Ett stärkt och samlat skydd av välfärdssystemen
Integritetsskyddsmyndigheten (IMY) har granskat förslaget huvudsakligen utifrån myndighetens uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter.
Med anledning av betänkandets omfång och det antal frågor som behandlats har IMY valt att begränsa sitt yttrande till vissa frågor av väsentlig betydelse för enskildas personliga integritet.
IMY lämnar följande synpunkter.
Personuppgifter om lagöverträdelser som innefattar brott
I delbetänkandet (1) bedömde utredningen att ärenden om sanktionsavgifter inte kommer att omfatta uppgifter om lagöverträdelser som regleras i artikel 10 i dataskyddsförordningen. I förevarande betänkande anger utredningen att systemet med sanktionsavgifter framförallt kommer träffa de mindre allvarliga bidragsbrotten och att det för de mer allvarliga överträdelserna mot välfärdssystemen behöver vidtas ytterligare åtgärder, dvs. bidragsspärr (s. 555 och 566). Mot bakgrund av detta och hur kriterierna för en sanktionsavgift har beskrivits (2) är det IMY:s uppfattning att beslut om sanktionsavgifter utgör personuppgifter om lagöverträdelser som innefattar brott på det sätt som avses i artikel 10 i dataskyddsförordningen. Detta eftersom personuppgifterna får anses ha en tillräcklig konkretionsgrad och motsvarar de objektiva rekvisiten i straffbestämmelsen i 2 § bidragsbrottslagen (2007:612).(3)
Utredningen har angett att varken dataskyddsförordningen eller dataskyddslagen uppställer något krav på särskilt författningsstöd för myndigheters behandling av personuppgifter om lagöverträdelser (s. 676).
IMY vill nyansera den uppfattningen utifrån kravet på rättslig grund i artikel 6 i dataskyddsförordningen. Behandling av personuppgifter som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c) eller som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e) ska uppfylla kriterierna i artikel 6.3 om tydlighet, förutsebarhet och proportionalitet. Se även skäl 41 till dataskyddsförordningen att kravet på förutsebarhet ses från den registrerades perspektiv. Ett mer kännbart intrång kräver en mer preciserad rättslig grund, medan behandling med lägre integritetsrisker kan ske med stöd av en mer allmänt hållen rättslig grund. (4)
Synsättet utifrån artikel 6.3 har betydelse för den rättsliga grunden och den reglering som krävs för att behandling av personuppgifter ska vara tillåten. (5) Förevarande förslag kommer leda till nya konsekvenser för enskilda i form av ny integritetskänslig behandling av personuppgifter om sanktionsavgifter och bidragsspärrar, som IMY anser innebär en behandling av personuppgifter om lagöverträdelser som innefattar brott. Som IMY angav i myndighetens remissvar över utredningens delbetänkande är personuppgifter om lagöverträdelser som innefattar brott särskilt skyddsvärda. (6) Även om det i slutänden inte skulle ha någon praktisk betydelse för utformningen av författningsförslagen, som IMY anser är väl avvägda, så är det av vikt att det i det fortsatta beredningsarbetet konstateras att det är fråga om behandling av personuppgifter om lagöverträdelser som innefattar brott och att regleringen bedöms därefter.
Övrigt
När det gäller Inspektionen för arbetslöshetsförsäkringen (IAF) framhålls IAF:s behov av att söka fram ärenden och göra urval för granskningar (s. 699). Enligt 13 § lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen är det förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter och sådana personuppgifter som avses i 9 § andra stycket eller 10 § samma lag. Första stycket i sist nämnda lagrum räknar bland annat upp personuppgifter om lagöverträdelser som innefattar brott. IMY tolkar det så att fråga uppstår om även 13 § behöver ändras.
Fotnoter
(1) SOU 2022:37.
(2) Se 3 och 8 §§ förslag till lag om sanktionsavgifter på välfärdens område i SOU 2022:37.
(3) S. 15 i IMY:s rättsliga ställningstagande IMYRS 2021:1 om innebörden av begreppet ”personuppgifter som rör lagöverträdelser som innefattar brott” i artikel 10 i dataskyddsförordningen
IMYRS 2021:1 Lagöverträdelser
(4) Prop. 2017/18:105 s. 51.
(5) IMY:s Vägledning för integritetsanalys i lagstiftningsarbetet s. 21 ff
Vägledning för integritetsanalys (pdf, 532 kB)
(6) IMY:s remissvar den 6 oktober 2022, ärende IMY-2022-4081.
Detta yttrande har beslutats av enhetschefen Linn Sandmark efter föredragning av avdelningsdirektören Suzanne Isberg.
Linn Sandmark, 2023-12-12 (Det här är en elektronisk signatur)