Personuppgiftsansvar

Regeringens förslag: En myndighet inom socialförsäkringens administ-ration skall vara personuppgiftsansvarig för den behandling av person-uppgifter som den utför.

Promemorians förslag: Överensstämmer med regeringens.

Remissinstanserna: Datainspektionen föreslår att bestämmelsen i 5 § om personuppgiftsansvar formuleras ”En myndighet inom socialförsäk-ringens administration är personuppgiftsansvarig för den behandling av personuppgifter som den utför eller som det åligger den att utföra.” för att markera att det finns ett ansvar inte endast för att en utförd behandling är korrekt utan även för att en behandling faktiskt utförs när det skall ske.

Riksskatteverket föreslår att personuppgiftsansvaret knyts till den be-handling som myndigheten skall utföra. På det sättet blir det tydligare att myndigheten även ansvarar i de fall då den har underlåtit att t.ex. föra in uppgifter i databasen. Södermanlands läns allmänna försäkringskassa m.fl. anför att det är nödvändigt med ett för försäkringskassorna och Riksförsäkringsverket gemensamt personuppgiftsansvar för de system som Riksförsäkringsverket skapar, med hänsyn till att det är verket som har faktisk möjlighet att påverka om och hur en behandling skall företas och som kan påverka säkerhetsnivån.

Prop. 2002/03:135

52 Skälen för regeringens förslag: Enligt 3 § personuppgiftslagen är den

personuppgiftsansvarig, som ensam eller tillsammans med andra be-stämmer ändamålen med och medlen för behandling av personuppgifter.

I verksamhet som omfattas av registerlagstiftning är emellertid ändamå-len i regel angivna i den aktuella registerförfattningen. Detta medför ett behov av att i registerlagen klargöra personuppgiftsansvaret för olika fö-rekommande behandlingar av personuppgifter genom en särskild be-stämmelse.

Med personuppgiftsansvaret följer av såväl personuppgiftslagen som den föreslagna lagen en rad åligganden, såsom ett ansvar för att behand-lingen av personuppgifter sker i enlighet med respektive lags bestämmel-ser, skyldighet att lämna information enligt de särskilda bestämmelserna om detta, skadeståndsskyldighet m.m. En rimlig utgångspunkt för fördel-ningen av personuppgiftsansvaret bör vara att det är den myndighet som har faktisk möjlighet att påverka om och hur en behandling skall företas som bör vara personuppgiftsansvarig för den behandlingen. För varje be-handling finns det en personuppgiftsansvarig, som har ansvaret bl.a. för att föreskrivna åtgärder i anslutning till den behandlingen utförs, t.ex.

lämnande av registerutdrag. Det ligger i personuppgiftsansvaret att det omfattar även underlåtenhet att vidta föreskrivna åtgärder, t.ex. underlå-tenhet att genomföra den behandling som krävs för att lämna ett register-utdrag. Regeringen anser – till skillnad från Datainspektionen – att det inte finns anledning att särskilt markera att ansvaret gäller också en sådan underlåtenhet. En sådan markering saknas i de flesta andra registerlagar.

Det är inte ändamålsenligt att i lag i detalj specificera vem som skall vara personuppgiftsansvarig för alla de olika typer av behandlingar som kan tänkas förekomma inom socialförsäkringens administration. Särskilt gäller detta de mer komplexa förhållanden som råder vid myndighetsge-mensam användning av de stora register som ingår i socialförsäkrings-databasen. I stället bör personuppgiftsansvaret fördelas genom en regel av mer övergripande karaktär. Det mest närliggande alternativet är då att regeln om personuppgiftsansvaret utformas så att den i första hand tar sikte på den myndighet som utför en viss behandling.

När det gäller behandlingar av personuppgifter som inte sker inom ra-men för den nedan föreslagna socialförsäkringsdatabasen, exempelvis ordbehandling i ett dokument som utförs av en tjänsteman, torde det inte vara något större problem att identifiera den myndighet i vars verksamhet behandlingen utförs. I fråga om behandlingar i databasen, i vilken upp-gifter i många fall kan vara gemensamt tillgängliga för flera myndighe-ter, kan dock bedömningen av personuppgiftsansvaret vara mer kompli-cerad.

Databasbegreppet är i och för sig endast en juridisk konstruktion för gemensam reglering av behandling av personuppgifter för en viss massa av uppgifter och handlingar i elektronisk form. Det förhållandet att en uppgift är hänförlig till databasen innebär inte att andra anställda inom socialförsäkringens administration än dem som behöver det för sin tjänst skall ha tillgång till uppgiften. Systematiken i det tekniska systemet för registrering av uppgifter m.m. kommer naturligtvis att beakta indel-ningen av verksamheten i olika myndigheter. I regel torde det med ut-gångspunkt i forumregler och vem som faktiskt utfört en behandling inte vara något större problem att avgöra vilken myndighet som utfört en viss

Prop. 2002/03:135

53 behandling. Det är också den enskilda behandlingen som skall utgöra

grunden för fördelningen av personuppgiftsansvaret. Har en uppgift lag-rats i databasen är det den myndighet som i och för sin verksamhet utför lagringsåtgärden som är ansvarig för att den lagrade uppgiften är korrekt.

Ansvaret för uppgiften bör rimligtvis sedan sträcka sig så långt som fram till den tidpunkt då gallring aktualiseras, dock inte längre än fram till den tidpunkt då den myndigheten av olika skäl inte längre besitter möjlighe-ter att förfoga över uppgiften genom rättning, blockering, borttagning etc. Om en personuppgift lämnas ut av en annan myndighet än den som registrerade uppgiften svarar naturligtvis den utlämnande myndigheten för den behandling som utgörs av själva utlämnandet.

För den fortsatta behandlingen av uppgiften efter en registrering kan även andra myndigheter vara ansvariga, allt efter vilka faktiska behand-lingar som utförs. Förslaget om fördelning av personuppgiftsansvar för-utsätter naturligtvis att det går att genom loggning spåra vilken myndig-het som företagit en viss behandling.

I övergripande frågor, såsom ansvar för att tekniska eller organisato-riska säkerhetsåtgärder vidtas, måste personuppgiftsansvaret fördelas ef-ter vilka myndigheef-ter som har befogenhet och skyldighet att utföra dessa åtgärder. I regel torde det följa av åläggandet för Riksförsäkringsverket i verksinstruktionen att vara ansvarig systemägare för Riksförsäkringsver-kets och försäkringskassornas gemensamma IT-system att det är verket som har personuppgiftsansvaret vad avser sådana frågor. Enligt regering-ens uppfattning innebär det lämnade förslaget i princip ett sådant ”ge-mensamt” personuppgiftsansvar som ett flertal försäkringskassor efter-lyst. Att införa en bestämmelse som innefattar begreppet ”gemensamt personuppgiftsansvar” är dock inte i sig ägnat att bringa större klarhet rö-rande fördelningen av personuppgiftsansvaret eftersom det i enlighet med vad som anförts ovan i själva verket är så att personuppgiftsansvaret splittras upp på de olika myndigheterna. Enligt regeringens uppfattning bör personuppgiftsansvaret i stället fördelas utifrån en bestämmelse som tar sikte på vilken myndighet som utför en behandling av personuppgif-ter.

För varje behandling av personuppgifter finns det alltid någon person-uppgiftsansvarig. Det följer av myndigheternas serviceskyldighet att de skall hänvisa en registrerad som har klagomål eller synpunkter på be-handlingen av en uppgift som myndigheten har tillgång till, till den myn-dighet som är personuppgiftsansvarig för behandlingen.

Prop. 2002/03:135

54