Prop. 2017/18:105
80
avtal eller enligt annan författning än dataskyddslagen, under förut-sättning att lämpliga skyddsåtgärder fastställts.
Många gruppförsäkringar och kanske särskilt flera av de som har anknytning till arbetslivet eller som följer av kollektivavtal kan fylla en viktig funktion inom området social trygghet och socialt skydd (jfr prop. 2003/04:150 s. 314 och 343). Den föreslagna bestämmelsen skulle därför kunna vara tillämplig även för de som tillhandahåller eller admi-nistrerar sådana försäkringar. Bestämmelsen utgör inte heller någon inskränkning av de möjligheter att behandla känsliga personuppgifter som följer av andra undantagsbestämmelser i artikel 9.2 i dataskydds-förordningen. Flera undantagsbestämmelser kan vara tillämpliga samtidigt. Således kommer exempelvis försäkringsföretag även i fortsätt-ningen att, med stöd av artikel 9.2 f, kunna behandla känsliga person-uppgifter när detta är nödvändigt till följd av avtal med fackliga organisationer om gruppförsäkring för deras medlemmar (jfr prop. 1997/98:44 s. 125). På motsvarande sätt kan det vara nödvändigt för t.ex. en arbetsgivare att med stöd av artikel 9.2 f lämna ut uppgifter till en advokat eller annan rådgivare, för att kunna göra gällande eller försvara rättsliga anspråk i arbetsrättsliga ärenden.
10.4 Viktigt allmänt intresse
Regeringens förslag: Myndigheter och andra som omfattas av offentlighetsprincipen får behandla känsliga personuppgifter, om uppgifterna har lämnats till den personuppgiftsansvarige och behand-lingen krävs enligt lag. Dessutom får en myndighet behandla känsliga personuppgifter, om det är nödvändigt för handläggningen av ett ärende. Vidare får känsliga personuppgifter behandlas av en myndig-het i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vid behandling som sker enbart med stöd av de nämnda grunderna, är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Regeringen får meddela ytterligare föreskrifter om sådan behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse.
Utredningens förslag överensstämmer i huvudsak med regeringens.
Utredningen föreslår att myndigheter ska få behandla känsliga person-uppgifter i löpande text om person-uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Dessutom innebär utredningens förslag att myndigheter i enstaka fall ska få behandla känsliga person-uppgifter om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Slutligen föreslår utredningen ett absolut sökförbud samt att bemyndigandet ska ha en annan språklig utformning.
Remissinstanserna: En majoritet av remissinstanserna tillstyrker förslaget eller har inga synpunkter på det. Socialstyrelsen, Malmö kommun, Piteå kommun och Västra Götalands läns landsting anser att
81 Prop. 2017/18:105 den generella regleringen behövs bl.a. för att täcka in behandling som
inte omfattas av någon sektorsspecifik reglering. Kronofogdemyndig-heten anser att utredningens förslag är viktiga för att myndigKronofogdemyndig-heten ska kunna behandla personuppgifter som är nödvändiga i verksamheten.
Lunds universitet konstaterar att förslaget i princip följer Informations-hanteringsutredningens förslag och anser att detta är lämpligt, men skulle inte heller motsätta sig en viss utvidgning av myndigheternas möjligheter att hantera personuppgifter i allmänt intresse. Diskrimineringsombuds-mannen påpekar att vad som anses vara viktiga allmänna intressen varierar över tid och är beroende av samhällsutvecklingen samt anser att myndigheters möjligheter till behandling av känsliga personuppgifter i enstaka fall ska begränsas särskilt. Riksrevisionen anser att utredningens uttalande om att begränsningen till löpande text inte behöver utesluta att handlingar med ostrukturerade känsliga personuppgifter lagras elektro-niskt i ärendehanteringssystem eller liknande behöver utvecklas. Vidare menar Riksrevisionen att det vore önskvärt att ett sådant undantag från förbudet att behandla känsliga personuppgifter kommer till uttryck i lagen. Riksrevisionen påpekar vidare att känsliga personuppgifter kan behöva behandlas på annat sätt än i löpande text för att utföra lagstadgad revision. Barnombudsmannen ser ett behov av förtydligande i författ-ningstexten som klargör och säkerställer att myndighetens behandling av känsliga personuppgifter kan ske i den faktiska verksamheten. Skatte-verket anser att det är oklart vad förslaget om undantag från förbudet att behandla känsliga personuppgifter i enstaka fall ska omfatta. Piteå kommun anser att kravet på absolut nödvändighet för ändamålet skulle kunna mildras och förordar i stället en skrivning som ger möjlighet till behandling liknande den som medges enligt 5 a § PUL. Datainspektionen avstyrker förslaget och anser att bestämmelsen bör utformas så att det klart framgår att behandling av känsliga personuppgifter endast är tillåten om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse. Om denna särskilda förutsättning för behandlingen inte framgår finns enligt Datainspektionen risk för att myndigheter vilseleds av formu-leringen, särskilt som det inte finns någon egentlig begränsning av vad myndigheter kan behandla som ärende. Datainspektionen håller med utredningen om att myndigheters hantering av inkomna handlingar torde utgöra ett sådant viktigt allmänt intresse. För att uppnå det som utred-ningen har avsett och som den har bedömt proportionerligt krävs att förslaget i den delen begränsas till den lagstiftning som reglerar myndig-heters och likställda organs hantering av inkomna handlingar. Att införa ett nytt begrepp, absolut nödvändigt, riskerar enligt Datainspektionen att leda till förvirring hos den enskilde personuppgiftsansvarige och en felaktig tillämpning av dataskyddsregleringen. Även Kungliga tekniska högskolan anser att begreppet absolut nödvändigt har språkliga likheter med begreppet nödvändigt och att en begreppsförvirring är oundviklig.
Förvaltningsrätten i Stockholm ifrågasätter varför nödvändighetskravet inte finns med i vissa av förslagen. Lunds universitet anför, angående det föreslagna undantaget för behandling som krävs enligt lag, att det bör framgå tydligare av lagtexten om avsikten är att knyta undantaget till offentlighetsprincipen. Pensionsmyndigheten anser inte att det är själv-klart att förordningen ska tolkas så att det finns ett behov av att i data-skyddslagen eller i annan nationell lagstiftning ta in bestämmelser om
Prop. 2017/18:105
82
undantag från förbudet att behandla känsliga personuppgifter. Pensions-myndigheten anser att det bör analyseras ytterligare om det är det viktiga allmänna intresset, snarare än behandlingen, som ska regleras i nationell rätt. Vidare anser Pensionsmyndigheten att den föreslagna bestämmelsen rörande behandling i löpande text kan bli svår att tillämpa för myndig-heter som har helt automatiserade handläggningsflöden och anser därför att den bör göras teknikneutral. Pensionsmyndigheten vill också fram-hålla att den lagtekniska utformningen, som innebär att bestämmelserna avgränsats till uppgifter som lämnats i ett ärende eller till myndigheten, gör att det inte är möjligt att tillämpa bestämmelsen när behandling av känsliga personuppgifter sker i myndigheters s.k. egna utrymmen. Lik-artade synpunkter angående myndigheternas egna utrymmen har lämnats av Bolagsverket och Sveriges advokatsamfund. Dataskydd.net avstyrker förslaget och anser att artikel 9.2 inte kan kringgås annat än genom lag-stiftning som ger behandlingen en rättslig grund, vilket i så fall sker i annan lagstiftning än i dataskyddslagen. Hovrätten för Västra Sverige anser att det är positivt att utredningen föreslår att myndigheter inte får använda sökbegrepp som avslöjar känsliga personuppgifter. Domstols-verket anser att ett sökförbud som utformats i enlighet med utredningens förslag är lätt att tillämpa och därmed leder till tydlighet och enkelhet.
Domstolsverket påpekar dock att det vid behandling för arkivändamål av allmänt intresse inte finns något sökförbud, vilket torde få till följd att det sökförbud som gäller för myndigheters personuppgiftsbehandling upphör i samband med att uppgifter arkiveras. Polismyndigheten tillstyrker förslaget om generellt sökförbud men framhåller att det behövs ett undantag för sökningar på känsliga personuppgifter som sker i register-vårdande syfte. Säkerhets- och integritetsskyddsnämnden ifrågasätter utformningen av det föreslagna sökförbudet och anser att dess orda-lydelse i praktiken förhindrar all användning av sökbegrepp, vilket bl.a.
kan omöjliggöra en effektiv registervård och tillsyn. Migrationsverket anser att det, utifrån ett integritetsperspektiv, är bra att det föreslås ett sökförbud gällande känsliga personuppgifter, men påpekar att det medför en risk för att viss nödvändig personuppgiftsbehandling inte kan genom-föras. Migrationsverket anser att sökning, även gällande känsliga person-uppgifter, borde tillåtas med förbehållet att uppgifterna endast får tas fram för helt avidentifierad statistik. Skatteverket anser att det skulle underlätta om sökbegränsningarna utformas på samma sätt i dataskydds-lagen och brottsdatadataskydds-lagen. Specialpedagogiska skolmyndigheten påpekar att sökförbudet kan leda till problem för specialskolan när det gäller att ta fram verksamhetsstatistik. Transportstyrelsen anser att det, om det införs ett sökförbud för känsliga personuppgifter, bör övervägas undantag för myndigheters sökningar i verksamhetssystem där syftet är att följa upp och kvalitetssäkra den egna verksamheten. Piteå kommun ser stora administrativa svårigheter med att leva upp till ett förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter. Detta förslag riskerar enligt kommunen att bli kostnadsdrivande för kommunerna utan tydlig nytta. Sveriges advokatsamfund anser att den föreslagna sökbegräns-ningen bör anpassas till den service som myndigheter ger åt privat-personer.
83 Prop. 2017/18:105 Skälen för regeringens förslag
Begreppet viktigt allmänt intresse
Av artikel 9.2 g framgår att förbudet mot behandling av känsliga person-uppgifter inte gäller om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlems-staternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen. Bestämmelsen motsvarar artikel 8.4 i dataskyddsdirektivet.
En första förutsättning för att detta undantag ska vara tillämpligt är att behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse.
Vad som är ett allmänt intresse respektive ett viktigt allmänt intresse är dock inte definierat i vare sig dataskyddsdirektivet eller dataskydds-förordningen, och begreppens innebörd har inte heller utvecklats närmare av EU-domstolen.
I förordningen används begreppet viktigt allmänt intresse, förutom i artikel 9.2 g, även i artikel 17 angående folkhälsoområdet och i artikel 23.1 e angående unionens eller en medlemsstats viktiga ekono-miska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet. I skäl 19 andra stycket anges att när privata organs behandling av personuppgifter omfattas av förordningens tillämpningsområde, bör förordningen ge medlemsstaterna möjlighet att, under särskilda villkor, i lag begränsa vissa skyldigheter och rättigheter, om en sådan begränsning utgör en nödvändig och propor-tionell åtgärd i ett demokratiskt samhälle för att skydda särskilda viktiga intressen, däribland allmän säkerhet samt förebyggande, förhindrande, utredning, avslöjande och lagföring av brott eller verkställande av straffrättsliga påföljder eller skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten. Detta är enligt samma skäl exempelvis relevant i samband med bekämpning av penningtvätt eller verksamhet vid kriminaltekniska laboratorier. I skäl 112 anges internationella utbyten av uppgifter mellan konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstillsynsmyndigheter, socialförsäk-ringsmyndigheter eller hälsovårdsmyndigheter, t.ex. vid kontaktspårning för smittsamma sjukdomar eller för att minska och/eller undanröja dopning inom idrott, som exempel på viktiga allmänintressen.
Det är, som utredningen påpekar, svårt att på ett generellt plan definiera vad som skiljer ett allmänt intresse från ett viktigt allmänt intresse. Enligt regeringens bedömning torde det dock stå klart att verk-samhet som innefattar myndighetsutövning utgör ett viktigt allmänt intresse. När det gäller myndigheters behandling måste det enligt regeringens mening också anses utgöra ett viktigt allmänt intresse att svenska myndigheter, även utanför området för myndighetsutövning, kan bedriva den verksamhet som tydligt faller inom ramen för deras befogen-heter på ett korrekt, rättssäkert och effektivt sätt.
Av de exempel som ges i förordningen framgår dock att också viss verksamhet som bedrivs av privata aktörer kan omfattas av begreppet viktigt allmänt intresse. Utrymmet för att privata aktörer ska kunna
Prop. 2017/18:105
84
tillämpa artikel 9.2 g behandlas dock inte i utredningens betänkande och omfattas inte heller av detta lagstiftningsärende.
Särskilda krav ställs på det rättsliga stödet
En andra förutsättning för att undantaget i artikel 9.2 g ska vara tillämpligt är att behandlingen sker på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet. Enligt regeringens bedömning innebär detta att den rättsliga grunden för behandlingen typiskt sett kommer att vara någon av de som avses i artikel 6.1 c eller e, dvs. en rättslig förpliktelse, en uppgift av allmänt intresse eller myndighetsutövning som har stöd i rättsordningen på det sätt som beskrivs i avsnitt 8.
För att behandling av känsliga personuppgifter ska få ske ställs emellertid särskilda krav på det rättsliga stödet. Detta måste vara förenligt med det väsentliga innehållet i rätten till dataskydd och inne-hålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen. Det kan konstateras att dessa krav på det rättsliga stödet motsvarar kraven för att begränsa de rättig-heter som skyddas av EU:s stadga om de grundläggande rättigrättig-heterna. I artikel 52 i stadgan anges att varje begränsning i utövandet av de rättig-heter och frirättig-heter som erkänns i denna stadga ska vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter.
Vad som utgör det väsentliga innehållet i rätten till dataskydd definieras inte i dataskyddsförordningen. Regeringen har dock svårt att föreställa sig en rättslig grund för behandling av personuppgifter som uppfyller kraven i artikel 6, men som ändå inte är förenlig med det väsentliga innehållet i rätten till dataskydd. Om grunden för behand-lingen inte är förenlig med det väsentliga innehållet i rätten till dataskydd torde den inte utgöra en godtagbar rättslig grund för behandling av personuppgifter över huvud taget. Det kan därför ifrågasättas om tillägget i artikel 9.2 g utgör ett krav som går utöver de krav som gäller enligt artikel 6 och som måste vara uppfyllda vid all behandling av personuppgifter i allmänt intresse.
Däremot tillkommer enligt artikel 9.2 g ett krav på att gällande rätt innehåller bestämmelser om lämpliga och särskilda åtgärder för att säker-ställa den registrerades grundläggande intressen. Detta krav överens-stämmer med det som har gällt även enligt dataskyddsdirektivet och innebär således ingen ny begränsning av möjligheten att behandla känsliga personuppgifter. Det innebär inte heller att undantaget i sig måste genomföras i svensk rätt för att vara tillämpligt.
Det behövs en generell reglering avseende myndigheters behandling För att myndigheter ska kunna bedriva sin verksamhet är det ofta nödvändigt att behandla känsliga personuppgifter och i många fall sker behandlingen i den registrerades eget intresse. Det finns därför ett behov av en tydlig reglering som tillåter viss behandling av känsliga person-uppgifter hos myndigheterna. I många fall finns sådana bestämmelser i sektorsspecifika författningar om behandling av personuppgifter. Det finns också bestämmelser som tillåter behandling av känsliga person-uppgifter på ett mer indirekt sätt, t.ex. i form av bestämmelser som anger
85 Prop. 2017/18:105 att uppgifter eller handlingar ska överlämnas till andra myndigheter eller
till enskilda som begär det. Det behov av att behandla känsliga person-uppgifter som därutöver finns hos myndigheter är i dag tillgodosett genom att viss behandling är tillåten genom den s.k. missbruksregeln i 5 a § PUL och enligt 8 § PUF.
Dataskyddsdirektivets krav på skyddsåtgärder har i svensk rätt ofta ansetts tillgodosett genom att uppgifterna omfattas av bestämmelser om sekretess. Det har också ansetts utgöra en skyddsåtgärd att bara tillåta behandling av känsliga personuppgifter som inte innefattar ett missbruk av personuppgifterna (prop. 2005/06:173 s. 34).
Missbruksregeln i 5 a § PUL anger att flertalet bestämmelser i person-uppgiftslagen inte ska tillämpas vid behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller samman-ställning av personuppgifter. Bestämmelsen innebär bl.a. att förbudet mot behandling av känsliga personuppgifter inte gäller vid sådan ostruktu-rerad behandling. I stället gäller en allmän begränsning om att behand-ling inte får utföras om den innebär en kränkning av den registrerades personliga integritet. Bestämmelsen är enligt förarbetena avsedd att gälla t.ex. vid behandling av personuppgifter i löpande text i ordbehandlings-program, i e-post eller på internet (prop. 2005/06:173 s. 58).
Enligt 8 § PUF får känsliga personuppgifter behandlas av en myndig-het i löpande text, om uppgifterna har lämnats i ett ärende eller är nöd-vändiga för handläggningen av det. Bestämmelsen möjliggör t.ex. att känsliga personuppgifter får finnas i skälen till ett beslut, när det krävs för att uppfylla kraven på att beslut ska innehålla de skäl som bestämt utgången. Dessutom har bestämmelsen ansetts ge stöd för att uppgifter behandlas i ärendehanteringssystem, då de förekommer i handlingar med löpande text (SOU 2015:39 s. 306). Den formulering som används i 8 § PUF har däremot inte ansetts omfatta s.k. faktisk verksamhet som en myndighet bedriver (jfr Lagrådets yttrande över förslaget till lag om behandling av personuppgifter inom socialtjänsten, prop. 2000/01:80 s. 272), t.ex. rådgivning och annan service, uppföljning eller olika former av samverkan utan ärendeanknytning. Vid faktisk verksamhet är det således bara 5 a § PUL som kan tillämpas, om sektorsspecifik reglering saknas.
Det kan enligt regeringens mening inte råda något tvivel om att det är ett viktigt allmänt intresse att myndigheterna kan sköta sitt uppdrag på ett korrekt, rättssäkert och effektivt sätt. Det gäller även, som bl.a. Barn-ombudsmannen påpekar, i den faktiska verksamheten. Missbruksregeln i 5 a § PUL har dock ingen motsvarighet i dataskyddsförordningen. Det kan inte heller tas för givet att det för all offentlig verksamhet redan finns sådana lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g i dataskyddsförordningen för att känsliga personuppgifter ska få behand-las. Regeringen bedömer därför, till skillnad från bl.a. Pensionsmyndig-heten, att det behövs särskilda bestämmelser i dataskyddslagen som är tillämpliga för alla myndigheter och som uppfyller kraven i artikel 9.2 g i dataskyddsförordningen.
Pensionsmyndigheten, Bolagsverket och Sveriges advokatsamfund påpekar att det inte är möjligt att tillämpa de bestämmelser som utred-ningen föreslår när känsliga personuppgifter behandlas i myndigheters
Prop. 2017/18:105
86
s.k. egna utrymmen. Regeringen kan dock konstatera att de särskilda frågeställningar som rör sådan behandling inte föranleds av dataskydds-förordningen. Därmed behandlas de inte i detta lagstiftningsärende.
Behandling som krävs enligt lag
Viss behandling av känsliga personuppgifter är oundviklig i myndig-heternas verksamhet som en direkt följd av exempelvis offentlighets- och sekretesslagens och förvaltningslagens krav, såsom krav på diarieföring och skyldighet att ta emot e-post. Samma skyldigheter gäller i viss utsträckning för vissa andra organ än myndigheter, som en följd av att dessa organ jämställs med myndigheter enligt offentlighets- och sekre-tesslagen. Utredningen föreslår mot denna bakgrund en bestämmelse om att myndigheter och andra organ som omfattas av offentlighetsprincipen får behandla känsliga personuppgifter som har lämnats till myndigheten eller organet om behandlingen krävs enligt lag.
Den grundlagsfästa rätten att ta del av allmänna handlingar måste enligt regeringens mening anses utgöra ett viktigt allmänt intresse.
Ordning och reda bland allmänna handlingar är en förutsättning för att handlingsoffentligheten ska fungera och fylla sitt syfte. Den hantering av allmänna handlingar som krävs enligt svensk rätt är därför motiverad med hänsyn till ett viktigt allmänt intresse. En stor del av denna hantering sker i den elektroniska miljön och medför behandling av personuppgifter.
Den nödvändiga behandling av personuppgifter som sker vid hante-ringen av allmänna handlingar har rättslig grund i svensk rätt, framför
Den nödvändiga behandling av personuppgifter som sker vid hante-ringen av allmänna handlingar har rättslig grund i svensk rätt, framför