Prop. 2017/18:105
126
särskild fysisk person (skäl 162). Enligt regeringens mening står det klart att det finns vissa undantagssituationer då uppgifter som annars bara behandlas för statistiska ändamål måste kunna användas även för att vidta sådana åtgärder, nämligen då den registrerades egna vitala intressen står på spel. I övrigt bör däremot inte heller myndigheter kunna använda uppgifterna för att vidta åtgärder i förhållande till den registrerade. Den omständigheten att uppgifterna finns i allmänna handlingar, eftersom dessa ännu inte hunnit anonymiseras eller gallras, föranleder ingen annan bedömning. Myndigheter bör därför inte undantas från den föreslagna användningsbegränsningen. Om det inom något verksamhetsområde eller för någon viss myndighet skulle finnas behov av ett sådant undantag bör det övervägas särskilt.
15 Sekretess
15.1 Sekretess hos tillsynsmyndigheten
Regeringens bedömning: Sekretess gäller enligt offentlighets- och sekretesslagen för skyddsvärda uppgifter i Datainspektionens tillsyns-verksamhet. Någon förändring av de sekretessbestämmelser som är tillämpliga i Datainspektionens verksamhet behövs därför inte.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Det stora flertalet remissinstanser kommenterar inte utredningens bedömning i denna del. Datainspektionen anser att frågan om en sekretessbrytande reglering vid tillsynsmyndighetens inter-nationella samarbete bör övervägas närmare. Vidare anser inspektionen, i likhet med bl.a. Svensk Försäkring, Svenskt Näringsliv och IT&Telekom-företagen, att absolut sekretess alternativt sekretess med omvänt skade-rekvisit ska gälla i Datainspektionens verksamhet för anmälningar av personuppgiftsincidenter och för förhandssamråd. Pensionsmyndigheten är i och för sig av uppfattningen att det enligt gällande rätt finns goda möjligheter att skydda känslig information men anser att det är av vikt att frågan ägnas uppmärksamhet och analys under det fortsatta bered-ningsarbetet. Migrationsverket påpekar att det är av stor vikt att incident-rapporteringen realiseras på ett sådant sätt att den inte i sig bidrar till att negativt påverka den enskildes integritet, informationshanteringen i sig, it- och informationssäkerheten eller andra intressen med bäring på sekretess och säkerhetsskydd.
Skälen för regeringens bedömning: Enligt artikel 54.2 i dataskydds-förordningen ska varje tillsynsmyndighets ledamöter och personal, i enlighet med unionsrätten eller medlemsstaternas nationella rätt, omfattas av tystnadsplikt både under och efter sin mandattid vad avser konfidentiell information som de fått kunskap om under utförandet av deras uppgifter eller utövandet av deras befogenheter. Under mandat-perioden ska tystnadsplikten i synnerhet gälla rapportering från fysiska personer om överträdelser av förordningen.
127 Prop. 2017/18:105 Som framgår av avsnitt 14.1.2 har regeringen för avsikt att, i
förord-ning, peka ut Datainspektionen som tillsynsmyndighet enligt dataskydds-förordningen. Övervägandena kring tystnadsplikt för tillsynsmyndig-hetens ledamöter och personal sker med detta som utgångspunkt.
Hänvisningen i artikel 54.2 i dataskyddsförordningen till medlems-staternas nationella rätt och begränsningen till konfidentiell information innebär att medlemsstaterna har relativt stort utrymme att utforma en lämplig reglering. I detta sammanhang finns det därför anledning att noga överväga om de sekretessbestämmelser som är tillämpliga i Data-inspektionens verksamhet ger ett väl avvägt skydd för enskilda och allmänna intressen eller om någon av dem bör ändras.
Bestämmelser om sekretess i offentlighets- och sekretesslagen innebär både handlingssekretess och tystnadsplikt. En befattningshavare är skyldig att iaktta sekretess också sedan han eller hon har lämnat sin befattning. Det kan också noteras att tystnadsplikt enligt offentlighets- och sekretesslagen gäller även för företrädare för tillsynsmyndigheter i andra medlemsstater som enligt artikel 62.3 i förordningen förordnats att utföra vissa uppgifter eller att inom ramen för vissa angivna befogenheter annars agera för den svenska tillsynsmyndighetens räkning, så länge kraven i 2 kap. 1 § OSL är uppfyllda.
Enligt 32 kap. 1 § OSL gäller sekretess hos Datainspektionen för upp-gift om en enskilds personliga eller ekonomiska förhållanden, bl.a. i ärende om tillstånd eller tillsyn som enligt lag eller annan författning ska handläggas av inspektionen, om det kan antas att den enskilde eller någon närstående till denne lider skada eller men om uppgiften röjs.
Sekretessen tar alltså sikte på uppgifter som förekommer i Datainspek-tionens ärenden om tillstånd eller tillsyn. Det bör noteras att tillsyns-begreppet i offentlighets- och sekretesslagen är vitt. Således omfattar bestämmelsen exempelvis ärenden om personuppgiftsincidenter enligt artikel 33 och om förhandssamråd enligt artikel 36 i dataskyddsförord-ningen, eftersom EU-förordningar jämställs med lag. Om uppgifter har lämnats till Datainspektionen från en tillsynsmyndighet i någon annan medlemsstat inom ramen för det samarbete som förutsätts i förordningen sker detta på motsvarande sätt i ärende som omfattas av sekretessens räckvidd.
Sekretessens föremål enligt 32 kap. 1 § OSL är uppgifter om enskildas personliga eller ekonomiska förhållanden. Begreppet enskilda inbegriper förutom fysiska personer också företag, ideella föreningar och andra privaträttsliga juridiska personer. Det är därmed inte bara uppgifter om registrerade individer, t.ex. i ett kundregister eller i en myndighets ärendehanteringssystem, som skyddas av sekretessbestämmelsen. Den är tillämplig också i fråga om uppgifter som avslöjar den personuppgifts-ansvariges företagshemligheter och andra affärs- eller driftförhållanden.
Dessutom omfattar bestämmelsens föremål identiteten hos en fysisk person som har anmält missförhållanden till tillsynsmyndigheten.
Förutom 32 kap. 1 § OSL finns det flera andra sekretessbestämmelser som kan aktualiseras i Datainspektionens verksamhet. Exempelvis kan bestämmelserna om utrikessekretess i 15 kap. 1 § OSL och om sekretess i det internationella samarbetet i 15 kap. 1 a § OSL vara tillämpliga hos Datainspektionen i vissa situationer, liksom bestämmelsen i 15 kap. 2 § OSL till skydd för rikets säkerhet och försvar. Sekretess enligt 17 kap.
Prop. 2017/18:105
128
1 § OSL till skydd för inspektionsförberedelser kan också gälla i Data-inspektionens tillsynsverksamhet. Samtliga dessa bestämmelser är, precis som flertalet sekretessbestämmelser i offentlighets- och sekretesslagen, försedda med raka skaderekvisit.
Enligt 18 kap. 8 § 3 OSL gäller sekretess bl.a. för uppgift som lämnar eller kan bidra till upplysning om säkerhetsåtgärd som avser system för automatiserad behandling av information, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs. Denna bestämmelse är enligt sin ordalydelse tillämplig hos Datainspektionen både i fråga om säkerhets-åtgärder som redan har vidtagits av den personuppgiftsansvarige och rörande åtgärder som denne planerar. Vidare gäller den oavsett om den personuppgiftsansvarige är en myndighet eller ett privaträttsligt organ.
Även denna bestämmelse är försedd med ett rakt skaderekvisit.
Datainspektionen har i en skrivelse till regeringen hemställt om att vissa sekretessfrågor ska utredas (Ju2017/06035/L6). I denna hemställan och i sitt yttrande över utredningens förslag anger Datainspektionen, liksom flera andra remissinstanser, att sekretessen för uppgifter i bl.a.
incidentrapporter inte är tillräcklig och att det krävs ett starkare sekre-tesskydd. Föreningen Grävande journalister, Svenska journalistför-bundet och Dataskydd.net invänder i särskilda skrivelser mot Datainspektionens hemställan.
Den omständigheten att samtliga ovan beskrivna sekretessbestäm-melser är försedda med ett rakt skaderekvisit innebär inte, som Data-inspektionen anför, att sekretesskyddet är svagt. Ett rakt skaderekvisit innebär visserligen att en presumtion för offentlighet gäller. Detta är också utgångspunkten för den svenska offentlighetsprincipen. Presum-tionen för offentlighet bryts emellertid om det kan antas att en sådan skada som anges i sekretessbestämmelsen uppstår om uppgiften röjs.
Enligt 32 kap. 1 § OSL gäller således sekretess om det kan antas att den enskilde eller någon närstående till denne lider skada eller men om uppgiften röjs. Enligt 15 kap. 1 § OSL gäller sekretess om det kan antas att det stör Sveriges mellanfolkliga förbindelser eller på annat sätt skadar landet om uppgiften röjs, medan det enligt 15 kap. 2 § OSL gäller sekretess om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. Enligt 18 kap. 8 § 3 OSL gäller slutligen sekretess om det kan antas att syftet med säkerhetsåtgärden motverkas om uppgiften röjs.
Om det vid tillämpningen av någon av dessa bestämmelser kan antas att ett röjande skulle leda till den angivna skadan är uppgiften sekretess-belagd och därmed hemlig. Uppgiften får då inte utan särskilt lagstöd lämnas ut och inte heller röjas muntligen. Detta röjandeförbud gäller dessutom oavsett om uppgiften förekommer i en allmän handling eller inte.
Ett rakt skaderekvisit innebär normalt att det är uppgifternas karaktär som får avgöra om sekretess gäller eller inte. Om uppgiften är sådan att den genomsnittligt sett måste betraktas som harmlös ska den alltså normalt anses vara offentlig. Om uppgiften i stället typiskt sett måste betraktas som känslig omfattas den normalt av sekretess. Skaderekvisitet kan alltså uppfattas som en metod att precisera föremålet för sekretessen eller dess räckvidd (prop. 1979/80:2 Del A s. 77–78).
129 Prop. 2017/18:105 Bestämmelsen i 18 kap. 8 § 3 OSL har i ett tidigare lagstiftningsärende
ansetts innebära att uppgifter om ingivare av incidentrapportering avseende säkerhetsbrister i it-system till Post- och telestyrelsen, liksom uppgifter om innehållet i rapporterna, omfattas av sekretess (prop. 2003/04:93 s. 82). Utredningen om genomförande av NIS-direktivet har dessutom nyligen utrett om bestämmelsen behöver ändras för att känslig information i incidentrapporter som lämnas till Myndig-heten för samhällsskydd och beredskap ska kunna skyddas. Den utred-ningen konstaterar i sitt betänkande att 18 kap. 8 § OSL ger ett tillräckligt skydd för uppgifter som kan komma att rapporteras vid en incident (SOU 2017:36 s. 247–257).
Regeringen kan konstatera att såväl incidentrapporter som anmälningar om förhandssamråd, liksom andra handlingar hos Datainspektionen, kan innehålla skyddsvärd information rörande enskildas ekonomiska för-hållanden av det slag för vilka sekretess gäller enligt 32 kap. 1 § OSL.
Handlingarna kan även innehålla sådan skyddsvärd information rörande säkerhetsåtgärder som avses i 18 kap. 8 § 3 OSL. Det senare gäller oav-sett om ingivaren är en myndighet eller ett privaträttsligt organ.
Som utredningen påpekar kan den incidentrapportering som förutsätts ske till tillsynsmyndigheten i enlighet med artikel 33 i förordningen i praktiken innebära en upplysning om att ingivarens it-system är sårbart för attacker. Uppgiften om vem som har lämnat in en sådan rapport utgör alltså i sig en uppgift som kan omfattas av sekretessens föremål enligt 18 kap. 8 § 3 OSL, eftersom den lämnar upplysning om att ingivarens säkerhetsåtgärder har brister. I många fall kan det antas att den person-uppgiftsansvariges säkerhetsåtgärder motverkas om det framkommer att dessa har brister. Bestämmelsens skaderekvisit är i sådana situationer uppfyllt, varvid sekretess gäller. Ett utlämnande av uppgifter som av-slöjar vid vilka tillfällen en viss personuppgiftsansvarig har lämnat incidentrapporter kan på motsvarande sätt utgöra en säkerhetsrisk, med tanke på att uppgifterna skulle kunna användas för kartläggning av den personuppgiftsansvariges förmåga att upptäcka intrång. Uppgiften om ingivarens identitet bör därmed typiskt sett anses vara känslig, i vart fall under den närmaste tiden efter att incidentrapportering skett.
Konstruktionen med ett rakt skaderekvisit tillgodoser allmänhetens berättigade intresse av insyn i tillsynsmyndighetens verksamhet, efter-som harmlösa uppgifter får lämnas ut. Samtidigt tillgodoser de aktuella sekretessbestämmelserna de registrerades och de personuppgifts-ansvarigas berättigade intresse av diskretion, eftersom uppgifter inte får röjas om det kan antas leda till skada. Regeringen anser mot denna bak-grund att den befintliga sekretessregleringen ger ett väl avvägt skydd för såväl enskilda som allmänna intressen. Bestämmelserna i offentlighets- och sekretesslagen, som vid behov bör tolkas unionskonformt (jfr prop. 1997/98:44 s. 146), uppfyller också kraven på skydd för konfiden-tiell information i dataskyddsförordningen. Någon ändring av den sekretessreglering som gäller i Datainspektionens verksamhet är därmed inte nödvändig för att Sverige ska uppfylla sina unionsrättsliga skyldig-heter. Regeringen anser inte heller att det framkommit några omständig-heter som medför att en sådan ändring bör ske av andra skäl. Regeringen ser därför för närvarande inte skäl att, som Datainspektionen hemställt, utreda sekretessfrågan ytterligare.
Prop. 2017/18:105
130
Vidare anför Datainspektionen att frågan om en sekretessbrytande reglering vid tillsynsmyndighetens internationella samarbete bör över-vägas närmare. Av 8 kap. 3 § OSL framgår emellertid att en uppgift för vilken sekretess gäller får röjas för en utländsk myndighet eller en mellanfolklig organisation, om utlämnande sker i enlighet med särskild föreskrift i lag eller förordning. EU-förordningar jämställs med lag vid tillämpningen av offentlighets- och sekretesslagen. Sekretess utgör således inget hinder för det informationsutbyte som enligt artikel 57.1 g i dataskyddsförordningen ska ske mellan tillsynsmyndigheterna.
Regeringen ser mot denna bakgrund inte skäl att göra några ytterligare överväganden i denna del.