Remissvar över betänkandet Myndighetsdatalag (SOU 2015:39)
Allmänt
Utredningens målsättning, att skapa ett grundläggande regelverk som på ett ändamålsenligt sätt beaktar de särskilda förutsättningar som gäller vid behandlingen av personuppgifter på myndighetsområdet, får anses i allt väsentligt uppfylld genom den föreslagna myndighetsdatalagen. I likhet med utredningen anser Justitiekanslern att förslagen i betänkandet kommer att göra att behovet av sektorsspecifika informationshanteringsförfattningar kommer att minska i framtiden, vilket är positivt. (s. 178)
I det följande kommenteras först några av utredningens förslag där Justitiekanslern bl.a. har noterat att det kan uppkomma tillämpningsproblem. Därefter följer ett avsnitt i vilka redovisas vissa farhågor om bristande förutsebarhet för myndigheterna med anledning av den nya EU-förordningen om skydd för personuppgifter, nedan uppgiftsskyddsförordningen, som väntas beslutas inom några år. Avslutningsvis kommenteras behovet av en snabb översyn av gällande registerförfattningar.
Förslaget till myndighetsdatalag
Lagens tillämpningsområde (3 §)
Myndighetsdatalagen föreslås inte gälla i myndigheternas administrativa verksamhet (avsnitt 8.2.2).
I betänkandet saknas en närmare analys av för- och nackdelar med att låta personuppgiftsbehandlingar i den administrativa verksamheten omfattas av den nya lagen. I den administrativa verksamheten vid myndigheterna genereras en stor mängd allmänna handlingar. Utredningens förslag har till syfte att bl.a. underlätta tillämpningen av offentlighetsprincipen i situationer där det samtidigt uppkommer integritetsfrågor kring personuppgiftsbehandlingar. Redan detta medför att det kan finnas anledning att ifrågasätta begränsningen av lagens tillämpningsområde.
Justitiekanslern kan även se att det finns gränsdragningsproblem med den föreslagna bestämmelsen. Vad som menas med administrativ verksamhet definieras inte i lagen. I betänkandet anges på ett ställe att med administrativ verksamhet avses rent internadministrativ verksamhet ska falla utanför tillämpningsområdet (s. 225). Denna snäva definition har dock inte kommit till uttryck i lagtexten. I författningskommentaren framhålls vidare att undantaget inte träffar sådan verksamhet som är direkt kopplad till en myndighets sakverksamhet (s. 689).
I tillämpningen kan uppkomma frågor om vad som ska gälla t.ex. när en myndighet ägnar sig åt sådan verksamhet som upphandling av tjänster som utgör stöd för myndighetens sakverksamhet. Är detta att hänföra till den administrativa verksamheten eller är det direkt kopplat till myndighetens sakverksamhet och därmed omfattat av myndighetsdatalagen?
Enligt utredningen behandlas inte uppgifter i den administrativa verksamheten som har samlats in då myndigheten fullgör de uppgifter som myndigheten är ålagd att utföra inom ramen för deras verksamhet (s. 225). I den administrativa verksamheten kan i själva verket förekomma en vidarebehandling av personuppgifter som har samlats in i samband med myndighetens normala ärendehantering. Ett exempel på det är när myndigheterna lägger ut material på sin webbplats, t.ex. beslut i ärenden som myndigheten på det sättet vill göra tillgänglig för allmänheten. Utifrån de resonemang som förs i betänkandet synes avsikten vara att denna typ av serviceverksamhet omfattas av lagens tillämpningsområde (se s. 224). Ett annat sätt att se på saken är dock att detta skulle kunna anses höra till den administrativa verksamheten, eftersom det vanligtvis inte är fråga om att myndigheten fullgör de uppgifter som den är ålagd att utföra.
Ett annat exempel från Justitiekanslerns verksamhet är statens skadereglering. I de fall en begäran om ersättning ska bifallas och ersättning betalas ut så kommer behandlingen av personuppgifter uppenbarligen att omfattas av olika regelverk beroende på i vilken del av processen personuppgifterna behandlas. Även andra myndigheter hanterar ärenden som på motsvarande sätt kan sägas innefatta moment av såväl sedvanlig ärendehantering som efterföljande administrativa åtgärder.
Ett ytterligare konkret exempel på vidarebehandling av personuppgifter utanför ärendehanteringen är när en enskild har begärt myndighetens prövning av en begäran att ta del av en allmän handling i ett pågående eller avslutat ärende (jfr 6 kap. 3 § offentlighets- och sekretesslagen (2009:400), nedan OSL. Ett sådant ärende som kan inkludera fakturering av avgifter för utlämnandet behandlas hos vissa myndigheter, exempelvis Justitiekanslern, som en egen ärendekategori inom den administrativa verksamheten. Som lagtexten är utformad går det inte att avgöra om den personuppgiftsbehandling som sker i samband med ett sådant ärende ska omfattas av myndighetsdatalagen. Med tanke på att det även i denna verksamhet kan behandlas en betydande mängd känsliga personuppgifter vore det lämpligt om lagens regler om sökförbud omfattade även denna verksamhet. Likaså får det anses ändamålsenligt om den föreslagna lagens regler om utlämnande av personuppgifter i elektronisk form blir tillämpliga. När det gäller just utlämnande av allmänna handlingar har i förslaget till ny domstolsdatalag tydligt angetts att den lagen ska gälla när domstolar vidarebehandlar personuppgifter i den administrativa verksamheten för att lämnas ut efter begäran (se prop. 2014/15:148 s. 5 och 27 f.).
Mot denna bakgrund anser Justitiekanslern att det bör närmare analyseras om det kan finnas anledning att låta den nya lagen omfatta även myndigheternas administrativa verksamhet och, om undantaget ska vara kvar, närmare klargöra tillämpningsområdet.
En avslutande reflektion i detta sammahang är att varken förvaltningslagen (1986:223) eller myndighetsförordningen (2007:515) synes göra någon skillnad på en myndighets handläggning av vad som är att hänföra till en myndighets administrativa verksamhet respektive sakverksamhet. I många fall torde det vara relativt enkelt att särskilja vad som kan hänföras till respektive verksamhet. Det nu lagda förslaget väcker emellertid onekligen frågan om det finns anledning att närmare överväga om skillnaderna behöver tydliggöras i författning eller på annat sätt. Frågan är dock om dessa överväganden bör göras i det nu aktuella sammahanget eller i ett annat mer övergripande sammanhang.
Rättslig grund för personuppgiftsbehandling (8 §)
Bestämmelsen avses motsvara den behandling som tillåts enligt 10 § punkterna a-f i personuppgiftslagen (1998:204), nedan PUL, och artikel 7 i Europaparlamentets och Rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (nedan dataskyddsdirektivet)
Avsikten är att tydliggöra och förenkla vad som ska gälla i fråga om när myndigheterna får behandla personuppgifter och att en myndighets befogenheter enligt lag, föreskrifter m.m. begränsar myndigheternas verksamhet och därmed vilken personuppgiftsbehandling som får ske. (s. 287 f.)
Den föreslagna regelns utformning får dock anses ge myndigheterna större utrymme att behandla personuppgifter i jämförelse med PUL och personuppgiftsdirektivet. Det framstår som en uppenbar risk att vad som är bra för myndigheten i den dagliga verksamheten, exempelvis ansamlingar av lättåtkomlig information, kan komma att få väga över i förhållande till enskildas förväntan på att deras personuppgifter inte hanteras annat än för just det ändamål som uppgifterna lämnats in. En myndighet bör således endast ägna sig åt personuppgiftsbehandlingar som är nödvändiga för att utföra arbetsuppgifter av allmänt intresse. För att inskärpa vikten av detta och av att myndigheter beaktar den enskildes integritetsintresse innan en personuppgiftsbehandling vidtas, bör övervägas om inte 10 § PUL ska gälla vid behandlingar enligt myndighetsdatalagen. I så fall kan en hänvisning göras till 10 § PUL och den föreslagna 8 § utgå.
Direktåtkomst (13 §)
Utredningen anser (s. 391) att det idag får anses gälla en definition av begreppet direktåtkomst och att det saknas anledning att införa en sådan definition.
Högsta förvaltningsdomstolen har i ett avgörande den 29 oktober 2015 (mål nr 1356-14) konstaterat att elektronisk överföring av uppgifter mellan myndigheter sker i form av direktåtkomst eller utlämnande på medium för automatiserad behandling men att det inte finns någon legaldefinition av dessa begrepp. I målet var frågan om socialnämnderna kunde anses ha direktåtkomst till vissa uppgifter hos Försäkringskassan. Datainspektionen och Försäkringskassan hade olika åsikt om direktåtkomst, i de aktuella författningarnas mening, förelåg eller inte utifrån den form av tillgång som socialnämnderna gavs till uppgifter hos Försäkringskassan. Högsta förvaltningsdomstolen anslöt sig i målet till den uppfattning som utredningen ger uttryck för i betänkandet och som också framgår av vissa förarbetsuttalanden. Direktåtkomst ansågs således föreligga om den mottagande myndigheten har sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket tryckfrihetsförordningen att upptagningarna ska anses förvarade hos den mottagande myndigheten.
Begreppet direktåtkomst förekommer i en rad olika författningar, bl.a. OSL och de författningar som var aktuella i ovan nämnda mål i Högsta förvaltningsdomstolen. Enligt Justitiekanslerns mening väcker Högsta förvaltningsdomstolens avgörande på allvar frågan om det inte bör införas en legaldefinition av begreppet direktåtkomst i de författningar som uttrycket förekommer.
Utlämnande i elektronisk form (15 §)
I paragrafen används uttrycket ”elektronisk form”. Vad som avses med detta är inte närmare tydliggjort i bestämmelsen. Rubriken till paragrafen antyder i och för sig att det som avses är någon annan form av elektroniskt utlämnande än direktåtkomst. Möjligen bör detta även komma till uttryck i lagtexten.
I förslaget till ny domstolsdatalag används uttrycket ”medium för automatiserad behandling” i en bestämmelse med i övrigt motsvarande lydelse (prop. 2014/15:148 s. 7). I 2 kap. 13 § tryckfrihetsförordningen används i samband med utlämnande begreppet ”upptagning för automatiserad behandling”. Det bör övervägas om det finns anledning att samordna begreppsbildningen i denna del.
I förslaget till domstolsdatalag finns en regel som ger regeringen möjlighet att meddela ytterligare begräsningar av möjligheterna att lämna ut uppgifter på medium för automatiserad behandling (se prop. 2014/15:148 s. 78). Det bör övervägas om inte motsvarande möjlighet bör finnas i den nya myndighetsdatalagen.
Avslutningsvis kan ifrågasättas om det i lagtexten bör stå att personuppgifter ”får” lämnas ut i elektronisk form i stället för” kan” i lagtexten (jfr 15 § i förslaget till domstolsdatalag).
Tillgång till personuppgifter (18 §)
Även denna bestämmelse är förhållandevis vag till sin lydelse. I förslaget till 8 § domstolsdatalag har motsvarande bestämmelse formulerats på ett sätt som tydligare snävar in tillgången till personuppgifter. Vidare är den bestämmelsen förenad med en upplysningsbestämmelse som hänvisar till 8 kap. 7 § regeringsformen, se prop. 2014/15:148.
Det bör i det fortsatta arbetet övervägas om inte den nu föreslagna bestämmelsen bör formuleras i enlighet med förslaget till 8 § domstolsdatalagen.
Avsaknad av en bestämmelse om straff
Dataskyddsdirektivet kräver inte att det finns straffsanktioner vid överträdelser av reglerna i direktivet. Sverige har dock valt att ha det i PUL (49 §).
Utredningen har stannat för att i myndighetsdatalagen inte införa någon bestämmelse om straff för tjänstemän som agerar i strid med vissa bestämmelser i lagen. En konsekvens av detta är att en tjänsteman som gör sig skyldig till att i tjänsten exempelvis föra över personuppgifter till tredje land i strid med PUL:s (agerande inom administrativa verksamheten) och myndighetsdatalagens regler inte riskerar straff på grund av den senare överträdelsen. Vidare drabbas en person som i en verksamhet som omfattas av PUL (exempelvis privat verksamhet) av straffsanktion medan den tjänsteman som begår samma överträdelse vid tillämpningen av myndighetsdatalagen fri från straff. Det kan starkt ifrågasättas om det är motiverat att upprätthålla denna inkonsekvens beträffande straffsanktionerna. (s. 650 f.)
Införandet av en myndighetsdatalag innan uppgiftsskyddsförordningen träder ikraft
I utredningen anges att inriktningen inom EU när det gäller förslaget till en uppgiftsskyddsförordning är att förhandlingarna mellan Europeiska rådet, Europaparlamentet och kommissionen ska kunna vara slutförda under år 2015. Information från Europeiska rådets webbplats i oktober 2015 ger vid handen att rådet i juni 2015 enades om en allmän riktlinje för den allmänna uppgiftsskyddsförordningen och att förhandlingar har inletts med Europaparlamentet med utgångspunkt i den allmänna riktlinjen.
Det är alltjämt osäkert när en uppgiftsskyddsförordning kommer att träda i kraft. I kommissionens förslag till uppgiftsskyddsförordning föreslås förordningen träda ikraft två år från det att den beslutas. Utredningens förslag till myndighetsdatalag föreslås träda ikraft den 1 januari 2017.
En rättsakt i form av en förordning är bindande och direkt tillämplig i varje medlemstat. Medlemstaterna kan således inte på nationell nivå reglera vad som regleras i förordningen utöver vad som följer av själva förordningen. När detta skrivs har vi inte haft tillgång till föreliggande utkast till förordning.
Det närmare innehållet i uppgiftsskyddsförordningen är således ännu inte fastställt. Men det finns anledning anta att när uppgiftsskyddsförordningen är beslutad så måste ett arbete påbörjas för att upphäva eller att i vart fall helt eller delvis omarbeta PUL.
Utredningen bedömer också att en rad regler i den föreslagna myndighetsdatalagen som har ett materiellt innehåll som avviker från dataskyddsdirektivet och PUL måste upphävas när uppgiftsskyddsförordningen träder ikraft. Vidare behöver samtliga hänvisningar till PUL i den föreslagna lagen ändras till att avse hänvisningar till förordningens regler (s. 675 f.).
Det finns som konstateras i utredningen en stor mängd författningar som myndigheter idag kan ha att tillämpa när det gäller behandling av personuppgifter beroende på vilken typ av verksamhet myndigheten bedriver. Genom utredningens förslag införs ytterligare en ny generell registerförfattning som kan komma att gälla för viss del av myndigheternas personuppgiftsbehandling endast under en begränsad tidsperiod.
Myndigheterna har behov av att kunna överblicka och förutse vilket regelverk som de har att tillämpa vid sin personuppgiftsbehandling i ett längre tidsperspektiv. Vidare kan myndigheterna tänkas investera i IT-lösningar i olika avseenden, vilka riskerar att behöva ändras efter en kort tid med kostnadsökningar som följd. Som tidigare konstaterats är regelmassan på området redan stor. Det kan också noteras att det inte har kommit fram i betänkandet att de myndigheter som i dag endast har att tillämpa PUL i sin verksamhet upplever sådana allvarliga problem vid tillämpningen av PUL att det av den anledningen är angeläget att den nya lagen införs snabbt.
Om det kan antas att den föreslagna lagen endast kommer att vara gällande ett eller ett par år innan uppgiftsskyddsförordningen träder i kraft, kan det mot denna bakgrund finnas anledning att avvakta med införandet av myndighetsdatalagen till dess att det närmare har analyserats hur lagen bör utformas sedan uppgiftsskyddsförordningen beslutats.
Behovet av översyn av gällande registerförfattningar
Den föreslagna lagen ska inte tillämpas när det finns bestämmelser i exempelvis en registerförfattning som avviker från lagens bestämmelser. Enligt utredningen är tanken att sådana författningar efter hand ska upphävas eller förenklas när den föreslagna lagen har införts (s. 228 f.).
De myndigheter som i sin verksamhet har att tillämpa särskilda informationshanteringsförfattningar, exempelvis Skatteverket och Kronofogdemyndigheten, kommer i och med den nya lagen att behöva tillämpa åtminstone tre olika författningar när man behandlar personuppgifter. Personuppgiftslagen i den administrativa verksamheten (se 3 §), den gällande informationshanteringsförfattningen på den del av verksamheten som denna omfattar samt myndighetsdatalagen beträffande den övriga verksamheten som innefattar behandling av personuppgifter.
De tillämpningssvårigheter som kan väntas till följd av det omfattande regelverket för dessa, och flertalet andra stora, myndigheter motiverar att det relativt omgående görs en större översyn av samtliga registerförfattningar för att anpassa dessa till den nya lagen.