Skydd för behandling av personuppgifter

Regeringens bedömning: EU:s dataskyddsförordning, lagen med

kompletterande bestämmelser till EU:s dataskyddsförordning och för- ordningen med kompletterande bestämmelser till EU:s dataskydds- förordning utgör en tillräcklig reglering för den personuppgiftsbehand- ling som kan komma att ske i rapporteringssystemen. Det behöver således inte införas någon ytterligare reglering om denna behandling i de lagar som berörs i detta lagstiftningsärende med anledning av kravet i den nya kontrollförordningen om skydd av personuppgifter för den person som rapporterar en överträdelse.

Promemorians bedömning överensstämmer i huvudsak med regering-

ens.

Remissinstanserna: Göteborgs stad och Stockholms stad anser att det

bör utredas vilket behov som finns att skydda en tipsares identitet och hur anonymitet kan garanteras. Borås stad anser att det måste vara tydligt för anmälaren om anmälan blir anonym via rapporteringssystemet eller om den omfattas av offentlighetsprincipen och blir offentlig. Uppsala kommun framhåller att om kontrollmyndighetens egen personal rapporterar oegent- ligheter är det viktigt att systemet skyddar personens identitet.

Under beredningen av lagrådsremissen har också Datainspektionen getts tillfälle att lämna synpunkter. Datainspektionen konstaterar att myn- digheten inte getts möjligheten att lämna synpunkter i det tidigare remiss- förfarandet och att den haft kort om tid lämna synpunkter på utkastet till lagrådsremiss. Datainspektionen bedömer att de föreslagna rapporterings- systemen för överträdelser kan innefatta behandling av integritetskänsliga uppgifter rörande brott. Myndigheten anser att det behövs ytterligare ana- lys bl.a. vilka personuppgifter som ska behandlas och i vilken omfattning samt om proportionaliteten i en sådan behandling i förhållande till de mål som eftersträvas. Datainspektionen kan därför inte tillstyrka förslaget.

157

Skälen för regeringens bedömning

Reglering av dataskydd

Det är av stor vikt att rapporteringssystem för visselblåsare beaktar enskil- das behov av integritetsskydd. Artikel 140.2 c i den nya kontrollförord- ningen ålägger därför medlemsstaterna att säkerställa skydd för att person- uppgifter behandlas i enlighet med unionsrätten och nationell rätt för den person som rapporterar en överträdelse.

I unionsrätten regleras behandlingen av personuppgifter i Europaparla- mentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personupp- gifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad EU:s dataskyddsförordning. I svensk rätt kompletteras EU:s dataskyddsförord- ning bl.a. av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) och förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning.

EU:s dataskyddsförordning utgör den generella regleringen av person- uppgiftsbehandling inom EU. I förordningen fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av personupp- gifter och om det fria flödet av personuppgifter (artikel 1.1). Syftet med förordningen är vidare att skydda fysiska personers grundläggande rättig- heter och friheter, särskilt deras rätt till skydd av personuppgifter (artikel 1.2).

EU:s dataskyddsförordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Förordningen ska dock inte tillämpas på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten (artikel 2.2 d). Sådan behandling omfattas i stället av Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet).

Dataskyddsdirektivet har i svensk rätt genomförts i huvudsak genom en ny ramlag, brottsdatalagen (2018:1177), som trädde i kraft den 1 augusti 2018.

Vilka personuppgifter kan komma att behandlas och vilka regler gäller för behandlingen?

De bestämmelser om rapporteringssystem som enligt bedömningen i avsnitt 6.8.2 behöver införas för att tillgodose kraven i artikel 140 i den nya kontrollförordningen tydliggör att myndigheterna ska ta emot anmäl- ningar om överträdelser av kontrollförordningen och hantera dem vidare, t.ex. genom att myndigheten själv beslutar om åtgärder för att utreda och komma till rätta med den påstådda överträdelsen. Vilka åtgärder som vid-

158

tas beror givetvis på vilken typ av överträdelse det gäller och hur kontroll- myndigheten bedömer uppgifterna i anmälan.

För att ta emot och hantera anmälningar kommer det sannolikt i vissa fall vara nödvändigt att utföra sådan behandling av vissa personuppgifter som helt eller delvis företas på automatisk väg och som avses i artikel 2.1 i EU:s dataskyddsförordning. De personuppgifter som kan behöva behand- las är dels anmälarens namn och kontaktuppgifter, dels namn och andra identitetsuppgifter på den som påstås ha begått en överträdelse eller som i övrigt är av betydelse i beskrivningen av eller för utredningen av överträ- delsen. Behandlingen behöver ske i syfte i att utreda den påstådda överträ- delsen och vidta de åtgärder som behövs för att komma till rätta med en eventuell överträdelse. Den behandlande myndigheten blir då också per- sonuppgiftsansvarig för behandlingen.

Liknande anmälningar av överträdelser kan, som anges i avsnitt 6.8.2, redan i dag göras till myndigheterna. Att det nu blir en uttrycklig skyldig- het att ha ett system för sådana anmälningar bedöms inte innebära att myn- digheternas behandling av personuppgifter kommer att öka väsentligt i omfattning, ändra karaktär eller ske i annat syfte.

Det kan inte uteslutas att överträdelser av den nya kontrollförordningen, som ska kunna rapporteras enligt artikel 140, utgör brott. Det kan t.ex. vara fråga om påståenden att den utsände kontrollanten eller inspektören gör sig skyldig till tagande av muta enligt 10 kap. 5 a § brottsbalken. Kontroll- myndigheternas hantering av sådana uppgifter kan bl.a. inkludera en anmälan om brottsmisstanke till polis eller åklagare. Detta innebär dock inte i sig att myndigheternas personuppgiftsbehandling omfattas av tillämpningsområdet enligt 1 kap. 2 § brottsdatalagen (jfr prop. 2017/18:232 s. 430). Regeringen gör därför, till skillnad från promemo- rian, bedömningen att brottsdatalagen inte är tillämplig på kontroll- myndigheternas hantering av misstänkta överträdelser av kontrollförord- ningen.

Däremot görs bedömningen, som anges ovan, att personuppgiftsbehand- lingen omfattas av tillämpningsområdet för EU:s dataskyddsförordning enligt artikel 2.1 och de generella krav som enligt förordningen gäller vid all behandling av personuppgifter, t.ex. artiklarna 5 och 6. Den behand- lande myndigheten blir då också personuppgiftsansvarig för behandlingen. Även dataskyddslagen med tillhörande förordning bedöms vara tillämp- liga på personuppgiftsbehandlingen.

Det behövs ingen särskild reglering av behandling av personuppgifter

Regeringen gör, som anges ovan, bedömningen att de särskilda rapporte- ringssystem inte innebär någon beaktansvärd utökning eller ändring av den behandling av personuppgifter som redan sker hos myndigheterna.

Av EU:s dataskyddsförordning framgår att behandling av personupp- gifter får ske bl.a.

– om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c), eller

– om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighets- utövning (artikel 6.1 e).

159 Myndigheterna har, som nämns i avsnitt 6.8.2 ovan, en skyldighet att agera

när den uppmärksammas på överträdelser inom sitt verksamhetsområde. Behandlingen kan alltså anses vara nödvändig för att fullgöra en rättslig förpliktelse och vara tillåten enligt artikel 6.1 c. Behandling kan också ses som nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. En myndighet bör därför även med stöd av artikel 6.1 e i EU:s dataskyddsförordning kunna utföra den personupp- giftsbehandling som är nödvändig för att hantera en anmälan om överträ- delse.

Den rättsliga grunden för myndigheternas behandling av personupp- gifter i syfte att utreda en överträdelse är också fastställd i enlighet med artikel 6.3 i EU:s dataskyddsförordning, både genom bestämmelser i unionsrätten och nationella bestämmelser. Myndigheternas skyldighet att vidta åtgärder för att komma tillrätta med överträdelser begångna av enskilda och eventuella överträdelser som myndighetens egen personal kan ansvara för framgår av den nya kontrollförordningen (se t.ex. artik- larna 5 och 137–138). Sådana skyldigheter finns också i de nationella bestämmelser som nämnts i avsnitt 6.8.2, se t.ex. 13 § livsmedelslagen.

Regeringen har också tidigare, i samband med att lagändringar föreslogs på Näringsdepartementets verksamhetsområde i anledning av EU:s data- skyddsförordning, konstaterat att myndighetsutövning i Sverige inte kan ske utan författningsstöd. Det kunde därför enligt regeringens mening för- utsättas att den rättsliga grunden för personuppgiftsbehandling som sker som ett led i myndighetsutövning är fastställd i nationell rätt på det sätt som dataskyddsförordningen kräver. Vidare ansågs de uppgifter som stat- liga myndigheter utför generellt vara uppgifter av allmänt intresse. (se prop. 2017/18:122 s. 28–29).

Behandlingen bedöms inte innefatta s.k. känsliga personuppgifter (enligt artikel 9 i dataskyddsförordningen). Däremot kan, som framgår ovan, behandlingen i vissa fall inkludera uppgifter om brottsmisstankar. Det kan avse såväl påståenden om att fysiska personer gjort sig skyldiga till straffbelagda överträdelser som påståenden att sådana överträdelser har skett i en juridisk persons verksamhet. Det framgår dock av 3 kap. 8 § första stycket dataskyddslagen att personuppgifter som avser lagöverträ- delser enligt artikel 10 i EU:s dataskyddsförordning får behandlas av myn- digheter.

Att personuppgifter behandlas i viss utsträckning är också helt nödvän- digt för att kontrollmyndigheterna ska kunna fullgöra sina skyldigheter att vidta åtgärder vid överträdelser. Det är de personuppgiftsansvariga myn- digheternas sak att också säkerställa att varje behandling sker lagligt och i enlighet med de principer som EU:s dataskyddsförordning ställer upp, bl.a. i artikel 5 (se prop. 2017/18:122 s. 29). Det integritetsintrång som en sådan behandling innebär måste enligt regeringens mening också anses proportionerlig i förhållande till syftet, nämligen att komma till rätta med den påstådda överträdelsen.

I 2 kap. 6 § andra stycket regeringsformen anges att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integrite- ten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkningar i detta skydd får enbart ske genom lag och i enlighet med de förutsättningar som anges i 2 kap. 21–24 §§ regeringsformen. Bedömningen av vad som kan anses

160

utgöra ett betydande intrång i den personliga integriteten bör göras utifrån olika omständigheter, bl.a. uppgifternas karaktär och omfattning och syftet med behandlingen (se prop. 2009/10:80 s. 184). Den personuppgifts- behandling som blir aktuell för kontrollmyndigheternas hantering av rapporterade överträdelse bedöms, med beaktande av bl.a. av uppgifternas karaktär och omfattning, inte innebära ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regerings- formen.

Regeringen gör därför sammantaget och i likhet med promemorian bedömningen att EU:s dataskyddsförordning, lagen med kompletterande bestämmelser till EU:s dataskyddsförordning och förordningen med kom- pletterande bestämmelser till EU:s dataskyddsförordning utgör en tillräck- lig reglering för den personuppgiftsbehandling som kan komma att ske i rapporteringssystemen. Kravet i den nya kontrollförordningen om skydd av personuppgifter för den person som rapporterar en överträdelse kan till- godoses genom tillämpning av denna reglering. Det finns inte behov av några särskilda regler i de lagar som omfattas av detta lagstiftningsärende. Regeringen avser dock, med beaktande bl.a. av Datainspektionens syn- punkter, att fortsatt följa frågan och vid behov överväga ytterligare regle- ring. Det finns även i denna del anledning att beakta de författningsförslag som kan komma att lämnas i syfte att genomföra visselblåsardirektivet.

Kontrollförordningen ställer inte några uttryckliga krav på anonymitet för anmälaren eller konfidentiell behandling av vissa uppgifter. Frågan om behov av ytterligare skydd för en anmälares identitet, som bl.a. Göteborgs

stad tar upp, aktualiseras dock i anledning av visselblåsardirektivet (se

bl.a. artikel 16) och i det fortsatta arbetet med genomförande av direktivet. Regeringen bedömer därför att frågan bör hanteras i den processen.