Yttrande över betänkandet Ny dataskyddslag (SOU 2017:39) samt kompletterande promemoria till betänkandet

Dnr 3.9:0457/17
Ställd till Justitiedepartementet

Barnombudsmannen har getts tillfälle att yttra sig över Dataskyddsutredningens betänkande Ny Dataskyddslag. Barnombudsmannen har av även getts tillfälle att yttra sig över Kompletterande promemoria till betänkandet Ny dataskyddslag.

Nu föreliggande yttrande avser Barnombudsmannens betänkandet Ny dataskyddlag samt en komplettering till denna. Ett yttrande avseende delfrågan om barns samtycke som rättslig grund för behandling av personuppgifter har getts in till Justitiedepartementet den 31 augusti 2017.

Barnombudsmannens yttrande över Dataskyddskommitténs betänkande tar sin utgångspunkt i vårt uppdrag att företräda barn och ungas rättigheter enligt FN:s konvention om barnets rättigheter (barnkonventionen). Vi har regelbunden dialog med barn och unga för att få kunskap om deras villkor och vad de tycker i aktuella frågor. Vi bevakar och driver på genomförandet av barnkonventionen i kommuner, landsting/regioner och myndigheter. Barnombudsmannen informerar, bildar opinion och föreslår förändringar i lagar och förordningar i frågor om barns och ungas rättigheter. Barnombudsmannen får inte driva enskilda ärenden men har anmälningsskyldighet.

Sammanfattningsvis är Barnombudsmannen positiv till utredningsförslagen, men vad gäller enskildheter lämnar vi följande synpunkter. Numrering nedan följer betänkandets avsnitt.

8 Rättslig grund för behandling av personuppgifter (betänkandet s. 103 ff)

Barnombudsmannen ser ett behov av förtydligande i förslaget till ny dataskyddslag. Förtydligandet krävs för att säkerställa myndighetens möjlighet att fortsätta behandla generella personuppgifter i den faktiska verksamheten.  

All personuppgiftsbehandling måste enligt EU:s dataskyddsförordning ske på rättslig grund.  I artikel 6.1 dataskyddsförordningen anges vilka rättsliga grunder som godtas för personuppgiftsbehandling. I uppräkningen nämns bl.a. samtycke (a), se vidare förslaget till 2 kap. 1 § ny dataskyddslag.

Mot bakgrund av bl.a. följande uttalande i betänkandet (s. 123) anser Barnombudsmannen det är nödvändigt med förtydliganden så att myndighetens möjligheter till personuppgiftsbehandling vid faktisk verksamhet blir klarlagd.

”Myndigheternas utrymme för att grunda behandling på samtycke från den registrerade kan också antas minska. I skäl 43 anges nämligen att samtycke inte bör utgöra giltig grund för behandling i de fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. För att myndigheternas verksamhet ska kunna fungera även i fortsättningen anser vi mot denna bakgrund att mycket talar för att begreppet uppgift av allmänt intresse måste anses ha fått en vidare unionsrättslig betydelse genom dataskyddsförordningen än det hittills har haft.”

Barnombudsmannens tolkar regleringen så att myndigheten kommer att kunna använda sig av samtyckesgrunden (artikel 6.1. led a) för behandling av personuppgifter i sin faktiska verksamhet. Myndigheten anser dock att betydelsen av ”betydande ojämlikhet” behöver belysas ytterligare.

Även om samtycke är en möjlig grund för behandling av personuppgifter i Barnombudsmannens faktiska verksamhet finns otydligheter i minst två delar. Den första är om en myndighet som laglig grund för behandling av personuppgifter, kan använda sig av endast samtycke, med hänsyn till att utrymmet för en myndighet att använda sig av samtycke får anses ha minskat genom dataskyddsförordningen. Tolkning av skrivningen om ”betydande ojämlikhet” blir avgörande för vad som gäller i en samtyckessituation. Den andra frågan vid ett samtycke är om det är lämpligt med hänsyn till att samtycke kan återkallas. Även grunden ”allmänt intresse” i artikel 6.1 led e, behöver belysas ytterligare, som ett alternativ som möjligen samtidigt kan användas med ett samtycke i den faktiska verksamheten (se betänkandet s. 123).

Barnombudsmannens uppdrag och nuvarande personuppgiftsbehandling

För en förståelse av Barnombudsmannens verksamhet kan följande nämnas. Verksamheten regleras i lagen (1993:335) om Barnombudsman. Myndigheten har i uppdrag att företräda barn och ungas rättigheter och intressen med utgångspunkt i barnkonventionen. För att kunna fullgöra detta uppdrag måste Barnombuds-mannen ha en dialog direkt och indirekt med barn och unga.

Utifrån nämnda uppdrag, hanteras både generella och känsliga personuppgifter i såväl den faktiska verksamheten som i myndighetsutövandet. Denna verksamhet består bl.a. av frivilliga möten och samtal med barn och unga, s.k. barnträffar.  Denna verksamhet ska inte förväxlas med Barnombudsmannens skyldighet enligt lag att göra s.k. orosanmälningar till socialtjänsten vid misstanke om att ett barn far illa, något som typisk sett utgör myndighetsutövning.

Det är inför barnträffarna, som är frivilliga, nödvändigt att samla in personuppgifter för att praktiskt kunna möta barn och unga samt för att inhämta vårdnadshavarnas samtycke. Personuppgifterna sparas, i vart fall viss tid, efter samtalen för att möjliggöra återkoppling och uppföljning vid författande av rapporter, för utbetalningar av utlägg och redovisning av kostnader m.m.

Samtycke till behandling av personuppgifter inhämtas skriftligen. Föräldrar eller vårdnadhavare till barn som medverkar vid barnträffar lämnar samtycken. De medverkande tillförsäkras anonymitet och sekretesskydd. Uppgifter som lämnas till myndigheten skyddas enligt offentlighets- och sekretesslagen, genom personalens tjänsteansvar, interna säkerhets- och sekretessrutiner samt sekretessavtal med anlitade konsulter samt tystnadsplikt för hälso- och sjukvårdslegitimerad personal. Personuppgifter avidentifieras och kodas. Det betyder att i rapporter och liknande redovisningar av Barnombudsmannens uppdrag används inte de medverkandes riktiga namn.

Sammafattningsvis anser Barnombudsmannen, med hänsyn till ovanstående beskrivning av myndighetens verksamhet, att det måste göras tydligt att myndigheten även efter den 25 maj 2018 kommer att ha rättsligt stöd för att i sin faktiska verksamhet hantera generella personuppgifter och även känsliga personuppgifter (se nedan).

10 Känsliga personuppgifter

Barnombudsmannen ser även ett behov av förtydligande i 3 kap. förslaget till ny dataskyddslag. Även här är syftet att säkerställa myndighetens möjlighet att fortsätta behandla känsliga personuppgifter på det sätt som sker i den faktiska verksamheten i dag och som beskrivits ovan.

Som Barnombudsmannen redogjort för styrs myndighetens uppdrag av lagen (1993:335) om Barnombudsman. Någon särskild s.k. registerlagstiftning avseende personuppgiftsbehandling finns inte för myndigheten.

Myndigheten behöver i sin faktiska verksamhet, inte sällan i anledning av särskilda uppdrag formulerade i regeringsbeslut, behandla känsliga personuppgifter från barn och unga i svåra livsomständigheter. Uppgifterna lämnas frivilligt till myndigheten och det är av största vikt att Barnombudsmannen kan hantera dessa personuppgifter för att kunna fullgöra sina olika uppdrag. I EU:s dataskyddsförordning artikel 9.1 anges vad som avses med känsliga personuppgifter. Under vilka förutsättningar det är lagligt att behandla dessa, styrs av bl.a. artiklarna 9.2 led a-j, 9.3. och 9.4. I dessa artiklar anges att känsliga personuppgifter är uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Barnombudsmannen konstaterar att den s.k. missbruksregeln i 5 a § personuppgiftslagen (1998:204) kommer att upphöra den 25 maj 2018. Vidare anger Dataskyddskommittén i betänkandet följande om 8 § personuppgifts-förordning (1998:1191),  ”…bestämmelsen i 8 § PUF inte har ansetts omfatta så kallad faktisk verksamhet som en myndighet bedriver. Med faktisk verksamhet kan avses t.ex. viss vård och behandling, rådgivning, uppföljning eller samverkan utan ärendeanknytning. Behandling av känsliga personuppgifter som förekommer i sådan verksamhet hämtar sannolikt sitt stöd i missbruksregeln i 5 a § PUL.

I 3 kap. utredningsförslaget, regleras under vilka förutsättningar känsliga personuppgifter får behandlas.

Ett förtydligande i författningstexten (3 kap. 3 eller 5 §§) skulle kunna klargöra och säkerställa att myndighetens behandling av känsliga personuppgifter kan ske i den faktiska verksamhet.

Sammanfattningsvis anser Barnombudsmannen att ett förtydligande tillägg lämpligen bör göras i författningsförslagets 3 kap. 3 eller 5 §§. Detta i anledning av att artikel 9.2 led g och h får anses vara de bestämmelser som närmast speglar den faktiska verksamhet som förekommer vid myndigheten. För det fall författningstekniska skäl hindar dessa förtydligande tillägg måste andra åtgärder vidtas för att säkerställa att Barnombudsmannens personuppgiftsbehandling i den faktiska verksamheten kan fortsätta även efter den 25 maj 2018.

Föredragande i ärendet har varit juristen Anna-Karin Lindh.

Anita Wickström
Barnombudsman