Ett modernt belöningssystem, de allmänna flaggdagarna och redovisningen av anslaget till hovet
Integritetsskyddsmyndigheten (IMY) har granskat förslaget huvudsakligen utifrån myndighetens uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter.
IMY kan inte tillstyrka förslaget på nuvarande underlag, eftersom det inte har säkerställts att det finns stöd för behandling av känsliga personuppgifter hos Kungl. Maj:ts Orden.
IMY lämnar följande synpunkter.
Enligt artikel 9.1 i dataskyddsförordningen är behandling av känsliga personuppgifter som huvudregel förbjuden, och den måste omfattas av något av undantagen i artikel 9.2 för att den ska få genomföras. Flera av undantagen i artikel 9.2 i dataskyddsförordningen kräver komplettering i unionsrätt eller nationell rätt. Om behandlingen grundar sig på artikel 9.2 g i dataskyddsförordningen ska de kompletterande bestämmelserna även innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
I betänkandet hänvisas, för behandlingen av känsliga personuppgifter hos såväl regeringen som hos Kungl. Maj:ts Orden, till undantaget i artikel 9.2 g i dataskyddsförordningen respektive 3 kap. 3 § i den kompletterande dataskyddslagen(1).
Av 3 kap. 3 § dataskyddslagen framgår att känsliga personuppgifter får behandlas av myndigheter med stöd av artikel 9.2 g i dataskyddsförordningen. I 3 kap. 3 § tredje stycket dataskyddslagen framgår vidare att vid tillämpningen av bestämmelsen ska andra än myndigheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i deras verksamhet. I betänkandet konstateras dock att Kungl. Maj:ts Orden är en privat aktör, som inte omfattas av offentlighetsprincipen eller av bilagan till offentlighets- och sekretesslagen. IMY bedömer därmed att det i betänkandet inte är säkerställt vilket lagligt stöd Kungl. Maj:ts Ordern har för behandling av känsliga personuppgifter.
IMY konstaterar att privata aktörers behandling av känsliga personuppgifter med stöd av ett viktigt allmänt intresse kan regleras särskilt. Som ett exempel kan nämnas 26 a kap. 4 § skollagen (2010:800) som reglerar enskilda aktörers behandling av känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen. För att uppfylla kraven på proportionalitet i artiklarna 6.3 och 9.2 g i dataskyddsförordningen krävs enligt IMY även en tydlig reglering av lämpliga skyddsåtgärder. Sammanfattningsvis krävs i det fortsatta lagstiftningsarbetet en analys av vilket lagligt stöd Kungl. Maj:ts Ordern har för sin behandling av känsliga personuppgifter samt vilka skyddsåtgärder som är nödvändiga.
Fotnot: (1) Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Detta yttrande har beslutats av den tillförordnade enhetschefen Linn Sandmark efter föredragning av juristen Disa Rehn. Vid den slutliga handläggningen har även juristen Ulrika Harnesk deltagit.
Linn Sandmark, 2021-11-23 (Det här är en elektronisk signatur)