrande. Som ett tillägg till underlaget kan dessutom nämnas ytterligare tillkommande uppgifter såsom hanteringen av de laglighetskontroller beträffande samtliga myndigheter (eventuellt med undantag för Säkerhetspolisen) som omfattas av dataskyddsdirektivet. I den delen har SIN bedömt (s. 202) att myndigheten i dag avdelar motsvarande ca 1,5 årsarbetskraft för att hantera kontroller på begäran av enskild avseende Säkerhetspolisen och den öppna polisen. Datainspektionen kommer som tillsynsmyndighet enligt dataskyddsdirektivet att behöva lösa motsvarande uppgifter avseende bland annat Polismyndigheten, Ekobrottsmyndigheten, Åklagarmyndigheten, Kriminalvården samt de brottsbekämpande delarna vid Skatteverket, Tullverket och Kustbevakningen. Datainspektionen kommer i februari 2017 att återkomma till finansieringen av dessa uppgifter i budgetunderlaget för 2018-2020. Namnet Datainspektionen Datainspektionen har haft sitt nuvarande namn sedan datalagen (1973:289) trädde i kraft. Med tiden har namnet blivit mycket välkänt och inarbetat gentemot de aktörer som Datainspektionen granskar och samverkar med i olika former såväl nationellt som internationellt. Att ändra namnet inför de stora förändringar som är på gång skulle medföra ett omfattande behov av att – i syfte att motverka osäkerhet – synliggöra det nya namnet i alla sammanhang som Datainspektionen verkar. Detta kan antas medföra såväl merarbete som tillkommande kostnader i form av framtagande av nya trycksaker, utbildningsmaterial, grafisk profil och omskrivning av material på exempelvis myndighetens webbplats. Bland annat mot den bakgrunden samt eftersom Datainspektionen för närvarande befinner sig i en omfattande förändringsprocess bedömer inspektionen att ett namnbyte negativt skulle påverka myndighetens möjligheter att kunna utföra sina uppgifter när dataskyddsreformen träder i kraft om drygt ett år. Datainspektionen delar utredningens bedömning att myndighetsnamnet Datainspektionen ska bestå. Chefen för Datainspektionen Enligt dataskyddsförordningen (artikel 54.1) och dataskyddsdirektivet (artikel 44.1) ska medlemsstaterna genom en författningsreglering fastställa regler och förfaranden för att utse tillsynsmyndighetens ledamot eller ledamöter samt bestämmelser om ledamöternas mandattider och möjligheten till förlängning av dessa. Mot den bakgrunden tillstyrker Datainspektionen utredningens förslag att det i myndighetens instruktion föreskrivs att inspektionens chef anställs av regeringen för en period om minst fyra år. När det gäller möjligheten till förlängning anser Datainspektionen följande. Man skulle med hänvisning till dataskyddsförordningen och dataskyddsdirektivets oberoendeperspektiv kunna hävda, såsom utredningen gör, att det står regeringen fritt att förlänga anställningen för tillsynsmyndighetens chef hur många gången som helst. Enligt Datainspektionen vore en sådan ordning dock inte lämplig, bland annat mot bakgrund av behovet att med inte alltför långa mellanrum säkerställa en ”hälsosam förändring” av ledningen för Datainspektionen. Datainspektionens anser att en lämplig avvägning ger vid handen att anställningen för inspektionens chef bör kunna förlängas två gånger och att den maximala anställningstiden i normalfallet således ska uppgå till 12 år. I syfte att säkerställa att Datainspektionens chef inte förflyttas till annan statlig tjänst under pågående anställning anser inspektionen att 33 § andra stycket lagen om anställningsskydd bör ändras på det sätt som utredningen berör (s. 153). Härigenom bedömer Datainspektionen att förordningens och direktivets krav i aktuellt avseende är helt uppfyllda. Tillsynsmyndighetens befogenheter enligt dataskyddsförordningen Datainspektionen delar utredningens uppfattning att det, såvitt nu kan bedömas, inte finns något behov av ytterligare befogenheter för tillsynsmyndigheten än de som räknas upp i förordningens artikel 58 punkt 1-3. När det gäller tillsynsmyndighetens befogenheter enligt direktivet konstaterar inspektionen att denna fråga är föremål för en särskild utredning. Följande tillägg bör enligt Datainspektionen också göras. Eftersom artikel 58 endast avser befogenheter i förhållande till överträdelser av dataskyddsförordningen, kommer det enligt Datainspektionen även att finnas behov av att säkerställa att de befogenheter som räknas upp i artikel 58 även kan användas i tillsynsmyndighetens verksamhet enligt den kompletterande nationella lagstiftning som på annat håll tas fram med anledning av EUreformen. Om innehållet i Datainspektionens instruktion avseende vissa uppgifter kopplade till personuppgiftsombuden Tillsynsmyndigheterna enligt dataskyddsförordningen och dataskyddsdirektivet ska vara oberoende. I det ligger enligt Datainspektionen att myndigheterna själva och utan yttre styrning ska ha möjlighet att fullt ut bestämma inriktningen på sin verksamhet. Såsom utredningen konstaterar rimmar en sådan ordning illa med att i tillsynsmyndighetens instruktion förskriva att verksamheten ska inriktas mot en viss företeelse eller ett visst område. Datainspektionen delar mot den bakgrunden utredningens bedömning att skrivningarna i inspektionens instruktion om särskilt fokus på vissa frågor som har med personuppgiftsombuden att göra tas bort. Övertagande av viss tillsyn enligt lagen om elektronisk kommunikation Datainspektionen har i och för sig inget att erinra mot förslaget att överföra tillsynsansvaret från Post- och telestyrelsen (PTS) till Datainspektionen vad gäller bestämmelserna om abonnentförteckningar och s.k. cookies som i dag finns i lagen (2003:389) om elektronisk kommunikation (LEK). Av betydelse är dock att EU-kommissionen den 10 januari 2017 lämnat ett förslag till EUförordning som ska ersätta direktivet om integritet och elektronisk kommunikation (2002/58/EG), även kallat e-Privacydirektivet. Direktivet har införlivats i svensk rätt genom LEK. Mot den angivna bakgrunden är det enligt Datainspektionen i nuläget bättre att avvakta det nya EU-regelverket i syfte att kunna tillskapa ett svenskt regelverk som beaktar och är anpassat till den nya förordningen på e-Privacy-området. Förhållandet mellan Inspektionen för vård och omsorg och Datainspektionen Datainspektionen delar utredningens bedömning att Inspektionen för vård och omsorg (IVO) i större utsträckning än vad som skett hittills bör samråda med Datainspektionen i de fall det i IVO:s verksamhet uppkommer frågor med bäring på behandling av personuppgifter, samt i frågor som har med IVO:s framtagande av riktlinjer som rör vård- och omsorgsgivares informationshantering att göra. Förhållandet mellan Centrala etikprövningsnämnden och Datainspektionen Datainspektionen delar utredningens bedömning att ansvarsfördelningen mellan Centrala etikprövningsnämnden (CEPN) och Datainspektionen följer av den nuvarande lagstiftningen och dess förarbeten. Inspektionen delar också utredningens tolkning av regelverket och att det inte behövs någon ytterligare författningsreglering på detta område. Tillsynen över den öppna polisens behandling av personuppgifter Tillsynen över den öppna polisens personuppgiftsbehandling i den brottsbekämpande verksamheten har, sedan polisdatalagen (2010:361) trädde i kraft i mars 2012, delats mellan Datainspektionen och Säkerhets- och integritetsskyddsnämnden (SIN). Den behandling av personuppgifter som sker i den öppna polisens brottsbekämpande verksamhet kommer att omfattas av dataskyddsdirektivets tillämpningsområde. Såsom konstaterats ovan uppfyller i dag endast Datainspektionen – när det gäller befogenheter – de krav på tillsynsmyndigheterna som uppställs i direktivets artikel 47. Datainspektionen, som delar utredningens slutsatser och bedömning, tillstyrker att inspektionen ensamt ska ansvara för tillsynen över personuppgiftsbehandlingen inom den öppna polisen. Som en följd av återgången till hur det såg ut före den 1 mars 2012 kommer Datainspektionen även att överta uppgiften att genomföra laglighetskontroller på begäran av enskilda. För det fall en kostnadsneutral lösning väljs avseende överflyttningen av uppgifter beträffande den öppna polisen från SIN till Datainspektionen i enlighet med utredningens förslag bör enligt inspektionen en verksamhetsövergång övervägas i syfte att skapa en så smidig förändring som möjligt. Tillsynen över Säkerhetspolisens behandling av personuppgifter Såvitt kan bedömas kommer huvuddelen av den personuppgiftsbehandling som sker i Säkerhetspolisens brottsbekämpande verksamhet att falla utanför dataskyddsdirektivets tillämpningsområde; frågan utreds dock för närvarande. Eftersom Säkerhetspolisens behandling av personuppgifter i den brottsbekämpande verksamheten i allt väsentligt kommer att falla utanför direktivets tillämpningsområde kommer det att behöva införas fristående nationella bestämmelser i svensk rätt avseende utseende av tillsynsmyndigheter och deras uppgifter. Datainspektionen tillstyrker att myndigheten blir tillsynsmyndighet avseende Säkerhetspolisens personuppgiftsbehandling och att tillsynsansvaret delas med SIN. När det gäller det närmare förhållandet mellan Datainspektionens och SIN:s uppdrag anser inspektionen att de två myndigheternas närmare inriktning bör preciseras i författning i syfte att undvika problem avseende bland annat samordning, likriktning och resursanvändning vid genomförandet av tillsynen. Enligt Datainspektionen bör den närmare inriktningen bestämmas så att Datainspektionens tillsyn, som kommer till uttryck i beslut som kan prövas i domstol, ska avse övergripande/generella frågor och bestämmelser avseende dataskydd där en domstolsprövning på ett adekvat sätt kan bidra till den praktiska tillämpningen av regelverket, medan SIN:s tillsyn lämpligen bör inriktas mer på djupet och på förhållanden som omfattas av stark sekretess eller av annan anledning är särskilt integritetskänsliga. Detta kommer enligt Datainspektionen i praktiken att medföra att SIN kommer att utföra huvuddelen av granskningen av personuppgiftsbehandlingen i Säkerhetspolisens brottsbekämpande verksamhet (samt genomföra laglighetskontroller på begäran av enskilda), medan Datainspektionens tillsyn kommer att vara med begränsad och inrikta sig på övergripande dataskyddsfrågor (som inte är verksamhetsspecifika), samt på frågor av principiell natur där det av olika skäl kan finnas anledning att få rättsfrågorna prövade i domstol. Frågor avseende inkassolagen Utredningen har påpekat att det finns anledning att se över Datainspektionens tillsynsansvar enligt inkassolagen. Datainspektionen anser att det är angeläget att en sådan utredning görs mot bakgrund av de skäl som utredningen har redovisat. Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av enhetschefen Nicklas Hjertonsson. Vid den slutliga handläggningen har även chefsjuristen Hans-Olof Lindblom, samt enhetscheferna Katarina Tullstedt och Catharina Fernquist deltagit. Kristina Svahn Starrsjö Nicklas Hjertonsson
![[Samma rubrik som i departementets missiv]](http://cdn3.abcdocz.com/store/data/004131227_1-b2a9b12c6d4ff7c2e1cc80f8f28a98d6-250x500.png)
© Copyright 2024