Yttrande
Diarienr
2017-01-24
1965-2016
Ert diarienr
Ju2016/06793/Å
Justitiedepartementet/Å
103 33 Stockholm
Ett samlat ansvar för tillsyn över den
personliga integriteten (SOU 2016:65)
Datainspektionen har granskat betänkandet huvudsakligen utifrån
myndighetens uppgift att verka för att människor skyddas mot att deras
personliga integritet kränks genom behandling av personuppgifter.
Inledningsvis vill Datainspektionen understryka vikten av att de förslag som
tas fram av de olika utredningar som har till uppgift att anpassa svensk
lagstiftning till EU:s nya dataskyddsreform, som ska börja tillämpas eller vara
implementerad i maj 2018, tas om hand på ett samlat och genomtänkt sätt.
Om så inte sker ser inspektionen en uppenbar risk för att frågor dels
”hamnar mellan stolarna”, dels hanteras på ett sätt som medför att bland
annat likformighet och systematik i regelverket blir lidande. Sådana brister
riskerar enligt Datainspektionen att allvarligt försvåra både tillämpningen av
reglerna och inspektionens tillsyn.
Datainspektionen lämnar följande synpunkter på betänkandet.
Sammanfattning
Datainspektionen delar utredningens bedömning att det vare sig är möjligt
eller lämpligt att samla all tillsyn över behandling av personuppgifter hos en
enda myndighet.
Datainspektionen delar utredningens bedömning att inspektionen även i
fortsättningen bör vara den centrala tillsynsmyndigheten i Sverige när det
gäller personuppgiftsbehandling, men att viss tillsyn härutöver bör utföras av
andra myndigheter.
Datainspektionen delar utredningens bedömning att myndighetsnamnet
Datainspektionen inte ska ändras.
Postadress: Box 8114, 104 20 Stockholm
Webbplats: www.datainspektionen.se
E-post: [email protected]
Telefon: 08-657 61 00
1 (9)
Datainspektionen tillstyrker utredningens förslag att inspektionen ska utses
till svensk nationell tillsynsmyndighet enligt Europaparlamentets och rådets
förordning (EU) 2016/679 (dataskyddsförordningen). Tillstyrkandet gäller
under förutsättning att Datainspektionen i enlighet med förordningens
artikel 52.4 tillförs tillräckliga personella, tekniska och ekonomiska resurser
för att kunna utföra tillsynsmyndighetens uppgifter enligt förordningen.
Datainspektionen tillstyrker utredningens förslag att inspektionen ska utses
till svensk nationell tillsynsmyndighet enligt Europaparlamentets och rådets
direktiv (EU) 2016/680 (dataskyddsdirektivet). Tillstyrkandet gäller under
förutsättning att Datainspektionen i enlighet med direktivets artikel 42.4
tillförs tillräckliga personella, tekniska och ekonomiska resurser för att kunna
utföra tillsynsmyndighetens uppgifter enligt direktivet.
Datainspektionen tillstyrker utredningens förslag att det ska införas en
bestämmelse i inspektionens instruktion som föreskriver att chefen för
Datainspektionen anställs av regeringen för en period om minst fyra år. Till
skillnad från utredningen anser inspektionen att möjligheterna till
förlängning av anställningen ska begränsas till två förlängningsperioder.
Datainspektionen anser att det bör göras det tillägget i 33 § andra stycket i
lagen (1994:620) om offentlig anställning som utredningen berör avseende
anställningsskydd.
Datainspektionen delar, såvitt nu kan bedömas, utredningens bedömning att
det saknas behov av att föreskriva att inspektionen ska ha ytterligare
befogenheter utöver dem som följer av artikel 58 i dataskyddsförordningen.
Inspektionen bedömer dock, mot bakgrund av att artikel 58 endast träffar
överträdelser av dataskyddsförordningen, att de befogenheter som räknas upp
i förordningen även behöver införas i den nationella lagstiftning som i andra
sammanhang tas fram med anledning av förordningen.
Datainspektionen tillstyrker utredningens förslag om att inspektionens
instruktion, med hänsyn till dataskyddsförordningens och
dataskyddsdirektivets krav på oberoende, ändras på så sätt att det i
instruktionen inte längre ska föreskrivas att myndighetens verksamhet
särskilt ska inriktas på att informera om gällande regler samt ge råd och hjälp
åt personuppgiftsombud.
Datainspektionen har i och för sig ingen erinran mot utredningens förslag om
att tillsynen över bestämmelserna i lagen (2003:389) om elektronisk
kommunikation avseende abonnentförteckningar och s.k. cookies ska utföras
av Datainspektionen i stället för Post- och telestyrelsen (PTS). Inspektionen
anser dock att man bör avvakta genomförandet av denna del av utredningens
förslag till dess det finns förutsättningar att fullt ut beakta de förslag som EUkommissionen alldeles nyligen lagt och som ska ersätta det s.k.
e-Privacydirektivet (2002/58/EG).
Datainspektionen delar utredningens bedömning att Inspektionen för vård
och omsorg (IVO) i större utsträckning än vad som skett hittills bör samråda
med Datainspektionen i de fall det i IVO:s verksamhet uppkommer frågor
med bäring på behandling av personuppgifter, samt i frågor som har med
IVO:s framtagande av riktlinjer som rör vård- och omsorgsgivares
informationshantering att göra.
Datainspektionen delar utredningens bedömning att ansvarsfördelningen
mellan Centrala etikprövningsnämnden (CEPN) och Datainspektionen följer
av den nuvarande lagstiftningen. Inspektionen delar också utredningens
tolkning av regelverket.
Datainspektionen tillstyrker utredningens förslag om att tillsynen över den
öppna polisen ensamt ska utföras av inspektionen, vilket innebär en återgång
till den ordning som gällde före den 1 mars 2012.
Datainspektionen tillstyrker utredningens förslag om att tillsynen över
Säkerhetspolisen ska utföras av både inspektionen och Säkerhets- och
integritetsskyddsnämnden (SIN). Datainspektionen anser att det, i syfte att
åstadkomma likriktning, förutsägbarhet och ett mer effektivt utnyttjande av
allmänna medel, finns anledning att i författning närmare reglera de båda
tillsynsmyndigheternas respektive uppdrag och inriktning.
Datainspektionen delar utredningens bedömning att inspektionen bör
tillföras resurser motsvarande 9,5 årsarbetskrafter för att kunna lösa
uppgiften som ensam tillsynsmyndighet avseende den öppna polisen, kunna
lösa de tillkommande tillsynsuppgifterna enligt lagen om elektronisk
kommunikation som utredningen föreslår, samt kunna hantera den ökade
mängden samråd avseende IVO som utredningen förutser.
Datainspektionen anser att det är angeläget att utreda inspektionens roll som
tillsynsmyndighet på inkassoområdet.
Frågan om en och samma myndighet ska ansvara för tillsynen över all
personuppgiftsbehandling i samhället
Datainspektionen tillstyrker utredningens förslag om att inspektionen inte
ska tilldelas ett tillsynsansvar som omfattar all personuppgiftsbehandling i
samhället. Däremot ställer sig Datainspektionen positiv till de överflyttningar
av tillsynsansvar från vissa myndigheter till inspektionen som utredningen
föreslår i syfte att åstadkomma en mer ändamålsenlig ansvarsfördelning än i
dag (se vidare nedan).
Datainspektionen som tillsynsmyndighet enligt dataskyddsförordningen
och dataskyddsdirektivet
Datainspektionen delar utredningens bedömning att inspektionen, som i dag
är den centrala tillsynsmyndigheten på dataskyddsområdet och har ett brett
mandat som utövats under lång tid, ska utses till svensk nationell
tillsynsmyndighet enligt dataskyddsförordningen och dataskyddsdirektivet.
Datainspektionen anser vidare att inspektionen är den enda myndighet i
Sverige i dag som, när det gäller oberoende, befogenheter, organisation samt
allsidighet på dataskyddsområdet såväl nationellt som internationellt,
uppfyller de krav som förordningen och direktivet ställer upp på de blivande
tillsynsmyndigheterna. Datainspektionen, som således tillstyrker
utredningens förslag avseende tillsynsmyndighet, anser att det är tillräckligt
att utseendet av inspektionen som tillsynsmyndighet görs i förordning (och
inte i lag).
Datainspektionen måste tillföras tillräckliga resurser för att kunna
utföra uppgifterna enligt förordningen och direktivet
Om Datainspektionen ska kunna fungera som tillsynsmyndighet enligt
dataskyddsförordningen och dataskyddsdirektivet är det helt avgörande att
det säkerställs att myndigheten förfogar över de personella, tekniska, och
finansiella resurser samt de lokaler och den infrastruktur som behövs för att
kunna lösa sina uppgifter och utöva sina befogenheter. I detta ligger också att
utföra uppgifter inom ramen för det ömsesidiga biståndet, samarbetet och
deltagandet i dataskyddsstyrelsens (EDPB) verksamhet. Utredningen har i
betänkandet utgått ifrån Datainspektionens underlag för budgetperioden
2017-2019 (resursförstärkning om knappt 12 MSEK för 2017 samt drygt 16,5
MSEK per år för 2018 och 2019) och bedömt att dessa belopp, i avvaktan på
ytterligare klarhet, ska läggas till grund för den fortsatta bedömningen av
Datainspektionens resursbehov.
Enligt Datainspektionen finns det, i ljuset av vad som blivit känt efter det att
inspektionen lämnande det i föregående stycke nämnda budgetunderlaget,
anledning att anta att beloppen behöver höjas väsentligt redan under
innevarande år för att kraven enligt dataskyddsreformen ska kunna mötas på
ett adekvat sätt. Mot den bakgrunden har Datainspektionen äskat om
ytterligare resurser för 2017. Inom ramen för det arbetet har inspektionen tagit
fram ett underlag där de ökade resursbehoven beskrivs. Underlaget bifogas
detta yttrande. Som ett tillägg till underlaget kan dessutom nämnas
ytterligare tillkommande uppgifter såsom hanteringen av de
laglighetskontroller beträffande samtliga myndigheter (eventuellt med
undantag för Säkerhetspolisen) som omfattas av dataskyddsdirektivet. I den
delen har SIN bedömt (s. 202) att myndigheten i dag avdelar motsvarande ca
1,5 årsarbetskraft för att hantera kontroller på begäran av enskild avseende
Säkerhetspolisen och den öppna polisen. Datainspektionen kommer som
tillsynsmyndighet enligt dataskyddsdirektivet att behöva lösa motsvarande
uppgifter avseende bland annat Polismyndigheten, Ekobrottsmyndigheten,
Åklagarmyndigheten, Kriminalvården samt de brottsbekämpande delarna vid
Skatteverket, Tullverket och Kustbevakningen. Datainspektionen kommer i
februari 2017 att återkomma till finansieringen av dessa uppgifter i
budgetunderlaget för 2018-2020.
Namnet Datainspektionen
Datainspektionen har haft sitt nuvarande namn sedan datalagen (1973:289)
trädde i kraft. Med tiden har namnet blivit mycket välkänt och inarbetat
gentemot de aktörer som Datainspektionen granskar och samverkar med i
olika former såväl nationellt som internationellt. Att ändra namnet inför de
stora förändringar som är på gång skulle medföra ett omfattande behov av att
– i syfte att motverka osäkerhet – synliggöra det nya namnet i alla
sammanhang som Datainspektionen verkar. Detta kan antas medföra såväl
merarbete som tillkommande kostnader i form av framtagande av nya
trycksaker, utbildningsmaterial, grafisk profil och omskrivning av material på
exempelvis myndighetens webbplats. Bland annat mot den bakgrunden samt
eftersom Datainspektionen för närvarande befinner sig i en omfattande
förändringsprocess bedömer inspektionen att ett namnbyte negativt skulle
påverka myndighetens möjligheter att kunna utföra sina uppgifter när
dataskyddsreformen träder i kraft om drygt ett år. Datainspektionen delar
utredningens bedömning att myndighetsnamnet Datainspektionen ska bestå.
Chefen för Datainspektionen
Enligt dataskyddsförordningen (artikel 54.1) och dataskyddsdirektivet (artikel
44.1) ska medlemsstaterna genom en författningsreglering fastställa regler och
förfaranden för att utse tillsynsmyndighetens ledamot eller ledamöter samt
bestämmelser om ledamöternas mandattider och möjligheten till förlängning
av dessa. Mot den bakgrunden tillstyrker Datainspektionen utredningens
förslag att det i myndighetens instruktion föreskrivs att inspektionens chef
anställs av regeringen för en period om minst fyra år. När det gäller
möjligheten till förlängning anser Datainspektionen följande. Man skulle
med hänvisning till dataskyddsförordningen och dataskyddsdirektivets
oberoendeperspektiv kunna hävda, såsom utredningen gör, att det står
regeringen fritt att förlänga anställningen för tillsynsmyndighetens chef hur
många gången som helst. Enligt Datainspektionen vore en sådan ordning
dock inte lämplig, bland annat mot bakgrund av behovet att med inte alltför
långa mellanrum säkerställa en ”hälsosam förändring” av ledningen för
Datainspektionen. Datainspektionens anser att en lämplig avvägning ger vid
handen att anställningen för inspektionens chef bör kunna förlängas två
gånger och att den maximala anställningstiden i normalfallet således ska
uppgå till 12 år. I syfte att säkerställa att Datainspektionens chef inte förflyttas
till annan statlig tjänst under pågående anställning anser inspektionen att 33
§ andra stycket lagen om anställningsskydd bör ändras på det sätt som
utredningen berör (s. 153). Härigenom bedömer Datainspektionen att
förordningens och direktivets krav i aktuellt avseende är helt uppfyllda.
Tillsynsmyndighetens befogenheter enligt dataskyddsförordningen
Datainspektionen delar utredningens uppfattning att det, såvitt nu kan
bedömas, inte finns något behov av ytterligare befogenheter för
tillsynsmyndigheten än de som räknas upp i förordningens artikel 58 punkt
1-3. När det gäller tillsynsmyndighetens befogenheter enligt direktivet
konstaterar inspektionen att denna fråga är föremål för en särskild utredning.
Följande tillägg bör enligt Datainspektionen också göras. Eftersom artikel 58
endast avser befogenheter i förhållande till överträdelser av
dataskyddsförordningen, kommer det enligt Datainspektionen även att finnas
behov av att säkerställa att de befogenheter som räknas upp i artikel 58 även
kan användas i tillsynsmyndighetens verksamhet enligt den kompletterande
nationella lagstiftning som på annat håll tas fram med anledning av EUreformen.
Om innehållet i Datainspektionens instruktion avseende vissa uppgifter
kopplade till personuppgiftsombuden
Tillsynsmyndigheterna enligt dataskyddsförordningen och
dataskyddsdirektivet ska vara oberoende. I det ligger enligt Datainspektionen
att myndigheterna själva och utan yttre styrning ska ha möjlighet att fullt ut
bestämma inriktningen på sin verksamhet. Såsom utredningen konstaterar
rimmar en sådan ordning illa med att i tillsynsmyndighetens instruktion
förskriva att verksamheten ska inriktas mot en viss företeelse eller ett visst
område. Datainspektionen delar mot den bakgrunden utredningens
bedömning att skrivningarna i inspektionens instruktion om särskilt fokus på
vissa frågor som har med personuppgiftsombuden att göra tas bort.
Övertagande av viss tillsyn enligt lagen om elektronisk kommunikation
Datainspektionen har i och för sig inget att erinra mot förslaget att överföra
tillsynsansvaret från Post- och telestyrelsen (PTS) till Datainspektionen vad
gäller bestämmelserna om abonnentförteckningar och s.k. cookies som i dag
finns i lagen (2003:389) om elektronisk kommunikation (LEK). Av betydelse
är dock att EU-kommissionen den 10 januari 2017 lämnat ett förslag till EUförordning som ska ersätta direktivet om integritet och elektronisk
kommunikation (2002/58/EG), även kallat e-Privacydirektivet. Direktivet har
införlivats i svensk rätt genom LEK. Mot den angivna bakgrunden är det enligt
Datainspektionen i nuläget bättre att avvakta det nya EU-regelverket i syfte att
kunna tillskapa ett svenskt regelverk som beaktar och är anpassat till den nya
förordningen på e-Privacy-området.
Förhållandet mellan Inspektionen för vård och omsorg och
Datainspektionen
Datainspektionen delar utredningens bedömning att Inspektionen för vård
och omsorg (IVO) i större utsträckning än vad som skett hittills bör samråda
med Datainspektionen i de fall det i IVO:s verksamhet uppkommer frågor
med bäring på behandling av personuppgifter, samt i frågor som har med
IVO:s framtagande av riktlinjer som rör vård- och omsorgsgivares
informationshantering att göra.
Förhållandet mellan Centrala etikprövningsnämnden och
Datainspektionen
Datainspektionen delar utredningens bedömning att ansvarsfördelningen
mellan Centrala etikprövningsnämnden (CEPN) och Datainspektionen följer
av den nuvarande lagstiftningen och dess förarbeten. Inspektionen delar
också utredningens tolkning av regelverket och att det inte behövs någon
ytterligare författningsreglering på detta område.
Tillsynen över den öppna polisens behandling av personuppgifter
Tillsynen över den öppna polisens personuppgiftsbehandling i den
brottsbekämpande verksamheten har, sedan polisdatalagen (2010:361) trädde i
kraft i mars 2012, delats mellan Datainspektionen och Säkerhets- och
integritetsskyddsnämnden (SIN). Den behandling av personuppgifter som
sker i den öppna polisens brottsbekämpande verksamhet kommer att
omfattas av dataskyddsdirektivets tillämpningsområde. Såsom konstaterats
ovan uppfyller i dag endast Datainspektionen – när det gäller befogenheter –
de krav på tillsynsmyndigheterna som uppställs i direktivets artikel 47.
Datainspektionen, som delar utredningens slutsatser och bedömning,
tillstyrker att inspektionen ensamt ska ansvara för tillsynen över
personuppgiftsbehandlingen inom den öppna polisen.
Som en följd av återgången till hur det såg ut före den 1 mars 2012 kommer
Datainspektionen även att överta uppgiften att genomföra laglighetskontroller
på begäran av enskilda.
För det fall en kostnadsneutral lösning väljs avseende överflyttningen av
uppgifter beträffande den öppna polisen från SIN till Datainspektionen i
enlighet med utredningens förslag bör enligt inspektionen en
verksamhetsövergång övervägas i syfte att skapa en så smidig förändring som
möjligt.
Tillsynen över Säkerhetspolisens behandling av personuppgifter
Såvitt kan bedömas kommer huvuddelen av den personuppgiftsbehandling
som sker i Säkerhetspolisens brottsbekämpande verksamhet att falla utanför
dataskyddsdirektivets tillämpningsområde; frågan utreds dock för
närvarande. Eftersom Säkerhetspolisens behandling av personuppgifter i den
brottsbekämpande verksamheten i allt väsentligt kommer att falla utanför
direktivets tillämpningsområde kommer det att behöva införas fristående
nationella bestämmelser i svensk rätt avseende utseende av
tillsynsmyndigheter och deras uppgifter.
Datainspektionen tillstyrker att myndigheten blir tillsynsmyndighet avseende
Säkerhetspolisens personuppgiftsbehandling och att tillsynsansvaret delas
med SIN. När det gäller det närmare förhållandet mellan Datainspektionens
och SIN:s uppdrag anser inspektionen att de två myndigheternas närmare
inriktning bör preciseras i författning i syfte att undvika problem avseende
bland annat samordning, likriktning och resursanvändning vid
genomförandet av tillsynen. Enligt Datainspektionen bör den närmare
inriktningen bestämmas så att Datainspektionens tillsyn, som kommer till
uttryck i beslut som kan prövas i domstol, ska avse övergripande/generella
frågor och bestämmelser avseende dataskydd där en domstolsprövning på ett
adekvat sätt kan bidra till den praktiska tillämpningen av regelverket, medan
SIN:s tillsyn lämpligen bör inriktas mer på djupet och på förhållanden som
omfattas av stark sekretess eller av annan anledning är särskilt
integritetskänsliga. Detta kommer enligt Datainspektionen i praktiken att
medföra att SIN kommer att utföra huvuddelen av granskningen av
personuppgiftsbehandlingen i Säkerhetspolisens brottsbekämpande
verksamhet (samt genomföra laglighetskontroller på begäran av enskilda),
medan Datainspektionens tillsyn kommer att vara med begränsad och inrikta
sig på övergripande dataskyddsfrågor (som inte är verksamhetsspecifika),
samt på frågor av principiell natur där det av olika skäl kan finnas anledning
att få rättsfrågorna prövade i domstol.
Frågor avseende inkassolagen
Utredningen har påpekat att det finns anledning att se över
Datainspektionens tillsynsansvar enligt inkassolagen. Datainspektionen anser
att det är angeläget att en sådan utredning görs mot bakgrund av de skäl som
utredningen har redovisat.
Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter
föredragning av enhetschefen Nicklas Hjertonsson. Vid den slutliga
handläggningen har även chefsjuristen Hans-Olof Lindblom, samt
enhetscheferna Katarina Tullstedt och Catharina Fernquist deltagit.
Kristina Svahn Starrsjö
Nicklas Hjertonsson