55 Prop. 2017/18:105
8.4 Behandling för att utföra uppgifter av allmänt intresse
Regeringens förslag: Personuppgifter får behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
Utredningens förslag överensstämmer i huvudsak med regeringens.
Utredningen föreslår att det i bestämmelsen ska anges att behandlingen ska vara nödvändig för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse.
Remissinstanserna: Nästan alla remissinstanser tillstyrker förslaget eller har inga synpunkter på det. Pensionsmyndigheten och Statens servicecenter anser att den föreslagna regleringen tillsammans med principerna i artikel 5 förtydligar det som redan gäller. Malmö kommun och Piteå kommun anser att förslaget underlättar förståelsen av dataskyddslagstiftningen. Datainspektionen anser att det i bestämmelsen ska anges att kraven i artikel 6.3 andra stycket måste följas. Vidare anför Datainspektionen att det kan utgöra ett allmänt intresse att myndigheter även kan vidta administrativa åtgärder, men att det är svårt att se att dessa alltid kan anses vara fastställda i enlighet med unionsrätten eller den nationella rätten. Åklagarmyndigheten anser att det behövs ett tydligt stöd för behandling av personuppgifter för ändamål som statistik och uppföljning av verksamheten. Tjänstemännens centralorganisation anser att det bör klargöras att arbetsmarknadsparternas framtagande och behandling av lönestatistik m.m. är att betrakta som en uppgift av allmänt intresse. Stiftelsen Svenska Filminstitutet efterfrågar ledning för tolkningen av begreppen offentligt organ samt sådant privat organ som utför uppgifter av allmänt intresse, som omnämns i förordningens artikel 86. Svenska kyrkan ser en konflikt mellan dataskyddsförordningen och kravet på handlingsoffentlighet gentemot envar i 11 § lagen (1998:1591) om Svenska kyrkan. Dataskydd.net anser att bestämmelsen är onödig.
Skälen för regeringens förslag Begreppet uppgift av allmänt intresse
Enligt artikel 6.1 e i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Flera remissinstanser efterlyser vägledning rörande begreppets innebörd. Rent språkligt kan begreppet uppgift av allmänt intresse antas avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse eller ett enskilt intresse. Av skäl 45 till förordningen följer att allmänintresset inbegriper hälso- och sjukvårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster. Det kan vidare konstateras att begreppet förekommer i motsvarande bestämmelser i dataskyddsdirektivet (artikel 7 e) och personuppgiftslagen (10 § d) och ledning kan hämtas från hur begreppet tolkats enligt dessa bestämmelser.
Prop. 2017/18:105
56
Vid tillämpningen av personuppgiftslagen har den behandling av personuppgifter som är nödvändig i t.ex. myndigheternas verksamhet i vissa fall ansetts vara tillåten efter en intresseavvägning enligt 10 § f PUL. Den motsvarande bestämmelsen i dataskyddsförordningen, artikel 6.1 f, ska dock inte gälla för behandling som utförs av offentliga myndigheter när de utför sina uppgifter. Myndigheternas utrymme för att grunda behandling på samtycke från den registrerade är också alltjämt begränsat, i vart fall i sådana situationer där det är osannolikt att ett samtycke lämnas frivilligt (skäl 43). För att myndigheternas verksamhet ska kunna fungera även i fortsättningen anser regeringen att begreppet uppgift av allmänt intresse måste ges en vid betydelse.
I förhållande till den privata sektorn innebär dataskyddsförordningen en väsentlig förändring på så sätt att det inte längre är självklart att en personuppgiftsansvarig inom den sektorn som utför en uppgift av allmänt intresse kan utföra nödvändig behandling av personuppgifter på den grunden. Genom kravet på att grunden för behandlingen ska fastställas i enlighet med unionsrätten eller den nationella rätten begränsas nämligen tillämpningsområdet för artikel 6.1 e. Det räcker inte att en behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse – uppgiften måste också vara fastställd i enlighet med gällande rätt. När det gäller Tjänstemännens centralorganisations synpunkt om arbets-marknadsparternas framtagande och behandling av lönestatistik m.m., kan konstateras att Datalagskommittén ansåg att denna uppgift var av allmänt intresse enligt personuppgiftslagen (SOU 1997:39 s. 305). Det finns inte anledning att göra någon annan bedömning enligt dataskydds-förordningen. För att personuppgifter ska kunna behandlas på denna rättsliga grund krävs emellertid också att uppgiften är fastställd i enlighet med svensk rätt och att behandlingen är nödvändig.
När det däremot gäller svenska myndigheters behandling av person-uppgifter innebär dataskyddsförordningens krav på att grunden för behandlingen ska vara fastställd inte någon egentlig förändring. Som utvecklas i avsnitt 8.2 innebär legalitetsprincipen nämligen att myndig-heternas verksamhet redan i dag måste vara fastställd enligt svensk rätt.
Enligt artikel 6.3 andra stycket första meningen i dataskyddsförord-ningen ska syftet med behandlingen, i fråga om behandling enligt punkt 1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse.
Till skillnad mot vad som gäller avseende grunden rättslig förpliktelse behöver ändamålet således inte framgå. Ändamålet med varje enskild behandling måste dock vara nödvändigt för att utföra den fastställda uppgiften. Bestämmelsen uttrycker det samband som måste finnas mellan behandlingen och den fastställda uppgiften och riktar sig till den som bestämmer de särskilda ändamålen för behandlingen, vilket i normalfallet är den personuppgiftsansvarige men i vissa fall även kan vara lag-stiftaren. Detta krav på samband framgår även av artikel 5.1 b, där det anges att de särskilda ändamålen ska vara berättigade.
Myndigheters verksamhet är av allmänt intresse
Alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är enligt regeringens mening av allmänt intresse.
Om uppgifterna inte vore av allmänt intresse skulle myndigheterna inte
57 Prop. 2017/18:105 ha ålagts att utföra dem. På motsvarande sätt är de obligatoriska
upp-gifter som ålagts kommuner och landsting att utföra av allmänt intresse.
Detta måste enligt regeringens mening gälla även i dataskyddsförord-ningens mening, eftersom det är upp till varje medlemsstat att fastställa de uppgifter som är av allmänt intresse.
Begreppet uppgifter av allmänt intresse omfattar dock inte bara sådant som utförs som en följd av ett offentligrättsligt och uttryckligt åliggande eller uppdrag. Till skillnad från vad som gäller enligt artikel 6.1 c i data-skyddsförordningen behöver den personuppgiftsansvarige inte vara skyldig att utföra uppgiften för att den rättsliga grunden i led e ska vara tillämplig.
Som en följd av det kommunala självstyret har kommuner och lands-ting en vidsträckt möjlighet att göra frivilliga åtaganden. Befogenheten är emellertid enligt kommunallagen (2017:725) begränsad till angelägen-heter av just allmänt intresse. Kommuner och landsting får driva närings-verksamhet, men bara om den drivs utan vinstsyfte och syftar till att tillhandahålla allmännyttiga anläggningar eller tjänster åt medlemmarna.
Som exempel på sådana uppgifter av allmänt intresse som kommunerna utför på frivillig grund kan nämnas tillhandahållande av bostäder och fritids- och idrottsanläggningar, åtgärder för att främja ortens näringsliv och annan kulturell verksamhet än bibliotek (som i stället är en obliga-torisk uppgift).
Vissa myndigheter, t.ex. Lantmäteriet, har av riksdagen eller regeringen getts befogenhet att bedriva viss uppdragsverksamhet. Även denna typ av verksamhet måste enligt regeringens mening anses vara motiverad av ett allmänt intresse.
Den verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är således av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheter, även utanför området för myndighetsutövning. Detta utesluter dock inte, som utredningen påpekar, att också andra rättsliga grunder samtidigt kan vara tillämpliga i vissa situationer.
Myndigheters verksamhet har stöd i rättsordningen
För att artikel 6.1 e i dataskyddsförordningen ska vara tillämplig räcker det inte att den verksamhet som myndigheterna bedriver är av allmänt intresse. Den måste också vara fastställd i enlighet med unionsrätten eller den nationella rätten. Som nämns ovan anges det i regeringsformen att den offentliga makten utövas under lagarna. Myndigheters verksamhet måste således ha stöd i någon av de källor som tillsammans bildar rättsordningen. Myndigheternas uppdrag och åligganden framgår av för-fattningar, regeringsbeslut och kommunala reglementen, antagna i enlig-het med regeringsformens bestämmelser om normgivningskompetens och kommunalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler.
Statliga myndigheter får sina uppdrag och befogenheter av riksdag och regering – i myndighetsinstruktioner, regleringsbrev och andra
Prop. 2017/18:105
58
beslut. På motsvarande sätt följer de kommunala myndigheternas obliga-toriska uppgifter av åligganden som fastställts i lag eller förordning.
Även sådana frivilliga åtaganden som en kommun gör inom ramen för sin allmänna befogenhet ska framgå av gällande rätt, nämligen av det reglemente som fullmäktige utfärdar för den ansvariga nämnden.
Även privata aktörer kan utföra fastställda uppgifter av allmänt intresse Vid tillämpningen av artikel 6.1 e spelar det ingen roll om den person-uppgiftsansvarige är en offentlig eller en privat aktör. Om den uppgift som den personuppgiftsansvarige utför är av allmänt intresse och denna uppgift är fastställd i enlighet med unionsrätten eller den nationella rätten finns en rättslig grund för nödvändig behandling enligt artikel 6.1 e. Det saknar då betydelse om en privat aktör utför verksamheten på direkt uppdrag av en myndighet eller på eget initiativ.
Avmonopolisering och konkurrensutsättning av offentlig verksamhet i Sverige har inneburit att privaträttsliga organ numera utför en inte obetydlig del av de uppgifter som sannolikt skulle anses vara av allmänt intresse, även i begreppets mest snäva bemärkelse. Detta gäller inom den kommunala sektorn exempelvis avseende förskoleverksamhet och skola, hälso- och sjukvård samt stöd och service till funktionshindrade. Inom den traditionellt statliga sektorn kan nämnas rikstäckande infrastruktur, kommunikation och energiförsörjning. Ibland bedrivs verksamheten allt-jämt under kommunal eller statlig styrning, i form av kommunala eller statliga bolag, men på andra områden förekommer också eller enbart privata subjekt som är associationsrättsligt helt fristående från den offentliga sektorn.
I flera av dessa fall är verksamheten av kommersiell karaktär och bygger i viss utsträckning på avtal med den registrerade. I den mån behandling av personuppgifter är nödvändig kan den i sådana fall ske med stöd av artikel 6.1 b i dataskyddsförordningen, även om uppgiften inte skulle vara fastställd i lagstiftningen. När det gäller hälso- och sjukvårdsverksamhet, i både offentlig och privat regi, fastställs dock uppgiften i bl.a. hälso- och sjukvårdslagen (2017:30). På motsvarande sätt regleras uppgiften att tillhandahålla stöd och service till hindrade av lagen (1993:387) om stöd och service till vissa funktions-hindrade och uppgiften att tillhandahålla insatser inom socialtjänsten av socialtjänstlagen (2001:453). Skolväsendets uppgifter fastställs i skol-lagen (2010:800), som gäller för både offentliga och enskilda anordnare av utbildning.
De uppgifter av allmänt intresse som utförs i syfte att utföra ett uttryck-ligt uppdrag eller till följd av ett åliggande måste anses vara av denna karaktär oavsett om de faktiskt utförs i myndighetens egen regi eller om de genom utkontraktering eller entreprenad utförs av någon annan. När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig myndighet, utför en förvaltningsuppgift som åligger kommunen eller myndigheten, bör alltså även den privata utföraren, entreprenören eller det kommunala bolaget anses utföra en uppgift av allmänt intresse. Ett privaträttsligt organ som fullgör ett uppdrag från en myndighet avseende en sådan uppgift som är fastställd i författning, regeringsbeslut eller kom-munalt beslut i fullmäktige kan därför vidta nödvändiga
59 Prop. 2017/18:105 åtgärder på samma rättsliga grund som om myndigheten själv utfört
uppgiften, dvs. med stöd av artikel 6.1 e i dataskyddsförordningen. Det bör noteras att en uppdragstagare som är personuppgiftsbiträde åt myndigheten i stället behandlar personuppgifter med stöd av artikel 28 i dataskyddsförordningen.
När det är tveksamt om den verksamhet som en privaträttslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att grunda nödvändig behandling av personuppgifter på en intresseavvägning i enlighet med artikel 6.1 f i dataskyddsförordningen eller att inhämta den registrerades samtycke. Detsamma gäller om verksamheten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unions-rätten eller den nationella unions-rätten.
Privata organ som omfattas av offentlighetsprincipen
Enligt artikel 86 i dataskyddsförordningen får personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse lämnas ut av myndigheten eller organet i enlighet med den nationella rätt som myndigheten eller det offentliga organet omfattas av. Bestämmelsen möjliggör en tillämpning av tryckfrihetsförordningens bestämmelser om allmänhetens tillgång till allmänna handlingar när det gäller handlingar som innehåller personuppgifter. Detta innebär att den svenska grundlags-fästa handlingsoffentligheten är förenlig med dataskyddsförordningen.
Detta gäller enligt artikel 86 inte bara hos myndigheter och offentliga organ, utan även hos sådana privaträttsliga organ som utför uppgifter av allmänt intresse.
Offentlighetsprincipen gäller hos myndigheter, men inte hos alla privata organ som utför uppgifter av allmänt intresse. Tryckfrihetsförord-ningens bestämmelser om rätt att ta del av allmänna handlingar hos myndigheter ska dock enligt 2 kap. 3 § OSL i tillämpliga delar gälla också handlingar hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestäm-mande inflytande. Enligt 2 kap. 4 § OSL ska rätten att ta del av allmänna handlingar hos myndigheter i tillämpliga delar också gälla handlingar hos de organ som anges i bilagan till offentlighets- och sekretesslagen, om handlingarna hör till den verksamhet som nämns där. Vissa av de organ som anges i den bilagan står under statlig styrning, medan andra är associationsrättsligt fristående från staten.
Gemensamt för de privata organ som enligt offentlighets- och sekre-tesslagen omfattas av offentlighetsprincipen är att de antingen anförtrotts förvaltningsuppgifter som rör myndighetsutövning eller att organets verksamhet helt eller delvis finansieras med allmänna medel. Detta innebär enligt regeringens mening att t.ex. Stiftelsen Svenska Filminsti-tutet och andra organ, vars handlingar omfattas av handlingsoffentlighet, i motsvarande utsträckning måste anses utföra uppgifter av allmänt intresse i den mening som avses i dataskyddsförordningen. Eftersom bestämmelsen i artikel 86 anger att även privata organ som utför upp-gifter av allmänt intresse får lämna ut handlingar som innehåller
Prop. 2017/18:105
60
uppgifter, finns det således inte någon konflikt mellan offentlighets-principens tillämpning hos dessa organ och dataskyddsförordningen.
Svenska kyrkan undrar om det finns en konflikt mellan dataskydds-förordningen och det krav på att lämna ut handlingar som gäller i kyrkans verksamhet. Enligt 11 § lagen om Svenska kyrkan ska var och en ha rätt att ta del av Svenska kyrkans handlingar. Denna rätt får begränsas bara om det är särskilt motiverat med hänsyn till vissa särskilt angivna intressen. Den lagstadgade handlingsoffentlighet som gäller för dessa handlingar liknar således den som gäller i fråga om myndig-heternas handlingar enligt tryckfrihetsförordningen. Enligt regeringens bedömning bör Svenska kyrkans handlingar därför betraktas som all-männa i den mening som avses i artikel 86 i dataskyddsförordningen.
Dataskyddsförordningen ger således stöd för att Svenska kyrkan lämnar ut handlingar i enlighet med lagen om Svenska kyrkan.
Syftet med behandlingen ska vara nödvändigt
För att behandling av personuppgifter ska vara tillåten enligt artikel 6.1 e i dataskyddsförordningen krävs att ändamålet med behandlingen är nödvändigt för att utföra uppgiften. Detta ska enligt regeringens bedöm-ning inte tolkas som att uppgiften av allmänt intresse måste vara avgrän-sad så att den bara kan utföras på ett sätt. Den metod som den person-uppgiftsansvarige väljer för att utföra sin uppgift måste dock – som all offentlig förvaltning – vara ändamålsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv. Ju mer detaljerat en viss uppgift har reglerats, desto mindre utrymme torde det finnas för den personuppgiftsansvarige att välja olika tillvägagångs-sätt. Detta medför i sin tur en större förutsebarhet i fråga om vilken personuppgiftsbehandling som kan aktualiseras. Om ett uppdrag i stället har reglerats på en mer övergripande och resultatinriktad nivå kan det sannolikt utföras på många olika sätt, vilka i förhållande till varandra kan vara mer eller mindre nödvändiga i dataskyddsförordningens mening.
Kravet på att ändamålet ska vara nödvändigt för att utföra en uppgift av allmänt intresse innebär alltså i sig en spärr mot helt onödig behandling av personuppgifter eller sådan behandling som utgör ett oproportionerligt intrång i privatlivet som inte kunnat förutses.
Alla myndigheter, såväl statliga som kommunala, vidtar en rad admi-nistrativa åtgärder som krävs för att myndigheten ska fungera. Som exempel kan nämnas myndigheternas interna säkerhetsarbete och infor-mation, personalvård samt, som bl.a. Åklagarmyndigheten påpekar, olika former av uppföljning och utvärdering av den egna verksamheten. Krav på myndigheterna att vidta sådana administrativa åtgärder kan framgå direkt eller indirekt av författning eller beslut. När det gäller myndig-heternas säkerhetsarbete finns det t.ex. bestämmelser i förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. I fråga om personalvård finns det bestämmelser i bl.a. arbets-miljölagen (1977:1160). Allmänna krav på myndigheterna att följa upp och utvärdera den egna verksamheten följer av bestämmelserna i myndighetsförordningen (2007:515). Det förekommer dock även att myndigheterna, för att fungera, behöver vidta administrativa åtgärder som varken direkt eller indirekt kan sägas följa av författning eller beslut.
61 Prop. 2017/18:105 I skäl 27 till den rättsakt som gäller för EU-institutionernas
uppgiftsbehandling, förordning 45/2001, anges att behandling av person-uppgifter för utförandet av de person-uppgifter av allmänt intresse som gemen-skapsinstitutionerna och gemenskapsorganen utför inbegriper sådan behandling av personuppgifter som är nödvändig för förvaltningen av dessa institutioner och organ för att de ska fungera. En motsvarande skrivning finns i skäl 17 i kommissionens förslag till ny förordning på området (COM(2017) 8 final).
Någon motsvarighet till skäl 27 i förordning 45/2001 finns inte i data-skyddsförordningen. Bestämmelsen i artikel 6.3 andra stycket, om att syftet med behandlingen ska vara nödvändigt för att utföra uppgiften, fyller dock samma funktion. Den specifika behandlingen måste vara nöd-vändig för ett ändamål som i sin tur är nödnöd-vändigt för att myndigheten ska kunna utföra sitt uppdrag. Om myndigheten inte fungerar kan den inte utföra sina fastställda uppgifter. Behandling av personuppgifter som utförs som ett led i sådana administrativa åtgärder som är nödvändiga för myndighetens förvaltning och funktion är därmed enligt regeringens uppfattning rättsligt grundad i dataskyddsförordningens mening. Det krävs alltså inte att de administrativa åtgärderna är fastställda i enlighet med svensk rätt, så som Datainspektionen är inne på. Däremot måste de administrativa åtgärderna vara nödvändiga för att myndigheten ska kunna utföra sina uppgifter. Dessa uppgifter måste vara fastställda i enlighet med gällande rätt, vilket de som framgår ovan redan är.
Behov av förtydligande i nationell rätt
För att behandling av personuppgifter ska vara laglig enligt artikel 6.1 e i dataskyddsförordningen måste den uppgift som den personuppgifts-ansvarige utför dels vara av allmänt intresse (eller utgöra ett led i myndighetsutövning), dels vara fastställd i enlighet med unionsrätten eller den nationella rätten. Vidare måste behandlingen vara nödvändig för ett ändamål som är nödvändigt för att utföra uppgiften. Detta framgår
För att behandling av personuppgifter ska vara laglig enligt artikel 6.1 e i dataskyddsförordningen måste den uppgift som den personuppgifts-ansvarige utför dels vara av allmänt intresse (eller utgöra ett led i myndighetsutövning), dels vara fastställd i enlighet med unionsrätten eller den nationella rätten. Vidare måste behandlingen vara nödvändig för ett ändamål som är nödvändigt för att utföra uppgiften. Detta framgår