Vaccinationsbevis på serveringsställen och i andra verksamheter, smittskyddsåtgärder i långväga kollektivtrafik och förlängning av begränsnings- och serveringsförordningarna
Integritetsskyddsmyndigheten (IMY) har granskat förslaget huvudsakligen utifrån myndighetens uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter.
IMY lämnar följande synpunkter.
IMY instämmer i bedömningen att behandlingen av en alfanumerisk sträng vid verifiering av vaccinationsbevis är en behandling av personuppgifter enligt dataskyddsförordningen. Av promemorian (s. 75) framgår inte tydligt om bedömningen görs att denna behandling omfattar sådana särskilda kategorier av uppgifter som avses i artikel 9 i dataskyddsförordningen (känsliga personuppgifter). Det går inte heller av förslaget till 9 § andra stycket förordningen (2020:527) om tillfälliga smittskyddsåtgärder på serveringsställen att utläsa om känsliga personuppgifter kommer att behandlas. I förslaget till ändring i 2 § samma förordning anges dock bemyndigandet att meddela föreskrifter om känsliga personuppgifter med hänsyn till ett viktigt allmänt intresse i 3 kap. 4 § dataskyddslagen1 som stöd för 9 § andra stycket. Bedömningen måste således ha gjorts att den personuppgiftsbehandling som krävs för verifieringen omfattar känsliga personuppgifter. IMY instämmer i denna bedömning.
Genom hänvisningen i förordningsförslaget till 3 kap. 4 § dataskyddslagen (1) framgår vidare att behandlingen av känsliga personuppgifter vid verifieringen har ansetts nödvändig med hänsyn till ett viktigt allmänt intresse (artikel 9.2 g i dataskyddsförordningen). IMY anser att de intressen som ligger till grund för förslaget är sådana viktiga allmänna intressen som avses i artikel 9.2 g och att behandlingen är nödvändig med hänsyn till dessa intressen. För att behandling av känsliga personuppgifter ska få ske med stöd av artikel 9.2 g krävs dock därutöver att den rättsliga grunden i nationell rätt står i proportion till det eftersträvade syftet och att den innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
I promemorian görs bedömningen att personuppgiftsbehandlingen vid verifieringen inte innebär några risker för den personliga integriteten. IMY instämmer inte i denna bedömning, utan anser att behandlingen medför risker för den personliga integriteten särskilt med beaktande av att den omfattar känsliga personuppgifter. I den fortsatta beredningen bör det därför göras en analys av dessa risker och hur de kan minimeras. Utifrån denna analys bör regeringen överväga om det krävs ytterligare skyddsåtgärder för att säkerställa den registrerades rättigheter och för att efterleva kravet på proportionalitet i 9.2 g i dataskyddsförordningen.
IMY anser också att bestämmelserna i 3 kap. 2 c § andra stycket förordningen (2021:8) om särskilda begränsningar för att förhindra spridning av sjukdomen covid-19 och 9 § andra stycket förslag till förordning om ändring i förordningen (2020:527) om tillfälliga smittskyddsåtgärder på serveringsställen bör förtydligas så att det framgår att även personuppgifter om hälsa får behandlas med stöd av artikel 9.2 g i dataskyddsförordningen (jfr utformningen av 3 kap. 2, 3 och 4-7 §§ dataskyddslagen). Detta är angeläget inte minst för att skapa tydlighet och förutsebarhet för de verksamhetsutövare som omfattas av lagen i frågan om de har rätt att behandla känsliga personuppgifter.
Fotnot (1) Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Detta yttrande har beslutats av enhetschefen Catharina Fernquist efter föredragning av juristen Ulrika Bergström. Vid den slutliga handläggningen har även rättschefen David Törngren och juristen Ulrika Harnesk medverkat.
Catharina Fernquist, 2021-12-17 (Det här är en elektronisk signatur)