Vem kan man lita på? Enkel och ändamålsenlig användning av betrodda tjänster i den offentliga förvaltningen
Integritetsskyddsmyndigheten (IMY) har granskat förslaget huvudsakligen utifrån myndighetens uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter.
Med anledning av det antal frågor som behandlats har IMY valt att begränsa sitt yttrande till mer övergripande frågor och frågor av väsentlig betydelse för enskildas personliga integritet.
IMY kan inte tillstyrka förslagen i delbetänkandet eftersom det inte har gjorts någon utredning och analys av förslagens inverkan på den enskildes personliga integritet.
IMY lämnar följande synpunkter.
Förslagen i delbetänkandet innebär att Myndigheten för digital förvaltning (DIGG) ska få i uppdrag att stödja myndigheter, kommuner, regioner samt vissa kategorier av privata offentligt finansierade organisationer vid validering av betrodda tjänster. Detta innebär bland annat att DIGG måste ta del av de handlingar med elektroniska underskrifter och stämplar som kommer in till dessa organisationer.
I delbetänkandet görs bedömningar rörande DIGG:s roll och utredningen anser att DIGG agerar som personuppgiftsbiträde när man hjälper offentliga aktörer att validera elektroniskt underskrivna eller stämplade handlingar, men är personuppgiftsansvarig i de situationer man hjälper exempelvis privata aktörer med motsvarande sak. IMY vill i detta sammanhang framhålla att det är viktigt att det inte får råda tvivel, delade meningar eller oklarheter om vem som är personuppgiftsansvarig och vem som är personuppgiftsbiträde och vilket ansvar respektive vilka skyldigheter var och en har. Därför är det särskilt viktigt att definitionerna av begreppen personuppgiftsansvarig och personuppgiftsbiträde i artikel 4.7 och 4.8 i dataskyddsförordningen beaktas i det fortsatta beredningsarbetet. Det är även viktigt att nationella preciseringar av vem som är personuppgiftsansvarig beaktas och att det utreds hur sådana preciseringar förhåller sig till den behandling av personuppgifter som kan aktualiseras genom DIGG:s insamling. Sådana nationella preciseringar finns i lagar och förordningar som kompletterar dataskyddsförordningen, exempelvis i 2 kap. 6 § patientdatalagen (2008:355).
IMY vill också framhålla att det finns flera krav i dataskyddsförordningen, däribland ansvaret för säkerhetsåtgärder enligt artikel 32, som gäller för såväl personuppgiftsansvariga som personuppgiftsbiträden.
Av delbetänkandet framgår det att DIGG inte enbart behöver ta del av de elektroniska underskrifterna och stämplarna utan även kan komma behöva ta del av innehållet i de aktuella handlingarna. Det innebär såvitt kan förstås att DIGG kan få mandat att utföra en omfattande insamling och bearbetning av personuppgifter som kan vara omfattande och mycket integritetskänsliga, exempelvis om handlingarna härrör från hälso- och sjukvården eller socialtjänsten. För att behandlingen ska vara tillåten krävs att den är förenlig med kraven i 2 kap. 6 § andra stycket och 20–21 §§ regeringsformen och dataskyddsförordningen. För att uppfylla kraven enligt regeringsformen och dataskyddsförordningen i ett konkret lagstiftningsärende krävs det att det intrång som sker i den enskildes privata sfär måste vara befogat och inte större än nödvändigt. Intrånget ska mötas av integritetshöjande bestämmelser till förmån för den enskilde vars uppgifter behandlas.
Av artikel 6.3 i dataskyddsförordningen framgår att när grunden för behandlingen fastställs i nationell rätt ska den uppfylla ett mål av allmänt intresse och vara proportionell mot de legitima mål som eftersträvas. Generellt innebär denna proportionalitetsbedömning att integritetsriskerna med viss personuppgiftsbehandling vägs mot de fördelar som behandlingen bidrar med till det ändamål som förslaget avser att uppfylla. För att behandlingen ska vara tillåten måste fördelarna stå i rimlig proportion till nackdelarna. I detta ingår att bedöma om behandlingen av personuppgifterna är nödvändig utifrån det avsedda ändamålet med behandlingen och om det finns alternativ som är mindre integritetskänsliga. IMY kan konstatera att det av konsekvensbedömningen inte i tillräcklig utsträckning framgår vilka risker för den personliga integriteten förslagen medför, utan utredningen pekar ut DIGG som ansvarig för att genom föreskrifter reglera villkoren för valideringstjänsten. Det saknas således en kartläggning av de integritetsrisker som förslagen aktualiserar. Det är därför svårt att överblicka de integritetsrisker som aktualiseras som en konsekvens av förslagen i delbetänkandet, vilket innebär att förslagen inte uppfyller kraven i dataskyddsförordningen samt 2 kap. 6 § andra stycket och 20-21 §§ regeringsformen, se ovan.
IMY bifogar myndighetens Vägledning för integritetsanalys som syftar till att underlätta arbetet med att analysera konsekvenserna för den personliga integriteten vid personuppgiftsbehandling (integritetsanalys) när förslag till författningar tas fram. Även om dokumentet utarbetades innan dataskyddsförordningen började tillämpas kan det vara till stöd i det fortsatta beredningsarbetet.
Detta yttrande har beslutats av enhetschefen Malin Blixt efter föredragning av juristen Mattias Sandström. I handläggningen har avdelningsdirektören Suzanne Isberg medverkat.
Malin Blixt, 2021-06-18 (Det här är en elektronisk signatur)