Hoppa till innehåll på sidan

Användning av e-legitimation i tjänsten i den offentliga förvaltningen

SOU 2021:62

Integritetsskyddsmyndigheten (IMY) har granskat förslaget huvudsakligen utifrån myndighetens uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter.

IMY lämnar övergripande synpunkter på slutbetänkandets förslag enligt följande.

IMY ser positivt på att det tas ett samlat grepp om frågan om användning av e-legitimation i tjänsten i den offentliga förvaltningen. IMY anser det både angeläget och viktigt med en säker identifiering av individer när de agerar som offentlig tjänsteman vilket e-tjänstelegitimation kan bidra till. IMY anser inte att anställda och uppdragstagare ska använda privata e-legitimationer i tjänsten.

IMY kan dock inte tillstyrka förslagen i slutbetänkandet eftersom det inte har gjorts en tillräcklig utredning och analys av förslagens inverkan på den enskildes personliga integritet. En förutsättning för en integritetsanalys är en kartläggning av vilka personuppgifter som kommer behandlas liksom omfattningen av detsamma. Det är inte tydligt redovisat i förslaget. Med tanke på att det föreslås ett system som involverar offentliga aktörer kan det röra sig om en ansenlig mängd personuppgifter som kommer att behandlas.

Det framkommer även frågetecken vad avser ansvaret för behandlingen av personuppgifterna, dvs. ett ansvar som i alla led ska vara klarlagt innan en behandling vidtas. Ansvarsfrågan gör sig gällande t.ex. för personuppgifter i det system som DIGG ska tillhandahålla som när och i vilka fall en arbetsgivare anses vara personuppgiftsansvarig. IMY förordar att ansvaret tydliggörs i förslaget även om ett personuppgiftsansvar, som inte anges i författning, bestäms utifrån de faktiska omständigheterna.

Utredningen föreslår för statliga myndigheter att en anställd eller uppdragstagares privata e-legitimation får användas i tjänsten under vissa begränsande förutsättningar. Huvudregeln föreslås vara att användning av privata e-legitimationer i tjänsten inte bör förekomma i offentlig förvaltning. Utredningen har i denna del gjort vissa arbetsrättsliga bedömningar avseende att det är tillåtet med en överenskommelse mellan den anställde och arbetsgivaren om användning av privat e-legitimation. IMY har ingen uppfattning i den arbetsrättsliga frågan men vill påtala behov av ytterligare överväganden ifall en sådan personuppgiftsbehandling är möjlig ur ett dataskyddsrättsligt perspektiv.

Mot bakgrund av att arbetsgivaren i princip alltid anses som personuppgiftsansvarig för det som arbetstagaren gör i tjänsten kan användandet av privata e-legitimationer medföra problem. Det kan till exempel bli svårt för den personuppgiftsansvarige arbetsgivaren att säkerställa att dataskyddsförordningens krav på bland annat säkerhet uppfylls vid användning av arbetstagarens privata e-legitimationer. IMY anser därför att anställda och uppdragstagare inte ska använda privata e-legitimationer i tjänsten.

IMY saknar bedömningar som tydligt redogör för tillvaratagande av de grundläggande principerna i dataskyddsförordningen. Med tillämpning av principerna skulle integritetshöjande åtgärder som t.ex. lagringsminimering i förhållande till förslaget tydligare övervägts, det framkommer inte i utredningen.

Slutligen vill IMY i relevanta delar peka på det tidigare yttrande som IMY lämnat på delbetänkande SOU 2021:9.

Detta yttrande har beslutats av enhetschefen Malin Blixt efter föredragning av juristen Anna Hellgren Westerlund. Vid den slutliga handläggningen har även juristen Ulrika Harnesk deltagit.

Malin Blixt, 2022-05-06 (Det här är en elektronisk signatur)

Senast uppdaterad: 6 maj 2022
Sidans etiketter Dataskydd