Bestämmelserna om

31 denna del. Om förordningen ändras bör därför den svenska lagstiftaren ta

ställning till om dessa ändringar ska få genomslag även på de områden som är undantagna från förordningens tillämpningsområde. Hänvis-ningen till förordHänvis-ningen i den nu aktuella bestämmelsen i dataskydds-lagen bör därför vara statisk, dvs. avse den ursprungliga lydelsen av förordningen.

6.1.2 Bestämmelserna om personuppgiftsincidenter ska inte gälla om incidenten rör rikets säkerhet

Regeringens förslag: Bestämmelserna i EU:s dataskyddsförordning om anmälan till tillsynsmyndigheten av en personuppgiftsincident samt information till den registrerade om en sådan incident ska inte tillämpas i fråga om incidenter som ska rapporteras enligt säkerhets-skyddslagen eller föreskrifter som har meddelats i anslutning till den lagen.

Utredningen föreslår inte något sådant undantag.

Remissinstanserna: Säkerhetspolisen, Försvarsmakten och För-svarets radioanstalt invänder mot utredningens förslag i den del detta innebär att dataskyddsförordningens bestämmelser om personuppgifts-incidenter ska tillämpas utanför förordningens egentliga tillämpnings-område.

Skälen för regeringens förslag

Förordningens reglering rörande personuppgiftsincidenter

En personuppgiftsincident är enligt definitionen i artikel 4.12 i data-skyddsförordningen en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Om en sådan incident inträffar ska den person-uppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla incidenten till tillsynsmyndigheten (artikel 33). Undantag från denna anmälnings-skyldighet gäller endast om det är osannolikt att incidenten medför en risk för fysiska personers rättigheter och friheter. Anmälan ska åtmin-stone a) beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgifts-poster som berörs, b) förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas, c) beskriva de sannolika konsekvenserna av personuppgifts-incidenten, och d) beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om

32

incidenten (artikel 34). Informationen ska innehålla en tydlig och klar beskrivning av personuppgiftsincidentens art och åtminstone de upplys-ningar och åtgärder som avses i artikel 33.3 b, c och d. Information till den registrerade krävs dock inte om vissa särskilt angivna villkor är uppfyllda, t.ex. om den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tilläm-pats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.

Enligt artikel 23 får det i unionsrätten eller nationell rätt föreskrivas ytterligare undantag från skyldigheten att informera de registrerade om en personuppgiftsincident, förutsatt att en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa särskilt angivna intressen, t.ex. den nationella säkerheten eller försvaret.

Andra skyldigheter att anmäla incidenter

Skyldigheten att anmäla incidenter till tillsynsmyndigheten är en av nyheterna i dataskyddsförordningen. Någon motsvarighet finns således inte enligt personuppgiftslagen. Liknande rapporteringsskyldigheter finns däremot på andra områden i svensk rätt, bl.a. till skydd för rikets säkerhet.

Enligt 10 a § första stycket säkerhetsskyddsförordningen (1996:633) ska en myndighet skyndsamt anmäla vissa it-incidenter till den myndig-het som enligt 39 § utövar tillsyn över säkermyndig-hetsskyddet, dvs. till För-svarsmakten eller Säkerhetspolisen. Rapporteringsskyldigheten gäller bl.a. om incidenten allvarligt kan påverka säkerheten i ett informations-system där hemliga uppgifter behandlas i en omfattning som inte är ringa eller om incidenten allvarligt kan påverka säkerheten i ett informations-system som särskilt behöver skyddas mot terrorism. Med uttrycket hemliga uppgifter avses i säkerhetsskyddsförordningen uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen och som rör rikets säkerhet.

Enligt 20 § förordningen (2015:1052) om krisberedskap och bevak-ningsansvariga myndigheters åtgärder vid höjd beredskap (krisbered-skapsförordningen) ska en myndighet till Myndigheten för samhälls-skydd och beredskap skyndsamt rapportera it-incidenter som inträffat i myndighetens informationssystem och som allvarligt kan påverka säker-heten i den informationshantering som myndigsäker-heten ansvarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation. Denna rapporteringsskyldighet omfattar dock inte sådana incidenter som ska rapporteras enligt 10 a § säkerhetsskyddsförordningen.

Utredningen om genomförande av NIS-direktivet (Ju 2016:11) föreslår i sitt betänkande (SOU 2017:36) en ny lag om informationssäkerhet för vissa tillhandahållare av samhällsviktiga tjänster och digitala tjänster.

Förslaget innebär bl.a. att leverantörer av samhällsnyttiga tjänster utan onödigt dröjsmål ska rapportera incidenter som har en betydande inverkan på kontinuiteten i den samhällsviktiga tjänst som de

33 håller. Rapporteringen ska göras till Myndigheten för samhällsskydd och

beredskap. Bestämmelserna i den föreslagna lagen ska emellertid inte tillämpas på verksamhet som är av betydelse för Sveriges säkerhet. Detta innebär att den rapportering av it-incidenter som myndigheter är skyldiga att göra enligt 10 a § säkerhetsskyddsförordningen även fortsättningsvis ska rapporteras enligt säkerhetsskyddsförordningen och inte enligt den nya lagen (SOU 2017:36 s. 95).

Utredningen om 2016 års dataskyddsdirektiv lämnar i sitt del-betänkande (SOU 2017:29) förslag till en ny brottsdatalag. Förslaget innebär bl.a. att en personuppgiftsincident ska anmälas till tillsyns-myndigheten, utom i de fall där incidenten rör nationell säkerhet. Om incidenten rör nationell säkerhet ska den personuppgiftsansvarige inte heller vara skyldig att underrätta den registrerade om incidenten. Utred-ningen om 2016 års dataskyddsdirektiv anför att behovet av att skydda hemliga uppgifter som rör Sveriges säkerhet är så viktigt att endast den myndighet som utövar tillsyn över säkerhetsskyddet ska få ta del av den.

Även om den rapporteringen har ett annat syfte än rapporteringen av personuppgiftsincidenter, anser utredningen att behovet av skydd för uppgifter som rör Sveriges säkerhet väger tyngre än behovet av att skydda enskilda från eventuella intrång i den personliga integriteten.

Eftersom nationell säkerhet ligger utanför direktivets tillämpningsområde anser utredningen att sådana personuppgiftsincidenter som ska anmälas enligt 10 a § säkerhetsskyddsförordningen inte bör anmälas till tillsyns-myndigheten (SOU 2017:29 s. 337).

Bör förordningens bestämmelser om personuppgiftsincidenter gälla i all verksamhet som inte omfattas av unionsrätten?

Av säkerhetsskyddsskäl måste det, vilket Säkerhetspolisen framhåller, ställas höga krav på informationssäkerheten för uppgifter som kan avslöja svagheter i skyddet av uppgifter som rör rikets säkerhet eller mot terrorism, i synnerhet när uppgifterna kan ge en samlad bild av sådana svagheter. Som Försvarsmakten påpekar kommer dokumentation kring incidenter att visa på sårbarheter i berörda system och kan t.ex. visa på hur man kan kringgå skyddsåtgärder för att få obehörig tillgång till systemen. Kunskap om en personuppgiftsincident kan på så vis ge en motståndare uppgifter som underlättar vidare angrepp och inhämtning.

Sådana uppgifter bör därför inte spridas till fler myndigheter än vad som är nödvändigt.

Incidentrapporteringen enligt säkerhetsskyddsförordningen eller kris-beredskapsförordningen tar visserligen inte främst sikte på säkerhets-incidenter där personuppgifter på olika sätt röjts. Oavsett anledningen till att en it-incident rapporteras syftar en sådan rapportering till att upp-märksamma brister i skyddet av information för att därefter vidta åtgärder för att säkerställa detta. Om en it-incident inträffar i ett system med personuppgifter kommer alltså de skyddsåtgärder och säkerhets-höjande åtgärder som vidtas med anledning av incidenten att stärka skyddet även för personuppgifterna och därmed för den personliga integriteten.

Mot bakgrund av behovet av skydd för rikets säkerhet anser regeringen att det bör införas en begränsning i fråga om tillämpningen av

34

skyddsförordningen utanför dess egentliga tillämpningsområde, när det gäller bestämmelserna om personuppgiftsincidenter. Eftersom data-skyddsförordningen egentligen inte gäller i verksamhet som rör nationell säkerhet, finns det heller inga unionsrättsliga hinder mot en sådan begränsning.

Frågan har beretts med Säkerhetspolisen, Datainspektionen, Säkerhets- och integritetsskyddsnämnden, Försvarsmakten, Försvarets radioanstalt, Totalförsvarets rekryteringsmyndighet och Myndigheten för samhälls-skydd och beredskap, som i sak delar bedömningen att datasamhälls-skyddsförord- dataskyddsförord-ningens bestämmelser om anmälan och information om personuppgifts-incidenter inte bör gälla för personuppgifts-incidenter som rör nationell säkerhet. Data-inspektionen anser emellertid att bestämmelsen i artikel 33.5 om skyldig-het att dokumentera incidenter ska gälla även i dessa fall. Regeringen, som i och för sig instämmer i att även incidenter som rör nationell säkerhet bör dokumenteras, anser dock att dataskyddsförordningens dokumentationsskyldighet inte bör gälla i fråga om incidenter som inte ska rapporteras enligt det regelverket.

När det gäller frågan om hur ett undantag från rapporteringsskyldig-heten bör utformas har regeringen övervägt flera alternativ. I förslaget till brottsdatalag anges att anmälningsskyldighet inte gäller incidenter som rör nationell säkerhet. En liknande formulering återfinns även i skäl 16 till dataskyddsförordningen, som ett exempel på verksamhet som inte omfattas av unionsrätten. Det skulle mot den bakgrunden kunna anges i dataskyddslagen att artiklarna 33 och 34 i dataskyddsförordningen inte ska gälla personuppgiftsincidenter som rör nationell säkerhet. Det finns dock, som Säkerhetspolisen anför, en risk för att det skulle innebära tillämpningssvårigheter, eftersom andra begrepp används i svensk rätt rörande samma sak. Som exempel kan nämnas att begreppet rikets säkerhet används i säkerhetsskyddslagen (1996:627). Det begreppet har dock i svensk rätt successivt ersatts av uttrycket Sveriges säkerhet, bl.a. i 19 kap. brottsbalken. I regeringens lagrådsremiss, Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag, föreslås att uttrycket Sveriges säkerhet ska ersätta rikets säkerhet även i säkerhets-skyddslagen.

Säkerhetspolisen och Försvarets radioanstalt föreslår i sina remissvar över betänkandet att det av dataskyddslagen bör framgå att artiklarna 33 och 34 i dataskyddsförordningen inte ska gälla personuppgiftsincidenter som ska rapporteras enligt 10 a § säkerhetsskyddsförordningen.

Regeringen anser dock inte att det är lämpligt att i lag hänvisa till en förordning. Undantaget bör i stället ange att artiklarna 33 och 34 inte ska tillämpas i fråga om incidenter som ska rapporteras enligt säkerhets-skyddslagen eller föreskrifter som har meddelats i anslutning till den lagen.

35

6.2 Dataskyddslagens tillämpning vid