Samhället mot skolattacker
Integritetsskyddsmyndigheten (IMY) har granskat förslaget huvudsakligen utifrån myndighetens uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter.
IMY lämnar följande synpunkter.
Avsnitt 8.3.2 Hur ska den nya bestämmelsen om sekretess utformas?
Utredningen föreslår ingen begränsning av rätten att meddela och offentliggöra uppgifter mot bakgrund av att de uppgifter som lämnats till det nationella centrumet mot våldsbejakande extremism, CVE, inte lämnas i en förtroendesituation av den enskilde själv, även om det också kan förekomma. Utredningen har då tagit särskild hänsyn till att återhållsamhet bör iakttas när en inskränkning i meddelarfriheten övervägs trots att utredningen även anger att förslaget om omvänd sekretess talar för att rätten att meddela och offentliggöra uppgifter bör begränsas.
Bestämmelser om sekretess kan utgöra en del av de skyddsåtgärder som dataskyddsförordningen ställer krav på för att en personuppgiftsbehandling ska anses proportionerlig. Av förslagets redovisning i avsnitt 9.2.1 framgår att omständigheter som kan föranleda oro typiskt sett rör integritetskänsliga uppgifter i form av bl.a. uttryck för extrema politiska åsikter, tecken på psykosocial kris eller att uppgifterna kan vara sådana att de omfattas av stark sekretess, som hälso- och sjukvårdssekretess. Uppgifterna kommer i regel delas med CVE av andra än den aktuella individen och i sammanhang där de uppgifter som delas i huvudsak avser barns uppgifter. Av 25 kap. 18 § och 26 kap. 15 § offentlighets- och sekretesslagen (2009:400) framgår att flertal uppgifter som omfattas av hälso- och sjukvårds- eller socialtjänstsekretess är undantagen rätten att meddela och offentliggöra uppgifter.
IMY anser att skyddet för den enskildes personuppgifter kan bli sämre än vad som annars skulle gälla. Även om uppgifterna inte lämnas till CVE av den enskilde i en förtroendesituation så har dessa i normalfallet lämnats i en sådan motsvarande situation till den aktör som i sin tur lämnar dessa vidare och IMY anser att det talar för att en inskränkning bör tillåtas i rätten att meddela och offentliggöra uppgifter.
Avsnitt 9.2.2 Generella regelverk för hantering av personuppgifter ska tillämpas
Utredningen bedömer att brottsdatalagen (2018:1177), BDL, inte är tillämplig på den personuppgiftsbehandling som föreslås ske inom stödverksamheten med hänvisning till att det inte är fråga om sådant direkt brottsförebyggande syfte som avses i BDL. Kriterierna för om brottsdatalagen är tillämplig är bl.a. om personuppgiftsbehandlingen utförs av en behörig myndighet i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder (se 1 kap. 2 § BDL).
IMY konstaterar att även om förslaget innebär att CVE:s uppgift inom ramen för stödet i individärenden inte är att verka för att lagföring sker eller ens för att på ett direkt sätt förebygga brottslighet, utan att tillse att de lokala aktörerna har förutsättningar att utföra sina respektive uppgifter, så anger utredningen att syftet ytterst är att förebygga och förhindra allvarliga våldsdåd riktade mot skolor. IMY saknar en djupare analys i denna del då syftet med personuppgiftsbehandlingen i praktiken innebär medverkan till ett brottsförebyggande arbete både för CVE och för de andra aktörerna.
Avsnitt 9.3.6 Ändamålen med behandlingen ska avgränsas
IMY noterar att författningsförslaget i detta delbetänkande har stora likheter med författningsförslaget i SOU 2021:99. Av IMY:s yttrande (1) på slutbetänkandet SOU 2021:99 framgår synpunkter som är giltiga även för detta delbetänkande. Det gäller bl.a. i delen om ändamål med behandlingen.
Det föreslås en primär ändamålsbestämmelse (6 §) om att personuppgifter får behandlas om det är nödvändigt för att CVE ska kunna utföra sitt uppdrag att ge stöd i individärenden till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar oro för att en eller flera individer ska genomföra en skolattack. I delbetänkandet anges att genom att uttryckligen knyta ändamålet med behandlingen till vad som är nödvändigt för utförandet av uppdraget, inskränks möjligheterna att behandla personuppgifter som saknar koppling till stödverksamheten. Utredningen anger att en sådan ändamålsbegränsning anses snävare än vad som gäller enligt dataskyddslagen (jfr 2 kap. 2 § dataskyddslagen).
Med anledning av detta vill IMY lyfta fram att det redan framgår av dataskyddsförordningen att behandling av personuppgifter ska vara nödvändig i förhållande till den rättsliga grunden, såsom exempelvis en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, se artikel 6.1 e. Bestämmelsen som föreslås kan inte anses ge något mervärde utöver vad som redan gäller enligt dataskyddsförordningen.
Bestämmelsen är inte heller en ändamålsbestämmelse i egentlig mening eftersom några ändamål för behandlingen inte kan anses komma till uttryck i den. Det är viktigt att man, som ett led i integritetsanalysen, beskriver de tänkta ändamålen så utförligt som möjligt. En beskrivning av ändamålen är en förutsättning för att kunna bedöma om behovet av personuppgiftsbehandlingen överväger de integritetsrisker som behandlingen kommer att medföra och om behandlingen således är tillåten (2). En tydlig beskrivning av ändamålen har betydelse för att bedöma om de grundläggande principerna i artikel 5 i dataskyddsförordningen uppfylls, t.ex. principen om uppgiftsminimering. Mot denna bakgrund bör vad som avses med att ge stöd i individärenden beskrivas närmare i den föreslagna bestämmelsen och i författningskommentaren i det fortsatta beredningsarbetet.
Avsnitt 9.3.8 CVE:s behandling av känsliga personuppgifter samt uppgifter om brott ska begränsas
Även i denna del noterar IMY att delbetänkandets författningsförslag liknar författningsförslaget i SOU 2021:99. Samt att de synpunkter som IMY gav på slutbetänkandet SOU 2021:99 är fortsatt giltiga (3).
Det gäller särskilt att det i författningsförslagets 9 § bör förtydligas att behandlingen sker med stöd av artikel 9.2 g i dataskyddsförordningen eftersom det är den bestämmelsen som utgör det faktiska undantaget för behandlingen. Som bestämmelsen är utformad är det oklart med vilket rättsligt stöd som behandlingen utförs. Det är därför angeläget att artikel 9.2 g framgår av bestämmelsen för att skapa tydlighet och förutsebarhet för de registrerade, andra aktörer och för CVE i frågan om rätt att behandla känsliga personuppgifter (jfr skäl 41 till dataskyddsförordningen). Angelägenheten blir än mer påtaglig utifrån att behandlingen i huvudsak kommer röra barn vars uppgifter anses särskilt skyddsvärda (jfr skäl 38 till dataskyddsförordningen).
Avsnitt 9.4 Förslagen är proportionerliga och nödvändiga
I aktuellt avsnitt hänvisar utredningen till avsnitt 9.3.1 för sin bedömning avseende att CVE kommer att behöva använda personuppgifter. Hänvisningen tycks felaktig och det avsnitt man troligen avser är avsnitt 9.2.1.
Avsnitt 12 Författningskommentaren
IMY noterar att hänvisningarna till överväganden i författningskommentaren behöver ses över när de, troligen felaktigt, hänvisar till avsnitt 9.4. Antagligen ska hänvisningarna anges till relevanta delar i avsnitt 9.3.
Slutligen noterar IMY att det i författningskommentaren till 10 § hänvisas till författningskommentaren för 8 § avseende vilka uppgifter som utgör känsliga personuppgifter och uppgifter om brott och misstanke om brott. Hänvisningen tycks inte stämma och troligen ska hänvisning ske till författningskommentaren för 9 §.
Fotnoter
(1) Se s. 4 i Yttrande över slutbetänkandet Rätt mottagare - Granskning och integritet (SOU 2021:99), DI-2022-493.
(2) Se s. 11 i Vägledning för integritetsanalys vid lagstiftningsarbete, dnr IMY-2022-10835.
(3) Se s. 4 f. Yttrande över slutbetänkandet Rätt mottagare - Granskning och integritet (SOU 2021:99), DI-2022-493.
Detta yttrande har beslutats av enhetschefen Linn Sandmark efter föredragning av juristen Anna Hellgren Westerlund.
Linn Sandmark, 2023-10-13 (Det här är en elektronisk signatur)