13 Personuppgiftsansvar
13.4 Personuppgiftsbiträden
13.4.1 Definition av personuppgiftsbiträde
Regeringens förslag: Personuppgiftsbiträde ska i lagen definieras som
den som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Utredningens förslag överensstämmer delvis med regeringens. Enligt
utredningens förslag ska personuppgiftsbiträde definieras som den som, med stöd av ett skriftligt avtal eller annan skriftlig överenskommelse, be- handlar personuppgifter för den personuppgiftsansvariges räkning.
Remissinstanserna yttrar sig inte särskilt i denna del.
Skälen för regeringens förslag: I 1 kap. 6 § brottsdatalagen definieras
personuppgiftsbiträde som den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Definitionen motsvarar 3 § person- uppgiftslagen. Utredningen anser att det ska framgå av definitionen att det ska finnas ett skriftligt avtal eller annan skriftlig överenskommelse mellan personuppgiftsbiträdet och den personuppgiftsansvarige. I förarbetena till brottsdatalagen konstateras att dataskyddsdirektivet inte ställer något sådant krav och regeringen valde därför att inte låta brottsdatalagens definition innehålla något sådant krav (prop. 2017/18:232 s. 206). För att underlätta tillämpningen bör definitionen av personuppgiftsbiträde i den nya lagen stämma överens med brottsdatalagens definition. Personuppgiftsbiträde bör mot den bakgrunden definieras som den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Därmed kommer definitionen också att överensstämma med den som finns i dataskyddsförordningen.
Ett personuppgiftsbiträde måste alltid finnas utanför den personupp- giftsansvariges organisation. En anställd eller någon annan som behandlar personuppgifter under den personuppgiftsansvariges direkta ansvar kan inte vara personuppgiftsbiträde.
13.4.2 Anlitande av personuppgiftsbiträden
Regeringens förslag: Säkerhetspolisen ska, om det är lämpligt, få
anlita personuppgiftsbiträden. Innan ett personuppgiftsbiträde anlitas ska Säkerhetspolisen försäkra sig om att biträdet kommer att vidta de lämpliga tekniska och organisatoriska åtgärder som krävs för att be- handlingen av personuppgifter ska vara författningsenlig och för att skydda registrerades rättigheter.
Det ska finnas ett skriftligt avtal eller annan skriftlig överenskom- melse om personuppgiftsbiträdets behandling av personuppgifter för Säkerhetspolisens räkning.
Ett personuppgiftsbiträde ska inte få anlita ett annat personuppgifts- biträde utan skriftligt tillstånd från Säkerhetspolisen.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: Umeå universitet och Sveriges advokatsamfund
att anlita personuppgiftsbiträden förhåller sig till olika sekretessbe- Prop. 2018/19:163 stämmelser och säkerhetskrav. Övriga remissinstanser yttrar sig inte
särskilt i denna del.
Skälen för regeringens förslag
Nuvarande reglering
Regler om personuppgiftsbiträden finns i 30 och 31 §§ personuppgifts- lagen. Bestämmelserna gäller för Säkerhetspolisen genom en hänvisning i 2 kap. 2 § första stycket 7 och 6 kap. 4 § 1 polisdatalagen. Enligt 31 § andra stycket ska den personuppgiftsansvarige, när denne anlitar ett per- sonuppgiftsbiträde, förvissa sig om att biträdet kan vidta de säkerhetsåt- gärder som krävs och se till att biträdet gör det. Det är dock den person- uppgiftsansvarige som har ansvaret gentemot den registrerade även när ett personuppgiftsbiträde anlitas (Personuppgiftslagen, prop. 1997/98:44, s. 93). Det ska enligt 30 § andra stycket personuppgiftslagen finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I avtalet ska det särskilt före- skrivas att personuppgiftsbiträdet bara får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige och att per- sonuppgiftsbiträdet ska vidta de säkerhetsåtgärder som avses i 31 § första stycket för att skydda personuppgifterna.
Personuppgiftsbiträden ska kunna anlitas
I 3 kap. 16 § brottsdatalagen föreskrivs att den personuppgiftsansvarige, om det är lämpligt, får anlita personuppgiftsbiträden för behandling av personuppgifter på den personuppgiftsansvariges vägnar.
Säkerhetspolisen får i dag anlita personuppgiftsbiträden. Utrymmet att anlita personuppgiftsbiträden är dock begränsat med hänsyn till den verk- samhet som myndigheten bedriver. Myndigheten bör dock även fortsättningsvis ha möjlighet att anlita personuppgiftsbiträden om det är lämpligt och en bestämmelse som motsvarar 3 kap. 16 § brottsdatalagen bör därför tas in i den nya lagen. Om det är lämplig får avgöras med hänsyn bl.a. till vilka personuppgifter som ska behandlas och om det gäller sekretess för personuppgifterna. Någon mer djuplodande analys av sekretessbestämmelsernas betydelse för Säkerhetspolisens möjlighet att anlita personuppgiftsbiträden, som Umeå universitet och Sveriges
advokatsamfund efterfrågar, är mot den bakgrunden inte nödvändig.
Säkerhetspolisen bör innan ett personuppgiftsbiträde anlitas försäkra sig om att biträdet kommer att vidta de lämpliga tekniska och organisatoriska åtgärder som krävs för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda registrerades rättigheter. Skyldigheten innebär att myndigheten innan ett personuppgiftsbiträde anlitas bl.a. bör förhöra sig om hur biträdet kommer att behandla uppgifterna tekniskt, hur arbetet är organiserat och vilket skydd personuppgifterna har hos biträdet. Bestämmelsen går något längre än de nu gällande kraven på personuppgiftsansvariga.
Prop. 2018/19:163 Ansvarsfördelningen mellan den personuppgiftsansvarige och
personuppgiftsbiträdet
Säkerhetspolisen är ansvarig för all behandling av personuppgifter som utförs på dennes vägnar. Myndigheten ansvarar således både i förhållande till tillsynsmyndigheten och i förhållande till registrerade för att reglerna i lagen och andra tillämpliga författningar följs vid personupp- giftsbehandling hos ett personuppgiftsbiträde. Säkerhetspolisen kan upp- dra åt biträdet att utföra viss behandling av personuppgifter, men kan inte avsäga sig personuppgiftsansvaret och de skyldigheter som följer med det. Myndigheten är också skadeståndsskyldig gentemot enskilda vid felaktig behandling av personuppgifter hos personuppgiftsbiträdet. Att biträdet kan bli skadeståndsskyldigt gentemot den personuppgiftsansvarige är en annan sak.
Tillsynsmyndigheten får i vissa fall utkräva ansvar även av personupp- giftsbiträden. Om ett personuppgiftsbiträde t.ex. inte vidtar nödvändiga säkerhetsåtgärder kan tillsynsmyndigheten vidta åtgärder mot både biträ- det och den personuppgiftsansvarige.
Personuppgiftsbiträdets roll ska regleras i en överenskommelse
På samma sätt som i dag bör det krävas ett skriftligt avtal eller någon annan skriftlig överenskommelse mellan personuppgiftsbiträdet och Säkerhetspolisen. Regleringen av vad ett sådant avtal ska innehålla bör motsvara de krav som ställs på dessa avtal enligt 3 kap. 17 § brottsdataförordningen. Även för Säkerhetspolisens del kan det regleras i förordning.
Anlitande av underbiträden
Personuppgiftslagen reglerar inte förutsättningarna för när ett personupp- giftsbiträde får anlita ett annat personuppgiftsbiträde, ett underbiträde.
Det är av grundläggande betydelse att den personuppgiftsansvarige känner till vilka personuppgiftsbiträden som behandlar personuppgifter för dennes räkning. I 3 kap. 17 § brottsdatalagen föreskrivs det därför att ett personuppgiftsbiträde inte får anlita ett annat personuppgiftsbiträde utan att den personuppgiftsansvarige har lämnat skriftligt tillstånd till det. En motsvarande bestämmelse bör tas in i den nya lagen. Att personuppgifts- biträden som har fått ett generellt tillstånd att anlita underbiträden ska vara skyldiga att informera Säkerhetspolisen när underbiträden anlitas kan regleras i förordning. Syftet med informationen är att Säkerhetspolisen ska ha möjlighet att invända mot anlitandet av nya biträden.
13.4.3 Behandling enligt den personuppgiftsansvariges
instruktioner
Regeringens förslag: Ett personuppgiftsbiträde och de som arbetar
under biträdets ledning ska behandla personuppgifter i enlighet med instruktioner från Säkerhetspolisen.
Om ett personuppgiftsbiträde bestämmer ändamålen med och medlen för behandlingen ska biträdet anses vara personuppgiftsansvarig för den behandlingen.
Prop. 2018/19:163
Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag: I 30 § första stycket personuppgifts-
lagen, som gäller för Säkerhetspolisen genom hänvisningar i 2 kap. 2 § första stycket 7 och 6 kap. 4 § 1 polisdatalagen, föreskrivs att ett personuppgiftsbiträde och den eller de personer som arbetar under biträ- dets eller den personuppgiftsansvariges ledning får behandla personupp- gifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Om det i lag eller annan författning finns särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet i sådana frå- gor, gäller emellertid de bestämmelserna i stället för 30 § första stycket. Det som främst avses är bestämmelser om tystnadsplikt och sekretess (prop. 1997/98:44 s. 134). En motsvarande bestämmelse finns i artikel 23 dataskyddsdirektivet som har genomförts i 3 kap. 18 § första stycket brottsdatalagen. Även i den nya lagen bör det tas in en bestämmelse av vilken det framgår att ett personuppgiftsbiträde och de som arbetar under biträdets ledning ska behandla personuppgifter i enlighet med instruk- tioner från Säkerhetspolisen.
Instruktionerna bör vara så tydliga att otillåten behandling inte utförs (jfr Integritet, Offentlighet, Informationsteknik, SOU 1997:39 s. 335). Den överenskommelse som styr personuppgiftsbiträdets uppdrag ska innehålla viss information som ger instruktioner till biträdet, bl.a. om behandlingens varaktighet, art och ändamål. Instruktionerna kan också gälla exempelvis hur tillgången till personuppgifter hos biträdet ska begränsas, om biträdet ska använda kryptering vid kommunikation och andra åtgärder som krävs för dataskydd. Ett personuppgiftsbiträde bör endast överföra personuppgifter till ett tredjeland eller en internationell organisation om biträdet fått i uppdrag att göra det. Sådana uppdrag bör också framgå av de instruktioner som den personuppgiftsansvarige lämnar till biträdet.
Eftersom den nya lagen är subsidiär kommer avvikande bestämmelser i annan författning att gälla framför bestämmelser i den nya lagen, vilket framgår av den föreslagna bestämmelsen i 1 kap. 4 §. Om det finns av- vikande bestämmelser i annan författning som anger att någon är skyldig att utföra en viss behandling, exempelvis att lämna ut allmänna handlingar, innebär det att behandlingen får utföras utan särskilda instruktioner.
Att den som bestämmer ändamålen med och medlen för behandlingen är att anse som personuppgiftsansvarig framgår av definitionen av per- sonuppgiftsansvarig. På samma sätt som i brottsdatalagen bör det i den nya lagen tydliggöras att ett personuppgiftsbiträde som går utanför sin befogenhet och behandlar personuppgifter för något annat ändamål än enligt sina instruktioner är personuppgiftsansvarig för den behandlingen. I sådana fall kan biträdet bli skadeståndsskyldig på grund av den behandlingen.
Prop. 2018/19:163
13.4.4 Övriga skyldigheter för personuppgiftsbiträden
Regeringens förslag: Ett personuppgiftsbiträde ska ha samma skyl-
digheter som en personuppgiftsansvarig att logga vissa typer av be- handlingar, begränsa tillgången till personuppgifter, vidta säkerhetsåt- gärder och samarbeta med tillsynsmyndigheten.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag: Flera av skyldigheterna för per-
sonuppgiftsansvariga enligt brottsdatalagen gäller även för personupp- giftsbiträden. Som framgår av 3 kap. 19 § brottsdatalagen gäller bestäm- melserna om skyldighet att logga vissa typer av behandlingar, samarbeta med tillsynsmyndigheten och vidta lämpliga åtgärder för att skydda per- sonuppgifterna även för personuppgiftsbiträden. Skyldigheten att begränsa tillgången till personuppgifter till vad var och en behöver för att fullgöra sina arbetsuppgifter gäller även för personuppgiftsbiträden. Förhands- samråd med tillsynsmyndigheten är dock bara en skyldighet för den personuppgiftsansvarige, eftersom denne är ansvarig även för den behandling som personuppgiftsbiträdet utför. Ett personuppgiftsbiträde kan emellertid behöva bistå den personuppgiftsansvarige under förhands- samrådet om samrådet t.ex. rör förändringar avseende redan pågående personuppgiftsbehandling som utförs av biträdet. Skyldigheten att sam- arbeta med tillsynsmyndigheten gäller även för personuppgiftsbiträden. Samarbetsskyldigheten gäller generellt och omfattar därigenom även samarbete från biträdets sida vid förhandssamråd om det blir aktuellt. En motsvarande reglering bör tas in i den nya lagen.
Regleringen av personuppgiftsbiträdens skyldigheter medför inga större skillnader i förhållande till dagens reglering. Enligt 30 § andra stycket personuppgiftslagen är ett personuppgiftsbiträde skyldigt att vidta sådana säkerhetsåtgärder som avses i 31 § första stycket. Det ska också föreskrivas i biträdesavtalet. Personuppgiftsbiträden är alltså redan i dag skyldiga att vidta lämpliga åtgärder för att skydda de personuppgifter som behandlas. Det innebär ett indirekt krav på att begränsa tillgången till personuppgifter genom exempelvis behörighetstilldelning och att logga behandlingar för att kunna kontrollera åtkomsten till personuppgifterna. Den enda nyheten är att tillsynsmyndigheten kan vidta åtgärder mot både Säkerhetspolisen och personuppgiftsbiträden om de brister i sina skyldigheter. Eftersom Säkerhetspolisen fortfarande är ansvarig för den behandling som personuppgiftsbiträdet utför torde det sällan bli aktuellt att utnyttja den möjligheten.
Prop. 2018/19:163