13 Personuppgiftsansvar
13.2 Säkerhetspolisens skyldigheter som
13.2.2 Tekniska och organisatoriska åtgärder
Regeringens förslag: Säkerhetspolisen ska genom lämpliga tekniska
och organisatoriska åtgärder säkerställa och kunna visa att behand- lingen av personuppgifter är författningsenlig och att den registrerades rättigheter skyddas.
Säkerhetspolisen ska också genom lämpliga tekniska och organisa- toriska åtgärder se till att nödvändiga skyddsåtgärder integreras i be- handlingen (inbyggt dataskydd). I automatiserade behandlingssystem ska det som regel inte vara möjligt att behandla andra personuppgifter än dem som är nödvändiga för varje särskilt angivet ändamål med be- handlingen (dataskydd som standard).
Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Datainspektionen invänder att dataskyddsdirek-
tivet inte medger att kravet på dataskydd som standard begränsas till automatiserade behandlingssystem. Vidare anser inspektionen att uppräk- ningen i artikel 20.2 dataskyddsdirektivet bör tas in i lagen. Övriga remissinstanser yttrar sig inte särskilt i denna del.
Prop. 2018/19:163 Skälen för regeringens förslag
Lämpliga tekniska och organisatoriska åtgärder ska vidtas
I 3 kap. 2 § brottsdatalagen föreskrivs att den personuppgiftsansvarige, genom lämpliga tekniska och organisatoriska åtgärder, ska säkerställa och kunna visa att behandlingen av personuppgifter är författningsenlig och att den registrerades rättigheter skyddas. Bestämmelserna om tekniska och organisatoriska åtgärder saknar motsvarighet i 1995 års data- skyddsdirektiv och i personuppgiftslagen. I 31 § personuppgiftslagen finns dock bestämmelser om säkerhetsåtgärder.
Regeringen delar utredningens uppfattning att det bör ställas samma krav på Säkerhetspolisen som på övriga brottsbekämpande myndigheter. Det bör därför tas in en bestämmelse med samma innehåll som 3 kap. 2 § brottsdatalagen i den nya lagen. På samma sätt som när det gäller brottsdatalagen är det inte möjligt att i lagen ange vilka tekniska och organisatoriska åtgärder som bör vidtas. Det får avgöras i varje enskilt fall. Vilka omständigheter som Säkerhetspolisen ska beakta vid beslut om åtgärder kan regleras i förordning. Vid den bedömningen har det betydelse bl.a. vilka personuppgifter som ska behandlas, mängden uppgifter och hur integritetskänsliga de är. Även grunden för behandlingen och riskerna med den ska beaktas.
Inbyggt dataskydd
Enligt 3 kap. 3 § brottsdatalagen ska den personuppgiftsansvarige när medlen för behandlingen bestäms och vid behandlingen, genom lämpliga tekniska och organisatoriska åtgärder, se till att nödvändiga skyddsåtgär- der integreras i behandlingen (inbyggt dataskydd). Begreppet inbyggt dataskydd innebär att integritetsfrågor ska påverka it-systemen från för- studie och kravställning via design och utveckling till användning och avveckling. Genom krav på att integritetsfrågor ska beaktas under hela tidsperioden kan säkerheten i systemen höjas och författningsenlig och korrekt behandling underlättas. En motsvarande bestämmelse bör tas in i den nya lagen.
Det är det inte möjligt att föreskriva vilka tekniska och organisatoriska åtgärder som Säkerhetspolisen bör vidta för att leva upp till principen om inbyggt dataskydd. Det får avgöras i varje enskilt fall beroende på vilken del av verksamheten det rör sig om och vilka personuppgifter som ska behandlas. Det handlar främst om åtgärder för att minimera mängden personuppgifter, begränsa åtkomsten till uppgifterna och på olika sätt skydda dem (jfr prop. 2017/18:232 s. 177 f.). Vilka omständigheter som ska beaktas vid beslut om sådana åtgärder kan regleras i förordning.
Dataskydd som standard
Enligt 3 kap. 4 § brottsdatalagen ska den personuppgiftsansvarige se till att det i automatiserade behandlingssystem som regel inte är möjligt att behandla andra personuppgifter än de som är nödvändiga för varje särskilt angivet ändamål med behandlingen (dataskydd som standard).
Dataskydd som standard innebär att arbetsflödena i ett system automa- tiskt ska styra användaren mot ett integritetssäkert arbetssätt och att
grundinställningarna ska vara satta så att inte mer information än nöd- Prop. 2018/19:163 vändigt samlas in eller visas. Den personuppgiftsansvarige ska vidta
lämpliga åtgärder för att i standardfallet säkerställa att så sker. Det bör i detta avseende ställas samma krav på Säkerhetspolisen som på övriga brottsbekämpande myndigheter. En motsvarande bestämmelse bör därför tas in i den nya lagen.
Säkerhetspolisen ska säkerställa dataskydd som standard oavsett vilken behandling eller vilka personuppgifter det rör sig om och utan hänsyn till vad åtgärderna kostar. Dataskydd som standard gäller i princip i alla system där personuppgifter behandlas, men det måste finnas visst ut- rymme för avsteg från huvudregeln i de fall där myndigheten inte har rätt att införa sådana åtgärder. Som exempel kan nämnas standardprogram som Word och Outlook, där användaren inte råder över de tekniska lös- ningarna. I förarbetena till brottsdatalagen konstaterar regeringen att de behöriga myndigheterna även måste kunna använda sådana system. Mot den bakgrunden gäller kravet på dataskydd som standard i brottsdatalagen endast i automatiserade behandlingssystem, vilket till skillnad från vad Datainspektionen anfört, inte ansågs oförenligt med direktivet (prop. 2017/18:232 s. 179). Denna ordning bör gälla även i den nya lagen. Vad som avses med automatiserade behandlingssystem behandlas i avsnitt 7.3.
Dataskydd som standard innebär att det som regel inte ska vara möjligt att behandla andra personuppgifter än de som är nödvändiga för varje särskilt angivet ändamål med behandlingen. Som framgår av avsnitt 8.3 är det långtifrån alltid möjligt att i underrättelseverksamhet ange ändamålen för behandlingen lika tydligt och detaljerat som i annan brottsbekämpande verksamhet. Det innebär att ändamålet kanske till en början inte kan anges mer preciserat än till vilken verksamhetsområde en viss uppgift hör, exempelvis kontraterrorism. Ändamålet får sedan preciseras mer när det blir möjligt. Vilka krav på dataskydd som standard blir är på motsvarande sätt beroende av i vilket skede i en process som personuppgifter behandlas och i vilka system uppgifterna behandlas.
Även om kravet på dataskydd som standard endast gäller i automatise- rade behandlingssystem måste Säkerhetspolisen säkerställa att även be- handling i de standardprogram som används lever upp till de grundläg- gande kraven på behandling av personuppgifter.
Datainspektionen har hänvisat till den synpunkt som myndigheten
lämnat i sitt remissvar över delbetänkandet Brottsdatalag (SOU 2017:29) om att uppräkningen i artikel 20.2 i dataskyddsdirektivet borde tas in i brottsdatalagen. Som anges i förarbetena till brottsdatalagen skulle en sådan uppräkning i lagen kunde riskera att låsa myndigheterna vid viss utformning av automatiserade behandlingssystem och direktivets uppräkning togs därför inte in i lagen (prop. 2017/18:232 s. 179). Det finns inte skäl att nu göra någon annan bedömning.