Hoppa till innehåll på sidan

Förslag till EU-direktiv om standarder för jämlikhets­organ

(COM(2022)688 och COM(2022)689)
Integritetsskyddsmyndigheten (IMY) har granskat förslaget huvudsakligen utifrån myndighetens uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter.
 
IMY vill inte förekomma den analys som Europeiska datatillsynsmannen, EDPS, enligt artikel 42 (1) i förordning (EU) 2018/1725  ska utföra av förslagen. Med beaktande av det lämnar IMY övergripande synpunkter enligt nedan. 
 
Inledningsvis vill IMY framhålla att dataskyddsförord¬ningen är det primära regelverket för behandlingen av personuppgifter, såväl nationellt som på unionsnivå. Det innebär att kompletteringar till och specificeringar av bestämmelser i dataskyddsförordningen endast kan göras om det finns ett utrymme för det i dataskyddsförordningen. 
 
Då förslagen, i delar, återger dataskyddsförordningen i skäl liksom i bestämmelser kan det bidra till oklarheter av att behandling av personuppgifter av jämlikhetsorgan i övriga delar inte skulle omfattas av dataskyddsförordningen. Sådana skrivningar finns i skäl 48 – 49 i förslag COM(2022)688 och skäl 47 – 48 i förslag COM(2022)689 samt i båda förslagens artikel 18. Mot den bakgrunden kan det vara mer lämpligt med en upplysningsbestämmelse som hänvisar till och upplyser om dataskyddsförordningens tillämplighet. 
 
Utöver frågetecken som kan uppstå om tillämpligheten enligt ovan är det problematiskt redan i sig att förslagen i delar upprepar vad som redan anges i dataskyddsförordningen (om t.ex. rättslig grund och undantag för behandling av känsliga personuppgifter). Sådan delvis återgivning av dataskyddsförordningen, särskilt om den upprepas, kan skapa ytterligare oklarheter och öka risken för felcitering. 
 
I förslagen anges begreppet ”should” flera gånger i relation till användning av personuppgifter. I skäl 41 – 42 i förslag COM(2022)689 och skäl 40 – 41 i förslag COM(2022)688 anges ”should” avseende att undvika användning av personuppgifter i sammanhang av insamling av data liksom publicering av rapporter. I skäl 48 – 49 i förslag COM(2022)688 och skäl 47 – 48 i förslag COM(2022)689 används begreppet ”should” i sammanhang om dataskyddsförordningens tillämplighet. I skäl 38 i förslag COM(2022)688 och i skäl 39 i förslag COM(2022)689 används begreppet ”should” avseende att undvika utbyte av personuppgifter i samarbeten mellan olika jämlikhets-organ. Det engelska ordet ”should” kan tolkas betyda att undantag medges eller till och med tolkas motsvara det svenska ordet ”bör”, dvs. att det som åsyftas inte är obligatoriskt. IMY anser att man bör överväga användningen av det begreppet i dessa sammanhang så att det som åsyftas tydligt framkommer. För det fall personuppgifter ska behandlas förutsätter det att bestämmelserna i dataskyddsförordningen följs om t.ex. rättslig grund för behandlingen.
 
I förslagens artikel 14 föreslås att personuppgifter ska anonymiseras och, där det inte är möjligt, pseudonymiseras avseende datainsamling för att kunna rapportera enligt förslagens artikel 15. IMY vill tydliggöra att pseudonymisering är en säkerhetsåtgärd som innebär att personuppgifter istället ersätts med något annat, t.ex. en kod. Dataskyddsförordningen ställer krav på lämpliga säkerhetsåtgärder som ger en lämplig säkerhetsnivå, se artikel 32 i dataskyddsförordningen. Vilka säkerhetsåtgärder och vilken säkerhetsnivå som är lämpliga beror på ett antal faktorer. Det handlar bland annat om vilka uppgifter som behandlas, i vilken omfattning de behandlas, på vilket sätt de behandlas och vilka risker för den registrerades fri- och rättigheter som uppstår vid behandlingen. IMY noterar att det i förslagen inte finns någon analys om vad som är lämpliga säkerhetsåtgärder. 
 
Avslutningsvis vill IMY, för det fortsatta författningsarbetet, informera om en ny vägledning för integritetsanalys som IMY tagit fram och som riktas till de som tar fram författningsförslag som medför att personuppgifter behandlas. Vägledningen tillhandahåller en metod för att göra en integritetsanalys och ta reda på om ett förslag är förenligt med bestämmelserna i framför allt dataskyddsförordningen. Vägledningen finns på IMY:s webbplats. (2) 
 

Fotnoter

 
1) EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG
 
2) https://www.imy.se/globalassets/dokument/rapporter/vagledning-for-integritetsanalys.pdf
 
 
Detta yttrande har beslutats av tillförordnade enhetschefen Linn Sandmark efter föredragning av juristen Anna Hellgren Westerlund. 
 
Linn Sandmark, 2022-12-19   (Det här är en elektronisk signatur) 
 
 
 
Senast uppdaterad: 19 december 2022
Sidans etiketter Dataskydd