sou 2017 97

SOU och Ds kan köpas från Wolters Kluwers kundservice. Beställningsadress: Wolters Kluwers kundservice, 106 47 Stockholm Ordertelefon: 08-598 191 90

E-post: kundservice@wolterskluwer.se

Webbplats: wolterskluwer.se/offentligapublikationer

För remissutsändningar av SOU och Ds svarar Wolters Kluwer Sverige AB på uppdrag av Regeringskansliets förvaltningsavdelning.

Svara på remiss – hur och varför

Statsrådsberedningen, SB PM 2003:2 (reviderad 2009-05-02).

En kort handledning för dem som ska svara på remiss.

Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remisser

Layout: Kommittéservice, Regeringskansliet

Omslag: Elanders Sverige AB

Tryck: Elanders Sverige AB, Stockholm 2017

ISBN 978-91-38-24718-1

ISSN 0375-250X

Till statsrådet och chefen för Försvarsdepartementet

Den 1 december 2016 bemyndigade regeringen chefen för Försvars- departementet att tillkalla en särskild utredare med uppdrag att göra en översyn av regleringen av behandlingen av personuppgifter om totalförsvarspliktiga. Regeringen beslutade samtidigt om direktiv för utredningen (dir. 2016:103).

Till särskild utredare förordnades från och med den 1 december 2016 kammarrättsrådet Elisabet Reimers.

Utredningen har antagit namnet Totalförsvarsdatautredningen (Fö 2016:01).

Som sakkunniga i utredningen förordnades den 13 januari 2017 militärsakkunnige Anders Widuss, kanslirådet Mårten Levin och rätts- sakkunnige Karin Byström, samtliga vid Försvarsdepartementet.

Som experter att biträda utredningen förordnades den 13 januari 2017 försvarsjuristen Anna Saarikoski och stabschefen Michael Jarl, båda vid Försvarsmakten, dåvarande chefsjuristen Kjell Kastman och avdelningschefen Bengt Forssten, båda vid Totalförsvarets rekryter- ingsmyndighet, och juristen Erika Lidén, Datainspektionen.

Som sekreterare anställdes den 27 december 2016 förvaltnings- rättsfiskalen Annelie Roslund.

Härmed överlämnas betänkandet Totalförsvarsdatalag – Rekry- teringsmyndighetens personuppgiftsbehandling (SOU 2017:97).

Uppdraget är härmed slutfört.

SOU 2017:97		Innehåll
9.3.2	Dataskyddsförordningen och dataskyddslagen...	171
9.3.3	Våra överväganden och förslag .............................	174

9.4Behandling av personnummer och

	samordningsnummer ............................................................		179
	9.4.1	Gällande rätt ..........................................................	179
	9.4.2	Dataskyddsförordningen ......................................	180
	9.4.3	Dataskyddslagen....................................................	180
	9.4.4	Våra överväganden.................................................	181
9.5 Behandling av personuppgifter om lagöverträdelser ..........			182
	9.5.1	Gällande rätt ..........................................................	182
	9.5.2	Dataskyddsförordningen ......................................	183
	9.5.3	Dataskyddslagen....................................................	184
	9.5.4	Våra överväganden.................................................	186
9.6	Tillgång till personuppgifter.................................................		187
	9.6.1	Våra överväganden och förslag .............................	187
9.7	Direktåtkomst.......................................................................		189
	9.7.1	Allmänt om direktåtkomst ...................................	189
	9.7.2	Reglering av direktåtkomst...................................	191

9.7.3En sekretessbrytande bestämmelse

		för direktåtkomst...................................................	202
9.8	Sökförbud..............................................................................		206
	9.8.1	Allmänt om sökbegränsningar..............................	206
	9.8.2	Gällande rätt ..........................................................	207
	9.8.3	Våra överväganden och förslag .............................	208
9.9	Annans registrering och rättelse av uppgifter .....................		211
	9.9.1	Gällande rätt ..........................................................	211
	9.9.2	Våra överväganden och förslag .............................	212
9.10	Rätten att göra invändningar................................................		214
	9.10.1	Gällande rätt ..........................................................	214
	9.10.2	Dataskyddsförordningen ......................................	215
	9.10.3	Dataskyddslagen....................................................	216
	9.10.4	Våra överväganden och förslag .............................	217
9.11	Säkerheten för personuppgifter ...........................................		218
	9.11.1	Gällande rätt ..........................................................	218
	9.11.2	Dataskyddsförordningen ......................................	220

Förkortningar m.m.

Förkortningar

ADB	automatiserad databehandling
dataskyddsdirektivet	Europaparlamentets och rådets
	direktiv 95/46/EG av den 24 ok-
	tober 1995 om skydd för enskilda
	personer med avseende på be-
	handling av personuppgifter och
	om det fria flödet av sådana upp-
	gifter
dataskyddsförordningen	Europaparlamentets och rådets
	förordning (EU) 2016/679 av den
	27 april 2016 om skydd för fy-
	siska personer med avseende på
	behandling av personuppgifter
	och om det fria flödet av sådana
	uppgifter och om upphävande av
	direktiv 95/46/EG (allmän data-
	skyddsförordning)
dataskyddskonventionen	Europarådets konvention av den
	28 januari 1981 om skydd för en-
	skilda vid automatisk databehand-
	ling av personuppgifter
dataskyddslagen	Dataskyddsutredningens förslag
	till lag (2018:xx) med komplet-
	terande bestämmelser till EU:s
	dataskyddsförordning

Förkortningar

SOU 2017:97

dataskyddsrambeslutet	Rådets rambeslut 2008/977/RIF
	av den 27 november 2008 om
	skydd av personuppgifter som be-
	handlas inom ramen för polis-
	samarbete och straffrättsligt sam-
	arbete
DIFS	Datainspektionens
	författningssamling
dir.	direktiv
dnr	diarienummer
EES	Europeiska ekonomiska
	samarbetsområdet
EU	Europeiska unionen
EU-domstolen	Europeiska unionens domstol/
	Europeiska gemenskapernas
	domstol
Europadomstolen	Europeiska domstolen för
	de mänskliga rättigheterna
Europakonventionen	Europeiska konventionen den
	4 november 1950 angående skydd
	för de mänskliga rättigheterna och
	de grundläggande friheterna
EU-stadgan	Europeiska unionens stadga om
	de grundläggande rättigheterna
f.	följande sida/sidor
FN	Förenta Nationerna
Fö	Försvarsdepartementet
GMU/GU	Grundläggande utbildning
GSS/P	Med plikt tjänstgörande grupp-
	befäl, soldater och sjömän
GSU INT	Grundläggande soldatutbildning
	för internationell tjänstgöring
HFD	Högsta förvaltningsdomstolens
	årsbok
JO	Riksdagens ombudsmän
JK	Justitiekanslern
Ju	Justitiedepartementet
kommissionen	Europeiska kommissionen
KU	konstitutionsutskottet

SOU 2017:97 Förkortningar

MSB	Myndigheten för samhällsskydd
	och beredskap
nya dataskyddsdirektivet	Europaparlamentets och rådets
	direktiv (EU) 2016/680 av den
	27 april 2016 om skydd för fy-
	siska personer med avseende på
	behöriga myndigheters behand-
	ling av personuppgifter för att
	förebygga, förhindra, utreda, av-
	slöja eller lagföra brott eller verk-
	ställa straffrättsliga påföljder, och
	det fria flödet av sådana uppgifter
	och om upphävande av rådets
	rambeslut 2008/977/RIF
OECD	Organisationen för ekonomiskt
	samarbete och utveckling
pliktregisterlagen	lag (1998:938) om behandling av
	personuppgifter om totalförsvars-
	pliktiga
Plis	Pliktverkets informationssystem
prop.	regeringens proposition
RA-FS	Riksarkivet författningssamling
RA-MS	Riksarkivets myndighetsspecifika
	föreskrifter
Rekryteringsmyndigheten	Totalförsvarets rekryterings-
	myndighet
SIS	Statens institutionsstyrelse
SOU	Statens offentliga utredningar
Syom	Systemomläggning 1980

Sammanfattning

Inledning

Vårt uppdrag har varit att göra en översyn av regleringen av be- handlingen av personuppgifter om totalförsvarspliktiga i form av lagen (1998:938) respektive förordningen (1998:1229) om behand- ling av personuppgifter om totalförsvarspliktiga och att ta fram för- slag till en ny lag och förordning. Utgångspunkten har varit att Totalförsvarets rekryteringsmyndighets (Rekryteringsmyndigheten) verksamhet ska kunna bedrivas effektivt med rationellt datorstöd samtidigt som enskildas rätt till personlig integritet tillgodoses. Som ett led i detta har det bl.a. ingått att göra en kartläggning av Rekryteringsmyndighetens behandling av personuppgifter. Uppdraget har inte omfattat Rekryteringsmyndighetens behandling av person- uppgifter inom ramen för myndighetens civila uppdragsverksamhet.

Vi har också haft i uppdrag att analysera vilket förhållande lag- stiftningen ska ha dels till EU:s dataskyddsförordning och den kompletterande nationella lagstiftning som föreslagits till följd av den, dels till annan reglering på området. Vid utformningen av en ny reglering har vi också beaktat den nya bestämmelsen i 2 kap. 6 § andra stycket regeringsformen med krav på lagform vid betydande intrång i den personliga integriteten.

I betänkandet redovisas även vissa andra frågeställningar som har ingått i uppdraget.

Allmänna utgångspunkter för den nya regleringen

Vår kartläggning av Rekryteringsmyndighetens personuppgifts- behandling visar att behandlingen är omfattande och att myndig- heten i allt större utsträckning använder sig av elektronisk behand- ling av personuppgifter i sin verksamhet. Den nuvarande regleringen

Sammanfattning

SOU 2017:97

fungerar i huvudsak väl men är i behov av modernisering för att bättre vara anpassad till annan reglering inom rättsområdet och för att möta såväl myndighetens som uppdragsgivarnas krav.

Vi föreslår att en ny lag införs, som ska heta totalförsvarsdata- lag, samt en anslutande förordning. Den nya regleringen ska ersätta den nu gällande lagen och förordningen om behandling av person- uppgifter om totalförsvarspliktiga som därigenom upphävs.

Vi föreslår att regleringen av Rekryteringsmyndighetens behand- ling av personuppgifter inte ska vara helt fristående utan anpassas till bestämmelserna i EU:s dataskyddsförordning och den komplet- terande dataskyddslagen. I den nya lagen införs därför en bestäm- melse som anger att dataskyddslagen gäller vid behandling av per- sonuppgifter i Rekryteringsmyndighetens verksamhet, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen. Dataskyddslagen är således subsidiär i förhållande till denna lag eller föreskrifter som har meddelats med stöd av lagen.

Till följd av bestämmelserna i dataskyddslagen kompletterar den nya lagen dataskyddsförordningen som, i tillämpliga delar, blir direkt tillämplig vid behandling av personuppgifter i Rekryteringsmyndig- hetens verksamhet. Uttrycket ”tillämpliga delar” tydliggör att vissa bestämmelser i dataskyddsförordningen inte kan tillämpas i rent nationell verksamhet och därmed inte av Rekryteringsmyndigheten.

Vårt förslag till ny reglering innebär att de grundläggande reglerna för behandling av personuppgifter om totalförsvarspliktiga ges i form av lag. De grundläggande reglerna avser, med beaktande av 2 kap. 6 § andra stycket regeringsformen, både moment i personuppgifts- behandlingen som kan uppfattas som intrång i enskilds personliga förhållanden och sådant som är centralt för skyddet av den enskildes personliga integritet. Vi föreslår att övriga bestämmelser ges i form av förordning och kompletterande föreskrifter.

Om totalförsvarsdatalagens innehåll

Den nya lagen ges en mer generell utformning jämfört med den lag som gäller för Rekryteringsmyndigheten i dag. Lagen innehål- ler exempelvis inte bestämmelser som, till skillnad från vad som är fallet i dag, särskilt tar sikte på att viss behandling sker i register. I lagen anges inte heller vilka kategorier av personer eller person-

SOU 2017:97

Sammanfattning

uppgifter som får behandlas utan alla personuppgifter får behand- las som är nödvändiga för de ändamål för vilken behandlingen får utföras.

Lagens syfte och tillämpningsområde

Lagens syfte är att ge Rekryteringsmyndigheten möjlighet att i sin verksamhet behandla personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret på ett effektivt och ändamåls- enligt sätt samtidigt som skyddet för den enskildes personliga integritet tillgodoses vid sådan behandling.

Lagen ska tillämpas i Rekryteringsmyndighetens verksamhet vid behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret. Här avses den behandling som Rekry- teringsmyndigheten på grund av sitt uppdrag utför beträffande både totalförsvarspliktiga samt anställd personal och avtalspersonal inom totalförsvaret. Lagen gäller i de fall det anges särskilt även i verksam- het som bedrivs av någon annan än Rekryteringsmyndigheten. Ett sådant fall är då behandling av känsliga personuppgifter sker vid annan utredning enligt lagen (1994:1809) om totalförsvarsplikt. Ett annat fall är om Försvarsmakten eller annan aktör medges rätt att föra in och rätta personuppgifter i Rekryteringsmyndighetens infor- mationssystem.

Utanför lagens tillämpningsområde faller Rekryteringsmyndighe- tens administrativa verksamhet och civila uppdragsverksamhet. Den nya lagen tillämpas inte heller vid behandling som Rekryterings- myndigheten utför i egenskap av vårdgivare inom hälso- och sjuk- vården. Vid sådan behandling tillämpas, precis som tidigare, patient- datalagen (2008:355). Det förekommer att bemanningsansvariga organ lämnar personuppgifter om totalförsvarspliktiga till Rekryter- ingsmyndigheten eller tar emot sådana uppgifter från myndigheten. Sådan behandling av personuppgifter om totalförsvarspliktiga som bemanningsansvariga organ utför faller också utanför lagens tillämp- ningsområde.

Lagens tillämpningsområde begränsas också genom att lagen endast ska tillämpas vid sådan behandling av personuppgifter som är helt eller delvis automatisk eller som ingår i eller kommer att

Sammanfattning

SOU 2017:97

ingå i en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier.

Personuppgiftsansvar

I lagen klargörs att Rekryteringsmyndigheten är personuppgifts- ansvarig för den behandling som myndigheten utför.

Rättslig grund och tillåtna ändamål

Enligt dataskyddsförordningen är behandling av personuppgifter laglig endast om den grundar sig på åtminstone en av vissa särskilt uppräknade rättsliga grunder. För ett par av de rättsliga grunderna krävs att de ska vara fastställda i unionsrätten eller i nationell rätt, bl.a. i fråga om den rättsliga grunden allmänt intresse. Rekryterings- myndighetens behandling av personuppgifter grundar sig fram- för allt på denna rättsliga grund. Vår bedömning är att den rättsliga grunden är fastställd i förordningen (2010:1472) med instruktion för Totalförsvarets rekryteringsmyndighet (myndighetsinstruktio- nen). Dataskyddsförordningens krav i denna del medför därför inte något behov av ytterligare författningsstöd.

I lagen anges uttömmande de primära ändamål för vilka person- uppgifter får behandlas i Rekryteringsmyndighetens verksamhet i syfte att precisera den rättsliga grunden för behandlingen. De primära ändamålen motsvarar de centrala delarna i Rekryteringsmyndighetens verksamhet, bl.a. att ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret samt att redovisa personal med uppgifter inom totalförsvaret.

Av lagen framgår även att personuppgifter som har samlats in för något av de primära ändamålen får behandlas för att fullgöra ett uppgiftslämnande som sker i överensstämmelse med lag eller för- ordning.

SOU 2017:97

Sammanfattning

Behandling av känsliga personuppgifter

I Rekryteringsmyndighetens verksamhet förekommer känsliga per- sonuppgifter i stor utsträckning. Dataskyddsförordningens bestäm- melser innebär att det som huvudregel är förbjudet att behandla känsliga personuppgifter, men det finns vissa undantag som tillåter behandling. Den kompletterande dataskyddslagen ger stöd för ytter- ligare behandling av känsliga personuppgifter på myndighetsområdet. Vår bedömning är att undantagen i dataskyddsförordningen och dataskyddslagen inte är tillräckliga för att Rekryteringsmyndigheten ska kunna utföra sin verksamhet. Vi föreslår därför en bestämmelse i den nya lagen som tillåter att känsliga personuppgifter därutöver får behandlas om det är absolut nödvändigt för de primära och sekun- dära ändamålen i lagen. Även annan än Rekryteringsmyndigheten ges vid annan utredning enligt lagen om totalförsvarsplikt motsva- rande rätt att behandla känsliga personuppgifter. Genom kravet på absolut nödvändighet markeras att behandlingen ska ske med restriktivitet och att behovet av att behandla den känsliga person- uppgiften ska prövas noga i det enskilda fallet. Behandling av käns- liga personuppgifter förutsätter också att behandlingen är tillåten enligt de grundläggande principerna i dataskyddsförordningen.

Tillgången till personuppgifter

För att minska risken för integritetsintrång ska tillgången till per- sonuppgifter hos Rekryteringsmyndigheten begränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter.

Direktåtkomst

I lagen införs bestämmelser om att direktåtkomst får medges Försvarsmakten och den registrerade själv. Regeringen får meddela föreskrifter om omfattningen av den direktåtkomst som medges Försvarsmakten. Direktåtkomst för den registrerade själv får endast avse personuppgifter i den registrerades eget ärende. Regeringen ges genom ett bemyndigande en begränsad befogenhet att meddela föreskrifter om att medge även annan aktör direktåtkomst. Direkt- åtkomsten ska därvid begränsas till de personuppgifter som aktören

Sammanfattning

SOU 2017:97

behöver för att fullgöra sina uppgifter enligt lag eller förordning och får endast avse vissa uppgifter.

Utlämnande av uppgifter till myndigheter

Bestämmelserna om direktåtkomst bryter inte eventuell sekretess som kan gälla för personuppgifterna. En sekretessbrytande bestäm- melse om uppgiftsskyldighet i förhållande till Försvarsmakten som motsvarar den direktåtkomst som myndigheten får medges införs därför i den nya lagen. För det fall behov skulle uppstå att medge andra myndigheter än Försvarsmakten direktåtkomst ges reger- ingen befogenhet att meddela sekretessbrytande föreskrifter som möjliggör sådan åtkomst.

Sökförbud

För att tillgodose dataskyddsförordningens krav på särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen införs ett förbud mot att använda känsliga personuppgifter som sökbegrepp. I lagen förbjuds också användning av vissa andra integritetskänsliga uppgifter som sökbegrepp. Sådana uppgifter får dock användas som sökbegrepp vid behandling för ändamålet att planera, följa upp och utvärdera Rekryteringsmyndighetens verk- samhet eller då uppgifter lämnas ut för framställning av statistik eller för forskningsändamål. Uppgifter om resultat från begåvningstest eller anlagstest som utförs vid mönstring eller annan utredning får även användas som sökbegrepp vid behandling för ändamålet att ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret.

Annans registrering och rättelse av personuppgifter

I lagen införs en bestämmelse som ger Försvarsmakten rätt att föra in och rätta personuppgifter i Rekryteringsmyndighetens informa- tionssystem i den omfattning som följer av förordning. Försvars- makten är personuppgiftsansvarig för behandling enligt bestämmel- sen. Regeringen ges befogenhet att meddela föreskrifter om att även

SOU 2017:97

Sammanfattning

andra aktörer än Försvarsmakten kan medges rätt att registrera och rätta personuppgifter.

Avskiljande av personuppgifter från den löpande verksamheten

Vår kartläggning av Rekryteringsmyndighetens behandling av per- sonuppgifter visar att någon gallring i egentlig mening, dvs. att infor- mationen förstörs, i allmänhet inte förekommer. Däremot avskiljs personuppgifter från de olika informationssystemen där de behand- las när de inte längre behövs för de olika ändamål för vilka de har samlats in. Det finns ett fortsatt stort behov av att huvuddelen av uppgifterna bevaras i myndighetens s.k. forskningsarkivregister i syfte att utgöra underlag för forskning. Någon särskild bestämmelse om gallring införs därför inte i den nya lagen. I stället ska Rekry- teringsmyndigheten, i egenskap av personuppgiftsansvarig, avskilja personuppgifter så att tillgången till dem begränsas när de inte längre behövs i myndighetens löpande verksamhet för de primära ända- målen. Det är Rekryteringsmyndighetens ansvar att dels införa rutiner för när och på vilket sätt avskiljandet ska ske, dels begränsa tillgången till avskilda personuppgifter till det som varje anställd behöver för att kunna utföra sina arbetsuppgifter.

För att tillgodose integritetsskyddet föreskrivs i lagen en yttersta gräns för hur länge personuppgifter om totalförsvarspliktiga får be- handlas i den löpande verksamheten. Uppgifterna ska som regel avskiljas senast vid utgången av det kalenderår den totalförsvars- pliktige fyller 70 år, dvs. vid totalförsvarspliktens upphörande. Om det vid en tidigare tidpunkt står klart att uppgifterna inte behövs utifrån de primära ändamålen ska de avskiljas redan vid denna tid- punkt. Ett undantag införs dock för det fall där den totalförsvars- pliktige, efter att totalförsvarsplikten har upphört, har en uppgift att utföra vid höjd beredskap.

Regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om avskiljande.

Sammanfattning

SOU 2017:97

Vissa bestämmelser i dataskyddsförordningen och dataskyddslagen som inte ska tillämpas

Vi föreslår att vissa bestämmelser i dataskyddsförordningen och data- skyddslagen inte ska gälla vid Rekryteringsmyndighetens behandling av personuppgifter enligt lagen. Dataskyddsförordningens bestäm- melser om den registrerades rätt att göra invändningar samt anmälan av en personuppgiftsincident till tillsynsmyndigheten och informa- tion till den registrerade i samband därmed ska inte gälla vid behand- ling enligt denna lag eller föreskrifter som har meddelats med stöd av lagen. Tillsynsmyndigheten ska inte heller kunna förbjuda Rekry- teringsmyndigheten att behandla personuppgifter. I övrigt ska dock bestämmelserna om tillsynsmyndighetens befogenheter i dataskydds- förordningen och dataskyddslagen tillämpas vid behandling enligt lagen.

Vissa andra frågor av särskild vikt för dataskyddet

I betänkandet har vi också tagit upp vissa andra frågor som är av särskild vikt för dataskyddet, bl.a. den registrerades rätt till rättelse, radering och begränsning av behandling, dataskyddsombud, säker- het för personuppgifter, den registrerades rätt till information och tillgång till personuppgifter och rätten till skadestånd. Vi har funnit att regleringen i dataskyddsförordningen och dataskyddslagen är tillräcklig i dessa delar. Vi bedömer alltså att något behov av en sär- skild reglering för Rekryteringsmyndighetens behandling av person- uppgifter inte finns. Några sådana bestämmelser föreslås därför inte i den nya lagen.

I dataskyddsförordningen och i viss utsträckning även i den kom- pletterande dataskyddslagen finns också andra bestämmelser som ska tillämpas av Rekryteringsmyndigheten men som inte behandlas särskilt i detta betänkande. Ett sådant exempel är bestämmelser om överklagande.

SOU 2017:97

Sammanfattning

Sekretess

Det finns inget behov av andra sekretessbestämmelser än de som redan finns i offentlighets- och sekretesslagen (2009:204) för att skydda totalförsvarspliktigas personliga integritet. Sekretesskyddet behöver dock stärkas i ärenden som rör utredning, inskrivning, krigsplacering m.m. Sekretess enligt 38 kap. 1 § offentlighets- och sekretesslagen föreslås därför gälla med ett s.k. omvänt skaderekvisit, dvs. med presumtion för sekretess.

Vi föreslår också att det i offentlighets- och sekretesslagen in- förs en ny sekretessbrytande bestämmelse som innebär att sekre- tess inte hindrar att uppgift lämnas från den verksamhet som Rekry- teringsmyndigheten i egenskap av vårdgivare bedriver inom hälso- och sjukvården, dvs. den medicinska grenen av verksamheten, till myndighetens inskrivningsverksamhet.

Ikraftträdande

Den nya lagen och förordningen liksom lagen om ändring i offentlig- hets- och sekretesslagen föreslås träda i kraft den 1 november 2018.

Konsekvenser

Sammantaget gör vi bedömningen att våra förslag innebär en för- stärkning av skyddet för enskildas personliga integritet. Förslagen kan i vissa enskilda delar uppfattas ha negativa konsekvenser för den personliga integriteten. I dessa delar har den avvägning som vi har gjort mellan detta och andra intressen redovisats. Förslagen kommer inte att innebära någon kostnadsökning för det allmänna eller för enskilda och förväntas inte få några konsekvenser i övrigt.

1 Författningsförslag

1.1Förslag till totalförsvarsdatalag

Härigenom föreskrivs följande.

Lagens syfte

1 § Syftet med denna lag är att ge Totalförsvarets rekryterings- myndighet (Rekryteringsmyndigheten) möjlighet att i sin verksam- het behandla personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret på ett effektivt och ändamålsenligt sätt samtidigt som skyddet för den enskildes personliga integritet tillgodoses vid sådan behandling.

Lagens tillämpningsområde

2 § Denna lag tillämpas i Rekryteringsmyndighetens verksamhet vid behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret.

I de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av någon annan än Rekryteringsmyndigheten.

När sådan behandling av personuppgifter som avses i första stycket utförs av Rekryteringsmyndigheten i egenskap av vårdgivare inom hälso- och sjukvården tillämpas patientdatalagen (2008:355).

3 § Lagen tillämpas vid sådan behandling av personuppgifter som är helt eller delvis automatisk. Lagen gäller även för annan behandling av personuppgifter som ingår i eller kommer att ingå i en struk-

Författningsförslag

SOU 2017:97

turerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier.

Förhållandet till annan dataskyddsreglering

4 § Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) gäller vid behandling av per- sonuppgifter i Rekryteringsmyndighetens verksamhet, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

Vad som anges i första stycket innebär att denna lag komplet- terar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning), nedan kallad dataskyddsförordningen.

5 § Vid behandling enligt denna lag eller föreskrifter som har med- delats med stöd av lagen gäller inte följande bestämmelser i data- skyddsförordningen och dataskyddslagen:

1.artikel 21.1 i dataskyddsförordningen om rätt att göra invänd- ningar,

2.artikel 33 i dataskyddsförordningen om anmälan av en person- uppgiftsincident till tillsynsmyndigheten,

3.artikel 34 i dataskyddsförordningen om information till den registrerade om en personuppgiftsincident, och

4.artikel 58.2 f i dataskyddsförordningen och 6 kap. 1 § data- skyddslagen om tillsynsmyndighetens befogenhet att införa en till- fällig eller definitiv begränsning av, inklusive ett förbud mot, behand- ling.

Personuppgiftsansvar

6 § Rekryteringsmyndigheten ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

SOU 2017:97

Författningsförslag

Ändamål

7 § Personuppgifter får behandlas om det behövs för att

1.ta fram underlag för beslut om mönstring, inskrivning, krigs- placering eller annat ianspråktagande av personal till totalförsvaret,

2.redovisa personal med uppgifter inom totalförsvaret,

3.säkerställa att den registrerade fortlöpande får ändamålsenlig utbildning och lämplig placering inom totalförsvaret,

4.se till att den registrerade fullgör sina skyldigheter i fråga om totalförsvarsplikten,

5.tillgodose den registrerades rättigheter och trygghet i egenskap av totalförsvarspliktig,

6.fullgöra Rekryteringsmyndighetens serviceskyldighet gentemot bemanningsansvariga organ inom totalförsvaret, och

7.planera, följa upp och utvärdera den verksamhet som anges i 1–6.

8 § Personuppgifter som behandlas enligt 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Behandling av känsliga personuppgifter

9 § Utöver vad som följer av 3 kap. dataskyddslagen får känsliga per- sonuppgifter behandlas om det är absolut nödvändigt för de ända- mål som anges i 7 och 8 §§.

Vad som anges i första stycket gäller även vid annan utredning om den totalförsvarspliktiges personliga förhållanden som enligt 2 kap. 1 § lagen (1994:1809) om totalförsvarsplikt utförs av annan än Rekryteringsmyndigheten.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter som begränsar användningen av känsliga per- sonuppgifter.

Författningsförslag

SOU 2017:97

Tillgången till personuppgifter

10 § Tillgången till personuppgifter ska begränsas till vad varje an- ställd behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare före- skrifter om hur tillgången till personuppgifter ska begränsas.

Direktåtkomst

11 § Direktåtkomst till personuppgifter får medges

1.Försvarsmakten i den utsträckning som följer av föreskrifter som meddelats av regeringen, och

2.den registrerade själv.

Direktåtkomst enligt första stycket 2 får endast avse personupp- gifter i den registrerades ärende.

Regeringen får meddela föreskrifter om att medge annan aktör direktåtkomst. Sådan direktåtkomst ska begränsas till de person- uppgifter som aktören behöver för att fullgöra sina uppgifter enligt lag eller förordning och får endast avse vissa personuppgifter.

Utlämnande av uppgifter till myndigheter

12 § Försvarsmakten har rätt att vid direktåtkomst enligt 11 § första stycket 1 ta del av de personuppgifter som omfattas av åtkomsten.

Regeringen får meddela föreskrifter om att annan myndighet vid direktåtkomst som medges med stöd av 11 § tredje stycket har rätt att ta del av de personuppgifter som omfattas av åtkomsten.

Sökförbud

13 § Vid sökning i personuppgifter är det förbjudet att som sök- begrepp använda känsliga personuppgifter.

Det är också förbjudet att som sökbegrepp använda uppgifter om

1.hinder för mönstring, annan utredning, utbildning, krigsplacer- ing eller annat ianspråktagande av den registrerade för totalförsvarets räkning,

2.boende- och familjeförhållanden samt försörjning,

SOU 2017:97

Författningsförslag

3.resultat från begåvningstest eller anlagstest som utförs vid mönstring eller annan utredning,

4.medborgarskap, och

5.lagöverträdelser, säkerhetsprövning enligt säkerhetsskyddslagen (1996:627) samt vilken säkerhetsklass prövningen avsett och resul- tatet av denna.

De sökbegrepp som anges i andra stycket får användas som sökbegrepp vid behandling för ändamål som avses i 7 § första stycket 7 eller vid utlämnande enligt 8 § för framställning av stati- stik eller för forskningsändamål. De sökbegrepp som anges i andra stycket 3 får även användas som sökbegrepp vid behandling för ända- mål som avses i 7 § första stycket 1.

Annans registrering och rättelse av uppgifter

14 § Försvarsmakten får föra in och rätta personuppgifter i Rekry- teringsmyndighetens informationssystem i den utsträckning som följer av förordning.

Regeringen får meddela föreskrifter om att även annan än Försvarsmakten får medges sådan rätt.

Avskiljande

15 § Personuppgifter ska avskiljas så att tillgången till dem begrän- sas när de inte längre behövs i Rekryteringsmyndighetens löpande verksamhet för de ändamål som anges i 7 §. Personuppgifter om totalförsvarspliktiga ska avskiljas senast vid utgången av det kalender- år den totalförsvarspliktige fyller 70 år, om inte den totalförsvars- pliktige därefter har en uppgift inom totalförsvaret vid höjd bered- skap.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrif- ter om avskiljande av personuppgifter.

1.Denna lag träder i kraft den 1 november 2018.

2.Genom lagen upphävs lagen (1998:938) om behandling av per- sonuppgifter om totalförsvarspliktiga.

Sekretess gäller för uppgift om en enskilds personliga förhåll- anden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men och uppgiften förekommer i ärende som angår

Författningsförslag

SOU 2017:97

1.2Förslag till

lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretess- lagen (2009:400)

dels att det i lagen ska införas en ny paragraf, 25 kap. 13 b §, dels att 38 kap. 1 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

25 kap.

13 b §

Sekretessen enligt 1 § hindrar inte att en uppgift om en enskild lämnas från verksamhet hos Total- försvarets rekryteringsmyndighet som avser medicinsk insats till verksamhet inom samma myndig- het som avser inskrivning enligt lagen (1994:1809) om totalför- svarsplikt, om det krävs att uppgif- ten lämnas för sådan inskrivning av den enskilde.

38 kap.

1 §

Sekretess gäller för uppgift om en enskilds personliga förhåll- anden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i ären- de som angår

1.utredning om totalförsvarspliktigas personliga förhållanden,

2.antagning av kvinnor till befattningar inom totalförsvaret som kräver längre grundutbildning än 60 dagar,

3.inskrivning och krigsplacering av totalförsvarspliktiga,

Författningsförslag

SOU 2017:97

1.3Förslag till totalförsvarsdataförordning

Regeringen föreskriver följande.

Inledande bestämmelser

1 § I denna förordning finns kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av totalförsvarsdata- lagen (2018:xx).

Termer och uttryck som används i denna förordning har samma betydelse som i lagen.

2 § Denna förordning är meddelad med stöd av 11 § första stycket 1 totalförsvarsdatalagen i fråga om 3 § och 8 kap. 7 § regeringsformen i fråga om övriga bestämmelser.

Direktåtkomst

3 § Försvarsmaktens direktåtkomst ska begränsas till de personupp- gifter som är nödvändiga för myndighetens verksamhet.

Direktåtkomsten får endast avse uppgift om

1.personnummer eller samordningsnummer, namn, adress, telefon- nummer och folkbokföringsort,

2.hinder för genomförande av mönstring, annan utredning, ut- bildning, krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning,

3.utbildning, anställning, kunskaper, färdigheter, anlag och in- tressen som har betydelse för bedömningen av den registrerades användbarhet inom totalförsvaret,

4.fysisk och psykisk hälsa och förmåga samt de uppgifter som ligger till grund för bedömningen härav,

5.om den registrerade är svensk medborgare eller inte,

6.utgången i mål om ansvar för brott mot totalförsvarsplikten,

7.att den registrerade har dömts till påföljd för brott som fram- går av uppgift ur belastningsregistret som Totalförsvarets rekry- teringsmyndighet (Rekryteringsmyndigheten) fått del av,

SOU 2017:97

Författningsförslag

8.att den registrerade genomgått säkerhetsprövning enligt säker- hetsskyddslagen (1996:627), vilken säkerhetsklass prövningen av- sett och resultatet av denna,

9.vad som bestämts vid inskrivningen för att fullgöra värnplikt eller civilplikt,

10.krigsplacering, annat ianspråktagande av den registrerade för totalförsvaret eller särskild uppgift som han eller hon ska utföra vid höjd beredskap,

11.tjänstgöring inom totalförsvaret och betyg, vitsord, förord- nanden och utmärkelser som hör till denna, och

12.personliga förhållanden i övrigt som åberopas av den regi- strerade, om de rör hans eller hennes tjänstgöring inom totalför- svaret.

Annans registrering och rättelse av uppgifter

4 § Försvarsmakten får i Rekryteringsmyndighetens informations- system endast föra in och rätta uppgift om

1.personnummer eller samordningsnummer, namn, adress, telefon- nummer och folkbokföringsort,

2.krigsplacering, annat ianspråktagande av den registrerade för totalförsvaret eller särskild uppgift som han eller hon ska utföra vid höjd beredskap, och

3.tjänstgöring inom totalförsvaret och betyg, vitsord, förord- nanden och utmärkelser som hör till denna.

5 § Rekryteringsmyndigheten ska ställa de villkor för direktåtkomsten och registreringen av personuppgifter som myndigheten bedömer vara nödvändiga för att säkerställa en lämplig säkerhetsnivå.

Avskiljande

6 § Rekryteringsmyndigheten får meddela föreskrifter om avskil- jande av personuppgifter enligt 15 § första stycket totalförsvars- datalagen.

2Utredningens uppdrag och arbete

2.1Uppdraget

Vårt övergripande uppdrag har varit att göra en översyn av regler- ingen av behandlingen av personuppgifter om totalförsvarspliktiga, dvs. lagen (1998:938) om behandling av personuppgifter om total- försvarspliktiga och förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga, och lämna förslag till en ny lag och förordning. I denna del av uppdraget har det ingått att kartlägga Totalförsvarets rekryteringsmyndighets (härefter Rekry- teringsmyndigheten) behandling av personuppgifter. Dessutom skulle en analys göras om fler personalkategorier än totalförsvarspliktiga bör ingå i den nya regleringen. Inom ramen för översynen har det också ingått att analysera om förändringar inom totalförsvaret och på försvarsområdet bör påverka lagstiftningen. Dessutom har det ingått i uppdraget att beakta den ändring som har skett genom in- förandet av 2 kap. 6 § andra stycket regeringsformen, som innebär krav på lagreglering i vissa fall, när förslaget till ny lagstiftning ut- formas. Den personuppgiftsbehandling som utförs inom Rekry- teringsmyndighetens civila uppdragsverksamhet har inte ingått i upp- draget.

Vi har även haft i uppdrag att analysera vilket förhållande lag- stiftningen ska ha dels till EU:s dataskyddsreglering och den komplet- terande nationella lagstiftning som Dataskyddsutredningen (Ju 2016:04) föreslår i sitt betänkande Ny dataskyddslag. Komplet- terande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39), dels till annan reglering på området. I denna del har det ingått att analysera möjligheterna till en helt fristående lagstiftning.

Vi har varit oförhindrade att ta upp och belysa även andra fråge- ställningar som är relevanta för uppdraget. Om det på grund av data-

Utredningens uppdrag och arbete

SOU 2017:97

skyddsförordningens ikraftträdande eller personuppgiftslagens (1998:204) och personuppgiftsförordningens (1998:1191) upphävande krävs kompletterande nationella bestämmelser i andra delar än i dem som ska utredas särskilt, har det varit vårt uppdrag att föreslå sådana bestämmelser.

Utgångspunkten för vårt uppdrag och den reglering som före- slås är att Rekryteringsmyndighetens verksamhet ska kunna bedrivas effektivt med rationellt datorstöd samtidigt som enskildas rätt till personlig integritet tillgodoses.

Utredningens direktiv (dir. 2016:103) finns i bilagan.

2.2Utredningsarbetet

Utredningsarbetet påbörjades i januari 2017 och har bedrivits på sed- vanligt sätt med regelbundna sammanträden med sakkunniga och experter. Utredningen har haft sju sådana sammanträden, varav ett i form av ett tvådagars internatsammanträde. Även informella kon- takter inom utredningen har förekommit.

Under utredningstiden har utredaren samrått med Socialdata- skyddsutredningen (S 2016:05) och Utredningen om behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt (Fö 2017:03).

Parallellt med vår utredning har flera andra utredningar haft i uppdrag att lämna förslag till anpassning av befintlig lagstiftning inom olika sektorer till dataskyddsförordningen. Med anledning av detta bildades i september 2016 en informell samordningsgrupp bestående av sekretariaten från ett femtontal utredningar, bl.a. Dataskyddsutredningen. Samordningsgruppen har utgjort ett forum för dialog om gemensamma frågor om terminologi, avgränsningar, rättsliga bedömningar m.m. i arbetet med att anpassa nationell lagstiftning till dataskyddsförordningen och den kompletterande dataskyddslagen. Utredningens sekretariat har deltagit vid gruppens möten under våren 2017.

Under utredningstiden har sekretariatet besökt Rekryterings- myndighetens huvudkontor i Karlstad. Besöket skedde bl.a. som ett led i inhämtandet av underlag för kartläggningsuppdraget och för att få information om den behandling av personuppgifter som sker hos Rekryteringsmyndigheten. Sekretariatet har även haft ett

SOU 2017:97

Utredningens uppdrag och arbete

möte med Krigsarkivet, vid vilket även en av experterna deltog. Mötet syftade till att inhämta information och synpunkter i frågor om bevarande och gallring. Härutöver har sekretariatet fört en kon- tinuerlig dialog med samt inhämtat upplysningar och synpunkter från Rekryteringsmyndigheten, Försvarsmakten och Datainspek- tionen.

Utredningsarbetet har bedrivits i nära samarbete med sakkunniga och experter. Med hänsyn till detta redovisas arbetet och betänkandetexten med användande av ”vi-form”, även om det inte funnits fullständig samsyn i alla delar.

2.3Betänkandets disposition

Framställningen i det följande inleds i kapitel 3 med en redogörelse för gällande nationell respektive internationell rätt till skydd för en- skildas personliga integritet. I kapitel 4 beskrivs översiktligt personal- försörjningen inom totalförsvaret och Rekryteringsmyndighetens organisation och verksamhet. I kapitel 5 redovisas Rekryterings- myndighetens behandling av personuppgifter inom verksamhets- området. I kapitel 6 presenteras de allmänna utgångspunkterna för utformningen av den nya regleringen och i kapitel 7 behandlas de allmänna bestämmelserna i förslaget till totalförsvarsdatalag. I kapi- tel 8 redogörs för våra överväganden och förslag i fråga om rättslig grund och tillåtna primära och sekundära ändamål för behandlingen av personuppgifter. I kapitel 9 redovisas våra överväganden och för- slag om hur en ny reglering av Rekryteringsmyndighetens behand- ling av personuppgifter bör utformas. I kapitel 10 behandlas vissa andra frågor av särskild vikt för dataskyddet, bl.a. den registrerades rätt till rättelse och skadestånd samt tillsynsmyndighetens befogen- het att besluta om administrativa sanktionsavgifter. Härefter följer våra överväganden och förslag om bevarande och gallring i kapi- tel 11 och om sekretess i kapitel 12. De avslutande kapitlen 13, 14 och 15 innehåller ikraftträdandebestämmelser, konsekvensbedöm- ningar samt författningskommentar.

3Gällande regler om personuppgiftsbehandling och enskildas rätt till personlig integritet

3.1Nationell reglering till skydd för den personliga integriteten

3.1.1Regeringsformen

Regeringsformen innehåller grundläggande bestämmelser till skydd för den personliga integriteten. Enligt målsättningsstadgandet i 1 kap. 2 § första stycket ska den offentliga makten utövas med respekt bl.a. för den enskilda människans frihet och enligt fjärde stycket ska det allmänna värna om den enskildes privat- och familjeliv. Bestämmelsen har dock inte någon bindande verkan för det all- männa och kan följaktligen inte ligga till grund för några individuella rättigheter (prop. 1975/76:209, s. 128 och prop. 2009/10:80, s. 173). I 2 kap. regeringsformen finns bestämmelser som skyddar enskildas integritet i en vidare mening. Förbud mot allvarliga fysiska inte- gritetsintrång som bl.a. döds- och kroppsstraff finns i 2 kap. 4 och 5 §§ och enligt 6 § första stycket samma kapitel är var och en skyddad gentemot det allmänna mot påtvingade kroppsliga ingrepp.

För att stärka skyddet för den personliga integriteten infördes den 1 januari 2011 ett nytt andra stycke i 2 kap. 6 § regeringsfor- men. Enligt bestämmelsen är var och en skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes per- sonliga förhållanden. Begränsning av skyddet får enligt 2 kap. 20 § göras i lag men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får inte gå utöver vad

Gällande regler om personuppgiftsbehandling ...

SOU 2017:97

som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen. Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning (2 kap. 21 §).

3.1.2Personuppgiftslagen

Europaparlamentets och rådets direktiv 95/46/EG av den 24 okto- ber 1995 om skydd för enskilda personer med avseende på behand- ling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204). Bestämmelserna i person- uppgiftslagen syftar till att skydda enskilda mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen är generellt tillämplig och gäller den behandling av personuppgifter som utförs av myndigheter och enskilda med undantag för rent pri- vat personuppgiftsbehandling.

Personuppgiftslagen är subsidiär i förhållande till annan lag eller förordning (2 §). Det innebär att om det finns en annan lag eller förordning som avviker från personuppgiftslagen, ska de bestäm- melserna tillämpas i stället. Sådana avvikande bestämmelser finns ofta i särskilda registerförfattningar som reglerar behandling av per- sonuppgifter i register och andra personuppgiftssamlingar i den offentliga sektorn.

Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 §). Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter är att betrakta som behandling av personuppgifter. I personupp- giftslagen nämns som exempel på sådan åtgärd bl.a. insamling, registrering, lagring, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter (3 §).

Personuppgiftslagen gäller för all behandling av personuppgifter som är helt eller delvis automatiserad (5 §). Det innebär att även personuppgifter som framgår av bilder och ljud omfattas. Avgör- ande är att personuppgifterna är föremål för automatiserad behand- ling, vilket innebär att även manuellt insamlade uppgifter som sedan behandlas automatiserat omfattas av lagen. Lagen gäller även för

SOU 2017:97

Gällande regler om personuppgiftsbehandling ...

manuella register om uppgifterna är strukturerade eller ordnade så att de är tillgängliga för sökning eller sammanställning enligt sär- skilda kriterier. Ett manuellt register som innehåller personupp- gifter men som inte är sökbart med hjälp av någon personuppgift, exempelvis namn eller personnummer, omfattas alltså inte av lagen.

Det finns några viktiga undantag från personuppgiftslagens till- lämpningsområde. Enligt 5 a § gäller inte flera av lagens hanter- ingsregler vid behandling av personuppgifter i ostrukturerat material så länge behandlingen inte innebär en kränkning av den registrerades personliga integritet. Lagen gäller inte heller för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verk- samhet av rent privat natur (6 §). Vidare gäller lagen inte i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrund- lagen (7 § första stycket). Sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande faller också utanför personuppgiftslagens tillämpningsområde (7 § andra stycket). Vidare gäller inte lagen i den utsträckning det skulle inskränka offentlighetsprinipen (8 § första stycket). Bestämmelserna hindrar inte heller att en myndig- het arkiverar eller bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet (8 § andra stycket). Regeringen får också meddela föreskrifter om undantag från flera bestämmelser i personuppgiftslagen om det är nödvändigt med hänsyn till bl.a. rikets säkerhet, försvaret, allmän säkerhet och skyddet av fri- och rättigheter (8 a §).

I 9 § anges de krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter. Den personuppgiftsansvarige ska se till att personuppgifter behandlas lagligt, på ett korrekt sätt och i enlighet med god sed. Därtill får personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det innebär att ändamålen med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in. Personuppgifterna får sedan inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Denna s.k. finalitetsprincip är av central betydelse vid behandling av personuppgifter och innebär att en prövning måste göras av om eventuella nya ändamål med behand- lingen är oförenliga med de ursprungligt angivna ändamålen.

Gällande regler om personuppgiftsbehandling ...

SOU 2017:97

Personuppgifterna ska vidare vara adekvata och relevanta i för- hållande till ändamålen med behandlingen. Den personuppgifts- ansvarige ansvarar också för att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behand- lingen. Därutöver ska de uppgifter som behandlas vara riktiga och, om det är nödvändigt, aktuella. Alla rimliga åtgärder ska också vid- tas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Slutligen anges i 9 § att personuppgifter inte får be- varas under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Avgörande för hur länge personupp- gifterna får bevaras är det ursprungliga ändamålet som bestämdes vid insamlingen av uppgifterna. Därefter måste uppgifterna avidenti- fieras eller förstöras.

För att behandling av personuppgifter ska vara tillåten krävs, ut- över de i 9 § uppställda kraven, att något av villkoren i 10 § före- ligger. Bestämmelsen anger uttömmande i vilka fall personuppgifter får behandlas. Personuppgifter får behandlas bara om den registre- rade har lämnat sitt samtycke till behandlingen eller om behand- lingen är nödvändig för vissa i lagen särskilt angivna fall. Att be- handlingen ska vara nödvändig kan inte rimligen innebära att det ska vara faktiskt omöjligt att utföra en arbetsuppgift utan sådan behand- ling av personuppgifter som omfattas av lagen. Kan en arbetsuppgift däremot utföras nästan lika enkelt och billigt utan att personupp- gifter behandlas, kan det inte anses nödvändigt att behandla person- uppgifterna. Det räcker sannolikt att det innebär en påtaglig förenk- ling för den personuppgiftsansvarige att personuppgifter behandlas på automatiserad väg (Öman, S., Lindblom, H-O., Personuppgifts- lagen, 4 uppl., 2016, Zeteo, kommentaren till 10 §, härefter Öman m.fl.). Om nödvändighetskravet är uppfyllt får personuppgifter behandlas utan den enskildes samtycke för att

a)ett avtal med den registrerade ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas,

b)den personuppgiftsansvarige ska kunna fullgöra en rättslig skyl- dighet,

c)vitala intressen för den registrerade ska kunna skyddas,

d)en arbetsuppgift av allmänt intresse ska kunna utföras,

SOU 2017:97

Gällande regler om personuppgiftsbehandling ...

e)den personuppgiftsansvarige eller en tredje man till vilken person- uppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller

f)ett ändamål som rör ett berättigat intresse hos den personupp- giftsansvarige eller hos en sådan tredje man till vilken personupp- gifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

Känsliga personuppgifter, dvs. uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i en fackförening eller som rör hälsa eller sexualliv får som huvudregel inte behandlas enligt personuppgiftslagen (13 §). Det kan dock vara tillåtet att behandla känsliga personuppgifter om den registrerade har lämnat sitt uttryckliga samtycke till behand- lingen eller på ett tydligt sätt offentliggjort uppgifterna (15 §). Behandling av känsliga personuppgifter kan också vara tillåten om den kan anses vara nödvändig enligt vissa i personuppgiftslagen an- givna förutsättningar, exempelvis för att skydda den registrerades eller någon annans vitala intressen om denne inte kan lämna sitt samtycke eller för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras (16 §). Behandling kan vidare vara nödvän- dig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård (18 §). Slutligen kan känsliga personuppgifter under vissa förhåll- anden behandlas av ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte inom ramen för sin verksamhet samt för forsknings- och statistikändamål (17 och 19 §§).

Regeringen eller den myndighet som regeringen bestämmer, i det här fallet Datainspektionen, får meddela föreskrifter om ytter- ligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse (20 §).

I 21 § regleras behandling av personuppgifter som rör lagöver- trädelser m.m. Det är enligt bestämmelsen förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Detta gäller även om den enskilde har lämnat sitt samtycke till annan behandling. Sådana uppgifter får dock behandlas för forskningsändamål av andra än

Gällande regler om personuppgiftsbehandling ...

SOU 2017:97

myndigheter, om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor. Regeringen eller den myndighet som regeringen bestämmer, dvs. Datainspek- tionen, får dock meddela föreskrifter om undantag från förbudet och de får även besluta om undantag i enskilda fall.

Dataskyddsdirektivet ställer krav på att medlemsstaterna ska reglera användningen av personnummer i lag. Enligt 22 § får upp- gifter om personnummer eller samordningsnummer behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Bestämmelser om i vilka fall information om behandling av personuppgifter ska lämnas till den enskilde finns i 23–27 §§. Om personuppgifter samlas in från den enskilde själv, ska den person- uppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna (23 §). Om uppgifterna har samlats in från någon annan källa, ska sådan information lämnas till den regi- strerade när uppgifterna registreras (24 §). Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut första gången. Informationskravet gäller inte om det finns bestämmelser om registrerandet eller utläm- nandet av personuppgifterna i en lag eller någon annan författning. Information behöver inte heller lämnas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om upp- gifterna används för att vidta åtgärder som rör den registrerade, ska dock information lämnas senast i samband med att åtgärden vidtas.

Den information som lämnas till den registrerade ska innehålla all information som kan behövas för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen, t.ex. upp- gift om den personuppgiftsansvariges identitet och ändamålet med behandlingen (25 §). Den personuppgiftsansvarige är också skyldig att till den som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller inte (26 §). Behandlas sådana uppgifter ska skriftlig information lämnas om vilka uppgifter som behandlas, varifrån de har hämtats, ändamålen med behandlingen och till vem de lämnas ut. Sådan information behöver dock inte lämnas när det gäller personupp- gifter i löpande text som inte fått sin slutliga utformning när ansö- kan gjordes eller som utgör en minnesanteckning eller liknande.

SOU 2017:97

Gällande regler om personuppgiftsbehandling ...

Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man, om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.

Bestämmelserna om informationsplikt gäller dock inte om sekre- tess eller tystnadsplikt är föreskriven för uppgifterna (27 §).

På begäran av den registrerade är den personuppgiftsansvarige skyldig att snarast rätta, blockera eller utplåna sådana personupp- gifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen (28 §). Om felaktiga uppgifter har lämnats ut till tredje man är den person- uppgiftsansvarige i vissa fall skyldig att underrätta denne om rättelsen. Det ska ske om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Tredje man behöver dock inte underrättas om det visar sig vara omöjligt eller skulle innebära en oproportio- nerligt stor arbetsinsats.

För att säkerställa en hög säkerhetsnivå vid behandling av per- sonuppgifter finns särskilda bestämmelser om detta i 30–32 §§.

Det är förbjudet att föra över personuppgifter till tredje land, dvs. en stat utanför EU eller EES, som inte har en adekvat nivå för skyddet av personuppgifterna (33 §). Förbudet gäller i princip alla personuppgifter. Under vissa förutsättningar är det dock tillåtet att föra över uppgifter till tredje land under förutsättning att den regi- strerade antingen gett sitt samtycke eller överföringen är nödvändig bl.a. för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, eller för att vitala intressen för den registrerade ska kunna skyddas (34 §). Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonven- tionen). Regeringen får meddela föreskrifter om ytterligare undantag från förbudet mot överföring (35 §).

Behandling av personuppgifter ska som huvudregel anmälas till Datainspektionen i dess egenskap av tillsynsmyndighet. En anmälan behöver dock inte göras om det finns ett personuppgiftsombud eller om något av de i personuppgiftsförordningen (1998:1191) före- skrivna undantagen är tillämpligt (36 och 37 §§).

Gällande regler om personuppgiftsbehandling ...

SOU 2017:97

Vidare finns det i personuppgiftslagen bestämmelser om person- uppgiftsombud (38–40 §§), krav på förhandskontroll i vissa fall (41 §), allmän informationsskyldighet (42 §) och tillsynsmyndig- hetens befogenheter (43–47 §§). Det finns också bestämmelser om skadestånd och straff (48–49 §§) samt om överklagande (51–53 §§).

3.1.3Särskilda registerförfattningar

Syftet med särskilda registerförfattningar är att anpassa skyddet för enskildas personliga integritet vid myndigheters personuppgifts- behandling när det finns ett behov av att avvika från eller komplet- tera personuppgiftslagens bestämmelser. Inom olika verksamhets- områden i den offentliga sektorn är det inte ovanligt att myndigheter har särskilda behov som tillgodoses genom att i en registerför- fattning ge ett anpassat integritetsskydd vid myndighetens hantering av personuppgifter. Riksdagen har sedan lång tid tillbaka också gett uttryck för uppfattningen att myndighetsregister med ett stort antal registrerade och med ett känsligt innehåll ska regleras särskilt i lag (prop. 1990/91:60, s. 50, KU 1990/91:11 s. 11 och prop. 1997/98:44, s. 41).

Det finns ett stort antal lagar om behandling av personuppgifter som gäller i viss verksamhet eller för ett visst register. Exempel på sådana särskilda registerförfattningar är patientdatalagen (2008:355), polisdatalagen (2010:361) och domstolsdatalagen (2015:728). Rekry- teringsmyndighetens behandling av personuppgifter om totalför- svarspliktiga regleras också i en särskild registerförfattning som be- skrivs vidare nedan.

3.1.4Offentlighets- och sekretesslagen

Offentlighets- och sekretesslagen (2009:400) innehåller ett flertal bestämmelser om sekretess till skydd för uppgifter om enskildas personliga förhållanden, vilka också medför ett skydd för enskildas personliga integritet. I 21 kap. 7 § anges att sekretess gäller för en personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Bestäm- melsen är tillämplig hos sådana myndigheter som är personupp- giftsansvariga eller som annars har tillgång till personuppgifter. Be-

SOU 2017:97

Gällande regler om personuppgiftsbehandling ...

dömningen tar dock inte sikte på om myndighetens eget utläm- nande av uppgifter skulle strida mot personuppgiftslagen utan på om det kan antas att mottagaren efter utlämnandet kommer att behandla uppgiften i strid med personuppgiftslagen (Lenberg, E., Geijer, U., Tansjö, A., Offentlighets- och sekretesslagen, 1 januari 2017, Zeteo, kommentaren till 21 kap. 7 §, härefter Lenberg m.fl.).

3.2Internationell reglering till skydd för den personliga integriteten

3.2.1Dataskyddsdirektivet

Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i dataskyddsdirektivet. Direktivet har genomförts i medlemsstaterna genom nationell lagstiftning och i Sverige främst genom personuppgiftslagen. På EU-nivå finns andra rättsakter som kompletterar dataskyddsdirektivet, bl.a. rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personupp- gifter som behandlas inom ramen för polissamarbete och straff- rättsligt samarbete, det s.k. dataskyddsrambeslutet.

Dataskyddsdirektivet syftar till att garantera en hög och likvärdig skyddsnivå i alla medlemsstater när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlems- staterna i EU. Medlemsstaterna får inom direktivets ram närmare precisera villkoren för när behandling av personuppgifter får före- komma under förutsättning att de inhemska reglerna inte hindrar det fria flödet av personuppgifter inom unionen. Direktivet gäller dock inte för behandling av personuppgifter på områden som faller utanför gemenskapsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.

Dataskyddsdirektivet är tillämpligt på all behandling av uppgif- ter om fysiska personer som sker helt eller delvis på automatiserad väg. Direktivet omfattar även manuell behandling av personupp- gifter som ingår i eller kommer att ingå i ett register. Med register avses varje strukturerad samling av personuppgifter som är tillgäng- lig enligt särskilda kriterier. Direktivet omfattar inte behandling av personuppgifter för privat bruk.

Gällande regler om personuppgiftsbehandling ...

SOU 2017:97

Enligt direktivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligt angivna vid tid- punkten för insamling av uppgifterna och uppgifterna får inte senare användas på ett sätt som är oförenligt med de ursprungliga ända- målen. Under förutsättning att lämpliga skyddsåtgärder finns, anses dock senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål inte vara oförenligt med dessa ändamål.

Personuppgifter får behandlas när den enskilde otvetydigt har lämnat sitt samtycke därtill. Därutöver får personuppgifter endast behandlas i vissa särskilt angivna fall, bl.a. om behandlingen är nöd- vändig för att fullgöra en rättslig förpliktelse som åligger den registeransvarige eller för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning. Personuppgifter får även behandlas om intresset av att den registeransvarige får be- handla uppgifterna väger tyngre än den registrerades intresse av att de inte behandlas.

Enligt direktivet ska behandling av vissa kategorier av uppgifter (känsliga personuppgifter) som huvudregel förbjudas av medlems- staterna. Det gäller uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska över- tygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. Det finns dock i direktivet vissa angivna undantag från denna huvudregel, bl.a. om det finns ett uttryckligt samtycke från den registrerade, för ideella organisationers medlemsregister och för hälso- och sjukvårdens administration. Medlemsstaterna får också i sin nationella lagstiftning eller genom ett beslut av tillsynsmyn- digheten besluta om andra undantag från förbudet än dem som anges i direktivet, dock under förutsättning att det sker av hänsyn till ett viktigt allmänt intresse och att lämpliga skyddsåtgärder vidtas.

När personuppgifter samlas in ska den registrerade informeras om bl.a. vem som är registeransvarig och vad uppgifterna ska an- vändas till. Har uppgifterna inte samlats in från den registrerade själv behöver den registeransvarige dock inte lämna någon informa- tion i de fall den registrerade redan känner till informationen eller om det skulle visa sig vara omöjligt eller innebära en arbetsinsats som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna.

SOU 2017:97

Gällande regler om personuppgiftsbehandling ...

Har uppgifterna inte behandlats i enlighet med direktivet, har den registrerade också rätt att få uppgifterna rättade, utplånade eller blockerade. Direktivet innehåller även regler om säkerhet vid behand- lingen.

All behandling av personuppgifter ska enligt huvudregeln i direk- tivet anmälas till en tillsynsmyndighet. Medlemsstaten kan dock genom bransch- och sektorsspecifik reglering eller motsvarande undanta sådan behandling av personuppgifter som inte kränker en- skildas fri- och rättigheter från anmälningsskyldigheten. Den regi- strerade har också rätt att få sina rättigheter enligt nationell lag prövad av tillsynsmyndigheten och av domstol. Tillsynsmyndigheten ska vara ett oberoende organ med befogenhet att undersöka och ingripa effektivt mot otillåten behandling av personuppgifter.

Överföring av personuppgifter till ett tredje land får i princip endast ske om det mottagande landet har en adekvat skyddsnivå.

Europeiska unionens stadga om de grundläggande rättigheterna

Europeiska unionens stadga om de grundläggande rättigheterna (EU- stadgan) antogs av EU:s medlemsstater i Nice år 2000. Lissabon- fördraget, som trädde i kraft år 2009, innebär att EU-stadgan numera är rättsligt bindande för medlemsstaterna vid tillämpning av unions- rätten. Stadgan ska således inte tillämpas på nationell lagstiftning inom områden där EU inte har lagstiftningskompetens. Genom stadgan kodifierades de grundläggande fri- och rättigheterna som EU redan hade erkänt.

I EU-stadgan anges de sex grundläggande rättigheterna: värdig- het, frihet, jämlikhet, solidaritet, medborgarskap och rättvisa. I likhet med bestämmelserna i den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grund- läggande friheterna (Europakonventionen) förbjuder stadgan bl.a. tortyr, slaveri och tvångsarbete och ger ett skydd för människans rätt till frihet och säkerhet samt rätten till en rättvis rättegång. Stadgan innehåller dessutom ytterligare rättigheter som inte finns med i Europakonventionen, t.ex. personuppgiftsskydd.

Skyddet för den personliga integriteten beskrivs som en rätt för var och en till fysisk och mental integritet (artikel 3). Alla har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kom-

Gällande regler om personuppgiftsbehandling ...

SOU 2017:97

munikationer (artikel 7). I artikel 8 anges att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Person- uppgifterna ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim grund. Vidare ska var och en ha rätt att få tillgång till in- samlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna efterlevs.

Varje begränsning av stadgans fri- och rättigheter ska vara före- skriven i lag och förenlig med det väsentliga innehållet i stadgan. Proportionalitetsprincipen ska beaktas och begränsningar får endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors fri- och rättigheter. I de fall stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonven- tionen ska de ha samma innebörd och räckvidd som i konventionen (artikel 52). Bestämmelsen hindrar dock inte unionsrätten från att tillförsäkra ett mer långtgående skydd.

3.2.2EU:s dataskyddsreform

I syfte att ytterligare harmonisera och effektivisera skyddet av per- sonuppgifter har ett omfattande reformarbete pågått inom EU sedan år 2012. Den 27 april 2016 antog rådet och Europaparlamentet en dataskyddsförordning med en generell reglering som ska ersätta dataskyddsdirektivet. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flö- det av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), härefter dataskyddsförordningen, ska börja tillämpas i medlemsstaterna den 25 maj 2018. Dataskydds- förordningen gäller dock inte för sådan behandling av person- uppgifter som utförs av behöriga myndigheter för ändamålen att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder. Sådan behandling regleras i stället genom det nya dataskyddsdirektivet, Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av person- uppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra

SOU 2017:97

Gällande regler om personuppgiftsbehandling ...

brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. Det nya direktivet ersätter alltså dataskyddsram- beslutet.

Dataskyddsförordningen är direkt tillämplig i medlemsstaterna och kommer därför att ersätta såväl dataskyddsdirektivet som den nationella lagstiftning som antagits för att genomföra direktivet, dvs. i Sverige framför allt personuppgiftslagen. En särskild utredare har fått i uppdrag att föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som förordningen ger upphov till. Utredaren redovisade sitt uppdrag den 12 maj 2017 ge- nom betänkandet Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning. (SOU 2017:39). Även registerförfatt- ningar och annan sektorsspecifik nationell lagstiftning som berörs av dataskyddsförordningens tillämpningsområde är föremål för en översyn. Förordningen lämnar ett visst utrymme för medlemssta- terna att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av förordningen. Den nya regleringen för Rekryteringsmyndighetens personuppgiftsbehandling och dess för- hållande till dataskyddsförordningen och den kompletterande data- skyddslagen behandlas i kapitel 6–11.

3.2.3Övriga internationella åtaganden och överenskommelser

Förenta nationernas allmänna förklaring om de mänskliga rättigheterna m.m.

Förenta nationernas (FN) allmänna förklaring om de mänskliga rättigheterna antogs år 1948 av FN:s generalförsamling. Förklar- ingen omfattar politiska, medborgerliga, sociala, ekonomiska och kulturella rättigheter. Även om den allmänna förklaringen inte är bindande för medlemsstaterna ses den som ett uttryck för den inter- nationella opinionens krav.

Skyddet för den personliga integriteten behandlas i artikel 12. Där anges att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. Vidare anges i

Gällande regler om personuppgiftsbehandling ...

SOU 2017:97

artikel 29 att en person endast får underkastas sådana inskränk- ningar som har fastställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras fri- och rättigheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.

FN har också antagit den internationella konventionen om med- borgerliga och politiska rättigheter som trädde i kraft år 1976, till vilken Sverige är ansluten. Skyddet för den personliga integriteten regleras i artikel 17 i konventionen, vilken till sitt innehåll är lik- värdig med ovan nämnda artikel 12 i den allmänna förklaringen. Kommittén för de mänskliga rättigheterna (Human Rights Com- mittee) har inrättats för att övervaka att medlemsstaterna efterlever sina skyldigheter enligt konventionen.

I sammanhanget bör också nämnas att FN:s generalförsamling år 1990 antog riktlinjer om datoriserade register med personupp- gifter. Enligt riktlinjerna får medlemsstaterna i den nationella lagstiftningen avseende datoriserade register med personuppgifter inte samla in eller behandla personuppgifter på ett olagligt sätt eller använda uppgifterna för syften som står i strid med FN:s stadga. Ändamålet med ett register ska vara specificerat, berättigat och på något sätt uttryckligt angivet för den som berörs. Detta för att för- säkra att alla personuppgifter som samlas in och behandlas är rele- vanta och adekvata för det angivna ändamålet, att uppgifterna inte används i strid med ändamålet och att uppgifterna inte bevaras längre än som krävs för att uppfylla det angivna ändamålet.

Europakonventionen

De rättigheter som anges i FN:s allmänna förklaring om de mänskliga rättigheterna har utvecklats vidare i Europakonventionen. Europa- konventionen gäller sedan den 1 januari 1995 som lag i Sverige (prop. 1993/94:117). Av 2 kap. 19 § regeringsformen framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.

Det är framför allt artikel 8 i konventionen som har betydelse för skyddet av den personliga integriteten. Av artikeln framgår att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte in-

SOU 2017:97

Gällande regler om personuppgiftsbehandling ...

skränka denna rätt annat än med stöd av lag och om det i ett demo- kratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd, till förebyg- gande av oordning eller brott, till skydd för hälsa och moral eller för andra personers fri- och rättigheter. Tillämpningsområdet för artikeln omfattar behandling av personuppgifter om privatliv, familjeliv, hem eller korrespondens. Artikeln innebär att staten ska avhålla sig från ingrepp i den skyddade rättigheten men också en skyldighet för staten att vidta åtgärder för att skydda den enskildes privata sfär (Danelius, H., Mänskliga rättigheter i europeisk praxis, 4 uppl., 2012, s. 347 f.).

En inskränkning i en konventionsskyddad rättighet ska ha stöd i lag. Lagen ska vara så preciserad att inskränkningarna är förutsebara och att lagen är allmänt tillgänglig. Europadomstolen har i praxis slagit fast att intrånget ska vara nödvändigt, dvs. det ska finnas ett ”angeläget samhälleligt behov” och inskränkningen ska stå i rimlig proportion till det syfte som ska tillgodoses genom den.

Europarådets dataskyddskonvention

Dataskyddskonventionen antogs av Europarådets ministerkommitté år 1981 och trädde i kraft den 1 oktober 1985. Samtliga EU:s med- lemsstater har i egenskap av medlemmar i Europakonventionen ratificerat konventionen. Dataskyddskonventionen innehåller prin- ciper för dataskydd som de anslutna staterna måste iaktta i sin nationella lagstiftning.

Dataskyddskonventionen syftar till att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatiserad databehandling av personuppgifter. Konventionens tillämpningsområde är automati- serade personregister och automatiserad databehandling av person- uppgifter i allmän och enskild verksamhet. En konventionsstat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämp- ningsområdet.

De grundläggande principerna för dataskydd innebär bl.a. krav på att personuppgifter som undergår automatiserad databehandling ska hämtas in och behandlas på ett korrekt och lagligt sätt för sär- skilt angivna ändamål. Uppgifterna ska vara relevanta för dessa

Gällande regler om personuppgiftsbehandling ...

SOU 2017:97

ändamål och får inte senare användas på ett sätt som är oförenligt med dessa ändamål. Uppgifterna får inte bevaras längre tid än vad som är nödvändigt med avseende på ändamålet. Uppgifter som av- slöjar ras, politiska åsikter, hälsa och sexualliv samt att någon dömts för brott, får inte behandlas om inte nationell lag ger ett ändamåls- enligt skydd. Konventionen innehåller också bestämmelser om bl.a. krav på säkerhetsåtgärder, information till den registrerade samt sanktioner och rättsmedel vid brott mot en konventionsskyddad rättighet. Konventionens bestämmelser kan ses som en precisering av skyddet för enskilda enligt artikel 8 i Europakonventionen vid användning av automatiserad databehandling.

Eftersom det grundläggande skyddet vid automatiserad behand- ling av personuppgifter inom EU i dag regleras främst genom dataskyddsdirektivet, är dataskyddskonventionen fortfarande relevant vid behandling av personuppgifter på områden som faller utanför EU:s kompetensområde, t.ex. allmän säkerhet, försvar och statens säkerhet.

OECD:s riktlinjer

Organisationen för ekonomiskt samarbete och utveckling (OECD) har utarbetat riktlinjer angående integritetsskyddet och flödet av personuppgifter över gränserna. Riktlinjerna antogs år 1980 av OECD:s råd samtidigt som en rekommendation till medlems- ländernas regeringar om att beakta riktlinjerna i nationell lagstift- ning. Sverige har godtagit rekommendationerna och därmed åtagit sig att följa riktlinjerna.

Riktlinjerna, som är att betrakta som minimiregler, motsvarar i princip dataskyddskonventionens bestämmelser och är tillämpliga på personuppgifter inom både den offentliga och den privata sektorn. Riktlinjerna gäller såväl för uppgifter som lagras automatiskt som uppgifter som förs manuellt.

Riktlinjerna innehåller grundläggande principer till skydd för den personliga integriteten, bl.a. att personuppgifter ska vara relevanta för de ändamål för vilka de ska användas. Vidare anges att person- uppgifterna även ska vara riktiga och fullständiga samt hållas aktu- ella. En annan grundläggande princip är att de ändamål för vilka

SOU 2017:97

Gällande regler om personuppgiftsbehandling ...

personuppgifterna samlades in ska vara preciserade senast vid insam- lingen.

3.3Reglering av Rekryteringsmyndighetens behandling av personuppgifter

I den verksamhet som Rekryteringsmyndigheten bedriver har det, på grund av verksamhetens särskilda karaktär och hantering av inte- gritetskänsliga uppgifter, ansetts nödvändigt att reglera behandlingen av personuppgifter om totalförsvarspliktiga i en särskild lag, lagen (1998:938) om behandling av personuppgifter om totalförsvars- pliktiga (fortsättningsvis pliktregisterlagen). Lagen trädde i kraft den 24 oktober 1998. Pliktregisterlagen kompletteras av bestäm- melser i förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga. Om inget annat följer av pliktregisterlagen eller av föreskrifter som meddelats med stöd av lagen, tillämpas personuppgiftslagen vid behandling av personuppgifter om totalförsvarspliktiga (4 §).

Enligt 1 § första stycket tillämpas pliktregisterlagen vid behand- ling av personuppgifter om totalförsvarspliktiga i den verksamhet Rekryteringsmyndigheten bedriver för att

1.ta fram underlag för beslut om inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret,

2.redovisa personal med uppgifter inom totalförsvaret,

3.säkerställa att den registrerade fortlöpande får ändamålsenlig utbildning och lämplig placering inom totalförsvaret,

4.se till att den registrerade fullgör sina skyldigheter såvitt avser totalförsvarsplikten,

5.tillgodose den registrerades rättigheter och trygghet i hans eller hennes egenskap av totalförsvarspliktig, och

6.planera, följa upp och utvärdera den verksamhet som anges i 1–5.

Lagen gäller även i verksamhet som bedrivs av någon annan än Rekryteringsmyndigheten om det särskilt anges. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om person- uppgifter ingår i eller är avsedda att ingå i en strukturerad samling

Gällande regler om personuppgiftsbehandling ...

SOU 2017:97

av personuppgifter som är tillgängliga för sökning eller samman- ställning enligt särskilda kriterier (1 § andra och tredje styckena). Med totalförsvarspliktiga jämställs vid tillämpningen av lagen per- soner som har en skyldighet att fullgöra en uppgift inom totalför- svaret vid höjd beredskap utan att skyldigheten grundar sig på total- försvarsplikt (2 §).

I 5 § anges att personuppgifter som samlats in av Rekryterings- myndigheten ska anses insamlade för de ändamål som anges i 1 § första stycket om inte myndigheten vid insamlingen uttryckligen angett att den sker för andra ändamål. Motsvarande gäller vid Rekry- teringsmyndighetens behandling av uppgifter som annan myndighet samlat in.

Känsliga personuppgifter får som huvudregel endast behandlas om det är nödvändigt för de i lagen angivna ändamålen (6 §). Det- samma gäller även kommuner, landsting och statliga myndigheter om uppgifterna behövs för utredning om den totalförsvarspliktiges personliga förhållanden enligt 2 kap. 1 § lagen (1994:1809) om total- försvarsplikt (s.k. annan utredning enligt 2 kap. 5 § samma lag).

Av 7 § följer att Rekryteringsmyndigheten är personuppgifts- ansvarig för den behandling av personuppgifter om totalförsvars- pliktiga som myndigheten utför.

I likhet med äldre registerförfattningar innehåller pliktregister- lagen bestämmelser om registerinnehåll, dvs. vilka kategorier av uppgifter och personer som får behandlas. I 8 § anges att i det automatiserade registret över totalförsvarspliktiga får personupp- gifter föras in endast om den som (i) är eller har varit aktuell för mönstring eller annan utredning, (ii) genom avtal, beslut om krigs- placering eller på annat sätt är tagen i anspråk för totalförsvaret, (iii) ska utföra särskild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig för totalförsvaret, (iv) av en redan regi- strerad uppgetts som närstående, eller (v) nämns bland de upp- gifter som åberopas av den registrerade, om de rör hans eller hennes tjänstgöring inom totalförsvaret. Därutöver får personuppgifter registreras om den som fattat beslut eller handlagt ärende som rör den registrerade hos Rekryteringsmyndigheten eller hos någon annan som utfört annan utredning. Detsamma gäller personuppgifter om den som gjort journalanteckning i samband med sådan utredning eller i samband med den registrerades tjänstgöring inom totalför- svaret (8 § tredje stycket).

SOU 2017:97

Gällande regler om personuppgiftsbehandling ...

I 9 § anges uttömmande vilka personuppgifter som får föras in i registret, bl.a. personnummer eller samordningsnummer, namn, adress, telefonnummer, folkbokföringsort, boende- och familjeför- hållanden, utbildning, anställning, fysisk och psykisk hälsa och för- måga. Andra känsliga personuppgifter än sådana uppgifter som rör hälsa eller religiös övertygelse får inte föras in i registret. Uppgifter om religiös övertygelse får endast registreras om den registrerade har lämnat sitt uttryckliga samtycke till att uppgifterna behandlas i registret och de rör hans eller hennes tjänstgöring inom totalför- svaret (9 § andra stycket). Därutöver får beslut som rör totalförsvars- plikten liksom tidpunkter och tidsperioder för registrerade förhåll- anden samt erforderliga administrativa och tekniska uppgifter regi- streras (10 § första stycket). I 10 § andra och tredje stycket anges begränsningar i fråga om vilka uppgifter som får registreras för vissa i 8 § särskilt angivna personer. Regeringen får också meddela föreskrifter om ytterligare begränsningar av vad som får föras in i det automatiserade registret över totalförsvarspliktiga enligt 8 och 9 §§ (11 §).

Enligt 12 § har Rekryteringsmyndigheten direktåtkomst till det automatiserade registret över totalförsvarspliktiga. Regeringen får meddela föreskrifter om att annan får ha direktåtkomst till registret. Regeringen får även meddela föreskrifter om att annan än Rekry- teringsmyndigheten får föra in personuppgifter i registret och rätta dessa (13 §). I förordningen om behandling av personuppgifter om totalförsvarspliktiga anges vilka myndigheter m.fl. som får medges direktåtkomst, föra in och rätta uppgifter i registret.

I pliktregisterlagen finns bestämmelser om förbud mot vissa sär- skilt angivna sökbegrepp. Enligt 14 § första stycket får personupp- gifter som avses i 9 § första stycket 2 och 3 samt 5–9 inte användas som sökbegrepp annat än om det behövs för tillsyn, uppföljning eller utvärdering av Rekryteringsmyndighetens verksamhet eller för framtagande av material för forskning eller statistik. Det innebär att uppgift om hinder för genomförande av mönstring eller annan utredning, för utbildning eller för krigsplacering eller annat ianspråk- tagande av den registrerade för totalförsvarets räkning inte får an- vändas som sökbegrepp. Inte heller uppgift om boende- och familje- förhållanden och försörjning får enligt nuvarande reglering användas som sökbegrepp. Detsamma gäller uppgifter om resultat från kun- skapsprov och anlagstester som utförts vid mönstring eller annan

Gällande regler om personuppgiftsbehandling ...

SOU 2017:97

utredning. Uppgift om fysisk och psykisk hälsa och förmåga jämte de uppgifter som ligger till grund för bedömningen härav faller också utanför vad som är tillåtet att använda som sökbegrepp. Som sökbegrepp får vidare inte användas uppgifter om den registrerade är svensk medborgare eller inte, utgången i mål om ansvar för brott mot totalförsvarsplikten eller att den registrerade har dömts till påföljd för brott som framgår av uppgift ur belastningsregistret. Slutligen får inte heller uppgift om att den registrerade genomgått säkerhetsprövning enligt säkerhetsskyddslagen (1996:627), vilken säkerhetsklass prövningen avsett och resultatet av denna användas som sökbegrepp.

I 15 § finns en bestämmelse om gallring. En personuppgift i det automatiserade registret över totalförsvarspliktiga ska gallras så snart uppgiften inte längre behövs för de i lagen angivna ändamålen. Per- sonuppgifter beträffande den som (i) är eller har varit aktuell för mönstring eller annan utredning, (ii) genom avtal, beslut om krigs- placering eller på annat sätt är tagen i anspråk för totalförsvaret, eller (iii) ska utföra särskild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig för totalförsvaret, ska gallras senast vid utgången av det kalenderår den registrerade fyller 70 år, om inte han eller hon även därefter har en uppgift inom totalförsvaret vid höjd beredskap. Regeringen får meddela föreskrifter om kortare tid för gallring och undantag från skyldigheten att gallra personuppgifter i fråga om bevarande av material för forskningens behov. Sådana uppgifter ska dock avföras från registret vid den tidpunkt de annars skulle ha gallrats.

Bestämmelserna i personuppgiftslagen om Datainspektionens befogenheter att meddela förbud mot att behandla personuppgifter är inte tillämpliga vid personuppgiftsbehandling om totalförsvars- pliktiga i Rekryteringsmyndighetens verksamhet. I 17 § anges att tillsynsmyndigheten enligt personuppgiftslagen inte får förbjuda Rekryteringsmyndigheten att behandla personuppgifter om totalför- svarspliktiga. Däremot gäller personuppgiftslagens bestämmelser om den personuppgiftsansvariges skyldighet att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man, till vilken uppgifterna har lämnats ut, även då personuppgifter har behandlats i strid med pliktregisterlagen eller föreskrifter som utfärdats med stöd av lagen (18 §). Även person-

4Allmänt om personalförsörjningen och verksamheten

4.1Personalförsörjningen inom totalförsvaret

Våren 2010 beslutade riksdagen att totalförsvarets personalförsörj- ning skulle bygga på frivillighet och inte på plikt. Bedömningen gjordes dock att totalförsvarsplikten i grunden skulle kvarstå med möjlighet att aktivera delar av totalförsvarsplikten (prop. 2009/10:160, s. 77 f.). Skyldigheten att genomgå mönstring och fullgöra värn- plikt och civilplikt skulle aktiveras i det fall regeringen med hänsyn till Sveriges försvarsberedskap beslutade om detta. Skyldigheten att mönstra och fullgöra tjänstgöring skulle därmed vara ”vilande” till dess att regeringen beslutade annat. Därtill skulle skyldigheten att fullgöra tjänstgöring omfatta både kvinnor och män. I och med detta infördes ett nytt personalförsörjningssystem genom att per- sonalförsörjningen av totalförsvaret skulle vila såväl på frivillighet som på plikt. I december 2014 beslutade regeringen att ge Försvars- makten rätt att kalla in värnpliktig personal till repetitionsutbild- ning med stöd av lagen (1994:1809) om totalförsvarsplikt.1 I och med beslutet aktiverades en del av den vilande totalförsvarsplikten.

Det försämrade omvärldsläget har föranlett en ny inriktning av det svenska försvaret. Riksdagens försvarspolitiska inriktning för perioden 2016–2020 innebär att den enskilt viktigaste målsättningen är att öka den operativa förmågan i Försvarsmaktens krigsförband och att säkerställa den samlade operativa förmågan i totalförsvaret (prop. 2014/15:109, s. 7). Krigsförbanden har en avgörande bety- delse för att detta ska kunna uppnås och utgör grunden för det

1 Regeringsbeslut 2014-12-11, Fö nr I:15.

Allmänt om personalförsörjningen och verksamheten

SOU 2017:97

militära försvarets personalförsörjning. Regeringen har konstaterat att beroendet av krigsplacerad men inte anställd totalförsvarspliktig personal för att fullt kunna bemanna alla krigsförband kommer att kvarstå under överskådlig tid. Av den anledningen tillsatte reger- ingen en utredning, 2015 års personalförsörjningsutredning, som hade till uppgift att lämna förslag på en långsiktigt hållbar personal- försörjning av det militära försvaret. Utredningen, som överläm- nade betänkandet En robust försörjning av det militära försvaret

(SOU 2016:63) i september 2016, kom bl.a. fram till att regeringen under första kvartalet 2017 bör besluta att totalförsvarspliktiga ska vara skyldiga att genomgå mönstring respektive fullgöra grund- utbildning med värnplikt.

Den 2 mars 2017 beslutade regeringen, i enlighet med Personal- försörjningsutredningens förslag, att aktivera skyldigheten för total- försvarspliktiga att genomgå mönstring och fullgöra grundutbild- ning med värnplikt.2 Enligt beslutet gäller skyldigheten att genom- gå mönstring från och med den 1 juli 2017 och skyldigheten att fullgöra grundutbildning med värnplikt från och med den 1 januari 2018. Svenska kvinnor och män födda år 1999 och år 2000 kommer därmed att vara de första som berörs av aktiverad mönstring och grundutbildning med plikt. Under 2018 och 2019 förväntas För- svarsmakten genomföra grundutbildning med värnplikt för minst 4 000 personer, vilket innebär en prövning av cirka 13 000 personer per år.

4.1.1Totalförsvarsplikten och totalförsvarspliktiga

Totalförsvaret, som enligt 1 § lagen (1992:1403) om totalförsvar och höjd beredskap avser den verksamhet som behövs för att förbereda Sverige för krig, är en angelägenhet för hela den svenska befolk- ningen. Sverige har en lång tradition av att tillgodose totalförsva- rets behov av personal genom en lagstadgad plikt. Grunden härför har varit att var och en, under vissa särskilt angivna förutsättningar, ska delta i landets totalförsvar. Totalförsvaret består av dels militär verksamhet (militärt försvar), dels civil verksamhet (civilt försvar). Ansvaret för det militära försvaret åvilar huvudsakligen Försvars-

2 Regeringsbeslut 2017-03-02, Fö 2016/01252/MFI (delvis).

SOU 2017:97

Allmänt om personalförsörjningen och verksamheten

makten medan statliga myndigheter, kommuner, landsting m.fl. an- svarar för det civila försvaret.

Totalförsvarets personalförsörjning har under många år tryggats genom en för totalförsvaret gemensam tjänstgöringsskyldighet, benämnd totalförsvarsplikt. Totalförsvarsplikten infördes i Sverige den 1 juli 1995 genom lagen om totalförsvarsplikt i syfte att möjlig- göra en samlad användning av tillgängliga personalresurser. Total- försvarsplikten innebär en skyldighet för varje svensk medborgare

– och för var och en som utan att vara svensk medborgare är bosatt i Sverige – att tjänstgöra inom totalförsvaret i den omfattning som hans eller hennes kroppskrafter och hälsotillstånd tillåter.

Totalförsvarsplikten omfattar både män och kvinnor och gäller från början av det kalenderår personen fyller 16 år till slutet av det kalenderår han eller hon fyller 70 år. Tjänstgöringen fullgörs som värnplikt, civilplikt eller allmän tjänsteplikt. Värnplikten och civil- plikten omfattar grundutbildning, repetitionsutbildning, beredskaps- tjänstgöring och krigstjänstgöring. Den allmänna tjänsteplikten innebär att den som är totalförsvarspliktig ska tjänstgöra under höjd beredskap, om det behövs för att verksamhet som är av särskild vikt för totalförsvaret ska kunna upprätthållas. Höjd beredskap är an- tingen skärpt beredskap eller högsta beredskap. Enligt lagen om totalförsvar och höjd beredskap kan regeringen besluta om höjd beredskap i händelse av krigsfara eller sådana utomordentliga för- hållanden som är föranledda av att det är krig utanför Sveriges gränser eller av att Sverige har varit i krig eller krigsfara. Är Sverige i krig råder högsta beredskap. Under högsta beredskap är totalförsvar all samhällsverksamhet som då ska bedrivas.

Sedan den 1 juli 2010 gäller skyldigheten att fullgöra värnplikt och civilplikt med längre grundutbildning för både män och kvinnor. Skyldigheten omfattar endast svenska medborgare och gäller från början av det kalenderår den totalförsvarspliktige fyller 19 år till slutet av det kalenderår han eller hon fyller 47 år. Värnplikten full- görs hos Försvarsmakten. Civilplikten fullgörs i de verksamheter inom totalförsvaret som regeringen föreskriver men får inte om- fatta annan verksamhet som är förenad med egentliga stridsupp- gifter än ordnings- eller bevakningsuppgifter.

Den allmänna tjänsteplikten fullgörs genom att den totalför- svarspliktige (i) kvarstår i sin anställning eller fullföljer ett uppdrag, (ii) tjänstgör enligt avtal om frivillig tjänstgöring inom totalför-

Allmänt om personalförsörjningen och verksamheten

SOU 2017:97

svaret, eller (iii) utför arbete som anvisats honom eller henne av den myndighet som regeringen bestämmer. Regeringen eller den myndighet som regeringen bestämmer beslutar hos vilka arbets- givare och uppdragsgivare som allmän tjänsteplikt ska fullgöras och vilka arbetstagare och uppdragstagare som ska omfattas av allmän tjänsteplikt. Om den allmänna tjänsteplikten ska fullgöras hos en statlig myndighet ankommer det dock på myndigheten att själv besluta om vilka arbetstagare och uppdragstagare som ska omfattas av tjänsteplikten. Beslut om allmän tjänsteplikt får inte fattas be- träffande en totalförsvarspliktig som redan är krigsplacerad med stöd av lagen om totalförsvarsplikt.

4.1.2Totalförsvarspliktig personal

Personer som fullgör värnplikt eller civilplikt enligt lagen om total- försvarsplikt benämns totalförsvarspliktig personal. Genom Rekry- teringsmyndigheten säkerställer Försvarsmakten kontinuerligt att samtliga krigsförband med tillhörande mobiliseringsreserver är upp- fyllda med krigsplacerad personal. I krigsförbanden finns totalför- svarspliktig personal som är krigsplacerad med stöd av lagen om totalförsvarsplikt. Det är personal som tidigare genomfört grund- utbildning med värnplikt eller som tidigare varit anställda som tid- vis eller kontinuerligt tjänstgörande gruppbefäl, soldater och sjömän. Samtliga totalförsvarspliktiga som uppfyller kriterierna men inte är krigsplacerade i något krigsförband krigsplaceras i förbandsreserv eller personalreserv.

Osäkerheten avseende möjligheterna att fullt ut bemanna krigs- förbanden med anställd personal innebär att behovet av krigsplacerad men inte anställd totalförsvarspliktig personal i krigsförbanden kommer att kvarstå under lång tid (prop. 2014/15:109 s. 88). Med anledning av detta har regeringen beslutat att Försvarsmakten ska införa en ny personalkategori benämnd med plikt tjänstgörande gruppbefäl, soldater och sjömän (GSS/P) bestående av grundutbildad men inte anställd totalförsvarspliktig personal.3 Den totalförsvars- pliktiga personalen ska genomgå repetitionsutbildning på samma

3 Regeringsbeslut 2015-06-25, Fö nr 7.

SOU 2017:97

Allmänt om personalförsörjningen och verksamheten

sätt som övrig i krigsförband krigsplacerad personal i enlighet med regeringsbeslutet i december 2014.

4.1.3Annan personal inom totalförsvaret

Utöver totalförsvarspliktig personal finns annan personal inom total- försvaret som kan indelas i huvudsakligen två kategorier: anställd personal och avtalspersonal. Utmärkande för denna personal är att deras tjänstgöringsskyldighet har sin grund i det anställningsavtal eller annat avtal som de ingått med Försvarsmakten eller sin arbets- givare. Även om de skulle vara mellan 16 och 70 år och således i formell mening omfattas av totalförsvarsplikt, grundas deras tjänst- göring på avtalet och inte på plikt. Till annan personal inom total- försvaret hör även personer med begränsade uppgifter, t.ex. enligt förfogandelagstiftningen, samt totalförsvarspliktiga som tjänstgör med allmän tjänsteplikt.

Anställd personal

Anställd personal indelas i kontinuerligt tjänstgörande personal, tid- vis tjänstgörande personal och personal som är direktrekryterad för att tjänstgöra i en internationell militär insats.

Den kontinuerligt tjänstgörande personalen består av yrkesoffi- cerare, kontinuerligt tjänstgörande anställda gruppbefäl, soldater och sjömän samt civila arbetstagare. Yrkesofficerare är tillsvidareanställda militära tjänstemän och är anställda med stöd av officersförordningen (2007:1268). Yrkesofficerare indelas i kontinuerligt tjänstgörande officerare respektive kontinuerligt tjänstgörande specialistofficerare. Kontinuerligt tjänstgörande gruppbefäl, soldater och sjömän är tids- begränsat anställda med stöd av lagen (2012:332) om vissa försvars- maktsanställningar eller med stöd av kollektivavtal. Civila arbets- tagare, exempelvis hälso- och sjukvårdspersonal, präster, jurister och tekniker, kan vara antingen tillsvidareanställda eller tidsbegränsat an- ställda med stöd av lagen (1982:80) om anställningsskydd eller an- ställningsförordningen (1994:373). Utbildning och övning för dessa personer regleras i anställningsavtalet.

Allmänt om personalförsörjningen och verksamheten

SOU 2017:97

Den tidvis tjänstgörande personalen består av reservofficerare, tidvis tjänstgörande gruppbefäl, soldater och sjömän samt tidvis tjänstgörande specialister. Reservofficerare är tillsvidareanställda militära tjänstemän och är anställda med stöd av officersförord- ningen. Reservofficerare delas in i tidvis tjänstgörande officerare respektive tidvis tjänstgörande specialistofficerare. Tidvis tjänst- görande gruppbefäl, soldater och sjömän är anställda med stöd av lagen om vissa försvarsmaktsanställningar. Tidvis tjänstgörande spe- cialister är anställda som gruppbefäl, soldater och sjömän för tidvis tjänstgöring med stöd av lagen om vissa försvarsmaktsanställningar. De är anställda utifrån sina civila fackkompetenser och består exempelvis av läkare, präster, jurister, tekniker och mekaniker.

Därutöver kan personal direktrekryteras och anställas tidsbegrän- sat för att tjänstgöra i en internationell militär insats med stöd av lagen (2010:449) om Försvarsmaktens personal vid internationella militära insatser eller med stöd av lagen om vissa försvarsmakts- ställningar.

Avtalspersonal

Personal som inte är anställda inom totalförsvaret utan har tecknat avtal om tjänstgöring i Försvarsmakten benämns avtalspersonal. Hemvärnsmän är personal som har tecknat avtal om tjänstgöring i hemvärnet med stöd av hemvärnsförordningen (1997:146). Därutöver finns personal som inte är hemvärnsmän utan som antingen är an- ställda i Försvarsmakten och krigsplacerade i hemvärnet eller per- sonal som tecknat avtal om tjänstgöring i hemvärnet med stöd av förordningen (1994:524) om frivillig försvarsverksamhet. Det finns också avtalspersonal som har sin befattning i krigsförband som inte ingår i hemvärnet. Avtalspersonal kan även tjänstgöra vid andra myndigheter inom totalförsvaret. Avtalspersonal ska vara medlem- mar i en frivillig försvarsorganisation. De frivilliga försvarsorgani- sationerna finns förtecknade i förordningen om frivillig försvars- verksamhet.

SOU 2017:97

Allmänt om personalförsörjningen och verksamheten

4.1.4Övrig personal inom Försvarsmakten

Officersaspiranter

Officersaspiranter genomgår antingen utbildning vid Försvarshög- skolan som leder till en officersexamen (officerare) eller en grundläg- gande officersutbildning inom Försvarsmakten (specialistofficerare). Utbildningarna syftar till att officersaspiranterna ska få anställning som yrkes- eller reservofficer. De erhåller de förmåner som stadgas i 13 § officersförordningen.

Rekryter

Genom förordningen (2015:613) om militär grundutbildning in- fördes den 1 januari 2016 en ny militär grundutbildning. De rekryter som genomgår denna förlängda grundutbildning om minst 120 ut- bildningsdagar och högst 365 utbildningsdagar är inte anställda utan erhåller de förmåner som stadgas i förordningen. Den som genom- gått utbildningen ska kunna krigsplaceras i en befattning inom För- svarsmakten enligt lagen om totalförsvarsplikt, anställas som konti- nuerligt eller tidvis tjänstgörande gruppbefäl, soldat eller sjöman, påbörja utbildning som kan leda till anställning som yrkes- eller reservofficer eller teckna avtal som hemvärnsman.

Den 17 augusti 2017 beslutade regeringen att möjligheten att genomföra frivillig militär grundutbildning med stöd av förord- ningen om militär grundutbildning ska upphöra från och med den 1 januari 2018.4 Från och med denna tidpunkt får förordningen till- lämpas endast när regeringen beslutat att så kan ske med hänsyn till vad Sveriges försvarsberedskap tillåter. Detta framgår av 1 kap. 1 § andra stycket förordningen om militär grundutbildning, vilken trä- der i kraft den 1 januari 2018. Enligt övergångsbestämmelserna ska dock de som påbörjat frivillig militär utbildning före den 30 sep- tember 2017 få slutföra utbildningen i enlighet med förordningen.

4 Regeringsbeslut 2017-08-17, 2016/01252/MFI (delvis).

Allmänt om personalförsörjningen och verksamheten

SOU 2017:97

4.2Utredningar om totalförsvarspliktigas personliga förhållanden

Enligt lagen om totalförsvarsplikt är alla totalförsvarspliktiga skyl- diga att på begäran lämna uppgifter om sina personliga förhållan- den. Även totalförsvarspliktiga som frivilligt anmäler intresse för att genomföra militär utbildning och i förlängningen ta anställning inom totalförsvaret omfattas av lagen om totalförsvarsplikt. Ansva- ret för att samla in uppgifterna och på grundval av dessa utreda och bedöma om den totalförsvarspliktige har förutsättningar att fullgöra tjänstgöring inom totalförsvaret i form av värnplikt eller civilplikt åligger Rekryteringsmyndigheten.

4.2.1Beredskapsunderlaget

Alla totalförsvarspliktiga, såväl kvinnor som män, är under det kalenderår som de fyller 18 år skyldiga att i ett webbaserat fråge- formulär lämna uppgifter om vissa av sina personliga förhållanden. Uppgifterna sammanställs i det s.k. beredskapsunderlaget. Skyldig- heten att lämna uppgifter i beredskapsunderlaget har gällt trots att värnplikten har varit vilande under åren 2010–2017. Från och med den 1 juli 2017 föreligger återigen en skyldighet för totalförsvars- pliktiga att genomgå mönstring vid Rekryteringsmyndigheten. I 2 kap. 1 § lagen om totalförsvarsplikt anges:

För att en totalförsvarspliktigs förutsättningar att fullgöra värnplikt eller civilplikt ska kunna utredas och bedömas är han eller hon skyldig att, på begäran av Totalförsvarets rekryteringsmyndighet, en annan statlig myndighet som regeringen bestämmer, en kommun eller ett landsting, skriftligen eller muntligen eller, om det behövs, vid en personlig in- ställelse lämna nödvändiga uppgifter om hälsotillstånd, utbildning, arbete och personliga förhållanden i övrigt.

Med dessa uppgifter som grund kallar Rekryteringsmyndigheten de personer som bedöms lämpliga utifrån en samlad bedömning av hur motiverade de är och hur de i övrigt uppfyller Försvarsmaktens krav- profil till mönstring. Mönstringen ska ske genom att den total- försvarspliktige personligen inställer sig. Vidare ska den omfatta medicinska och psykologiska undersökningar samt annan utredning av hans eller hennes personliga förhållanden (2 kap. 3 § lagen om totalförsvarsplikt).

SOU 2017:97

Allmänt om personalförsörjningen och verksamheten

Att inte inställa sig till mönstring efter kallelse är belagt med penningböter om inte den totalförsvarspliktige har giltiga skäl att utebli (2 kap. 5 § och 10 kap. 1 § lagen om totalförsvarsplikt). Efter genomförd mönstring fattar Rekryteringsmyndigheten ett beslut om den totalförsvarspliktige ska skrivas in eller inte. En totalför- svarspliktig ska skrivas in för värnplikt eller civilplikt eller i en utbildningsreserv om resultatet av mönstringen visar att den total- försvarspliktige har förutsättningar att fullgöra värnplikt eller civil- plikt(3 kap. 1 § lagen om totalförsvarsplikt). Om mönstringen visar att den totalförsvarspliktige saknar förutsättningar att fullgöra värn- plikt eller civilplikt, ska Rekryteringsmyndigheten besluta att han eller hon inte är skyldig att fullgöra sådan tjänstgöring(3 kap. 3 § lagen om totalförsvarsplikt).

4.2.2Annan utredning

En totalförsvarspliktig är även skyldig att lämna uppgifter om hälso- tillstånd, utbildning, arbete och personliga förhållanden i övrigt på begäran av en länsstyrelse, Polismyndigheten, Säkerhetspolisen, För- svarsmakten, Post- och telestyrelsen, Trafikverket, Transportstyr- elsen, Statens jordbruksverk, Migrationsverket, Statens energimyn- dighet och Affärsverket svenska kraftnät (4 kap. 5 § andra stycket förordningen [1995:238] om totalförsvarsplikt). På grundval av dessa uppgifter kan en mindre omfattande utredning än mönstring utföras hos nämnda myndigheter. Sådan utredning kallas för annan utredning (2 kap. 1 och 5 §§ lagen om totalförsvarsplikt).

Förutsättningarna för annan utredning är att den enskilde ska vara totalförsvarspliktig, dvs. bosatt i Sverige och mellan 16–70 år (1 kap. 2 § lagen om totalförsvarsplikt). Enligt Totalförsvarets rekryterings- myndighets föreskrifter om totalförsvarsplikt (TRMFS 2017:1) får annan utredning göras för att fastställa en totalförsvarspliktigs förut- sättningar att fullgöra värnplikt eller civilplikt. Utredningen behöver dock inte leda till inskrivning (7 kap. 3 §). Inskrivning är dock en förutsättning för att en totalförsvarspliktig ska vara skyldig att fullgöra värnplikt eller civilplikt. Beroende på syftet med annan utredning kan den vara mer eller mindre ingående. Medicinska och psykologiska undersökningar får emellertid göras bara om den total- försvarspliktige samtycker till det (7 kap. 4 §). Någon skyldighet att,

Allmänt om personalförsörjningen och verksamheten

SOU 2017:97

som vid mönstring, genomgå psykologiska och medicinska under- sökningar föreligger således inte (prop. 1994/95:6 s. 161 f.). Annan utredning kan göras skriftligt, per telefon eller genom att den total- försvarspliktige inställer sig personligen (7 kap. 5 §). Det är den myn- dighet som genomför annan utredning som bestämmer vilka utred- ningar och undersökningar som ska göras (7 kap. 6 §). Myndigheten ska också informera den totalförsvarspliktige om hur utredningen går till och och att utredningen inte behöver leda till en inskrivning.

Den som är totalförsvarspliktig och är föremål för annan utred- ning ska enligt 17 § förvaltningslagen (1986:223) underrättas om de uppgifter som tillförts ärendet och få tillfälle att yttra sig över dessa innan ärendet avgörs. Detta gäller oavsett om ärendet ska avslutas med eller utan inskrivning i enlighet med den enskildes egen öns- kan (prop. 1994/95:6 s. 162 f.). När utredningen är avslutad ska den totalförsvarspliktige få skriftlig information om sina resultat (7 kap. 9 §). Ska inte den totalförsvarspliktige skrivas in ska ärendet avskrivas från fortsatt handläggning och den totalförsvarspliktige ska underrättas om avskrivningsbeslutet (7 kap. 10 §). Vid annan utredning aktualiseras också vissa av straffbestämmelserna i 10 kap. lagen om totalförsvarsplikt.

4.2.3Möjligheten att själv initiera annan utredning

Om en enskild är intresserad av att genomföra mönstring kan han eller hon själv initiera annan utredning genom att kontakta Rekry- teringsmyndigheten eller Försvarsmakten (2 kap. 1 § lagen om total- försvarsplikt). Någon begäran från en myndighet om att den en- skilde ska lämna uppgifter sker således inte. I förarbetena till lagen om totalförsvarsplikt (prop. 1994/95:6 s. 164) anges:

Ansvaret för att manliga svenska totalförsvarspliktiga genomgår mönst- ring ligger på Totalförsvarets pliktverk. Ingen är alltså skyldig att själv- mant anmäla sig eller uppsöka någon myndighet för att genomgå mönst- ring. Den totalförsvarspliktiges skyldigheter inskränker sig till att efter kallelse inställa sig för mönstring. Inget hindrar emellertid att den som av någon anledning inte har genomgått mönstring själv hos Totalför- svarets pliktverk tar initiativ till detta. Totalförsvarets pliktverk har då att ta ställning till om en mönstring ska genomföras eller om bedöm- ningen kan göras på den tillgängliga utredningen. Den totalförsvarsplik- tige har således ingen rätt att få genomgå mönstring.

SOU 2017:97

Allmänt om personalförsörjningen och verksamheten

Att bestämmelsen om mönstring enligt förarbetena kan tillämpas på detta sätt talar för att motsvarande tillämpning är möjlig för annan utredning initierad av den enskilde. Tidigare har bestämmelsen tillämpats på detta sätt för inskrivning för civilplikt av Rekryterings- myndigheten (SOU 2016:63 s. 85 f.).

Det föreligger ingen skyldighet för en enskild att genomföra annan utredning utan detta sker helt frivilligt på den enskildes initiativ. Någon kallelse till annan utredning skickas således inte ut. Det föreligger inte heller någon rättighet att få initiera annan utred- ning utan är en möjlighet som erbjuds den enskilde. Har en enskild visat intresse för annan utredning får denne först genomföra webb- tester och svara på frågor om bl.a. sin hälsa, utbildningsbakgrund, motivation osv. Vid godkänt resultat kan den enskilde därefter gå vidare i processen och boka tid för annan utredning med personlig inställelse (a. prop. s. 164 f.).

4.3Totalförsvarets rekryteringsmyndighet

En konsekvens av att totalförsvarsplikten infördes i Sverige var att Totalförsvarets pliktverk bildades. Den 1 juli 1995 inrättades Plikt- verket med den huvudsakliga uppgiften att svara för uttagning och redovisning av totalförsvarspliktig personal för både det civila och militära försvaret. I samband med att plikten vilandeförklarades och personalförsörjningen av totalförsvaret kom att bygga på frivillig- het och inte på plikt, bytte Pliktverket den 1 januari 2011 namn till Totalförsvarets rekryteringsmyndighet.

4.3.1Rekryteringsmyndighetens organisation

Rekryteringsmyndigheten är en civil myndighet under Försvars- departementet som verkar och bidrar till att uppnå de försvars- politiska målen. Den förändrade försvarspolitiska inriktningen har dock föranlett betydande organisations- och verksamhetsföränd- ringar sedan myndighetens inrättande.

Myndigheten leds av en generaldirektör och har cirka 120 an- ställda. Myndigheten bedriver verksamhet i Karlstad, Stockholm, Göteborg och Kristianstad. Myndighetens ledning och centrala funk- tioner, dvs. generaldirektören, staben samt myndighetens organisa-

Allmänt om personalförsörjningen och verksamheten

SOU 2017:97

toriska enheter, är lokaliserade i Karlstad. I Stockholm, Göteborg och Kristianstad finns myndighetens prövningsenheter, vid vilka urvalstester, undersökningar och bedömningar görs. Från och med den 1 januari 2018 kommer prövningsverksamheten att bedrivas i Stockholm och Malmö.

Myndighetens organisation består sedan den 1 januari 2017 av en stab samt fyra organisatoriska enheter: avdelningen för pröv- ning, avdelningen för bemanning och beredskap, avdelningen för it och avdelningen för verksamhetsstöd. Avdelningen för prövning bedriver antagningsprövning av personal för yrken och befattningar med särskilda krav samt handlägger ärenden som rör myndighetens medicinska och psykologiska verksamheter. Avdelningen för bemanning och beredskap redovisar totalförsvarets personal, handlägger ärenden som rör totalförsvarspliktiga samt stödjer och ger service till myndighetens uppdragsgivare. Här ingår civil per- sonalredovisning och personalförsörjning samt stöd till avdelningen för prövning. I avdelningen finns prövningsnära verksamhet som t.ex. kundstöd till sökande till bl.a. Försvarsmaktens och Polismyn- dighetens utbildningar. Avdelningen för it ansvarar för drift och förvaltning av it samt utvecklar it-lösningar för alla verksamhets- processer. Avdelningen för verksamhetsstöd lämnar stöd till Rekry- teringsmyndighetens chefer och medarbetare inom områdena eko- nomi, personal/HR, juridik, säkerhet, kommunikation, inköp/upp- handling, statistik, lokalfrågor, det centrala läkarhandlingsarkivet samt ansvarar för myndighetens expedition och arkiv. Här ingår också administrativt stöd till myndighetsledningen samt till exempelvis ledningen för avdelningen för prövning. Staben lämnar stöd till generaldirektören och avdelningscheferna när det gäller styrning och ledningsprocesser.

4.3.2Allmänt om verksamheten

Rekryteringsmyndighetens verksamhet regleras och styrs av ett fler- tal lagar och förordningar. Rekryteringsmyndigheten ansvarar, en- ligt förordning (2010:1472) med instruktion för Totalförsvarets rekryteringsmyndighet (myndighetsinstruktionen), för att myndig- heter och andra som har bemanningsansvar inom totalförsvaret får stöd och service i frågor om bemanning med totalförsvarspliktiga

SOU 2017:97

Allmänt om personalförsörjningen och verksamheten

som skrivs in för värnplikt eller civilplikt. Stöd och service ska läm- nas till de bemanningsansvariga även i fråga om totalförsvarspliktigas tjänstgöring och om redovisning av annan personal inom total- försvaret. Enligt myndighetsinstruktionen ska myndigheten också på uppdrag av Försvarsmakten tillhandahålla urvalstester av dem som ansökt till militär utbildning inom Försvarsmakten. Dessutom ska myndigheten utföra utredning om personliga förhållanden, mönstra, skriva in och krigsplacera totalförsvarspliktiga enligt lagen om totalförsvarsplikt. Inom sakområdet får myndigheten också åta sig att utföra uppdrag åt andra myndigheter samt åt kommuner, landsting och enskilda.

Lagen och förordningen om totalförsvarsplikt reglerar bl.a. mönst- ring, inskrivning och krigsplacering. Därutöver regleras myndig- hetens verksamhet såvitt avser personuppgiftsbehandlingen av total- försvarspliktiga av pliktregisterlagen och förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga. Andra lagar och förordningar som styr myndighetens verksamhet är bl.a. hälso- och sjukvårdslagen (1982:763), patientdatalagen (2008:355) och patientsäkerhetslagen (2010:659). Med utgångspunkt i de regler som styr Rekryteringsmyndighetens verksamhet beslutar sedan myndigheten själv om interna och externa föreskrifter för den egna verksamheten. Rekryteringsmyndighetens interna bestämmelser om myndighetens arbetsordning (RIB 2016:2) och föreskrifter om totalförsvarsplikt (TRMFS 2017:1) är några exempel.

Enligt myndighetsinstruktionen bedriver Rekryteringsmyndig- heten för närvarande såväl avgiftsfinansierad som anslagsfinansierad verksamhet. Den avgiftsfinansierade verksamheten omfattar dels uppdragsverksamhet för Försvarsmakten, dels uppdragsverksamhet för civila uppdragsgivare som t.ex. Polismyndigheten, Myndigheten för samhällsskydd och beredskap och SOS Alarm. Anslagsverksam- heten omfattar lämplighetsundersökningar av totalförsvarspliktiga5, centralredovisning av totalförsvarets personal, registerföring över krigsplacerad personal samt enskilda ärenden inom området. Även den av Rekryteringsmyndigheten bedrivna verksamheten med att

5 Enligt regeringsbeslut 2017-03-02, Fö2016/01252/MFI (delvis) får Rekryteringsmyndigheten, med undantag från 9 § första stycket myndighetsinstruktionen, ta ut avgifter från Försvars- makten för den verksamhet Rekryteringsmyndigheten ska bedriva till följd av regeringens beslut den 2 mars 2017 om mönstring och grundutbildning med värnplikt.

Allmänt om personalförsörjningen och verksamheten

SOU 2017:97

ge myndigheter och andra med bemanningsansvar inom totalför- svaret stöd och service avseende bemanning är anslagsfinansierad.

4.3.3Prövningsverksamheten

På uppdrag av Försvarsmakten och andra myndigheter bedriver Rekryteringsmyndigheten prövningsverksamhet, dvs. testar, under- söker och bedömer personer för yrken, utbildningar och uppgifter som ställer särskilda krav på den enskilde. Uppdragsgivarna anlitar myndigheten för att säkerställa att lämplig och rätt person anställs för den efterfrågade befattningen.

Prövningsverksamhet för Försvarsmakten

Försvarsmakten är Rekryteringsmyndighetens enskilt största upp- dragsgivare och svarar tillsammans med Polismyndigheten för 90 procent av de uppdrag som Rekryteringsmyndigheten utför. En- ligt den överenskommelse6 som myndigheterna träffat ska Rekry- teringsmyndigheten ge stöd till Försvarsmakten vid bl.a. bemanning av krigsförbanden (personalredovisning) och tekniskt systemstöd. På uppdrag av Försvarsmakten genomför Rekryteringsmyndigheten också antagningsprövning av frivillig personal för att trygga Försvars- maktens personalförsörjning.

Från och med den 1 juli 2017 åligger det Rekryteringsmyndig- heten att genomföra mönstring, skriva in och kalla totalförsvars- pliktiga till grundutbildning med värnplikt. Prövningar inför grund- utbildning utgör cirka 90 procent av uppdragen för Försvarsmakten, vilket motsvarar närmare 6 000 prövningar per år. I och med att värnplikten aktiverats förväntas Försvarsmakten genomföra grund- utbildning med värnplikt för drygt 4 000 personer per år 2018 och 2019. Enligt Rekryteringsmyndighetens bedömning behöver man pröva tre individer för att finna en lämplig att skriva in till grund- utbildning. Det betyder att ungefär 13 000 totalförsvarspliktiga kommer att prövas av myndigheten per år. Prövningen består av fysiologiska tester, medicinska undersökningar och bedömningar samt psykologiska tester och bedömningar. De krav som gäller för

6 Rekryteringsmyndigheten Ö 2016/0558.

SOU 2017:97

Allmänt om personalförsörjningen och verksamheten

inskrivning (befattningskrav) fastställs i samverkan mellan Försvars- makten och Rekryteringsmyndigheten. Efter prövning och utred- ning om de totalförsvarspliktigas personliga förhållanden ska Rekry- teringsmyndigheten placera dem i befattningsgrupper och skriva in dem för värnplikt, civilplikt eller i en utbildningsreserv enligt lagen om totalförsvarsplikt.

Prövningsverksamhet för andra civila uppdragsgivare

Rekryteringsmyndigheten får inom sakområdet åta sig att utföra civila uppdrag åt andra myndigheter samt åt kommuner, landsting och enskilda. Uppdragsverksamheten består bl.a. av rekrytering av personal till Polismyndigheten, Myndigheten för samhällsskydd och beredskap, SOS Alarm och Kustbevakningen.

Rekryteringsmyndigheten administrerar och genomför hela antag- ningsprocessen från ansökan till nominering av elever till polis- utbildningen för Polismyndighetens räkning. Myndigheten för sam- hällsskydd och beredskap anlitar Rekryteringsmyndigheten för medi- cinska undersökningar av samtliga elever som ska börja utbildning i skydd mot olyckor samt elever som ska börja utbildning till brand- ingenjör. På uppdrag av SOS Alarm genomför myndigheten psyko- logiska tester och bedömningar av larmoperatörer och chefer. Kustbevakningen anlitar Rekryteringsmyndigheten för att genom- föra psykologiska tester och bedömningar av elever till Kustbevak- ningens aspirantutbildning.

Rekryteringsmyndigheten genomför också psykologiska tester och bedömningar för Tullverket, Sjöfartsverket, Statens institutions- styrelse, Kriminalvården, Sahlgrenska Universitetssjukhuset/Rätts- psykiatri, Storstockholms brandförsvar och Statens inspektion för försvarsunderrättelseverksamheten. Medicinska tester har även genom- förts för Räddningstjänsten Dala-Mitt. Under 2016 var Polismyn- digheten, Myndigheten för samhällsskydd och beredskap och Kust- bevakningen de tre största civila uppdragsgivarna.7

Rekryteringsmyndighetens uppdrag är dock bara att tillhandahålla tekniskt stöd åt de civila uppdragsgivarna vid rekryteringsförfarandet och att genomföra medicinska och psykologiska undersökningar

7 Se Rekryteringsmyndighetens årsredovisning 2016 s. 15.

Allmänt om personalförsörjningen och verksamheten

SOU 2017:97

och tester. Det innebär att uppdragsgivarna är personuppgifts- ansvariga för den behandling av personuppgifter som sker vid han- tering av ansökan medan Rekryteringsmyndigheten är personupp- giftsbiträde. Vid den behandling av personuppgifter för uppdrag som inte avser totalförsvarspliktiga tillämpas personuppgiftslagen (1998:204). När det gäller den medicinska och psykologiska verk- samheten tillämpas patientdatalagen.

4.3.4Andra uppdrag för Försvarsmakten

Rekryteringsmyndigheten åtar sig och genomför även andra uppdrag för Försvarsmakten. Rekryteringsmyndigheten gör bl.a. medicinska undersökningar och psykologiska tester och bedömningar av de som sökt till Specialistofficersprogrammet och Officersprogrammet. De sökande har tidigare genomfört värnpliktstjänstgöring eller grund- läggande utbildning (GMU/GU). Kompletterande prövningar görs också för bl.a. stridsbåtförare, jägare och tolkar. De som sökt till befattningar med särskilda krav undersöks och testas av Rekryter- ingsmyndighetens medicinska personal och psykologer. Undersök- ningarna och testerna är anpassade efter de speciella krav som gäller för varje befattning.

Därutöver prövar myndigheten personer som söker grundlägg- ande soldatutbildning för internationell tjänstgöring (GSU INT). Sökande till befattningar i internationella insatser har inte tidigare genomgått värnpliktsutbildning eller GMU/GU. Det rör sig främst om medicinsk personal som efter uttagning genomför en kortare militär utbildning. På uppdrag av Försvarsmakten testar och under- söker myndigheten även de som sökt befattning som militärobser- vatör eller stabspersonal i internationella insatser.

4.3.5Beredskapsunderlaget och mönstring

Från och med den 1 juli 2017 ska alla totalförsvarspliktiga kallas till mönstring för inskrivning till grundutbildning med värnplikt.8 Det är Rekryteringsmyndighetens uppgift att informera alla svenska med- borgare som under kalenderåret fyller 18 år om vad den återinförda

8 Regeringsbeslut 2017-03-02, Fö 2016/01252/MFI (delvis).

SOU 2017:97

Allmänt om personalförsörjningen och verksamheten

skyldigheten att mönstra och fullgöra grundutbildning med värn- plikt innebär. Det är också Rekryteringsmyndighetens ansvar att i det s.k. beredskapsunderlaget samla in uppgifter om de totalför- svarspliktigas personliga förhållanden. Under 2017 fick 90 579 kvin- nor och män födda år 1999 brev från Rekryteringsmyndigheten med information om beredskapsunderlaget och inloggningsupp- gifter till frågeformuläret på webben. På grundval av uppgifterna i beredskapsunderlaget kallar Rekryteringsmyndigheten till och genom- för mönstring samt beslutar on inskrivning av totalförsvarspliktiga till grundutbildning med värnplikt. För en utförlig beskrivning av beredskapsunderlaget och förfarandet vid mönstring, se avsnitt 4.2.1 och 5.3.

4.3.6Stöd och service till bemanningsansvariga inom totalförsvaret

Rekryteringsmyndigheten ansvarar, som tidigare nämnts, för att myndigheter och andra som har bemanningsansvar inom totalför- svaret får stöd och service i frågor om bemanning med totalför- svarspliktiga som skrivs in för värnplikt eller civilplikt. Rekryterings- myndighetens roll i förhållande till de bemanningsansvariga är i huvudsak verkställande. Det innebär att de bemanningsansvariga själva ansvarar för att fastställa behovet av krigsplacerad personal för sin respektive krigsorganisation genom att före den 1 december varje år underrätta Rekryteringsmyndigheten om hur många total- försvarspliktiga som ska skrivas in för värnplikt eller civilplikt och till vilka befattningar (2 kap. 3 § Totalförsvarets rekryteringsmyndig- hets föreskrifter om totalförsvarsplikt).

Rekryteringsmyndigheten ska enligt myndighetsinstruktionen lämna stöd och service även till de bemanningsansvariga i fråga om totalförsvarspliktigas tjänstgöring och om redovisning av annan personal inom totalförsvaret. Annan personal är fast anställd per- sonal inom Försvarsmakten eller andra myndigheter samt personal som ingått frivilligavtal (se avsnitt 4.1.3). Uppdraget omfattar bl.a. bemanningsfrågor, personalplanering inför höjd beredskap och krigs- placering.

Allmänt om personalförsörjningen och verksamheten

SOU 2017:97

Stöd för bemanning av krigsförband samt repetitionsutbildning

Rekryteringsmyndigheten har i uppdrag att tillsammans med För- svarsmakten säkerställa att samtliga krigsförband med tillhörande mobiliseringsreserver är fullt bemannade med krigsplacerad perso- nal. Verksamheten omfattar bl.a. omorganisation och bemanning av krigsorganisationen, kallelse av värnpliktig personal till repetitions- utbildning samt registervård av krigsförband och personal.

På uppdrag av Försvarsmakten sköter Rekryteringsmyndigheten registerhållningen och redovisningen av bemanningen av Försvars- maktens krigsorganisation. Detta är ett löpande arbete för att bemanningen av förbandsorganisationen ska hållas uppdaterad och aktuell för det fall regeringen beslutar om höjd beredskap. Därtill genomför och ansvarar myndigheten för den årliga omorganisa- tionen av krigsorganisationens bemanning.

Det är också Rekryteringsmyndigheten som beslutar om och delger totalförsvarspliktig personal besked om krigsplacering samt fattar beslut vid ändrad krigsplacering. Vidare svarar myndigheten, på uppdrag av Försvarsmakten, för att kalla in totalförsvarspliktig personal till repetitionsutbildning. Myndigheten svarar också för ärenden om uppskov. Efter hemställan från Försvarsmakten beslutar Rekryteringsmyndigheten också om förlängd krigsplacering för total- försvarspliktiga med avslutad grundutbildning.9

Personalredovisning av totalförsvaret

Rekryteringsmyndigheten har inte bara till uppgift att pröva total- försvarspliktig personal utan det åligger även myndigheten att redo- visa personal som har uppgifter inom totalförsvaret. Det är också Rekryteringsmyndigheten som för register över totalförsvarspliktiga som är krigsplacerade. Registreringen är betydelsefull såtillvida att den säkerställer att ingen totalförsvarspliktig är placerad i flera befattningar i krigsorganisationen.

Vid behov ger Rekryteringsmyndigheten stöd åt myndigheter, kommuner och landsting vid civil personalredovisning och registrerar den personal som är krigsplacerad (anställda och avtalspersonal).

9 Se bl.a. SVAR Hemställan om förlängd krigsplacering av totalförsvarspliktig personal 2016/0108:2.

SOU 2017:97

Allmänt om personalförsörjningen och verksamheten

Intresset för totalförsvarsplanering och registrering av personal för den egna krigsorganisationen har ökat betydligt under senare tid.10 Rekryteringsmyndigheten gör bl.a. disponibilitetskontroller för civila myndigheters och organisationers räkning, vilket innebär att myn- digheten kontrollerar att personerna inte är krigsplacerade hos Försvarsmakten eller någon annan myndighet. Rekryteringsmyn- digheten genomför efter önskemål av civila myndigheter och orga- nisationer också informationsmöten tillsammans med Försvars- makten, Polismyndigheten, landsting, kommuner och länsstyrelser i syfte att lämna den information som är nödvändig för att dessa aktörer ska kunna uppfylla sina skyldigheter när det gäller total- försvarsplanering. Civila uppdrag om disponibilitetskontroller och krigsplaceringar genomförs löpande av Rekryteringsmyndigheten och allt fler myndigheter och organisationer registrerar sin personal hos myndigheten.

10 Se Rekryteringsmyndighetens årsredovisning 2016 s. 19.

5Rekryteringsmyndighetens behandling av personuppgifter

5.1Uppdraget

Enligt våra direktiv ingår i uppdraget att kartlägga den behandling av personuppgifter som sker hos Rekryteringsmyndigheten. I sam- band med kartläggningen ska vi analysera hur behandlingen av personuppgifter om totalförsvarspliktiga ska regleras och om fler kategorier av personer ska ingå i en sådan reglering. I analysen ska vidare hänsyn tas till verksamhetens särskilda art och förändringar som gjorts i verksamheten, regeringsformen och senare tillkommen lagstiftning.

Nedan följer en beskrivning av den personuppgiftsbehandling som utförs och kan utföras av Rekryteringsmyndigheten. Därefter redogörs för resultatet av och vår bedömning av kartläggningen. I kapitel 6 och 7 redovisar vi våra allmänna utgångspunkter för en ny reglering och våra överväganden i fråga om hur allmänna be- stämmelser, såsom tillämpningsområde, bör utformas.

5.2Rekryteringsmyndighetens verksamhetsstödjande system

Den verksamhet som Rekryteringsmyndigheten bedriver är unik såtillvida att det inte finns någon annan myndighet eller organi- sation i Sverige som bedriver en med myndigheten likartad verk- samhet. Rekryteringsmyndigheten har därför utvecklat egna verksam- hetsstödjande system och bär också ansvaret för förvaltningen och skötseln av dessa. I likhet med andra myndigheter och organisa- tioner har Rekryteringsmyndigheten också ett it-stöd för sin verk- samhet.

Rekryteringsmyndighetens behandling av personuppgifter

SOU 2017:97

Det är framför allt de verksamhetsstödjande systemen som är av intresse för utredningen. Sedan juni 1997 redovisar Rekryterings- myndigheten behandlingen av personuppgifter om totalförsvars- pliktiga i informationssystemen Plis, Plis prov mönstring och Syom. I informationssystemen Plis prov extern och Atlas behandlas per- sonuppgifter om prövande för antagning till utbildning eller anställ- ning i Försvarsmakten eller någon annan statlig myndighet eller organisation. I Rekryteringsmyndighetens centrala läkarhandlings- arkiv finns ett stort antal journaler med medicinska uppgifter beva- rade. Nedan följer en översiktlig beskrivning av de för myndigheten mest centrala verksamhetsstödjande informationssystemen samt arkivet.

5.2.1Plis

Plis (Pliktverkets informationssystem) är det centrala informations- systemet inom Rekryteringsmyndigheten i vilket personuppgifter om personal inom totalförsvaret registreras och hanteras. Utöver Rekryteringsmyndigheten har Försvarsmakten direktåtkomst till personuppgifter i Plis men endast i den omfattning som framgår av bilaga 1 till förordningen (1998:1229) om behandling av person- uppgifter om totalförsvarspliktiga. Plis driftsattes 1997 och ersattes 2005 av en moderniserad version. Plis innehåller uppgifter om totalförsvarspliktigas mönstring och tjänstgöring inom totalförsva- ret samt krigsplacering. Plis fungerar också som stöd till krigs- organisationens civila delar och hemvärnet.

Personuppgifterna i Plis behandlas med stöd av personuppgifts- lagen (1998:204) och pliktregisterlagen.

Personuppgiftsbehandlingen i Plis omfattar samtliga totalförsvars- pliktiga och andra som har skyldighet att fullgöra uppgifter inom totalförsvaret vid höjd beredskap utan att skyldigheten grundar sig på totalförsvarsplikt (2 § pliktregisterlagen). Enligt 8 § pliktregister- lagen får i automatiserat register över totalförsvarspliktiga endast föras in personuppgifter om den som

1.är eller har varit aktuell för mönstring och annan utredning om den totalförsvarspliktiges förhållanden,

2.genom avtal, beslut om krigsplacering eller på annat sätt är tagen i anspråk för totalförsvaret,

SOU 2017:97

Rekryteringsmyndighetens behandling av personuppgifter

3.ska utföra särskild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig för totalförsvaret,

4.av en redan registrerad uppgetts som närstående, eller

5.nämns bland de uppgifter som avses i 9 § första stycket 13 plikt- registerlagen.

Tillgång till Plis kräver behörighet. Åtkomsten begränsas såtillvida att de som har behörighet endast får tillgång till de delar av systemet som de behöver för att kunna fullgöra sina arbetsuppgifter. Inlogg- ning kan endast ske med hjälp av totalförsvarets elektroniska id- kort. Aktiviteter i systemet loggas och logguppföljning görs regel- bundet av it-säkerhetschefen och verksamhetschefen.

Plis innehåller en mängd personuppgifter, varav många är känsliga. De personuppgifter som får föras in i registret framgår uttöm- mande av 9 § pliktregisterlagen och är följande:

1.personnummer eller samordningsnummer, namn, adress, tele- fonnummer och folkbokföringsort,

2.hinder för genomförande av utredning som avses i 3 § första stycket, för utbildning eller för krigsplacering eller annat ian- språktagande av den registrerade för totalförsvarets räkning,

3.boende- och familjeförhållanden samt försörjning, om uppgiften behövs för att Rekryteringsmyndigheten ska kunna fullgöra sina åligganden i fråga om förmåner till totalförsvarspliktiga,

4.utbildning, anställning, kunskaper, färdigheter, anlag och intressen som har betydelse för bedömningen av den registrerades använd- barhet inom totalförsvaret,

5.fysisk och psykisk hälsa och förmåga jämte de uppgifter som ligger till grund för bedömningen härav,

6.om den registrerade är svensk medborgare eller inte,

7.utgången i mål om ansvar för brott mot totalförsvarsplikten,

8.att den registrerade har dömts till påföljd för brott som framgår av uppgift ur belastningsregistret som Rekryteringsmyndigheten fått del av,

Rekryteringsmyndighetens behandling av personuppgifter

SOU 2017:97

9.att den registrerade genomgått säkerhetsprövning enligt säker- hetsskyddslagen (1996:627), vilken säkerhetsklass prövningen avsett och resultatet av denna,

10.vad som bestämts vid inskrivningen enligt lagen (1994:1809) om totalförsvarsplikt eller lagen (1994:1810) om möjlighet för kvin- nor att fullgöra värnplikt eller civilplikt med längre grundutbild- ning11,

11.krigsplacering, annat ianspråktagande av den registrerade för total- försvaret eller särskild uppgift som han eller hon ska utföra vid höjd beredskap,

12.tjänstgöring inom totalförsvaret samt betyg, vitsord, förordnan- den och utmärkelser som är att hänföra till denna, samt

13.personliga förhållanden i övrigt som åberopas av den registrerade, om de rör hans eller hennes tjänstgöring inom totalförsvaret.

Plis innehåller även känsliga uppgifter om hälsa och religiös över- tygelse. Uppgifter om religiös övertygelse registreras dock endast om den registrerade har lämnat sitt uttryckliga samtycke till att uppgifterna behandlas i registret och de rör hans eller hennes tjänst- göring inom totalförsvaret (9 § andra stycket pliktregisterlagen).

Utöver de personliga uppgifter som inhämtas från den total- försvarspliktige själv, inhämtas uppgifter från ett flertal myndigheter och andra som enligt 3 kap. förordningen (1995:238) om totalför- svarsplikt är skyldiga att lämna uppgifter till Rekryteringsmyn- digheten, bl.a. Skatteverket, Statens institutionsstyrelse, Försäk- ringskassan, Kriminalvården, utbildningsmyndigheter och skolor, Transportstyrelsen, Post- och telestyrelsen, vårdinrättningar, kom- muner och landsting m.fl.

I dagsläget innehåller Plis information om cirka 3,7 miljoner svenska medborgare som klassats och registrerats som totalförsvars- pliktiga. Av dessa är cirka 50 000 utflyttade eller utlandsboende. Vid utgången av 2016 fanns totalt 253 civilpliktiga redovisade i Plis jämfört med 319 vid samma tillfälle 2015.12 Differensen beror på att

11Lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbild- ning upphävdes den 1 juli 2010, då även kvinnor kom att omfattas av de allmänna bestäm- melserna om skyldighet att genomgå mönstring och fullgöra värnplikt.

12Se Rekryteringsmyndighetens årsredovisning 2016, s. 20.

SOU 2017:97

Rekryteringsmyndighetens behandling av personuppgifter

krigsplaceringen har upphört för 66 civilpliktiga, vilket i sin tur beror på att en totalförsvarspliktig enligt lagen om totalförsvarsplikt inte ska vara krigsplacerad längre än 10 år efter sin senaste tjänstgör- ingsdag eller efter det datum som krigsplacerande myndighet angett om krigsplaceringen förlängts.

5.2.2Plis prov mönstring

Informationssystemet Plis prov mönstring är ett system för insam- ling av personuppgifter om totalförsvarspliktiga som genomgår mönstring enligt 2 kap. 1–3 §§ lagen om totalförsvarsplikt.

Personuppgifterna i Plis prov mönstring behandlas med stöd av per- sonuppgiftslagen, pliktregisterlagen och patientdatalagen (2008:355). Tillgång till Plis prov mönstring kräver behörighet och inloggning kan endast ske med hjälp av användar-id och lösenord.

Plis prov mönstring innehåller bl.a. uppgifter om de totalförsvars- pliktigas namn, personnummer, adress, telefonnummer, utbildning, anställningar, kunskaper, färdigheter, uppgifter om fysisk och psy- kisk hälsa och förmåga (se 9 § pliktregisterlagen för en uttömman- de uppräkning). Även känsliga uppgifter behandlas. Uppgifterna hämtas från den enskilde. De samlade provresultaten och uppgif- terna förs fortlöpande över till Plis och möjliggör en samlad bild av den mönstrandes testvärden.

5.2.3Syom

Informationssystemet Syom (Systemomläggning 1980) innehåller huvudsakligen samma information om totalförsvarspliktiga och andra som har skyldighet att fullgöra uppgifter inom totalförsvaret vid höjd beredskap som Plis.

Personuppgifterna i Syom behandlas med stöd av personuppgifts- lagen och pliktregisterlagen. Tillgång till systemet kräver behörighet. Inloggning kan endast ske med hjälp av användar-id och lösenord. I likhet med Plis loggas aktiviteter i Syom och logguppföljning görs regelbundet av it-säkerhetschefen.

Syom innehåller bl.a. basuppgifter som namn, adress och person- nummer samt uppgifter om tjänstgöring som tjänstgöringstid, befattning, betyg m.m. (se 9 § pliktregisterlagen). Uppgifter om

Rekryteringsmyndighetens behandling av personuppgifter

SOU 2017:97

folkbokföring lämnas av Skatteverket och tjänstgöringsuppgifter inhämtas från Försvarsmakten. Känsliga personuppgifter behandlas dock inte i Syom.

I maj 2017 driftsattes ett nytt informationssystem – Atlas Kro – som har ersatt Syom. Det nya it-systemet har utarbetats i nära samverkan med Försvarsmakten och redovisar Försvarsmaktens personal och krigsförband i fredstid samt vid höjd beredskap och krig. Även underlag för repetitionsutbildning samt ärenden som gäller de totalförsvarspliktiga som är krigsplacerade i Försvarsmaktens organisation administreras i systemet.

5.2.4Plis prov extern

I informationssystemet Plis prov extern behandlas personuppgifter om prövande för antagning till utbildning eller anställning i För- svarsmakten eller någon annan statlig myndighet eller organisation.

Personuppgifterna i Plis prov extern behandlas med stöd av personuppgiftslagen och patientdatalagen. Tillgång till Plis prov extern kräver behörighet. Inloggning kan endast ske med hjälp av användar- id och lösenord.

Plis prov extern innehåller uppgifter om namn, personnummer, adress, telefonnummer, fysisk och psykisk hälsa och förmåga. Även känsliga personuppgifter behandlas med stöd av 2 kap. 4 och 7 §§ patientdatalagen. Uppgifterna hämtas från den enskilde.

5.2.5Atlas

I likhet med informationssystemet Plis prov extern behandlas per- sonuppgifter om prövande för antagning till utbildning eller anställ- ning i Försvarsmakten eller någon annan statlig myndighet eller organisation i informationssystemet Atlas med stöd av personupp- giftslagen och patientdatalagen. Ändamålet med personuppgifts- behandlingen är vårddokumentation enligt 2 kap. 4 § patientdata- lagen.

Tillgång till Atlas kräver behörighet. Inloggning kan endast ske med hjälp av Rekryteringsmyndighetens elektroniska id-kort och samtliga aktiviteter loggas. Logguppföljning görs regelbundet av it- säkerhetschefen och verksamhetschefen.

SOU 2017:97

Rekryteringsmyndighetens behandling av personuppgifter

Atlas innehåller uppgifter om namn, personnummer, adress, telefonnummer, fysisk och psykisk hälsa och förmåga. Även käns- liga personuppgifter behandlas med stöd av 2 kap. 4 och 7 §§ patient- datalagen. Uppgifterna hämtas från den enskilde.

5.2.6Övriga informationssystem

Rekryteringsmyndigheten behandlar personuppgifter i ett antal öv- riga informationssystem, bl.a. Abalon, Proceedo, Agresso och Palasso m.fl. Personuppgiftsbehandlingen i dessa system är emeller- tid av mer personaladministrativ karaktär och faller som sådan utan- för ramen för vårt uppdrag. Någon redogörelse för dessa informa- tionssystem ges därför inte.

5.2.7Centrala läkarhandlingsarkivet

I Rekryteringsmyndighetens centrala läkarhandlingsarkiv finns uppgifter om mer än 3 miljoner totalförsvarspliktiga. Läkarhand- lingsarkivet innehåller journaler med medicinska uppgifter om alla män som är födda 1946 eller senare och som har mönstrat till och med den 30 juni 2010. Journaler finns också om de kvinnor som antagningsprövat vid Rekryteringsmyndigheten till och med den 30 juni 2010. Journalhandlingar i pappersform mikrofilmas, varefter informationen förs över på digitalt medium i informationssystemet Atlas. I de arkiverade handlingarna finns uppgifter om bl.a. längd, vikt, blodtryck, syn, hörsel, kondition, muskelstyrka och i en del fall EKG. Även psykologiska förmågor, exempelvis ledaregenska- per och lämplighet att bli befäl, finns redovisade.

5.3Behandling av personuppgifter vid mönstring

Den behandling av personuppgifter som Rekryteringsmyndigheten utför inom ramen för sin verksamhet tydliggörs bäst genom en beskrivning av förfarandet vid mönstring. Redovisningen baseras i huvudsak på information inhämtad från Rekryteringsmyndigheten.

Rekryteringsmyndighetens behandling av personuppgifter

SOU 2017:97

5.3.1Aviseringar

Rekryteringsmyndigheten får enligt förordningen om totalförsvars- plikt årligen aviseringar från Skatteverket om alla svenska med- borgare som är folkbokförda i landet och som under året fyller 17 år. Uppgifterna, dvs. namn, personnummer, adress och med- borgarskap, registreras av Rekryteringsmyndigheten i informations- systemet Plis och utgör underlag för kallelser till mönstring. Där- utöver aviserar Skatteverket folkbokföringsuppgifter, såsom adress- ändringar, förändrat medborgarskap, dödsfall m.m., varje vecka till myndigheten. Dessa uppgifter ligger sedan till grund för löpande uppdateringar av informationen i Plis. Rekryteringsmyndighetens inflöde av information till Plis grundas således till övervägande del på aviseringar från Skatteverket.

Enligt förordningen om totalförsvarsplikt föreligger uppgifts- skyldighet även för ett flertal andra myndigheter och organisa- tioner. Rekryteringsmyndigheten får bl.a. aviseringar från Statens Institutionsstyrelse (SIS), Försäkringskassan, Kriminalvården, Trans- portstyrelsen, kommuner och landsting. De uppgifter som ska läm- nas avser bl.a. personuppgifter (SIS), uppgifter om insatser enligt lagen (1993:387) om stöd och service till vissa funktionshindrade eller intagning på vårdinrättning med stöd av lagen (1991:1128) om psykiatrisk tvångsvård (vårdinrättningar), uppgifter om sjukersätt- ning, aktivitetsersättning eller vårdbidrag (Försäkringskassan), kör- kortsuppgifter (Transportstyrelsen) m.m. Uppgifterna registreras i Plis varvid eventuella hinder för tjänstgöring direkt framgår av syste- met. Det innebär att vissa totalförsvarspliktiga automatiskt undan- tas från mönstring och därmed inte åläggs en skyldighet att besvara beredskapsunderlaget.

5.3.2Beredskapsunderlaget

Med undantag för dem som på grund av hinder inte aktualiseras för mönstring, skickas ett informationsbrev om beredskapsunderlaget ut i postnummerordning till samtliga kvinnor och män som under året fyllt 18 år.

De totalförsvarspliktiga har möjlighet att besvara beredskaps- underlaget på webben genom att logga in på ”Min Sida” eller ge- nom att beställa underlaget i pappersform av Rekryteringsmyndig-

SOU 2017:97

Rekryteringsmyndighetens behandling av personuppgifter

heten. Inloggning på ”Min Sida” på webben sker antingen via en personlig inloggningskod eller via e-legitimation.

För närvarande föreligger ingen möjlighet för de totalförsvars- pliktiga att direkt lägga in svaren på frågorna i beredskapsunder- laget i Plis utan de inlämnade uppgifterna hanteras som en in- kommen handling hos Rekryteringsmyndigheten. Det är inte heller möjligt att i beredskapsunderlaget skriva någon fritext. Vissa svar är direkt diskvalificerande, dvs. avgörande för om uttagning till mönst- ring ska ske eller inte. Utöver uppgifter om hälsa, förekommer inga känsliga personuppgifter i beredskapsunderlaget. Eftersom skyldig- heten att besvara beredskapsunderlaget följer direkt av lag, krävs inte den enskildes samtycke för Rekryteringsmyndighetens behand- ling av dennes personuppgifter.

Har Rekryteringsmyndigheten inte erhållit svar på beredskaps- underlaget inom 14 dagar från det att informationsbrevet skickades ut, skickas en automatisk påminnelse till den enskilde i form av sms, e-post eller brev. Kommunikationssättet väljs av den totalför- svarspliktige själv på ”Min Sida”. I påminnelsen påtalas att under- låtelse att besvara beredskapsunderlaget kan resultera i vite.

5.3.3Selektering

När Rekryteringsmyndigheten erhållit samtliga svar på beredskaps- underlaget genomförs en s.k. selektering. Selektering innebär att beslut tas om vilka som bedöms lämpliga att kallas till mönstring baserat på en samlad bedömning av hur motiverade de är och hur de i övrigt uppfyller Försvarsmaktens kravprofil. Totalförsvarspliktiga som inte kallas till mönstring kvarstår alltjämt som registrerade hos Rekryteringsmyndigheten.

Resterande, i dagsläget cirka 4 500 totalförsvarspliktiga, får ett besked om att de kommer att kallas till mönstring. Ett visst antal totalförsvarspliktiga kan komma att kallas till mönstring senare och får besked om att de placerats i en utbildningsreserv. Även de som inte har besvarat beredskapsunderlaget kan komma att kallas till mönstring. Urvalet sker slumpvis och har ett signalvärde i det att underlåtenhet att besvara beredskapsunderlaget inte innebär att den totalförsvarspliktige därigenom undgår att kallas till mönstring.

Rekryteringsmyndighetens behandling av personuppgifter

SOU 2017:97

Selekteringen genomförs i informationssystemet Atlas – Rekry- teringsmyndighetens framtida system.

De totalförsvarspliktiga får besked om de kommer att kallas till mönstring eller inte via ”Min Sida” på webben. Det innebär att de har direktåtkomst till ”Min Sida” och de uppgifter som finns till- gängliga där, i huvudsak beredskapsunderlaget och uppgifter om mönstringen i form av ett digitalt brev i pdf-format.

I detta sammanhang kan noteras att Rekryteringsmyndigheten under 2016 genomförde en provselektering av ungdomar födda 1996. Av de cirka 90 000 ungdomar som deltog i provselekteringen, besvarade 88 400 beredskapsunderlaget, varav drygt 43 000 uppfyllde förutsättningarna för att kallas till mönstring. Av dessa bedömdes 22 300 lämpliga för mönstring, varav 8 300 var kvinnor.

5.3.4Kallelse till mönstring

Totalförsvarspliktiga som vid selekteringen valts ut för mönstring, erhåller som regel en kallelse till mönstring cirka 70 dagar innan aktuell mönstringsdag. Beroende på var den enskilde bor, bokas sam- tidigt logi åt denne som bekostas av staten. Resa och logi kan också bokas av den enskilde på ”Min Sida”.

Den som kallats till mönstring är skyldig att bekräfta mottag- andet av kallelsen. Bekräftelse sker på ”Min Sida” genom en per- sonlig kod eller e-legitimation alternativt genom en svarstalong som erhålls av och skickas till Rekryteringsmyndigheten. Den totalför- svarspliktige har dock möjlighet att boka om sin mönstringstid. Mönstringstiden kan bokas om en månad före eller efter den ut- satta mönstringstidpunkten och kan bokas om hur många gånger som helst under förutsättning att det sker inom den angivna tids- ramen om en månad. Däremot kan den enskilde aldrig boka av mönstringstiden eftersom mönstringen är en lagstadgad plikt. Att inte inställa sig till mönstring efter kallelse kan leda till åtal och resultera i böter om det efter utredning visar sig att den enskilde inte hade giltiga skäl att utebli.

SOU 2017:97

Rekryteringsmyndighetens behandling av personuppgifter

5.3.5Mönstring

Mönstringen sker genom att den enskilde personligen inställer sig hos Rekryteringsmyndigheten och genomför medicinska och psyko- logiska undersökningar och utredning av den enskildes personliga förhållanden, bl.a. syn- och hörseltest, begåvningstest, intervju med en psykolog, arbetsprov m.m. Samtliga hälso- och sjukvårdsunder- sökningar sker med stöd av patientdatalagen och genomförs av legi- timerad personal som är anställd av Rekryteringsmyndigheten.

Om den totalförsvarspliktige inte godkänns i något moment under mönstringen beslutar Rekryteringsmyndigheten om den total- försvarspliktige ska avbryta mönstringen eller inte.

5.3.6Inskrivning

Oavsett om hela mönstringen genomförs eller inte träffar den total- försvarspliktige alltid en inskrivningshandläggare. Inskrivningshand- läggaren har tillgång till samtliga insamlade uppgifter om den total- försvarspliktige. Mot bakgrund av dessa uppgifter samt provresultaten lämnar inskrivningshandläggaren förslag på lämpliga befattningar för den totalförsvarspliktige. Den totalförsvarspliktige får också möj- lighet att vid samtal med inskrivningshandläggaren framföra sina synpunkter och önskemål om tjänstgöringen. Utifrån resultatet av mönstringen fattar inskrivningshandläggaren därefter beslut om den totalförsvarspliktige ska skrivas in till värnpliktsutbildning, utbild- ningsreserven eller inte tas i anspråk för tjänstgöring. En total- försvarspliktig som ska skrivas in till värnpliktsutbildning kan antingen bli inskriven direkt, s.k. direktinskrivning, eller bli nominerad för inskrivning. Vid nominering rangordnas de nominerade utifrån sina resultat och de som bedöms som lämpligast blir inskrivna för tjänst- göring.

5.3.7Tjänstgöring

Innan den totalförsvarspliktige får påbörja utbildningen ska denne ha genomfört en säkerhetsprövning med godkänt resultat. Kontroll görs i misstanke- och belastningsregistret och först därefter skrivs den totalförsvarspliktige in för tjänstgöring. När Rekryteringsmyn-

Rekryteringsmyndighetens behandling av personuppgifter

SOU 2017:97

digheten beslutat om att den totalförsvarspliktige ska genomföra värnplikt kallas denne till tjänstgöring. Det åligger den totalförsvars- pliktige att bekräfta kallelsen.

Rekryteringsmyndigheten har till uppgift att redovisa de total- försvarspliktigas tjänstgöring. Avisering om tjänstgöringstid görs till Försäkringskassan som därigenom får underlag för utbetalning av olika ersättningar och bidrag till de totalförsvarspliktiga. Även Pensionsmyndigheten aviseras då värnplikten är pensionsgrundande. Därtill skickas den totalförsvarspliktiges journal över till Försvars- makten. Tillgång till journalhandlingar är nödvändigt för att Försvars- makten vid behov ska kunna bedöma totalförsvarspliktigas tjänst- barhet.

Under tjänstgöringen har Rekryteringsmyndigheten tillgång till uppgifter om den totalförsvarspliktiges tjänstgöring, exempelvis upp- gift om att denne får en ny befattning eller av någon anledning avbryter tjänstgöringen. När den totalförsvarspliktige är färdigut- bildad och tjänstgöringen avslutad registrerar Försvarsmaktens per- sonal samtliga uppgifter om den totalförsvarspliktige och tjänst- göringen direkt in i Rekryteringsmyndighetens informationssystem. Uppgifter som registreras är exempelvis betyg, vitsord, färdigheter, tjänstgöringens längd osv. Det är Rekryteringsmyndighetens ansvar att hålla ordning på antalet plikttjänstgöringsdagar som den total- försvarspliktige genomfört.

5.4Behandling av personuppgifter vid annan utredning

I avsnitt 4.2.3 beskrivs förutsättningarna för enskilda som är in- tresserade av att tjänstgöra inom totalförsvaret att själva initiera och genomföra annan utredning än mönstring. Frivilligheten mani- festeras i att totalförsvarspliktiga ges möjlighet att anmäla att de är intresserade av att genomföra annan utredning och därefter får ta ställning till om de vill mönstra. Annan utredning syftar till att utreda förutsättningarna för den totalförsvarspliktige att fullgöra tjänstgöring inom totalförsvaret genom värnplikt eller civilplikt. Oavsett om denne har anmält intresse eller har kallats till mönst- ring med plikt, är det dock lagen om totalförsvarsplikt som ska tillämpas. Förfarandet med annan utredning innebär att såväl För-

SOU 2017:97

Rekryteringsmyndighetens behandling av personuppgifter

svarsmakten som Rekryteringsmyndigheten får tillgång till och behandlar en stor mängd personuppgifter. Behandlingen av person- uppgifter vid annan utredning åskådliggörs i det följande (merparten av uppgifterna är hämtade från 2015 års personalförsörjningsutred- ning, SOU 2016:63, s. 85 f.).

5.4.1Annan utredning

Om en enskild är intresserad av att mönstra och därefter genom- föra värnplikt eller civilplikt kan han eller hon själv initiera annan utredning genom att vända sig till Försvarsmakten. En förutsätt- ning för att initiera annan utredning är att den enskilde ska vara totalförsvarspliktig, dvs. bosatt i Sverige och mellan 16–70 år.

En enskild som visat intresse för att mönstra och har initierat annan utredning hos Försvarsmakten får besvara ett webbaserat frågeformulär där denne svarar på frågor om bl.a. sin hälsa, utbild- ningsbakgrund, motivation osv. Frågorna är i stort sett desamma som i beredskapsunderlaget. Dessförinnan kontrolleras att det inte föreligger hinder för den enskilde att genomgå mönstring, t.ex. att den enskilde redan har mönstrat. Efter en automatisk rättning av svaren i webbenkäten, sker en automatisk selektering av de sökande.

De som blir godkända vid selekteringen kan gå vidare i pro- cessen och boka tid för annan utredning med personlig inställelse. Testerna som genomförs motsvarar testerna för mönstring men sker i Försvarsmaktens regi. Under förutsättning att den enskilde ger sitt samtycke kan annan utredning omfatta både medicinska och psykologiska undersökningar. Det föreligger dock ingen skyl- dighet för den enskilde att genomföra en personlig utredning utan den enskilde kan när som helst avbryta processen.

Efter utredningen får den enskilde träffa en yrkesvägledare som går igenom de insamlade uppgifterna och resultatet från testerna tillsammans med denne. Efter diskussion med den enskilde där de erhållna testvärdena viktas mot den enskildes intressen, lämnas en rekommendation till den enskilde om förslag till lämplig befatt- ning. Något beslut fattas dock inte.

När den enskilde har genomgått annan utredning har denne två valmöjligheter – att gå in i ett mönstringsförfarande eller inte. Om den enskilde väljer att mönstra övergår ansvaret för processen till

Rekryteringsmyndighetens behandling av personuppgifter

SOU 2017:97

Rekryteringsmyndigheten. Rekryteringsmyndigheten beslutar då om den totalförsvarspliktige ska få mönstra. När den enskilde har på- börjat mönstringen omfattas denne av lagen om totalförsvarsplikt. Därmed föreligger inte längre någon möjlighet för den enskilde att ångra sig och avbryta processen utan blir skyldig att fullfölja mönst- ringen och den tjänstgöring som Rekryteringsmyndigheten kan komma att besluta. Den enskilde kan också välja att ansöka om att mönstra direkt hos Rekryteringsmyndigheten, dvs. utan att först ha genomfört annan utredning.

I detta sammanhang är det av vikt att framhålla att samtliga upp- gifter som efterfrågas och inhämtas av Försvarsmakten vid annan utredning registreras och sparas i Rekryteringsmyndighetens infor- mationssystem. Detta även efter att tjänstgöringen har avslutats. De uppgifter som Försvarsmakten inhämtar, såväl värden som rekom- mendationer, förs direkt över till Rekryteringsmyndighetens infor- mationssystem om utredningen mynnar ut i en ansökan om mönst- ring. Uppgifter som mätdata och journaldata är dock krypterade. I förarbetena (prop. 1997/98:80, s. 16) anges:

På grundval av dessa och andra uppgifter kan därmed en mindre om- fattande utredning än mönstring utföras även hos de nu uppräknade myndigheterna. Om en annan myndighet än Totalförsvarets pliktverk genomför utredningen ska kopior av handlingar som inkommit till den myndigheten tillställas Totalförsvarets pliktverk.

Vid annan utredning efterfrågas och samlas även in personuppgifter som för den totalförsvarspliktige kan vara känsliga. Även i fråga om känsliga uppgifter blir pliktregisterlagen tillämplig. I förarbetena (a. prop. s. 40) anges:

Totalförsvarets pliktverks och den andra myndighetens åtgärder kan där- med sägas vara förenade i samma utredningsärende. Regeringen före- slår att bestämmelser som ger de aktuella myndigheterna m.fl. rätt att behandla känsliga personuppgifter tas in i lagen om behandling av per- sonuppgifter om totalförsvarspliktiga. I lagtexten bör markeras att detta är ett undantag från lagens tillämpningsområde i övrigt, och – vilket är en mycket viktig begränsning – att undantaget från personuppgifts- lagens förbud mot behandling av känsliga personuppgifter för de berörda myndigheterna endast gäller i deras verksamhet för att utreda total- försvarspliktigas förhållanden som sker med stöd av bestämmelserna i lagen om totalförsvarsplikt. Samma krav gäller således självfallet även för dessa myndigheter som för Totalförsvarets pliktverk vid behand- ling av känsliga personuppgifter att detta endast får ske om det är nöd- vändigt med hänsyn till de ändamål som anges i lagen.

SOU 2017:97

Rekryteringsmyndighetens behandling av personuppgifter

5.5Resultatet av kartläggningen

Utredningens bedömning: Kartläggningen visar att Rekryterings- myndighetens behandling av personuppgifter är omfattande och att myndigheten i allt större utsträckning använder sig av elek- tronisk behandling av personuppgifter i sin verksamhet. Det har inte framkommit annat än att den nuvarande regleringen i huvudsak fungerar väl. Regleringen är emellertid i behov av modernisering för att bättre vara anpassad till annan reglering inom rättsområdet och för att möta såväl myndighetens som uppdragsgivarnas krav.

Ett av Rekryteringsmyndighetens huvudsakliga verksamhetsområ- den är personalredovisningen, dvs. arbetet med att säkerställa att de bemanningsansvariga myndigheternas krigsorganisationer är fullt bemannade. Myndighetens uppgift att registrera och redovisa total- försvarspliktig personal innebär att den har det övergripande ansva- ret för personalredovisningen inom totalförsvaret. Rekryterings- myndigheten beslutar också om krigsplacering av totalförsvars- pliktiga som fullgjort värnplikt eller civilplikt. Därutöver ansvarar myndigheten för redovisningen av fast anställd personal och fri- villiga på uppdrag av bemanningsansvariga myndigheter. Den sam- lade personuppgiftsbehandlingen avseende totalförsvarspliktiga om- fattar därmed en stor del av befolkningen och är en av Sveriges största och mest omfattande. Rekryteringsmyndigheten ansvarar dessutom för att totalförsvarspliktiga män och kvinnor som fyller 18 år besvarar beredskapsunderlaget. Det åligger även myndigheten att mönstra och vid mönstringen utreda de totalförsvarspliktigas personliga förhållanden. I sin verksamhet behandlar Rekryterings- myndigheten följaktligen en mängd personuppgifter, ofta av mycket integritetskänslig karaktär.

Vår kartläggning av Rekryteringsmyndighetens personuppgifts- behandling visar att behandling av personuppgifter om totalförsvars- pliktiga utgör en central del i myndighetens verksamhet. I avsnitt 5.3 har vi översiktligt beskrivit den automatiserade personuppgifts- behandling som Rekryteringsmyndigheten utför inom sitt verksam- hetsområde. Av redogörelsen framgår inte bara att den nuvarande behandlingen är omfattande utan även att myndigheten i allt större utsträckning använder sig av elektronisk hantering av personupp- gifter. Ett exempel på detta är att majoriteten av de totalförsvars-

Rekryteringsmyndighetens behandling av personuppgifter

SOU 2017:97

pliktiga numera besvarar beredskapsunderlaget på webben och att de inlämnade uppgifterna hanteras elektroniskt, varefter kommuni- kationen med de totalförsvarspliktiga huvudsakligen sker digitalt. Rekryteringsmyndigheten har behov av att kunna samla in, ta emot, registrera, behandla och lagra uppgifter på elektronisk väg, inte bara för att fullgöra sina uppgifter i form av t.ex. personalredovisning av totalförsvarspliktiga. I myndighetens uppdrag ingår också att redo- visa annan personal inom totalförsvaret. Myndigheten har även be- hov av att kunna behandla uppgifter elektroniskt för utlämnande till andra myndigheter, inte minst Försvarsmakten, och till total- försvarspliktiga. En väl utnyttjad informationsteknik är därför av stor betydelse och en förutsättning för myndighetens möjligheter att bedriva sin verksamhet på ett rationellt och effektivt sätt. Ett effektivt utnyttjande av den moderna informationstekniken kan, utöver effektivitetsvinster, också leda till kostnadsbesparingar för Rekryteringsmyndigheten. Det finns således ett viktigt allmän- intresse av att den moderna informationstekniken kan utnyttjas av myndigheten. Utöver samhällsvinsten gynnar samtidigt en väl fungerande informationsteknik också de totalförsvarspliktiga som därigenom får en snabbare och mer rättssäker prövning och rekry- teringsprocess.

Vid kartläggningen har inte framkommit annat än att den nuvar- ande regleringen i huvudsak fungerar väl. Det kan emellertid kon- stateras att nuvarande reglering, såväl lagen som förordningen, är föråldrad och i behov av modernisering för att bättre vara anpassad till annan reglering inom rättsområdet och för att möta såväl myn- dighetens egna verksamhetskrav som uppdragsgivarnas krav.

6Allmänna utgångspunkter för den nya regleringen

6.1En ny reglering införs

6.1.1Uppdraget

I våra direktiv konstateras att pliktregisterlagen kom till 1998 och endast har ändrats ett fåtal gånger sedan dess. Vi har därför fått i uppdrag att göra en översyn av regleringen och föreslå en ny lag och förordning om behandling av personuppgifter på området. Ut- gångspunkten för den nya regleringen ska vara att Rekryterings- myndighetens verksamhet ska kunna bedrivas effektivt med ratio- nellt datorstöd samtidigt som enskildas rätt till personlig integritet tillgodoses.

6.1.2Våra överväganden och förslag

Utredningens bedömning och förslag: En ny lag och förord- ning ska införas och den nu gällande pliktregisterlagen och för- ordningen om behandling av personuppgifter om totalförsvars- pliktiga ska upphävas.

Den nya regleringen bör vara teknikneutral. Regleringen bör också vara flexibel genom att kunna anpassas till berörda myn- digheters krav och inte behöva ändras inför varje förändring i Rekryteringsmyndighetens verksamhet. Hänsyn måste emeller- tid tas till att myndighetens behandling av personuppgifter är omfattande och i hög grad rör känsliga personuppgifter. Den nya regleringen måste därför utformas med avseende både på samhällets intresse av att behandlingen av personuppgifter ska vara effektiv och att skyddet för den personliga integriteten

Allmänna utgångspunkter för den nya regleringen

SOU 2017:97

upprätthålls. Med dessa utgångspunkter får Rekryteringsmyndig- heten möjlighet att bedriva sin verksamhet och behandla person- uppgifter på ett effektivt sätt samtidigt som skyddet för den enskildes personliga integritet tillgodoses.

Enligt våra direktiv ska utgångspunkten för en ny reglering vara att Rekryteringsmyndighetens verksamhet ska kunna bedrivas effektivt med rationellt datorstöd samtidigt som enskildas rätt till personlig integritet tillgodoses. Det kan konstateras att Rekryteringsmyndig- hetens behandling av personuppgifter om totalförsvarspliktiga är omfattande och sker utan den enskildes samtycke. Personuppgif- terna, som ofta är av integritetskänslig natur, samlas in från de total- försvarspliktiga själva utifrån den skyldighet som följer av lagen (1994:1809) om totalförsvarsplikt. Det finns därmed ett behov av en lagreglering av Rekryteringsmyndighetens behandling av personupp- gifter om totalförsvarspliktiga. Det kan vidare konstateras att plikt- registerlagen kom till år 1998 och endast har ändrats ett fåtal gånger sedan dess. Kartläggningen av Rekryteringsmyndighetens person- uppgiftsbehandling visar att den nuvarande regleringen är i viss mån föråldrad. Vi föreslår därför att en ny lag och förordning ska införas och att den nu gällande pliktregisterlagen och förordningen (1998:1229) om behandling av personuppgifter om totalförsvars- pliktiga ska upphävas.

Kartläggningen av Rekryteringsmyndighetens personuppgifts- behandling visar att den nuvarande regleringen i huvudsak fungerar väl men att den är i behov av modernisering (se avsnitt 5.5). Med hänsyn till den snabba utvecklingen på informationsteknikområdet är det viktigt att regleringen är neutral inför förändringar på det tekniska området, dvs. att den är teknikoberoende. Det är av vikt att den nya lagen inte begränsar Rekryteringsmyndighetens möjlig- heter att utnyttja ny informationsteknik och att utforma sina data- system på ett för verksamheten effektivt och rationellt sätt. Regler- ingen bör därför möjliggöra moderna och ändamålsenliga informa- tionssystem samtidigt som den inte bör vara beroende av att vissa tekniska lösningar används. Detta för att Rekryteringsmyndigheten så långt som möjligt ska kunna använda sig av den nya tekniken för att öka sin effektivitet men också för att underlätta och förenkla informationsutbytet med sina uppdragsgivare, andra myndigheter och enskilda. Regleringen bör också vara flexibel genom att den ska

SOU 2017:97

Allmänna utgångspunkter för den nya regleringen

kunna anpassas till berörda myndigheters krav och inte behöva ändras inför varje förändring i verksamheten.

Samtidigt måste hänsyn tas till att myndighetens behandling av personuppgifter, som är omfattande och i hög grad rör känsliga per- sonuppgifter, kan innebära risk för intrång i den personliga integri- teten. Att samla personuppgifter elektroniskt ökar möjligheten att sammanställa ett stort antal uppgifter om enskilda. Redan den om- ständigheten att uppgifterna finns registrerade kan för vissa framstå som integritetskränkande. Rekryteringsmyndighetens behandling av personuppgifter måste därför ske med respekt för den enskildes integritet. Vid utformandet av den nya regleringen måste således samhällets intresse av att Rekryteringsmyndigheten kan utföra sina uppgifter på ett effektivt sätt vägas mot att skyddet för den person- liga integriteten upprätthålls.

Med dessa utgångspunkter får Rekryteringsmyndigheten möjlig- het att bedriva sin verksamhet och behandla personuppgifter på ett effektivt sätt samtidigt som skyddet för den enskildes personliga integritet tillgodoses. I kapitel 7–11 behandlar vi närmare olika frågor om den föreslagna regleringens utformning.

6.2Förhållandet till EU:s dataskyddsreglering och förslaget till dataskyddslag

6.2.1Uppdraget

Vi har fått i uppdrag att analysera vilket förhållande den nya regler- ingen ska ha till EU:s dataskyddsreglering och den kompletterande nationella lagstiftningen i form av förslaget till dataskyddslag. I denna del ingår att göra en analys av möjligheterna till en helt fristående lagstiftning. I det följande ges en närmare redogörelse för EU:s dataskyddsreform, dataskyddsförordningen och Dataskydds- utredningens förslag till ny dataskyddslag. Därefter redogörs för våra överväganden och förslag rörande denna del av uppdraget.

Allmänna utgångspunkter för den nya regleringen

SOU 2017:97

6.2.2Allmänt om EU:s dataskyddsreform

Den 25 januari 2012 presenterade Europeiska kommissionen ett för- slag till en genomgripande reform av dataskyddsregleringen i EU. Förslaget omfattade dels en förordning med allmänna EU-regler om skydd av personuppgifter som skulle ersätta dataskyddsdirek- tivet (dataskyddsförordningen), dels ett direktiv med regler för den brottsbekämpande sektorn som skulle ersätta dataskyddsrambeslutet (nya dataskyddsdirektivet13). Enligt kommissionen skulle förslaget till dataskyddsförordning komma att undanröja den fragmentariska dataskyddsreglering som i dag finns inom EU, vilket såväl förenklar för företagen som stärker enskildas rätt till skydd för sina person- uppgifter. En politisk överenskommelse om regleringen kom till stånd den 15 december 2015.

Den 27 april 2016 antogs Europaparlamentets och rådets för- ordning (EU) 2016/679 om skydd för fysiska personer med av- seende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Dataskyddsförordningen, som den benämns i detta betänkande, träder i kraft den 25 maj 2018. Det huvudsak- liga syftet med dataskyddsreformen är att ytterligare harmonisera EU:s regler om skydd av personuppgifter i syfte att förbättra den inre marknadens funktion och därmed skapa affärsmöjligheter och främja innovation. Därtill ska enskildas befintliga rättigheter stärkas genom en ökning av enskildas kontroll över sina personuppgifter.

6.2.3Dataskyddsförordningen

Dataskyddsförordningen kommer från och med den 25 maj 2018 att ersätta det nuvarande dataskyddsdirektivet och utgöra grunden för all generell personuppgiftsbehandling inom EU. Enligt artikel 288 andra stycket i Fördraget om Europeiska unionens funktionssätt ska en EU-förordning ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat. Till skillnad från

13 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga på- följder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

100

SOU 2017:97

Allmänna utgångspunkter för den nya regleringen

EU-direktiv ska alltså förordningar inte implementeras i nationell rätt. I stället ska förordningsbestämmelser tillämpas av enskilda, myndigheter och domstolar precis som om de vore nationella för- fattningsbestämmelser. Detta innebär att dataskyddsförordningen är direkt tillämplig i EU:s medlemsstater.

Även om dataskyddsförordningen är direkt tillämplig, till skill- nad från dataskyddsdirektivet, innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Förordningen har därmed i vissa delar en direktivliknande karaktär. I skäl 8 till förordningen anges också att om denna förordning föreskriver förtydliganden eller begräns- ningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av denna förordning i nationell rätt.

Syfte och tillämpningsområde

I dataskyddsförordningens första kapitel slås syftet och tillämp- ningsområdet fast, vilka i princip är desamma som dataskydds- direktivets (artiklarna 1–3). Det territoriella tillämpningsområdet har dock utvidgats till att också omfatta uppgiftsbehandling utan- för EU som utförs av företag som exempelvis erbjuder varor och tjänster till EU-medborgare.

I syfte att säkerställa en enhetlig skyddsnivå över hela unionen och undvika avvikelser som hindrar den fria rörligheten av person- uppgifter inom den inre marknaden behövs, enligt skäl 13 till data- skyddsförordningen, en förordning som skapar rättslig säkerhet och öppenhet för ekonomiska aktörer och som ger fysiska perso- ner i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och person- uppgiftsbiträden samma ansvar. På så sätt blir övervakningen av behandling av personuppgifter enhetlig, sanktionerna i alla medlems- stater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt. För att den inre marknaden ska fungera väl krävs enligt samma skäl att det fria flödet av personuppgifter inom unionen inte begränsas eller förbjuds av skäl som har anknyt-

101

Allmänna utgångspunkter för den nya regleringen

SOU 2017:97

ning till skydd för fysiska personer med avseende på behandling av personuppgifter.

Dataskyddsförordningen ska, i likhet med dataskyddsdirektivet, tillämpas på sådan behandling av personuppgifter som helt eller del- vis företas på automatisk väg samt på annan behandling än auto- matisk av personuppgifter som ingår i eller kommer att ingå i ett register. Från dataskyddsförordningens tillämpningsområde undan- tas dock behandling av personuppgifter som utgör ett led i en verk- samhet som inte omfattas av unionsrätten eller som utförs av melemsstaterna när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken. Behandling av person- uppgifter som utförs av en fysisk person som ett led i verksamhet av privat natur eller som har samband med hans eller hennes hus- håll omfattas inte heller av förordningens bestämmelser. Vidare gäller förordningen inte för sådan behandling av personuppgifter som utförs av behöriga myndigheter för ändamålen att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga på- följder. Sådan behandling regleras i stället genom det nya data- skyddsdirektivet, som ersätter dataskyddsrambeslutet. Förordningens bestämmelser ska inte heller tillämpas av EU:s institutioner, organ och byråer. Den behandling av personuppgifter som sker där re- gleras i stället, precis som tidigare, genom Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskaps- organen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter.

I första kapitlet finns också de definitioner som används i för- ordningen uppräknade (artikel 4).

Principer och krav på behandling av personuppgifter

Andra kapitlet i dataskyddsförordningen innehåller principerna för behandling av personuppgifter. Dessa motsvarar i huvudsak de i dataskyddsdirektivet uppställda principerna såvitt avser bl.a. rättslig grund för behandling och behandling av känsliga personuppgifter. Varje behandling av personuppgifter ska vila på en rättslig grund och är endast tillåten om och i den mån åtminstone ett av villkoren i artikel 6.1 är uppfyllt. Enligt artikel 5 i förordningen krävs dock

102

SOU 2017:97

Allmänna utgångspunkter för den nya regleringen

att behandling av personuppgifter måste ske på ett lagligt, korrekt och öppet sätt. Det är den personuppgiftsansvariges ansvar att prin- ciperna i artikel 5 följs (artikel 5.2).

De rättsliga grunderna för behandling av personuppgifter och behandling av känsliga personuppgifter beskrivs närmare i kapitel 8 och 9.

Den enskildes rättigheter

Det tredje kapitlet innehåller bestämmelser om den enskildes rättig- heter (artiklarna 12–23). Den registrerades rättigheter har i data- skyddsförordningen förstärkts i syfte att ge den registrerade ökad kontroll över sina personuppgifter. Den information som ska till- handahållas den registrerade har preciserats och utvidgats och den personuppgiftsansvarige ska tillhandahålla informationen i en begrip- lig och lättillgänglig form (artikel 12). Den enskildes rätt till infor- mation bygger i stor utsträckning på direktivets bestämmelser.

Den registrerade har rätt att få felaktiga uppgifter rättade (arti- kel 16). Vidare har en tydligare rätt att bli bortglömd införts i för- ordningen som innebär att den personuppgiftsansvarige inte endast ska radera personuppgifter som inte längre får behandlas. Om upp- gifterna har gjorts offentliga ska den personuppgiftsansvarige där- till vidta alla rimliga åtgärder för att informera dem som uppgif- terna spridits till att den enskilde vill bli glömd. En begäran om att få bli glömd innebär som huvudregel att uppgifterna ska raderas utan dröjsmål (artikel 17).

Dataskyddsförordningen innebär även en förstärkning av rätten att få åtkomst till sina personuppgifter i syfte att föra över dem till en annan leverantör av elektroniska tjänster, s.k. dataportabilitet (artikel 20). En vidareutveckling av regleringen om den enskildes rätt att invända mot uppgiftsbehandling och att i viss utsträckning inte bli utsatt för s.k. profilering har gjorts genom artiklarna 21 och 22. Profilering innebär automatisk behandling av uppgifter i syfte att bedöma personliga egenskaper hos den enskilde, exempelvis arbetsprestationer eller kreditvärdighet. Slutligen har medlemsstaterna getts befogenhet att för särskilt angivna ändamål inskränka vissa av rättigheterna och skyldigheterna i förordningen genom nationell

103

Allmänna utgångspunkter för den nya regleringen

SOU 2017:97

lagstiftning under förutsättning att inskränkningarna är nödvändiga och proportionerliga i förhållande till ändamålet (artikel 23).

Skyldigheter för den som behandlar personuppgifter

De skyldigheter som åligger den som behandlar personuppgifter, dvs. den personuppgiftsansvarige och personuppgiftsbiträdet, fram- går av dataskyddsförordningens kapitel fyra. Många av skyldighet- erna har i förhållande till dataskyddsdirektivet utökats och vidare- utvecklats.

Genom förordningen införs en skyldighet för den personupp- giftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en så kallad personuppgiftsincident, dvs. en säkerhetsincident som oavsiktligt påverkar behandlingen av personuppgifter (artikel 33). Även den registrerade ska informeras om incidenten om den sanno- likt leder till en hög risk för enskildas rättigheter och friheter (artikel 34). Det införs även krav på konsekvensanalyser om en viss behandling sannolikt kommer att leda till hög risk för enskildas rättigheter eller skyldigheter (artikel 35). Den allmänna anmälnings- skyldigheten till tillsynsmyndigheten tas däremot bort. Vidare blir det tydligare regler för kommunikation och ansvar hos de som be- handlar personuppgifter. Ett krav på inbyggt dataskydd och data- skydd som standard införs också (artikel 25).

Även på andra sätt innebär förordningen ett ökat fokus på en enhetlig tillämpning av dataskyddsreglerna inom EU, t.ex. genom åtgärder som godkännande av uppförandekoder och certifiering och bestämmelser om dataskyddsombud (artiklarna 37–43). Det in- förs även en skyldighet för de nationella tillsynsmyndigheterna att samarbeta över nationsgränserna (kapitel sju).

Rättsmedel, ansvar och sanktioner

I det åttonde kapitlet slås bl.a. fast att enskilda ska ha rätt att klaga hos en nationell tillsynsmyndighet om de anser att behandlingen av deras personuppgifter inte följt regleringen i förordningen (arti- kel 77). Den enskilde ska dessutom ges rättsmedel för att kunna få tillsynsmyndigheten att agera utifrån ett klagomål som framförts till myndigheten (artikel 78). I likhet med vad som redan gäller ska

104

SOU 2017:97

Allmänna utgångspunkter för den nya regleringen

den enskilde även ha rätt att väcka talan vid domstol mot en regis- teransvarig. En nyhet är att den rättigheten även gäller gentemot ett personuppgiftsbiträde (artikel 79). Genom artikel 80 ges den registrerade också rätt att ge mandat till vissa organ, organisationer och sammanslutningar utan vinstintresse att företräda honom eller henne och processa i domstol. Om en enskild har drabbats av en skada på grund av en otillåten behandling av personuppgifter ska denne ha rätt till skadestånd från den som är ansvarig för behand- lingen, den personuppgiftsansvarige eller personuppgiftsbiträdet (artikel 82). Genom förordningen införs också ett nytt gemensamt system med administrativa sanktionsavgifter som ska påföras vid vissa typer av överträdelser av förordningen (artikel 83). I övrigt är det medlemsstaterna som ska fastställa de sanktioner som ska komma i fråga vid överträdelser av förordningens bestämmelser. Sank- tionerna måste dock vara effektiva, proportionerliga och avskräckande (artikel 84).

Behandling av personuppgifter i samband med utlämnanden enligt offentlighetsprincipen och för andra särskilda ändamål

I kapitel nio i dataskyddsförordningen finns bestämmelser om be- handling av personuppgifter för vissa särskilda ändamål. Av arti- kel 86 framgår att personuppgifter i allmänna handlingar får lämnas ut i enlighet med nationell rätt för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd för person- uppgifter i enlighet med förordningen. Bestämmelsen möjliggör således en tillämpning av tryckfrihetsförordningens reglering om allmänhetens tillgång till handlingar och sekretessbestämmelserna i offentlighets- och sekretesslagen (2009:400), även när det gäller allmänna handlingar som innehåller personuppgifter. Utrymmet för att ge offentlighetsprincipen företräde framför personuppgiftsregler- ingen har blivit tydligare i dataskyddsförordningen jämfört med vad som har varit fallet med dataskyddsdirektivet.

För att skapa en balans mellan skyddet för personuppgifter och yttrandefriheten anges exempelvis att medlemsstaterna ska lagstifta om undantag från vissa av förordningens bestämmelser för sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller för konstnärligt eller litterärt skapande (artikel 85). Det finns även särskilda bestämmelser som närmare reglerar be-

105

Allmänna utgångspunkter för den nya regleringen

SOU 2017:97

handling av nationella identifikationsnummer samt viss behandling för statistiska, historiska eller vetenskapliga forskningsändamål (artikel 87 respektive 89). Medlemsstaterna får även lagstifta om sådan behandling av enskildas personuppgifter som har samband med anställning (artikel 88).

Bestämmelserna i tionde kapitlet handlar om kommissionens rätt att utfärda delegerade akter och genomförandeakter. Slutligen inne- håller kapitel elva förordningens slutbestämmelser.

6.2.4Dataskyddsutredningen

Som tidigare nämnts ersätter dataskyddsförordningen dataskydds- direktivet, som på generell nivå har genomförts i svensk rätt genom personuppgiftslagen, personuppgiftsförordningen och Datainspek- tionens föreskrifter. Dataskyddsförordningen ska tillämpas av en- skilda, myndigheter och domstolar precis som om dess bestämmelser hade funnits i en svensk författning. När dataskyddsförordningen börjar tillämpas kommer alltså den generella regleringen om be- handling av personuppgifter att finnas i dataskyddsförordningen. Det innebär att personuppgiftslagen, personuppgiftsförordningen och Datainspektionens föreskrifter kommer att upphävas.

Den 25 februari 2016 tillsatte regeringen en särskild utredare med uppdrag att föreslå de anpassningar och kompletterande för- fattningsbestämmelser på generell nivå som den nya dataskydds- förordningen ger anledning till (Dataskyddsutredningen [Ju 2016:04], dir. 2016:15). Dataskyddsutredningen har i betänkandet Ny data- skyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning

(SOU 2017:39), som överlämnades den 12 maj 2017, lämnat förslag till en ny övergripande lag och förordning om dataskydd. För att betona att författningarna inte är heltäckande utan endast utgör komplement till dataskyddsförordningen har utredningen valt att benämna dem lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) respektive förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning. Den nya lagen och övriga författningsförslag föreslås träda i kraft den 25 maj 2018. Personuppgiftslagen föreslås att upphöra att gälla samma dag. Enligt övergångsbestämmelserna ska den emellertid fortfarande gälla i den utsträckning som det i en annan lag eller

106

SOU 2017:97

Allmänna utgångspunkter för den nya regleringen

förordning hänvisas till den lagen. Nedan följer en översiktlig be- skrivning av den föreslagna dataskyddslagen.

6.2.5Dataskyddslagen

Reglering av behandling av personuppgifter i Sverige har sedan lång tid tillbaka skett i form av en generell lag, personuppgiftslagen, kompletterad med särregler i s.k. registerförfattningar för viktigare och känsligare register. Personuppgiftslagen gjordes därför subsidiär på så sätt att om det i en annan lag eller i en förordning finns bestämmelser som avviker från lagen, ska de bestämmelserna gälla (2 § personuppgiftslagen). Av Dataskyddsutredningens direktiv fram- går att regeringen har för avsikt att i vart fall tills vidare hålla fast vid det traditionella systemet för reglering av behandling av person- uppgifter i Sverige, dvs. i form av en generell reglering som kom- pletteras av sektorsspecifika författningar med bestämmelser om behandling av personuppgifter. I vissa fall kan lagform krävas enligt 2 kap. 6 § regeringsformen men många gånger kan sådana författ- ningar beslutas av regeringen med stöd av dess restkompetens enligt 8 kap. 7 § första stycket 2 regeringsformen. Det kommer följaktligen även i fortsättningen sannolikt att finnas ett stort antal förordningar som innehåller särskilda bestämmelser om behandling av personuppgifter (SOU 2017:39, s. 83 f.). Dataskyddsutredningen har mot bakgrund härav i sitt förslag till ny dataskyddslag med tillhörande förordning samlat generella bestämmelser tillämpliga för flertalet personuppgiftsansvariga, dvs. även myndigheter, och inte bara en viss sektor.

Dataskyddsutredningen har inom ramen för sitt uppdrag även analyserat om det finns behov av att reglera förhållandet mellan dataskyddslagen och sektorsspecifika föreskrifter. Enligt Dataskydds- utredningens förslag bör bestämmelser i såväl lagar som förord- ningar, på motsvarande sätt som gällt hittills, ha företräde framför bestämmelserna i den föreslagna generella regleringen (a.a. s. 84). I enlighet härmed anges det i 1 kap. 3 § dataskyddslagen att om en annan lag eller en förordning innehåller någon bestämmelse som rör behandling av personuppgifter och som avviker från denna lag tillämpas den bestämmelsen.

107

Allmänna utgångspunkter för den nya regleringen

SOU 2017:97

Behandling av personuppgifter utanför dataskyddsförordningens tillämpningsområde

Den EU-rättsliga regleringen är som tidigare påpekats inte heltäck- ande. Det innebär att det fortfarande kommer att finnas ett område som inte täcks av EU-regleringen. Inom det området kan det i sin tur finnas verksamhetsområden som inte omfattas av någon sektors- specifik reglering. Dataskyddsutredningen har undersökt om det finns behov av en generell reglering för sådan personuppgifts- behandling. Enligt Dataskyddsutredningens direktiv skulle en sådan reglering exempelvis kunna innebära att förordningen i relevanta delar görs tillämplig även utanför unionsrättens tillämpningsområde.

Dataskyddsdirektivet gäller inte för sådan behandling av person- uppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdel- ningarna V och VI i fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område (artikel 3.2). Personuppgiftslagen, genom vilken direktivet införlivats i svensk rätt, är däremot generellt tillämplig. Den gäller således även för sådan behandling som faller utanför det nuvarande dataskyddsdirektivets tillämpningsområde. Detta för att säkerställa ett starkt integritetsskydd för behandling av personuppgifter inom all offentlig verksamhet. En sådan ordning har även ansetts garan- tera att behovet av särregler i förhållande till personuppgiftslagen alltid övervägs noga i den ordning som krävs för författningsgiv- ning (prop. 1997/98:44, s. 40 f.).

Enligt artikel 2.2 i dataskyddsförordningen ska förordningen inte tillämpas på behandling av personuppgifter som

a)utgör ett led i en verksamhet som inte omfattas av unionsrätten,

b)medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget,

c)en fysisk person utför som ett led i verksamhet av privat natur eller som har samband med hans eller hennes hushåll, eller

d)behöriga myndigheter utför i syfte att förebygga, förhindra, ut- reda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebyggaoch förhindra hot mot den allmänna säkerheten.

108

SOU 2017:97

Allmänna utgångspunkter för den nya regleringen

I skäl 16 till dataskyddsförordningen anges verksamhet som rör nationell säkerhet som ett exempel på en verksamhet som enligt led a inte omfattas av unionsrättens tillämpningsområde. Enligt Data- skyddsutredningen är det sannolikt bara i den offentliga sektorn som det skulle kunna förekomma verksamhet som faller utanför unionsrättens tillämpningsområde i den mening som avses i arti- kel 2.2 a och där behandling av personuppgifter därmed inte skulle omfattas av dataskyddsförordningens direkt tillämpliga bestämmel- ser (SOU 2017:39, s. 91). Någon unionsrättslig allmänt gällande prin- cip som innebär att en medlemsstat inte, med stöd av sin nationella kompetens, kan utvidga tillämpningsområdet för en EU-förord- ning finns inte. Dataskyddsförordningen innehåller inte heller några bestämmelser som förhindrar att bestämmelserna i förordningen tillämpas i verksamhet som är undantagen från dess tillämpnings- område. Det finns därmed inga formella hinder mot att utvidga tillämpningsområdet för dataskyddsförordningens bestämmelser till att omfatta även sådan personuppgiftsbehandling som faller utan- för unionsrättens tillämpningsområde (jfr prop. 2010/11:80, s. 59 f.).

För att säkerställa att det inom varje verksamhet finns ett full- gott skydd bör enligt Dataskyddsutredningens förslag förordning- ens bestämmelser om behandling av personuppgifter utsträckas till att gälla generellt. Detta anses vara ett bättre alternativ än att införa en komplett nationell dataskyddsreglering för verksamhet som inte omfattas av förordningens tillämpningsområde. Det skulle leda till att vissa myndigheter för sin personuppgiftsbehandling tvingas tillämpa två parallella regelverk, förutom eventuellt förekommande sektorsspecifika författningar. Enligt Dataskyddsutredningens för- slag bör därför dataskyddsförordningen, i tillämpliga delar, genom dataskyddslagen utsträckas till att gälla även vid sådan behandling av personuppgifter som enligt artikel 2.2 a och b inte omfattas av dataskyddsförordningens tillämpningsområde.

I 1 kap. 2 § dataskyddslagen föreslås följaktligen att bestämmel- serna i dataskyddsförordningen, i den ursprungliga lydelsen, och i lagen i tillämpliga delar ska gälla även vid behandling av person- uppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapi- tel 2 i fördraget om Europeiska unionen. Bestämmelsen innebär att förordningens bestämmelser gäller som svensk rätt vid personupp- giftsbehandling som utförs i sådan verksamhet som enligt arti-

109

Allmänna utgångspunkter för den nya regleringen

SOU 2017:97

kel 2.2 a och 2.2 b i dataskyddsförordningen är undantagen från förordningens tillämpningsområde. Förordningens bestämmelser gäller alltså, i tillämpliga delar, även vid personuppgiftsbehandling som utförs som ett led i en verksamhet som inte omfattas av unions- rätten och i verksamhet som utförs inom ramen för den gemen- samma utrikes- och säkerhetspolitiken (SOU 2017:39, s. 354).

Verksamhet som inte omfattas av unionsrättens tillämpnings- område är bl.a. verksamhet som rör nationell säkerhet och verksam- het på försvarsområdet. Exakt vilka verksamheter som därutöver faller utanför unionsrättens tillämpningsområde och därmed inte omfattas av förordningens bestämmelser är emellertid oklart. Det kan dock konstateras att det inte är möjligt att genom nationell rätt ålägga tillsynsmyndigheter i andra länder att samarbeta med den svenska tillsynsmyndigheten. De bestämmelser i förordningen som avser tillsynsmyndigheternas skyldighet att samarbeta med varandra är därför inte tillämpliga. Inte heller är det möjligt att genom natio- nell rätt ge den europeiska dataskyddsstyrelsen behörighet att t.ex. utfärda riktlinjer och rekommendationer eller att ge kommissionen rätt att anta delegerade akter inom detta område. Kapitel VII och kapitel X i dataskyddsförordningen utgör därför inte ”tillämpliga delar”. Det kan även i övrigt finnas bestämmelser i dataskyddsför- ordningen som inte kan tillämpas i rent nationell verksamhet. Det får därför i varje enskilt fall göras en bedömning av om en viss för- ordningsbestämmelse kan gälla. Det är också möjligt att i sektors- specifika författningar som avser verksamhet utanför dataskydds- förordningens egentliga tillämpningsområde föreskriva undantag från 1 kap. 2 § dataskyddslagen (jfr 1 kap. 3 § i den föreslagna lagen). Det kan i sådana författningar även anges att endast vissa av förordningens bestämmelser inte ska gälla inom just det området (a.a. s. 354 f.).

6.2.6Våra överväganden och förslag

Utredningens bedömning och förslag: Regleringen av Rekry- teringsmyndighetens behandling av personuppgifter bör inte vara helt fristående utan anpassas till bestämmelserna i data- skyddsförordningen och den kompletterande dataskyddslagen.

110

SOU 2017:97

Allmänna utgångspunkter för den nya regleringen

I lagen ska föreskrivas att dataskyddslagen gäller vid behand- ling av personuppgifter i Rekryteringsmyndighetens verksam- het, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

Lagen ska även innehålla en upplysning om att lagen, till följd av bestämmelserna i dataskyddslagen, kompletterar dataskydds- förordningen.

Rekryteringsmyndighetens behandling av personuppgifter syftar till att tillgodose det svenska totalförsvarets behov av totalförsvars- pliktiga samt att möjliggöra redovisning av dessa och övrig personal inom totalförsvaret. Som framgår av artikel 2.2 a i dataskyddsför- ordningen omfattar inte förordningen behandling av personupp- gifter som utgör ett led i en verksamhet som inte omfattas av unions- rätten. I föregående avsnitt har redovisats att dataskyddsförord- ningen dock inte innehåller några bestämmelser som förhindrar att bestämmelserna i förordningen tillämpas i verksamhet som är undan- tagen från dess tillämpningsområde. Det finns därmed inga formella hinder mot att utvidga tillämpningsområdet för dataskyddsförord- ningens bestämmelser till att omfatta även sådan personuppgifts- behandling som faller utanför unionsrättens tillämpningsområde. Förordningen möjliggör således en generell tillämpning av den- samma i medlemsstaterna.

Enligt förslaget till dataskyddslag ska lagen vara generell i bety- delsen att den till sin ordalydelse även kommer att omfatta verk- samhet som faller utanför unionsrättens och följaktligen förord- ningens tillämpningsområde. Dataskyddslagen kommer således att även omfatta behandling av personuppgifter inom försvarsområdet. I dataskyddslagen ges emellertid en uttrycklig möjlighet att i annan författning eller förordning göra avvikelser från dataskyddslagen (1 kap. 3 §). När det gäller Rekryteringsmyndighetens behandling av personuppgifter innebär således varken dataskyddsförordningen i sig eller utformningen av dataskyddslagen något rättsligt hinder mot att införa en helt fristående reglering.

Enligt vår uppfattning finns det emellertid tungt vägande skäl för att en ny reglering av behandling av personuppgifter inom Rekryteringsmyndighetens verksamhet – i den del som faller utan- för dataskyddsförordningens tillämpningsområde – bör anpassas till dataskyddsförordningen och den nya dataskyddslagens bestämmel-

111

Allmänna utgångspunkter för den nya regleringen

SOU 2017:97

ser. Dataskyddslagen kommer på samma sätt som personupp- giftslagen att vara subsidiär i förhållande till annan lagstiftning om behandling av personuppgifter. Bestämmelser i en ny lag kommer därför som huvudregel att ha företräde framför dataskyddslagens bestämmelser. I annat fall ska dock dataskyddslagens bestämmelser gälla. En motsvarande ordning har sedan pliktregisterlagens ikraft- trädande tillämpats av Rekryteringsmyndigheten vid myndighetens behandling av personuppgifter om totalförsvarspliktiga i förhåll- ande till personuppgiftslagens bestämmelser. Några skäl för att nu frångå en sådan ordning har inte kommit fram.

I detta sammanhang ter det sig också naturligt och lämpligt att bestämmelserna i dataskyddsförordningen och dataskyddslagen får så långt det är möjligt tjäna som utgångspunkt när särskilda för- fattningar för behandling av personuppgifter utformas. Dataskydds- förordningen och den kompletterande dataskyddslagen har tillkom- mit för att ytterligare harmonisera och effektivisera skyddet av personuppgifter. Oavsett de förändringar och nyheter som följer av förordningen och som följaktligen kommer att införas generellt genom dataskyddslagen så är de till alla delar överensstämmande med grundläggande principer om integritetskydd i svensk rätt. För- delarna med att i en generell författning samla de grundläggande bestämmelserna för behandling av personuppgifter i myndigheters verksamhet gör sig alltjämt gällande, precis som vid personupp- giftslagens tillkomst. Fördelarna är enligt vår bedömning uppen- bara, inte minst från integritetsskyddssynpunkt. Det finns alltså starka skäl även från en materiellt rättslig synpunkt för att en för- fattning som reglerar behandling av personuppgifter i en verksam- het som inte omfattas av unionsrättens område också i fortsätt- ningen anpassas till de generella bestämmelserna på området, dvs. dataskyddsförordningen och den kommande dataskyddslagen.

På de skäl som ovan anförts anser vi att regleringen av Rekry- teringsmyndighetens behandling av personuppgifter inte bör vara helt fristående utan bör följa den föreslagna dataskyddslagens – och därmed också dataskyddsförordningens – bestämmelser, med un- dantag för de fall då avvikelser är befogade på grund av verksam- hetens särskilda karaktär. Detta bör, liksom tidigare, komma till uttryck genom att det i den nya lagen anges att om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen,

112

SOU 2017:97

Allmänna utgångspunkter för den nya regleringen

gäller dataskyddslagen vid behandling av personuppgifter i Rekryter- ingsmyndighetens verksamhet.

I sammanhanget bör framhållas att dataskyddslagen för närvar- ande endast föreligger i form av ett förslag. Vi har emellertid under utredningen, så som angetts i våra direktiv, på nära håll följt Data- skyddsutredningens arbete. Utredningens sekretariat har fortlöpande deltagit i samordningsmöten med såväl Dataskyddsutredningen som med flera andra utredningar som rört EU:s dataskyddsför- ordning, kompletterande sektorslagstiftning samt dataskyddslagen. Därigenom har vi kunnat anpassa våra förslag till den föreslagna nya regleringen. Vi är medvetna om att den slutliga utformningen av den nya lagen kan komma att skilja sig åt från dataskyddslagen i dess föreslagna form. Vi gör dock bedömningen att eventuella justeringar inte blir större än att vårt förslag kan anpassas till denna utan alltför omfattande arbetsinsatser.

Enligt 1 kap. 2 § dataskyddslagen ska bestämmelserna i data- skyddsförordningen och i dataskyddslagen i tillämpliga delar gälla även vid behandling av personuppgifter som utgör ett led i en verk- samhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen. Som framgått ovan föreslår vi ingen annan ordning för den person- uppgiftsbehandling som utförs hos Rekryteringsmyndigheten. Till följd av bestämmelsen blir således dataskyddsförordningen, i tillämpliga delar, direkt tillämplig vid behandling av personuppgif- ter i Rekryteringsmyndighetens verksamhet. Detta förhållande bör komma till tydligt uttryck i den nya lagen. Lagen ska därför inne- hålla en upplysning om att denna lag, till följd av bestämmelserna i dataskyddslagen, kompletterar dataskyddsförordningen.

6.3Behov av lagreglering

6.3.1Uppdraget

I utredningens direktiv erinras om att det infördes en ny bestäm- melse i 2 kap. 6 § regeringsformen den 1 januari 2011 som innebär att var och en är skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes per- sonliga förhållanden. Den lagstiftning som ska gälla för Rekry-

113

Allmänna utgångspunkter för den nya regleringen

SOU 2017:97

teringsmyndigheten behöver därför granskas ur ett grundlags- perspektiv, bl.a. när det gäller bestämmelser om direktåtkomst för andra än Rekryteringsmyndigheten.

6.3.2Krav på lagform

Regeringsformens normgivningsbestämmelser

Av 8 kap. 1 § första stycket regeringsformen framgår att föreskrif- ter meddelas av riksdagen genom lag och av regeringen genom förordning. Föreskrifter ska meddelas genom lag om de avser bl.a. skyldigheter för enskilda eller ingrepp i enskildas personliga eller ekonomiska förhållanden (8 kap. 2 § första stycket 2). Kravet på att en sådan föreskrift ska ha form av lag är emellertid inte obliga- toriskt, utan riksdagen kan bemyndiga regeringen att meddela den typen av föreskrifter (8 kap. 3 §).

Enligt 8 kap. 7 § regeringsformen får regeringen bl.a. meddela föreskrifter som inte enligt grundlag ska meddelas av riksdagen. Att regeringen meddelar föreskrifter i ett visst ämne hindrar inte att riksdagen meddelar föreskrifter i samma ämne (8 kap. 8 §)

Av 8 kap. 10 och 11 §§ regeringsformen följer att en vidare- delegation till en förvaltningsmyndighet att meddela föreskrifter också kan medges av riksdagen eller, i fråga om regeringens pri- märområde, av regeringen själv.

De s.k. registerförfattningarna är ett exempel på en grupp författningar där lagformen ofta har valts trots att detta i allmänhet inte har varit nödvändigt rent normgivningstekniskt. Att det all- männa registrerar personuppgifter om enskilda innebär ingen skyl- dighet för enskilda och har normalt sett inte heller ansetts som något ingrepp i enskilds personliga förhållanden i den mening som avses i 8 kap. 2 § första stycket 2 regeringsformen (Anders Eka m.fl., Regeringsformen – med kommentarer, 2012, s. 311). Register- författningar har alltså i princip ansetts höra till regeringens pri- märområde och har således kunnat regleras i förordningsform. I ett antal lagstiftningsärenden under årens lopp som har rört myndig- heters behandling av personuppgifter har emellertid framhållits att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i lag (se närmare om detta nedan).

114

SOU 2017:97

Allmänna utgångspunkter för den nya regleringen

I betänkandet med förslag till myndighetsdatalag anförde Informationshanteringsutredningen att det torde höra till undan- tagen att en myndighets behandling av personuppgifter sedd för sig kan anses utgöra ett ingrepp i enskilds personliga förhållanden och därför kräver stöd i lag enligt 8 kap. 2 § första stycket 2 regeringsformen (SOU 2015:39, s. 205 f.). Föreskrifter om myndig- heters behandling av personuppgifter reglerar nämligen i allmänhet inte vad en myndighet ska eller tillåts göra i sin verksamhet. Detta regleras i stället i andra regelverk som föreskriver exempelvis vilka uppgifter och vilka befogenheter en myndighet har, vilka person- uppgifter och andra uppgifter som ska samlas in och från vem samt vilka uppgifter som ska lämnas till andra utanför myndighetens verk- samhet. Föreskrifter om behandling av personuppgifter handlar i stället främst om vilka krav som ska ställas på sådan behandling när myndigheten utför sina uppgifter. I den mån det allmänna tillåts att göra intrång i enskildas privata sfär för att en myndighet ska kunna utföra en viss uppgift – exempelvis genom att enskilda åläggs en skyldighet att lämna uppgifter om personliga förhållanden till myn- digheten – regleras detta i allmänhet i något annat regelverk än i en renodlad registerförfattning. Som exempel kan nämnas totalförsvars- pliktigas skyldighet enligt 2 kap. 1 § lagen (1994:1809) om totalför- svarsplikt att lämna nödvändiga uppgifter om personliga förhål- landen, exempelvis hälsotillstånd, för att hans eller hennes förut- sättningar att fullgöra värnplikt eller civilplikt ska kunna utredas och bedömas.

Det utökade grundlagsskyddet i 2 kap. 6 § regeringsformen

Den 1 januari 2011 ändrades regeringsformen på så sätt att det i 2 kap. 6 § andra stycket regeringsformen numera föreskrivs att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhåll- anden. Skyddet mot intrång får begränsas i lag och bara i den ord- ning som föreskrivs i 2 kap. 20–22 §§ regeringsformen.

Grundlagsbestämmelsen tar sikte på att skydda information om enskildas personliga förhållanden. Enskildas personliga förhållanden avser enligt förarbetena vitt skilda slag av information som är knuten

115

Allmänna utgångspunkter för den nya regleringen

SOU 2017:97

till den enskildes person, t.ex. uppgifter om namn och andra person- liga identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel (prop. 2009/10:80, s. 177). Även fotografisk bild samt upp- gifter som inte är direkt knutna till den enskildes privata sfär, exem- pelvis uppgift om anställning och ekonomi, omfattas av uttrycket.

All slags behandling av uppgifter om enskildas personliga för- hållanden som sker utan samtycke ska inte anses som så integri- tetskänslig att det är motiverat att låta den omfattas av integri- tetsskyddet i grundlagen (a. prop. s. 180). Enbart åtgärder som inne- bär kartläggning eller övervakning av enskildas personliga förhål- landen avses. Avgörande för om en åtgärd ska anses innebära över- vakning eller kartläggning är inte dess huvudsakliga syfte utan vilken effekt åtgärden har (a. prop. s. 250). I förarbetena anges bl.a. att en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myn- digheterna underlag för beslutsfattande i enskilda fall många gånger kan anses innebära kartläggning av enskildas förhållanden, även om avsikten inte är att kartlägga enskilda. Så torde även vara fallet när det gäller ett stort antal uppgiftssamlingar som det allmänna förfogar över. En mycket stor mängd information som rör enskildas person- liga förhållanden finns t.ex. lagrad i Skatteverkets, Tullverkets, För- säkringskassans och Kronofogdemyndighetens olika databaser och även hos de statistikansvariga myndigheterna. Flera av dessa upp- giftssamlingar omfattar en stor andel av landets hela befolkning och flera av dem innehåller också till viss del mycket integritetskänsliga uppgifter. Det förekommer även att uppgiftssamlingar inrättas och utformas i syfte att fungera som mer utpräglade personregister. Ett exempel på en åtgärd som kan anses innebära kartläggning är poli- sens belastningsregister.

Vid bedömningen av vad som kan anses utgöra ett betydande in- trång ska vägas in uppgifternas karaktär och omfattning samt ända- målet med behandlingen och omfattningen av utlämnandet av uppgif- ter till andra (a. prop. s. 184). Även hantering av ett litet fåtal uppgifter kan alltså innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vidare kan mängden uppgifter ha betydelse för bedömningen.

116

SOU 2017:97

Allmänna utgångspunkter för den nya regleringen

Motivuttalanden på registerförfattningsområdet rörande normgivningsnivå

Motivuttalanden om att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i lag tillkom i samband med ett grundlagsärende i början av 1990-talet. I prop. 1990/91:60 uttalade regeringen denna målsätt- ning och anförde vidare bl.a. att målsättningen särskilt gäller i de fall uppgifterna i registret sprids externt i en inte obetydlig om- fattning (s. 57 f.). I samma lagstiftningsärende uttalade konstitu- tionsutskottet som sin mening att det allmänt sett var av stor betydelse att en författningsreglering av ADB-register kommer till stånd i syfte att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av känsliga uppgifter i myn- dighetsregister (bet. 1990/91:KU11). I flera senare lagstiftnings- ärenden, t.ex. i samband med att personuppgiftslagen infördes, har det anförts att det inte finns anledning att avvika från den mål- sättning som uttalats i samband med 1990/91 års lagstiftnings- ärende (se t.ex. prop. 1997/98:44, s. 41 och prop. 1999/2000:39, s. 78).

I betänkandet med förslag till en myndighetsdatalag anförde Informationshanteringsutredningen att ambitionen att ha samtliga föreskrifter som behövs för ett visst verksamhetsområde eller en viss myndighets behandling av personuppgifter i en särskild för- fattning på lagnivå har medfört uppenbara olägenheter för utveck- lingen av en effektiv förvaltning eftersom den har inneburit en onödigt hög detaljeringsgrad på lagnivå (SOU 2015:39, s. 204 f.). Den omständigheten att resonemang om normnivå allt som oftast handlar om författningen som sådan i stället för de enskilda frågor som den reglerar riskerar enligt utredningen att leda till att de integritetsfrågor som skulle behöva belysas utifrån ett rättighets- perspektiv inte får den uppmärksamhet som de förtjänar. Det leder i sin tur till att det blir än svårare att identifiera i vilka fall det sär- skilda skyddet i 2 kap. 6 § andra stycket regeringsformen verkligen ska tillämpas.

117

Allmänna utgångspunkter för den nya regleringen

SOU 2017:97

6.3.3Våra överväganden

Utredningens bedömning: De grundläggande reglerna för be- handling av personuppgifter om totalförsvarspliktiga bör ges i form av lag. De grundläggande reglerna bör både avse moment i per- sonuppgiftsbehandlingen som kan betraktas som intrång i en- skilds personliga förhållanden och sådant som är centralt för skyddet av den enskildes personliga integritet.

Övriga bestämmelser kan ges i form av förordning.

Rekryteringsmyndigheten behandlar i sin verksamhet och i sina informationssystem en stor mängd uppgifter om ett mycket stort antal totalförsvarspliktiga. Den behandling som sker är således om- fattande och avser en betydande del av Sveriges befolkning. Insam- lingen av uppgifter om de totalförsvarspliktiga sker i allt väsentligt genom att de totalförsvarspliktiga på grund av bestämmelserna i lagen om totalförsvarsplikt är skyldiga att lämna uppgifter om sina personliga förhållanden till myndigheten. Dessutom är flera myn- digheter skyldiga att lämna uppgifter om de totalförsvarspliktigas personliga förhållanden till myndigheten. Det gäller exempelvis uppgifter av mycket känsligt slag som hälsotillstånd och lagöver- trädelser. Behandlingen avser i många fall även andra uppgifter av integritetskänslig karaktär. De uppgifter som Rekryteringsmyn- digheten behandlar sprids också utanför myndighetens verksamhet genom direktåtkomst som avser vissa uppgifter i myndighetens informationssystem.

Bestämmelsen i 2 kap. 6 § andra stycket regeringsformen ställer inte krav på att all reglering som rör personuppgiftsbehandling måste regleras i lag. Som Informationshanteringsutredningen på- pekade är det tvärtom så att det torde höra till undantagen att en myndighets behandling av personuppgifter sedd för sig kan anses utgöra ett ingrepp i enskilds personliga förhållanden och därför kräver stöd i lag. Vad en myndighet ska eller tillåts göra i sin verk- samhet regleras i stället i allmänhet i andra regelverk och inte i föreskrifter om myndigheters behandling av personuppgifter. Det särskilda grundlagsskyddet rör endast sådana bestämmelser som kan resultera i övervakning eller kartläggning av den enskilde och som kan innebära ett betydande intrång i den personliga integri- teten. Enligt vår bedömning innehåller Rekryteringsmyndighetens

118

SOU 2017:97

Allmänna utgångspunkter för den nya regleringen

verksamhet vissa moment som innebär att skyddet mot betydande intrång i den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen aktualiseras. I verksamheten hanteras en mycket stor mängd personuppgifter som avser en stor del av den svenska befolkningen. Ändamålet med behandlingen av personuppgifter avser bl.a. att ta fram underlag för beslut om mönstring, inskriv- ning, krigsplacering eller annat ianspråktagande av personal till total- försvaret, vilket i sig kan uppfattas som en form av kartläggning av personliga förhållanden. Insamlingen av personuppgifter baseras på en skyldighet att lämna dessa och de uppgifter som samlas in rör personliga förhållanden av i många fall känsligt slag. Ett annat moment som kan aktualisera grundlagsskyddet är om en omfatt- ande direktåtkomst till personuppgifterna hos myndigheten möjlig- görs för en annan aktör.

Det kan konstateras att totalförsvarspliktigas skyldighet att lämna uppgifter om sina personliga förhållanden till bl.a. Rekryterings- myndigheten redan regleras i lag, nämligen i lagen om totalför- svarsplikt. Att på automatisk väg behandla känsliga personuppgif- ter är dock i grunden förbjudet enligt dataskyddsförordningen. I den mån den nu aktuella lagen bör innehålla bestämmelser som tillåter Rekryteringsmyndigheten att behandla känsliga personupp- gifter utöver vad som kommer att vara tillåtet enligt dataskydds- förordningen och dataskyddslagen påkallar 2 kap. 6 § andra stycket regeringsformen att även sådana bestämmelser ges i form av lag. Detsamma gäller bestämmelser om i vilka fall någon annan aktör ska få ha direktåtkomst till personuppgifter som behandlas med stöd av lagen.

De grundläggande bestämmelserna för behandlingen av person- uppgifter i Rekryteringsmyndighetens verksamhet bör därför, lik- som i dag, regleras i lag. Den grundläggande regleringen bör dock inte enbart ha sikte på att reglera sådana moment i behandlingen som kan betraktas som intrång i enskilds personliga förhållanden utan bör också avse sådant som är centralt för skyddet av person- uppgifter, exempelvis ändamålsbegränsningar, sökförbud samt be- stämmelser om bevarande och gallring. Lagen bör således innehålla alla de bestämmelser som kan sägas utgöra grunden för Rekry- teringsmyndighetens behandling av personuppgifter både vad avser moment i personuppgiftsbehandlingen som kan betraktas som intrång

119

7 Allmänna bestämmelser

7.1Lagens namn

Utredningens förslag: Lagen ska heta totalförsvarsdatalag.

All automatisk behandling av personuppgifter om totalförsvarsplik- tiga i Rekryteringsmyndighetens verksamhet regleras i dag i plikt- registerlagen och förordningen (1998:1229) om behandling av per- sonuppgifter om totalförsvarspliktiga. Den nuvarande regleringen omfattar dock inte enbart totalförsvarspliktiga även om huvuddelen av den personuppgiftsbehandling som myndigheten utför avser totalförsvarspliktiga. Inte heller den nu föreslagna lagen och förord- ningen omfattar endast totalförsvarspliktiga. Även personuppgifter som rör annan personal inom totalförsvaret kommer att omfattas av den nya regleringen (se avsnitt 7.3.3). Mot denna bakgrund anser vi att den nya lagen bör heta totalförsvarsdatalag. Namnet täcker in den behandling av personuppgifter som omfattas av lagen, dvs. behand- ling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret. Vidare markeras att lagen enbart innehåller be- stämmelser av dataskyddsrättslig karaktär och inte reglerar Rekry- teringsmyndighetens verksamhet i övrigt. Namnet överensstämmer också med andra författningar som rör behandling av personupp- gifter på myndighetsområdet och som tillkommit på senare år, exempelvis polisdatalagen (2010:361), kustbevakningsdatalagen (2012:145) och utlänningsdatalagen (2016:27). Vi anser därför att totalförsvarsdatalag är ett lämpligt namn på den nya lagen. I kon- sekvens härmed bör den nya förordningen heta totalförsvarsdata- förordning.

121

Allmänna bestämmelser

SOU 2017:97

7.2Lagens syfte

Utredningens förslag: I lagen ska en bestämmelse införas som anger vilket syfte lagen har. Syftet med lagen ska vara att ge Rekryteringsmyndigheten möjlighet att i sin verksamhet behandla personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret på ett effektivt och ändamålsenligt sätt samtidigt som skyddet för den enskildes personliga integritet tillgodoses vid sådan behandling.

Enligt 1 § personuppgiftslagen (1998:204) är syftet med lagen att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. När personuppgiftslagen upphör att gälla kommer dataskyddsförordningen och den kompletterande data- skyddslagen att träda i dess ställe. Enligt skäl 10 i dataskyddsför- ordningen syftar den till att skyddet av fysiska personers rättig- heter och friheter vid behandling av personuppgifter ska vara lik- värdigt i alla medlemsstater för att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flöden av personuppgifter inom unionen. I dataskyddslagen finns inte någon bestämmelse om syfte. Inte heller i pliktregisterlagen finns någon särskild bestämmelse som anger syftet med regleringen. I registerförfattningar av senare tid är det dock vanligt att det förekommer inledande bestämmelser som anger det övergripande syftet med regleringen. I exempelvis polisdatalagen, kustbevaknings- datalagen och utlänningsdatalagen finns sådana bestämmelser. En sådan bestämmelse klargör att lagen endast innehåller bestäm- melser som är av dataskyddsrättslig karaktär och ger vidare vägled- ning för tolkning av de materiella bestämmelserna i den sektors- specifika lagen. En bestämmelse om lagens syfte har även en symbolisk och informativ betydelse. Mot denna bakgrund anser vi att det är lämpligt att det i den nya lagen förs in en bestämmelse som anger syftet med lagen.

Rekryteringsmyndighetens verksamhet medför ett behov av om- fattande behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret och i många fall rör behandlingen känsliga personuppgifter. Samtidigt kan en sådan behandling innebära en risk för intrång i den enskildes personliga integritet. Skyddet för den personliga integriteten måste därför värnas genom

122

SOU 2017:97

Allmänna bestämmelser

bestämmelserna i lagen. Vid utformningen av lagen måste således både kravet på att Rekryteringsmyndighetens verksamhet ska kunna bedrivas på ett effektivt och ändamålsenligt sätt och skyddet för den personliga integriteten beaktas. Bestämmelserna i lagen har till syfte att balansera båda dessa intressen. Syftet med lagen är därför dub- belt, vilket bör komma till tydligt uttryck i lagen.

7.3Lagens tillämpningsområde

Enligt våra direktiv ska vi analysera hur behandlingen av person- uppgifter om totalförsvarspliktiga ska regleras och om fler kategorier än totalförsvarspliktiga bör ingå i en sådan reglering. Nedan följer en beskrivning av gällande rätt samt våra överväganden och förslag beträffande lagens tillämpningsområde och vilka personer som bör omfattas av lagen.

7.3.1Gällande rätt

Av 1 § pliktregisterlagen framgår lagens tillämpningsområde. I be- stämmelsens första stycke anges att lagen tillämpas vid behandling av personuppgifter om totalförsvarspliktiga i den verksamhet Rekry- teringsmyndigheten bedriver för att

1.ta fram underlag för beslut om inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret,

2.redovisa personal med uppgifter inom totalförsvaret,

3.säkerställa att den registrerade fortlöpande får ändamålsenlig ut- bildning och lämplig placering inom totalförsvaret,

4.se till att den registrerade fullgör sina skyldigheter såvitt avser totalförsvarsplikten,

5.tillgodose den registrerades rättigheter och trygghet i hans eller hennes egenskap av totalförsvarspliktig, och

6.planera, följa upp och utvärdera den verksamhet som anges i 1–5.

I andra stycket sägs att i de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av någon annan än Rekryteringsmyndig-

123

Allmänna bestämmelser

SOU 2017:97

heten. En sådan bestämmelse finns i 6 § andra stycket där det före- skrivs att paragrafens första stycke, som under vissa förutsättningar tillåter att känsliga personuppgifter får behandlas, även gäller kom- muner, landsting och statliga myndigheter om uppgifterna behövs för utredning om den totalförsvarspliktiges personliga förhållanden enligt 2 kap. 1 § lagen (1994:1809) om totalförsvarsplikt. Vidare finns i 13 § ett bemyndigande för regeringen att meddela föreskrifter om att annan än Rekryteringsmyndigheten får föra in personuppgifter i automatiserat register över totalförsvarspliktiga och rätta dessa. Sådana föreskrifter finns i 3 § förordningen till lagen.

I 5 § pliktregisterlagen anges att personuppgifter som samlats in av Rekryteringsmyndigheten ska anses insamlade för de ändamål som anges i 1 § första stycket om inte myndigheten vid insam- lingen uttryckligen angett att den sker för andra ändamål. Mot- svarande ska gälla vid myndighetens behandling av uppgifter som annan myndighet samlat in.

I förarbetena till bestämmelserna anges att skyldigheten att tjänst- göra för en stor del av totalförsvarets personal grundas på andra omständigheter än värnplikt och civilplikt. Så är fallet både i freds- tid och även i vissa fall vid höjd beredskap. Detta gäller anställd personal vid Försvarsmakten, arbetstagare som är ianspråktagna av sina arbetsgivare för uppgifter vid höjd beredskap, medlemmar i frivilligorganisationer och vissa personer med begränsade uppgifter, t.ex. enligt förfogandelagstiftningen. Härtill kommer hälso- och sjuk- vårdspersonalen som Rekryteringsmyndigheten, enligt överenskom- melse med Socialstyrelsen, ska hålla ett personalförsörjningsregister över. Rekryteringsmyndighetens arbetsuppgifter förutsätter en möjlighet att behandla personuppgifter om all personal inom totalför- svaret, dvs. såväl pliktpersonal som personal vars skyldighet att tjänst- göra grundar sig på annat än totalförsvarsplikt (prop. 1997/98:80, s. 30).

Vidare anges det i förarbetena att det för ett effektivt system för redovisning av totalförsvarets personal är nödvändigt att kunna ta fram uppgifter om de olika personalkategorierna i ett sammanhang. Regeringen ansåg att lagens tillämpningsområde därför bör omfatta behandling av personuppgifter om totalförsvarets hela personal. Dock med den begränsningen att det ska vara fråga om personer som har en uppgift att lösa vid höjd beredskap. Eftersom den be- handling av personuppgifter beträffande totalförsvarets personal som

124

SOU 2017:97

Allmänna bestämmelser

Rekryteringsmyndigheten behöver kunna utföra till övervägande del avser pliktpersonal, föreslog regeringen den författningstek- niska lösningen att personer som har en uppgift inom totalför- svaret vid höjd beredskap jämställs med totalförsvarspliktiga vid tillämpning av pliktregisterlagen. Regeringen var också av uppfatt- ningen att ett så omfattande och till innehåll känsligt automatiserat register som det Rekryteringsmyndigheten hanterar måste omgär- das med ett regelverk som garanterar ett starkt integritetsskydd för den enskilde. En så grundläggande bestämmelse som den om vilka som ska kunna registreras i registret borde därför ges i lagform (a. prop. s. 30).

Slutsatsen att lagen ska tillämpas på Rekryteringsmyndighetens behandling av personuppgifter ska enligt regeringen ses som en huvudprincip. Lagen ska också, för vissa situationer, innehålla be- stämmelser som delvis rör verksamhet som utövas av annan (a. prop. s. 31).

I förarbetena till bestämmelserna anges slutligen att lagen endast bör reglera vad som ska gälla vid den behandling av uppgifterna som sker för vissa i lagen angivna ändamål. Tillämpningsområdet för lagen bör därför knytas till dessa så att det framgår att lagen bara gäller vid behandling för dem. Vidare bör det framgå att Rekry- teringsmyndighetens insamling av personuppgifter ska anses ha skett för de i lagen angivna ändamålen om inget annat uttryckligen uppgivits vid denna insamling. Härigenom visas enligt regeringen tydligt att behandling för andra ändamål än dem som anges i lagen är tillåten men endast om Rekryteringsmyndigheten vid insam- lingen av uppgifterna angett att de ska användas för dessa andra ändamål (a. prop. s. 32).

125

Allmänna bestämmelser

SOU 2017:97

7.3.2Metod för reglering av tillämpningsområde och ändamål

Utredningens förslag: Lagens tillämpningsområde ska behand- las åtskilt från ändamålen med behandlingen.

Utformningen av ändamålsbestämmelser i särskilda registerförfatt- ningar kan se olika ut. Utformningen av ändamålsbestämmelserna i nu gällande reglering för Rekryteringsmyndighetens behandling av personuppgifter avviker dock från den i registerförfattningar veder- tagna metoden genom att lagens tillämpningsområde och ändamålen med behandlingen inte regleras åtskilt. Den metod som används i nuvarande reglering innebär att ändamålen med Rekryteringsmyn- dighetens behandling av personuppgifter anges genom en hän- visning i 5 § pliktregisterlagen till 1 § första stycket samma lag, dvs. till lagens tillämpningsområde. Därefter anges i 5 § att personupp- gifter som samlats in av myndigheten ska anses insamlade för de ändamål som anges i 1 § om inte myndigheten har uttryckt ett annat ändamål i samband med insamlingen av uppgifterna. Denna regleringsmetod innebär att ändamålsbestämmelsen i sig inte be- gränsar när en behandling kan anses tillåten enligt pliktregister- lagen utan det som avgör är om myndigheten har uttryckt något annat ändamål. Ändamålsbegränsningen står följaktligen inte ”på egna ben”. Resultatet blir en sammanblandning av lagens tillämp- ningsområde och ändamålsbestämmelser. Följden blir att ändamåls- bestämmelserna enbart specificerar tillämpningsområdet för lagen men inte begränsar vilken behandling som är tillåten inom ramen för lagen. Mot denna bakgrund är vår bedömning att den nya lagens tillämpningsområde ska regleras åtskilt från ändamålen med be- handlingen. Detta bör komma till tydligt uttryck i den nya regler- ingen.

126

SOU 2017:97

Allmänna bestämmelser

7.3.3Lagens tillämpningsområde

Utredningens förslag: Lagen ska tillämpas i Rekryteringsmyn- dighetens verksamhet vid behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret.

I de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av någon annan än Rekryteringsmyndigheten.

Vilka uppgifter i Rekryteringsmyndighetens verksamhet bör omfattas?

Rekryteringsmyndighetens verksamhet regleras i första hand genom bestämmelserna i förordningen (2010:1472) med instruktion för Totalförsvarets rekryteringsmyndighet. Enligt 1 § i instruktionen har Rekryteringsmyndigheten till uppgift att ansvara för att myn- digheter och andra som har bemanningsansvar inom totalförsvaret får stöd och service i frågor som avser bemanning med totalför- svarspliktiga som skrivs in för värnplikt eller civilplikt. Stöd och service ska lämnas även till de bemanningsansvariga i fråga om totalförsvarspliktigas tjänstgöring och om redovisning av annan personal inom totalförsvaret. På uppdrag av Försvarsmakten ska Rekryteringsmyndigheten tillhandahålla urvalstester av dem som ansökt till militär utbildning inom Försvarsmakten. Myndigheten ska vidare utföra utredning om personliga förhållanden, mönstra, skriva in och krigsplacera totalförsvarspliktiga enligt lagen (1994:1809) om totalförsvarsplikt.

Enligt 2 § i instruktionen ska Rekryteringsmyndigheten särskilt ansvara för att information om vad lagen om totalförsvarsplikt innebär sprids till den som skriftligen lämnar uppgifter enligt 2 kap. 1 § lagen om totalförsvarsplikt. Det innebär att det är Rekryterings- myndighetens uppgift att informera alla 18-åringar om skyldigheten att lämna uppgifter om hälsa, utbildning och andra personliga för- hållanden i beredskapsunderlaget. Det är också Rekryteringsmyndig- heten som ska informera om skyldigheten att genomgå mönstring från och med den 1 juli 2017 och skyldigheten att fullgöra grund- utbildning med värnplikt från och med den 1 januari 2018.

Samtliga dessa uppgifter i Rekryteringsmyndighetens verksam- het bör enligt vår bedömning, liksom tidigare, omfattas av den föreslagna lagens tillämpningsområde.

127

Allmänna bestämmelser

SOU 2017:97

Vilka personalkategorier bör omfattas?

Nuvarande reglering omfattar behandling av personuppgifter om totalförsvarspliktiga i Rekryteringsmyndighetens verksamhet (1 § pliktregisterlagen). Med totalförsvarspliktiga jämställs personer som har en skyldighet att fullgöra uppgift inom totalförsvaret vid höjd beredskap utan att skyldigheten grundar sig på totalförsvarsplikt (2 § pliktregisterlagen). Totalförsvarspliktiga är samtliga svenska medborgare – och de som utan att vara svenska medborgare är bosatta i Sverige – som är 16–70 år (se avsnitt 4.1.1 för en närmare beskrivning av totalförsvarspliktens innebörd).

Enligt Rekryteringsmyndighetens instruktion ska myndigheten även redovisa annan personal inom totalförsvaret. Annan personal avser både anställd personal och avtalspersonal, vilket innebär att tjänstgöringsskyldigheten har sin grund i det anställningsavtal eller annat avtal som ingåtts med Försvarsmakten eller annan arbets- givare. Tjänstgöringen inom totalförsvaret grundar sig således på det ingångna avtalet och inte på totalförsvarsplikt. De som tjänst- gör inom totalförsvaret enligt anställningsavtal består av yrkesoffi- cerare, reservofficerare, kontinuerligt anställda eller tidvis tjänst- görande gruppbefäl, soldater och sjömän, tidvis tjänstgörande specia- lister, direktrekryterad personal för tjänstgöring i en internationell militär insats samt civila arbetstagare, exempelvis hälso- och sjuk- vårdspersonal, präster, jurister och tekniker. Personal som inte är anställda inom totalförsvaret utan har tecknat avtal om frivillig tjänst- göring i Försvarsmakten är bl.a. hemvärnsmän. Till annan personal inom totalförsvaret hör även personer med begränsade uppgifter, t.ex. enligt förfogandelagstiftningen, samt totalförsvarspliktiga som tjänst- gör med allmän tjänsteplikt.

Rekryteringsmyndighetens verksamhet förutsätter följaktligen även fortsättningsvis att myndigheten kan behandla personupp- gifter om både totalförsvarspliktiga och annan personal inom total- försvaret. Mot denna bakgrund är vårt förslag att lagens tillämp- ningsområde ska omfatta Rekryteringsmyndighetens behandling av personuppgifter om såväl totalförsvarspliktiga som annan personal inom totalförsvaret.

I särskilda registerförfattningar har det varit brukligt att reglera den aktuella författningens tillämpningsområde genom att specificera i vilken verksamhet som den berörda lagen ska tillämpas. Så är exem-

128

SOU 2017:97

Allmänna bestämmelser

pelvis fallet i polisdatalagen, kustbevakningsdatalagen och utlän- ningsdatalagen.

När det gäller den nya lagen bör det framgå att dess tillämp- ningsområde endast tar sikte på Rekryteringsmyndighetens verk- samhet i fråga om totalförsvarspliktiga och annan personal inom totalförsvaret och således inte myndighetens uppdragsverksamhet som avser rekrytering till civila myndigheter, exempelvis Polismyn- digheten och Kriminalvården. Det saknas skäl för att den särskilda reglering för behandling av personuppgifter som ges i lagen ska omfatta också den verksamheten. Vi gör därför bedömningen att det i författningstexten bör anges att lagens tillämpningsområde omfattar Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret. Däremot anser vi att det saknas skäl för att, såsom är fallet i dag, i lagen uttryckligen begränsa tillämpningsområdet till att endast om- fatta behandling av uppgifter rörande, förutom totalförsvarspliktiga, personer som har en skyldighet att fullgöra uppgift inom totalför- svaret vid höjd beredskap. I vilka situationer det blir aktuellt att behandla uppgifter om dessa personkategorier regleras i de regelverk som styr Rekryteringsmyndighetens verksamhet. Det behöver alltså inte framgå av den nya lagen.

Bör andra myndigheter omfattas av lagens tillämpningsområde?

Av 1 § första stycket 1 pliktregisterlagen framgår att lagen tillämpas vid behandling av personuppgifter om totalförsvarspliktiga i den verksamhet som Rekryteringsmyndigheten bedriver för att ta fram underlag för beslut om inskrivning, krigsplacering eller annat ian- språktagande av personal till totalförsvaret. I bestämmelsens andra stycke anges att i de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av någon annan än Rekryteringsmyndig- heten. En sådan bestämmelse har införts i 6 § andra stycket plikt- registerlagen där det föreskrivs att statliga myndigheter m.fl. får behandla känsliga personuppgifter om uppgifterna behövs för ut- redning om den totalförsvarspliktiges personliga förhållanden enligt 2 kap. 1 § lagen om totalförsvarsplikt. I 2 kap. 1 § lagen om totalförsvarsplikt anges att för att den totalförsvarspliktiges förut- sättningar att fullgöra värnplikt ska kunna utredas föreligger möj-

129

Allmänna bestämmelser

SOU 2017:97

lighet efter begäran från, förutom Rekryteringsmyndigheten, annan statlig myndighet som regeringen bestämmer, en kommun eller ett landsting, att individen vid en personlig inställelse ska lämna nöd- vändiga uppgifter om hälsotillstånd, utbildning, arbete och person- liga förhållanden i övrigt. Regeringen har föreskrivit att en totalför- svarspliktig är skyldig att lämna uppgifter om hälsotillstånd, utbild- ning, arbete och personliga förhållanden i övrigt på begäran av en länsstyrelse, Polismyndigheten, Säkerhetspolisen, Försvarsmakten, Post- och telestyrelsen, Trafikverket, Transportstyrelsen, Statens jord- bruksverk, Migrationsverket, Statens energimyndighet och Affärs- verket svenska kraftnät (4 kap. 5 § andra stycket förordningen [1995:238] om totalförsvarsplikt). På grundval av de inlämnade upp- gifterna kan annan utredning utföras hos samtliga av dessa myn- digheter. Vid annan utredning kan alltså de ovan angivna myndig- heterna samla in, behandla och registrera känsliga personuppgifter om den totalförsvarspliktige med stöd av pliktregisterlagen.

Enligt 13 § pliktregisterlagen får regeringen meddela föreskrifter om att annan än Rekryteringsmyndigheten får föra in personupp- gifter i det automatiserade registret över totalförsvarspliktiga och rätta dessa. Enligt 3 § och bilaga 2 i förordningen om behandling av personuppgifter om totalförsvarspliktiga får Affärsverket svenska kraftnät, Arbetsförmedlingen, Försvarsmakten, kommuner, lands- ting, Myndigheten för samhällsskydd och beredskap, Polismyndig- heten, Posten AB, Regeringskansliet, Säkerhetspolisen, Trafikverket, Transportstyrelsen och Vattenfall AB föra in och rätta vissa upp- gifter i registret över totalförsvarspliktiga.

Av det anförda följer att när dessa myndigheter m.fl. behandlar känsliga personuppgifter i samband med annan utredning eller för in och rättar vissa uppgifter i registret över totalförsvarspliktiga, omfattas behandlingen av pliktregisterlagen. Någon anledning till att inskränka eller utvidga den krets av myndigheter m.fl. som i vissa avseenden ska tillämpa den nya lagen i förhållande till vad som gäller enligt nuvarande reglering har inte kommit fram. Vi åter- kommer i avsnitt 9.3.3 och 9.9.2 till i vilka fall den nya lagen ska omfatta verksamhet som bedrivs av någon annan än Rekryterings- myndigheten.

130

SOU 2017:97

Allmänna bestämmelser

7.3.4Vilken personuppgiftsbehandling bör omfattas av lagens tillämpningsområde?

Nästa fråga rörande tillämpningsområdet är vilken slags personupp- giftsbehandling som ska omfattas av den nya regleringen. Nedan följer en kort beskrivning av gällande rätt och relevanta delar i EU:s dataskyddsförordning och den kompletterande dataskyddslagen. Avsnittet avslutas med en redogörelse för våra överväganden och förslag.

Gällande rätt

Enligt 1 § tredje stycket pliktregisterlagen gäller lagen endast om behandlingen är helt eller delvis automatiserad eller om person- uppgifter ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller samman- ställning enligt särskilda kriterier. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (jfr 3 § personuppgiftslagen).

Vid pliktregisterlagens tillkomst ansågs ett utvidgat integritets- skydd vara påkallat vid behandlingen av personuppgifter om total- försvarspliktiga. I lagen anges därför uttryckligen att den endast gäller för sådan behandling som är helt eller delvis automatiserad samt för annan behandling om uppgifterna ingår i eller är avsedda att ingå i ett register. Avgränsningen av tillämpningsområdet ansågs vara så central att en upprepning var att föredra framför en hän- visning till personuppgiftslagen (prop. 1997/98:80, s. 28 f.) I likhet med personuppgiftslagen används dock i lagen inte begreppet register utan en modifierad formulering av dataskyddsdirektivets definition av ett register, nämligen en strukturerad samling av per- sonuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Dataskyddsförordningen och dataskyddslagen

Dataskyddsförordningen kommer att gälla för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i

131

Allmänna bestämmelser

SOU 2017:97

eller kommer att ingå i ett register (artikel 2.1). Ett register defi- nieras som en strukturerad samling av personuppgifter som är till- gänglig enligt särskilda kriterier, oavsett om samlingen är centrali- serad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden (artikel 4.6). Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en iden- tifierare som ett namn, ett identifikationsnummer, en lokaliserings- uppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet (artikel 4.1).

Dataskyddsförordningen hindrar inte att medlemsstaterna fritt bestämmer tillämpningsområdet för nationell lagstiftning som kompletterar dataskyddsförordningen. Frågor som ligger utanför dataskyddsförordningens tillämpningsområde kan således regleras i en författning som kompletterar dataskyddsförordningen. En sådan författning behöver inte heller reglera alla typer av behandling eller personuppgifter som dataskyddsförordningen reglerar. Det innebär att den nationella registerlagstiftningen för den verksamhet som regleras kan ha ett vidare eller snävare tillämpningsområde än data- skyddsförordningen och t.ex. omfatta sådan manuell behandling som inte omfattas av dataskyddsförordningen samt uppgifter om avlidna personer.

Dataskyddsutredningen har genom sitt förslag till ny dataskydds- lag med tillhörande förordning samlat generella bestämmelser om behandling av personuppgifter avsedda att komplettera dataskydds- förordningen. Dataskyddslagen ska, i enlighet med dataskydds- förordningen, tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register såsom definierat i dataskyddsförordningen. Någon skill- nad mot tidigare gällande ordning enligt personuppgiftslagen är således inte avsedd. Vidare kommer bestämmelserna i dataskydds- förordningen och dataskyddslagen i tillämpliga delar gälla även vid behandling av personuppgifter som faller utanför dataskyddsförord- ningens tillämpningsområde. Det innebär att behandling av person- uppgifter om totalförsvarspliktiga och annan personal inom totalför-

132

SOU 2017:97

Allmänna bestämmelser

svaret kommer att omfattas av dataskyddslagens tillämpningsområde (se avsnitt 6.2.5 och 6.2.6).

Våra överväganden och förslag

Utredningens förslag: Lagen ska – i likhet med dataskydds- förordningen och dataskyddslagen – tillämpas vid sådan behand- ling av personuppgifter som är helt eller delvis automatisk. Lagen gäller även för annan behandling av personuppgifter som ingår i eller kommer att ingå i en strukturerad samling av personupp- gifter som är tillgänglig enligt särskilda kriterier.

Särskilda registerförfattningar omfattar i princip samma slags be- handling och personuppgifter som enligt dataskyddsdirektivet och personuppgiftslagen. Befintliga registerförfattningar har således i detta avseende i allmänhet samma tillämpningsområde som person- uppgiftslagen.

Något tungt vägande skäl till varför den nya lagen skulle avvika från en sådan ordning finns inte. En lag som, liksom tidigare, reglerar all automatisk behandling av personuppgifter inom Rekryterings- myndighetens verksamhetsområde överensstämmer också med regel- systemet i dataskyddsförordningen och den föreslagna dataskydds- lagen (jfr kapitel 6). På de skäl som redovisats i avsnitt 6.2.6 anser vi att regleringen av Rekryteringsmyndighetens behandling av per- sonuppgifter bör följa dataskyddslagens bestämmelser med undantag för de fall avvikelser är befogade på grund av verksamhetens särskilda karaktär. Enligt vår uppfattning bör den nya lagen således omfatta sådan behandling av personuppgifter som avses i den föreslagna dataskyddslagen. Eftersom denna avgränsning av tillämpnings- området är så central för regleringen bör en upprepning göras i den nya lagen om att den, liksom tidigare, omfattar all behandling av personuppgifter som sker helt eller delvis automatiskt samt manuellt i register.

Lagen ska således tillämpas vid sådan behandling av personupp- gifter i Rekryteringsmyndighetens verksamhet som är helt eller del- vis automatisk. Lagen ska gälla även för annan behandling av person- uppgifter som ingår i eller kommer att ingå i en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier. Det

133

Allmänna bestämmelser

SOU 2017:97

innebär att även manuell behandling av personuppgifter omfattas av lagens tillämpningsområde under förutsättning att uppgifterna ingår i ett register såsom det definieras i dataskyddsförordningen. Den nya lagens tillämpningsområde kommer således inte att utvidgas i förhål- lande till vad som gäller för närvarande.

7.3.5Vilken personuppgiftsbehandling faller utanför lagens tillämpningsområde?

Utredningens förslag: Vid sådan behandling av personuppgifter som Rekryteringsmyndigheten i egenskap av vårdgivare utför inom hälso- och sjukvården tillämpas patientdatalagen. Lagen ska innehålla en upplysning om detta förhållande.

Rekryteringsmyndighetens personuppgiftsbehandling

Genom den begränsning av den nya lagens tillämpningsområde som föreslås ovan kommer viss behandling av personuppgifter hos Rek- ryteringsmyndigheten att falla utanför tillämpningsområdet. Det gäller de typer av behandlingar som redovisas i det följande.

Som vid alla myndigheter finns hos Rekryteringsmyndigheten behov av att behandla uppgifter för rent administrativa ändamål som inte har något samband med sådan verksamhet som avses i avsnitt 7.3.3 och som där föreslås omfattas av lagen. Det kan vara fråga om behandling av personuppgifter om anställda, arbetssök- ande eller leverantörer. Sådan personuppgiftsbehandling är att betrakta som intern administrativ verksamhet och faller som sådan utanför vårt uppdrag. Enligt vår bedömning finns det inte heller något behov av en särreglering för behandlingen av personuppgifter i Rekryteringsmyndighetens administrativa verksamhet. Sådan per- sonuppgiftsbehandling föreslås således falla utanför lagens tillämp- ningsområde. För behandling av uppgifter som rör administrativa frågor blir i stället dataskyddsförordningen och den föreslagna dataskyddslagen tillämpliga fullt ut.

Liksom tidigare bör den nya lagen inte gälla manuell behandling av personuppgifter som inte ingår i eller är avsedda att ingå i ett register, dvs. en strukturerad samling av personuppgifter som är

134

SOU 2017:97

Allmänna bestämmelser

tillgängliga enligt särskilda kriterier. Den manuella behandlingen av personuppgifter i Rekryteringsmyndighetens verksamhet är dock mycket begränsad. I princip alla personuppgifter som myndigheten samlar in, oavsett om de inhämtas från totalförsvarspliktiga eller från andra myndigheter m.fl., hanteras i Rekryteringsmyndighetens elektroniska informationssystem. Endast ett fåtal behandlingar av personuppgifter som utförs av Rekryteringsmyndigheten torde där- igenom falla utanför lagens tillämpningsområde med anledning av denna begränsning.

Behandling av personuppgifter om rekryter som genomgår utbild- ning enligt förordningen (2015:613) om militär grundutbildning faller också utanför lagens tillämpningsområde. Först när rekryterna anställs, krigsplaceras eller tecknar avtal om frivillig tjänstgöring inom totalförsvaret omfattas de av den föreslagna lagens tillämpnings- område.

Det bör också erinras om att den personuppgiftsbehandling som utförs av hälso- och sjukvårdspersonal inom ramen för den medi- cinska och psykologiska verksamheten hos Rekryteringsmyndig- heten omfattas av patientdatalagen (2008:355). Patientdatalagen är tillämplig för personuppgiftsbehandling i all individinriktad patient- verksamhet som innefattar vård, undersökning eller behandling. Det är dock endast vårdgivares personuppgiftsbehandling inom hälso- och sjukvården som regleras av lagen (1 kap. 1 § patientdatalagen). Med vårdgivare avses – med ett undantag – en fysisk eller juridisk person som bedriver hälso- och sjukvård. Undantaget avser, enligt förarbetena till patientdatalagen, individinriktad hälso- och sjuk- vård som tillhandahålls av statliga myndigheter (prop. 2007/08:126, s. 49). Sådan hälso- och sjukvård bedrivs parallellt med annan verk- samhet som utgör myndighetens huvuduppgift. I förarbetena anges universitet, högskolor, Statens institutionsstyrelse, Kriminalvården och Rekryteringsmyndigheten som exempel på myndigheter som bedriver sådan hälso- och sjukvård. Regeringen menar därför att det är naturligt att behandla dessa statliga myndigheter som sepa- rata vårdgivare i patientdatalagens mening (a. prop. s. 50). Numera framgår det direkt av 1 kap. 3 § patientdatalagen att vårdgivare bl.a. avser statlig myndighet i fråga om sådan hälso- och sjukvård som myndigheten har ansvar för. Det innebär att den personuppgifts- behandling som utförs av hälso- och sjukvårdspersonal i Rekry- teringsmyndighetens medicinska och psykologiska verksamhet faller

135

Allmänna bestämmelser

SOU 2017:97

utanför lagens tillämpningsområde. Sådan personuppgiftsbehand- ling omfattas i stället av det förslag till ändring i patientdatalagen (SOU 2017:66) som överlämnades av Socialdataskyddsutredningen den 28 augusti 2017 och kommer således även fortsättningsvis att falla utanför lagens tillämpningsområde. En upplysningsbestämmelse om detta förhållande bör tas in i den nya lagen.

Utanför lagens tillämpningsområde faller också, såsom anförts ovan, Rekryteringsmyndighetens uppdragsverksamhet i förhållande till civila myndigheter som rör rekrytering till bl.a. Polismyndig- heten och Kriminalvården.

Annans personuppgiftsbehandling som rör totalförsvarspliktiga m.fl.

Lagen ska endast tillämpas vid sådan behandling av personuppgifter som sker i Rekryteringsmyndighetens verksamhet, med undantag för vissa särskilt angivna fall. Det innebär att behandling av person- uppgifter om totalförsvarspliktiga som andra aktörer utför i sin verk- samhet i allmänhet faller utanför lagens tillämpningsområde. Beman- ningsansvariga organ och andra myndigheter m.fl. som lämnar personuppgifter om totalförsvarspliktiga till Rekryteringsmyndighe- ten eller tar emot sådana uppgifter från myndigheten – i den mån det inte är fråga om direktåtkomst – omfattas således inte av bestäm- melserna i den nya lagen. Detsamma gäller exempelvis beträffande Försvarsmaktens mottagande av uppgifter från Rekryteringsmyn- digheten vid rekrytering i egen regi. Vid sådan behandling kommer i stället bestämmelserna i dataskyddsförordningen och den föreslagna dataskyddslagen att bli tillämpliga samt i förekommande fall bestäm- melser i annan särskild registerförfattning.

Personuppgiftsbehandling som allmänt undantas

Avslutningsvis faller viss personuppgiftsbehandling utanför tillämp- ningsområdet för vårt lagförslag på grund av dataskyddsförord- ningens och dataskyddslagens bestämmelser. Bestämmelserna i dataskyddsförordningen och dataskyddslagen ska enligt 1 kap. 4 § i den senare lagen inte tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihets- förordningen eller yttrandefrihetsgrundlagen. Sådan behandling faller

136

SOU 2017:97

Allmänna bestämmelser

alltså också utanför tillämpningsområdet. Detsamma gäller för behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande samt för behandling av personuppgifter som utförs av en fysisk person som ett led i verksamhet av privat natur eller som har samband med hans eller hennes hushåll. Sådan behandling förekommer inte heller i Rekryteringsmyndighetens verksamhet.

7.4Personuppgiftsansvar

7.4.1Gällande rätt

Enligt 3 § personuppgiftslagen är personuppgiftsansvarig den som ensam eller tillsammans med andra bestämmer ändamålet och medlen för behandlingen av personuppgifter. Enligt 7 § pliktregisterlagen är Rekryteringsmyndigheten personuppgiftsansvarig för den behand- ling av personuppgifter som myndigheten utför. I förarbetena (prop. 1997/98:80, s. 44 f.) till bestämmelsen anförde regeringen att Rekryteringsmyndigheten bör bära personuppgiftansvaret vid be- handling av personuppgifter i myndighetens verksamhet. Någon annan som kan fullgöra de skyldigheter som följer med detta ansvar finns inte. Ansvaret kan emellertid endast omfatta Rekryterings- myndighetens egen behandling av personuppgifter. De myndigheter och andra som lämnar uppgifter till Rekryteringsmyndigheten ansvarar för behandlingen till dess att uppgiften är överlämnad. På samma sätt är de organ inom totalförsvaret som erhåller uppgifter från Rekryteringsmyndigheten ansvariga för sin behandling från det att de tagit emot uppgiften. Bestämmelsen om att Rekryterings- myndigheten bär personuppgiftsansvaret för sina behandlingsåtgär- der, syftar till att klarlägga att ingen annan ansvarar för vad myn- digheten gör med uppgifterna och att en registrerad alltid ska kunna vända sig till Rekryteringsmyndigheten för att få informa- tion och för att få felaktigheter rättade m.m., såvitt avser uppgifter som myndigheten behandlar. Bestämmelsen utesluter emellertid inte att annan bär ett ansvar för sin behandling av samma uppgift.

137

Allmänna bestämmelser

SOU 2017:97

7.4.2Dataskyddsförordningen

Enligt dataskyddsförordningen ska det finnas en personuppgifts- ansvarig för all personuppgiftsbehandling. I artikel 4.7 definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.

Dataskyddsförordningen uppställer vissa skyldigheter för den personuppgiftsansvarige. Den personuppgiftsansvarige ska bl.a. an- svara för och kunna visa att behandlingen av personuppgifter sker på ett lagligt, korrekt och öppet sätt (artiklarna 5.1 a och 5.2), att oriktiga uppgifter rättas (artikel 16) och att den registrerade ersätts för skada som en rättstridig behandling av personuppgifter har med- fört (artikel 82). Enligt skäl 45 bör behandlingens syfte fastställas i unionsrätten eller medlemsstaternas nationella rätt och genom denna grund är det möjligt att bl.a. precisera kraven för att fastställa vem den personuppgiftsansvarige är. Enligt samma skäl bör unions- rätten och medlemsstaternas nationella rätt också reglera frågan huruvida en personuppgiftsansvarig som utför en uppgift av bl.a. allmänt intresse ska vara en offentlig myndighet.

7.4.3Våra överväganden och förslag

Utredningens förslag: Rekryteringsmyndigheten ska vara person- uppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

En bestämmelse i den nya lagen som pekar ut Rekryteringsmyndig- heten som personuppgiftsansvarig för den behandling av person- uppgifter som myndigheten utför, bidrar till att tydliggöra för de registrerade vem som ska hållas ansvarig för behandlingen av per- sonuppgifter enligt lagen. En sådan ordning har gällt sedan tidigare och är också tillåten enligt dataskyddsförordningen. Det har inte

138

8Rättslig grund

och tillåtna ändamål

8.1Rättslig grund för behandlingen av personuppgifter

8.1.1Dataskyddsförordningen

Artikel 6.1

EU:s dataskyddsreglering utgår från att varje behandling av person- uppgifter måste vila på en rättslig grund. Behandling av personupp- gifter får därför bara ske under vissa särskilt angivna omständig- heter.

I artikel 6.1 i dataskyddsförordningen finns en uttömmande upp- räkning av de rättsliga grunderna. Om inget av de uppräknade villkoren är uppfyllt är behandlingen inte laglig och får därmed inte utföras. Den omständigheten att behandlingen är laglig enligt arti- kel 6.1 innebär dock inte att all behandling av personuppgifter är tillåten. Den personuppgiftsansvarige måste även uppfylla övriga i förordningen uppställda krav, exempelvis de allmänna principerna i artikel 5.

De olika villkoren i artikel 6.1 är i viss mån överlappande, vilket innebär att flera rättsliga grunder kan vara tillämpliga avseende en och samma behandling. Enligt förordningen är det dock, till skill- nad mot tidigare, inte tillåtet för myndigheter att behandla person- uppgifter med stöd av den rättsliga grund som utgår från en avväg- ning mellan den ansvariges berättigade intressen och den registrerades rättigheter och intressen när myndigheterna fullgör sina uppgifter (jfr 10 § f personuppgiftslagen). Detta framgår uttryckligen av artikel 6.1 andra stycket i förordningen.

141

Rättslig grund och tillåtna ändamål

SOU 2017:97

Enligt artikel 6.1 är behandling endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a)Den registrerade har lämnat sitt samtycke till att dennes per- sonuppgifter behandlas för ett eller flera specifika ändamål.

b)Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c)Behandlingen är nödvändig för att fullgöra en rättslig förplikt- else som åvilar den personuppgiftsansvarige.

d)Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e)Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myn- dighetsutövning.

f)Behandlingen är nödvändig för ändamål som rör den person- uppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

I det följande redogörs översiktligt för de rättsliga grunder i arti- kel 6.1 som aktualiseras för Rekryteringsmyndighetens behandling av personuppgifter; behandling för att fullgöra en rättslig förplikt- else (led c), behandling som ett led i myndighetsutövning och behandling för att utföra en uppgift av allmänt intresse (led e).

Behandling för att fullgöra en rättslig förpliktelse

Enligt artikel 6.1 c är personuppgiftsbehandling laglig om behand- lingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Bestämmelsen är i sak likalyd- ande med artikel 7 c i dataskyddsdirektivet. Dataskyddsutredningen har i sina överväganden gjort bedömningen att begreppet rättslig förpliktelse i båda rättsakterna bör tolkas och tillämpas på samma sätt. Vidare gör Dataskyddsutredningen följande bedömning såvitt

142

SOU 2017:97 Rättslig grund och tillåtna ändamål

avser innebörden av begreppet rättslig förpliktelse (SOU 2017:39, s. 113 f.).

För att en skyldighet ska utgöra en ”rättslig” förpliktelse måste den ha en legal grund. Detta följer både av begreppet i sig och av kravet i arti- kel 6.3 första stycket i dataskyddsförordningen om att grunden för behandlingen ska fastställas i enlighet med unionsrätten eller den natio- nella rätten. Detta innebär inte att förpliktelsen nödvändigtvis måste framgå av en författning eller liknande. Rättsliga förpliktelser kan också framgå av exempelvis förelägganden, myndighetsbeslut och domar som har meddelats med stöd av gällande rätt.

Rättsliga förpliktelser kan även, som en följd av den svenska arbets- marknadsmodellen, följa av kollektivavtal. Förpliktelser som följer av avtal där den registrerade själv är part utgör däremot en separat rättslig grund enligt såväl dataskyddsförordningen som dataskydds- direktivet.

Även statliga myndigheter kan, vid sidan av sina uppgifter och uppdrag, sägas ha rättsliga förpliktelser. Datainspektionen har bl.a. ansett att en skyldighet till följd av offentlighetsprincipen är en rättslig skyldighet (Datainspektionens rapport 2005:3 s. 15). Data- inspektionen har dock inte ansett att innehållet i en myndighets arbetsordning kan grunda en rättslig skyldighet att behandla per- sonuppgifter (Öman m.fl, kommentaren till 10 b § personupp- giftslagen). Såvitt avser statliga myndigheters uppdrag enligt myn- dighetsinstruktion eller av regeringen utfärdat regleringsbrev har Dataskyddsutredningen anfört följande (a.a. s. 117).

En myndighets uppdrag enligt myndighetsinstruktionen eller regler- ingsbrevet kan i vissa fall utgöra en i enlighet med nationell rätt (regeringsformen) fastställd rättslig förpliktelse i dataskyddsförord- ningens mening, t.ex. om myndigheten ges i uppdrag att föra ett visst personuppgiftsregister. I normalfallet torde dock myndighetens upp- drag i första hand utgöra en rättslig grund för behandling av person- uppgifter med stöd av artikel 6.1 e i dataskyddsförordningen, dvs. på grundval av att uppdraget avser en uppgift av allmänt intresse.

Behandling som ett led i myndighetsutövning

Enligt artikel 6.1 e får personuppgifter behandlas bl.a. om behand- lingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Av artikel 6.3 andra stycket följer att det måste finnas ett samband mellan behandlingen och myndighetsutövningen.

143

Rättslig grund och tillåtna ändamål

SOU 2017:97

Av skäl 45 till dataskyddsförordningen framgår att det på unions- nivå eller nationellt bör regleras om en personuppgiftsansvarig som utför myndighetsutövning ska vara en myndighet eller någon annan som omfattas av offentligrättslig lagstiftning eller om denne kan vara en fysisk eller juridisk person som lyder under civilrättslig lagstiftning, t.ex. en yrkesorganisation. Vad gäller innebörden av begreppet myndighetsutövning anför Dataskyddsutredningen följ- ande (SOU 2017:39, s. 119 f.).

Datalagskommittén bedömde att begreppet myndighetsutövning har en EG-gemensam innebörd, men att man till dess annat framkommer bör kunna utgå från att det som i Sverige brukar anses som myn- dighetsutövning faller under begreppet. Vi instämmer i denna bedöm- ning. Termen används flitigt i svenska författningar, även i grundlag, men saknar legaldefinition. […] Myndighetsutövning mot enskilda karaktäriseras av beslut eller andra ensidiga åtgärder som ytterst är uttryck för samhällets maktbefogenheter i förhållande till medborg- arna. Befogenheten till myndighetsutövning måste alltså vara grundad på lag eller annan författning eller på annat sätt kunna härledas ur bemyndiganden från de högsta statsorganen. Myndighetsutövning kan både medföra förpliktelser för enskilda och mynna ut i gynnande be- slut. Myndighetsutövning kan också ske i förhållandet mellan myndig- heter, t.ex. när en myndighet har tillsyn över en annan myndighets verksamhet. Utanför begreppet myndighetsutövning faller däremot råd, upplysningar och andra inte bindande uttalanden samt sådan faktisk verksamhet som inte innebär tvång mot den enskilde (t.ex. undervis- ning). Gränsdragningen mellan offentligrättsliga och privaträttsliga regler är också av stor vikt när det gäller att bestämma begreppet myndig- hetsutövning.

Myndighetsutövning måste alltid ske med stöd i gällande rätt. Någon generell rätt till myndighetsutövning finns inte i Sverige. Av regeringsformen följer att myndighetsutövning som medför skyl- digheter för den enskilde eller i övrigt avser ingrepp i den enskildes personliga eller ekonomiska förhållanden måste härröra från lag (8 kap. 2 § 2 och 3 § regeringsformen). Regeringen kan dock, med stöd av sin restkompetens, i förordning ge en myndighet befogen- heter avseende gynnande myndighetsutövning (8 kap. 7 § första stycket 2 regeringsformen). Därutöver kan myndighetsutövning även utövas med stöd av direkt tillämpliga EU-förordningar. Vilka organ i Sverige som har myndighetsutövande uppgifter regleras i offentligrättslig lagstiftning.

144

SOU 2017:97

Rättslig grund och tillåtna ändamål

Behandling för att utföra en uppgift av allmänt intresse

Enligt artikel 6.1 e får personuppgifter behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Såsom Dataskyddsutredningen påtalar definieras begreppet allmänt intresse varken i dataskyddsdirektivet eller i dataskyddsförordningen. Data- skyddsutredningen bedömer att mycket dock talar för att begreppet genom dataskyddsförordningen får anses ha fått en vidare unions- rättslig betydelse än begreppet hittills har haft (SOU 2017:39, s. 122 f.).

Innebörden av begreppet allmänt intresse har ännu inte heller utvecklats av EU-domstolen. I avsaknad av vägledande domar från EU-domstolen förefaller det med hänsyn till svensk förvaltnings- tradition rimligt att anta att alla uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse. Sådana uppgifter, som utförs i syfte att utföra ett uttryckligt uppdrag eller till följd av ett åligg- ande, bör anses vara av allmänt intresse oavsett om de faktiskt utförs i myndighetens egen regi, av egna anställda med hjälp av egen utrustning, eller om de genom utkontraktering utförs av någon annan (a.a. s. 124).

Särskilda registerförfattningar tar ofta sikte på behandling av personuppgifter inom en viss verksamhet som utförs för en uppgift av allmänt intresse. Sådana författningar innehåller i regel ända- målsbestämmelser. En närmare redogörelse för ändamålsbestäm- melser ges i avsnitt 8.2.

Artikel 6.2

Av artikel 6.2 framgår att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestäm- melserna i förordningen med hänsyn till behandling av person- uppgifter för att efterleva artiklarna 6.1 c och 6.1 e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Sådana nationella bestämmelser förekommer ofta i särskilda registerför- fattningar och kommer att utgöra en precisering av de allmänna principer för behandlingen som anges i artikel 5.

145

Rättslig grund och tillåtna ändamål

SOU 2017:97

Artikel 6.3

Enligt artikel 6.3 ska den grund för behandlingen som avses i arti- kel 6.1 c och e fastställas i enlighet med unionsrätten eller en med- lemsstats nationella rätt som den personuppgiftsansvarige omfattas av.

Enligt artikel 6.3 andra stycket ska syftet med behandlingen fastställas i den rättsliga grunden. I fråga om behandling enligt artikel 6.1 e, ska syftet vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Ändamålet behöver således inte framgå av den författning där själva uppgiften fastställs men måste vara nöd- vändigt för att utföra uppgiften. Bestämmelsen uttrycker det sam- band som måste finnas mellan behandlingen och den fastställda uppgiften och riktar sig till den som bestämmer de särskilda ända- målen för behandlingen, vilket i normalfallet är den personupp- giftsansvarige. Detta krav på samband framgår även av artikel 5.1 b, där det anges att de särskilda ändamålen ska vara berättigade (SOU 2017:39, s. 126 f.).

Genom kravet i artikel 6.3 att grunden för behandlingen ska fast- ställas i enlighet med unionsrätten eller den nationella rätten, begränsas tillämpningsområdet för den rättsliga grunden i arti- kel 6.1 e. Det räcker således inte att en behandling av personupp- gifter är nödvändig för att utföra en uppgift av allmänt intresse – uppgiften måste också vara fastställd i enlighet med gällande rätt.

Förhållandet mellan artiklarna 5 och 6 i dataskyddsförordningen

Utöver det grundläggande kravet på att all personuppgiftsbehand- ling måste vara laglig, uppställs i artikel 5 vissa allmänna krav på behandlingen. Artikel 5.1 i förordningen motsvarar i princip arti- kel 6 i dataskyddsdirektivet, som har genomförts i svensk rätt genom 9 § personuppgiftslagen.

Den första principen slås fast i artikel 5.1 a och innebär att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. I artikel 5.1 b anges vidare att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål. Ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden är så-

146

SOU 2017:97

Rättslig grund och tillåtna ändamål

ledes inte förenligt med artikel 5. Ett tydligt angivet ändamål är som regel också en förutsättning för att kunna bedöma om be- handlingen är laglig. Kopplingen mellan den rättsliga grunden och kravet på särskilda, uttryckligt angivna och berättigade ändamål förstärks genom dataskyddsförordningen (SOU 2017:39, s. 106 f.). Av artikel 6.3 andra stycket framgår att syftet med behandlingen ska fastställas i den rättsliga grunden. Vad gäller myndighetsutöv- ning och uppgifter av allmänt intresse ska ändamålet med behand- lingen vara nödvändigt för att utföra uppgiften eller myndighets- utövningen.

Enligt artikel 5.1 c–f ska uppgifterna vidare bl.a. vara adekvata och korrekta, får inte förvaras under en längre tid än vad som är nödvändigt samt måste behandlas på ett sätt som säkerställer lämp- lig säkerhet.

Dataskyddsutredningen påpekar att förordningen inte ställer något krav på att de särskilda ändamålen ska vara fastställda i för- fattning, men det finns heller ingenting som hindrar att detta görs, förutsatt att bestämmelserna uppfyller ett mål av allmänt intresse och är proportionella mot det legitima mål som eftersträvas (arti- kel 6.3 andra stycket). Oavsett om ändamålen fastställts i författ- ning eller inte är det dock enligt artikel 5.2 alltid den personupp- giftsansvarige som ansvarar för, och ska kunna visa att, principerna i artikel 5 efterlevs (a.a. s. 107 f.).

Artiklarna 5 och 6 är kumulativa. Det innebär att endast om någon av de rättsliga grunderna i artikel 6.1 är uppfylld får behandling av personuppgifter ske. Om behandlingen är laglig enligt artikel 6 måste dessutom samtliga principer i artikel 5 följas.

8.1.2Våra överväganden

Utredningens bedömning: Den rättsliga grunden för Rekry- teringsmyndighetens behandling av personuppgifter är fastställd i förordningen (2010:1472) med instruktion för Totalförsvarets rekryteringsmyndighet. Dataskyddsförordningens krav enligt arti- kel 6.3 första stycket att vissa rättsliga grunder ska vara fast- ställda i unionsrätten eller i nationell rätt medför således inte något behov av författningsändringar.

147

Rättslig grund och tillåtna ändamål

SOU 2017:97

Både statliga och kommunala myndigheters verksamhet får i allt väsentligt anses vara av allmänt intresse. Myndigheter måste kunna bedriva ändamålsenlig och effektiv verksamhet, vilket bl.a. sker ge- nom digital personuppgiftsbehandling. Informationsteknikens genom- slag i allmänhet och i myndigheters uppgiftshantering i synnerhet, medför att myndigheter i praktiken inte kan välja att behandla per- sonuppgifter manuellt, i vart fall inte på ett sätt som faller utanför dataskyddsförordningens tillämpningsområde. Av detta följer att det är den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen, dvs. allmänt intresse, som i normalfallet bör tillämpas av myndig- heter vid deras behandling av personuppgifter.

Den nu föreslagna lagen och förordningen har, liksom tidigare, till huvudsakligt syfte att Rekryteringsmyndigheten ska kunna be- driva sin verksamhet på ett ändamålsenligt och effektivt sätt utan att den personliga integriteten hos totalförsvarspliktiga och annan personal inom totalförsvaret kränks. Mängden personuppgifter som Rekryteringsmyndigheten måste hantera inom ramen för sin verksamhet medför att annan behandling än automatisk i princip är utesluten. Behandlingen är också nödvändig för att myndigheten ska kunna bedriva sin verksamhet. Verksamheten, som i huvudsak består av att utföra utredning om personliga förhållanden, mönstra, skriva in och krigsplacera totalförsvarspliktiga, lämna stöd till be- manningsansvariga myndigheter m.fl. i frågor som avser bemanning med totalförsvarspliktiga samt redovisa annan personal inom total- försvaret, måste således anses vara av allmänt intresse. Samtycke från den enskilde till att uppgifterna behandlas och registreras i myndighetens informationssystem krävs således inte.

Den behandling av personuppgifter som Rekryteringsmyndig- heten utför i sin verksamhet med stöd av förordningen med instruk- tion för Totalförsvarets rekryteringsmyndighet (myndighetsinstruk- tionen) kan också betraktas som ett led i myndighetsutövning i enlighet med artikel 6.1 e i dataskyddsförordningen. Även denna rättsliga grund kan således bli tillämplig vid myndighetens person- uppgiftsbehandling.

Mer tveksamt är om behandlingen kan anses nödvändig för att fullgöra en rättslig förpliktelse enligt artikel 6.1 c i dataskydds- förordningen. I enlighet med Dataskyddsutredningens resonemang (se avsnitt 8.1.1) skulle Rekryteringsmyndighetens uppdrag enligt myndighetsinstruktionen eller regleringsbrevet kunna utgöra en

148

SOU 2017:97

Rättslig grund och tillåtna ändamål

fastställd rättslig förpliktelse i dataskyddsförordningens mening. Vi instämmer dock i Dataskyddsutredningens bedömning att det är den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen, dvs. allmänt intresse, som vanligen bör tillämpas av myndigheter, även utanför området för myndighetsutövning. Detta gör sig även gäll- ande i fråga om Rekryteringsmyndighetens behandling av person- uppgifter.

Även om det i nuvarande reglering inte uttryckligen anges om det rättsliga stödet för Rekryteringsmyndighetens behandling av personuppgifter är allmänt intresse, myndighetsutövning eller rätts- lig förpliktelse, får det förutsättas att det funnits stöd för be- handlingen enligt ändamålen i artikel 7 i dataskyddsdirektivet, vilka har sin motsvarighet i dataskyddsförordningens artikel 6.1. Arti- kel 6.3 första stycket i dataskyddsförordningen kräver emellertid att den rättsliga grunden för sådan personuppgiftsbehandling som avses i artikel 6.1 c och e är fastställd i unionsrätten eller nationell rätt. I fråga om Rekryteringsmyndighetens behandling av person- uppgifter finns den rättsliga grunden för behandlingen fastställd i myndighetsinstruktionen. Dataskyddsförordningens krav enligt arti- kel 6.3 första stycket att vissa rättsliga grunder ska vara fastställda i unionsrätten eller i nationell rätt medför således inte något behov av författningsändringar.

8.2Tillåtna ändamål för behandlingen av personuppgifter

8.2.1Allmänt om primära och sekundära ändamål

Det är vanligt att man i författningar som reglerar myndigheters personuppgiftsbehandling delar upp ändamålen med behandlingen av personuppgifter i primära och sekundära. De primära ändamålen avser att tillgodose de behov som finns att behandla personupp- gifter i de berörda myndigheternas egen verksamhet. De sekundära ändamålen reglerar i vilken utsträckning personuppgifter, som myn- digheten samlat in för ett primärt ändamål, får behandlas för att lämnas ut till enskilda eller till andra myndigheter i syfte att till- godose deras behov.

Det finns olika sätt att utforma ändamålsregleringen i en registerförfattning. Ett sätt är att uttömmande ange de ändamål för

149

Rättslig grund och tillåtna ändamål

SOU 2017:97

vilken behandling får ske, både primära och sekundära. Ett annat sätt som har tillämpats i vissa hittills gällande registerförfattningar är att de i lagen angivna ändamålen kompletteras med en möjlighet att behandla uppgifter även för ändamål som inte är oförenliga med det för vilka uppgifterna samlades in, i enlighet med den s.k. finali- tetsprincipen (jfr 9 § första stycket d personuppgiftslagen).

8.2.2Gällande rätt

I 5 § pliktregisterlagen anges att personuppgifter som samlats in av Rekryteringsmyndigheten ska anses insamlade för de ändamål som anges i 1 § första stycket om inte Rekryteringsmyndigheten vid insamlingen uttryckligen angett att den sker för andra ändamål. Motsvarande ska gälla vid myndighetens behandling av uppgifter som annan myndighet har samlat in.

Som tidigare berörts i avsnitt 7.3.2 innebär utformningen av nämnda bestämmelse att ändamålen med Rekryteringsmyndig- hetens behandling av personuppgifter endast anges genom en hän- visning till 1 § första stycket samma lag, dvs. tillämpningsområdet. Ändamålen regleras således enligt nu gällande bestämmelser till- sammans med lagens tillämpningsområde.

8.2.3För vilka primära ändamål ska personuppgifter få behandlas?

Nedan följer en uttömmande uppräkning av de ändamål för vilka Rekryteringsmyndigheten får behandla personuppgifter i dag enligt 1 § första stycket pliktregisterlagen.

Utredning om totalförsvarspliktigas personliga förhållanden, mönstring, inskrivning och krigsplacering av totalförsvarspliktiga

En stor del av den personuppgiftsbehandling som sker hos Rekry- teringsmyndigheten i dag utförs i samband med myndighetens uppgift att utföra utredning om personliga förhållanden, mönstra, skriva in och krigsplacera totalförsvarspliktiga. Även myndighetens behandling av personuppgifter i samband med annan utredning än

150

SOU 2017:97

Rättslig grund och tillåtna ändamål

mönstring omfattas. För dessa ändamål finns således ett behov av att Rekryteringsmyndigheten behandlar personuppgifter om total- försvarspliktiga.

Redovisning av annan personal inom totalförsvaret

Rekryteringsmyndigheten har enligt myndighetsinstruktionen till uppgift att redovisa i princip all personal inom totalförsvaret. Detta innefattar både totalförsvarspliktiga, anställd personal, avtalspersonal och hemvärnsmän m.fl. inom totalförsvaret. En förutsättning för att myndigheten ska kunna redovisa annan personal än totalför- svarspliktiga, är dock att de berörda myndigheterna eller andra bemanningsansvariga organ som förfogar över dem har anmält per- sonen i fråga till Rekryteringsmyndigheten för registrering.

Utbildning och placering inom totalförsvaret

Rekryteringsmyndigheten ska i sin verksamhet inte endast utreda och placera totalförsvarspliktiga inom totalförsvaret. Det åligger myndigheten att också säkerställa att den registrerade fortlöpande får ändamålsenlig utbildning och lämplig placering inom totalför- svaret. För detta ändamål måste Rekryteringsmyndigheten löpande behandla och uppdatera personuppgifter. Detta är av särskild vikt för att placera rätt person på rätt plats inom totalförsvaret och för att undvika ”dubbelplacering” av totalförsvarspliktiga.

Kallelse till mönstring och grundutbildning med värnplikt

Rekryteringsmyndigheten behöver behandla personuppgifter för att kalla totalförsvarspliktiga till mönstring och grundutbildning med värnplikt. Inom ramen för detta ändamål behöver myndig- heten även pröva andra frågor, exempelvis föreläggande av vite vid utebliven inställelse m.m. Avsikten är att tillförsäkra att totalför- svarspliktiga fullgör sina skyldigheter och åtaganden såvitt avser totalförsvarsplikten enligt gällande reglering.

151

Rättslig grund och tillåtna ändamål

SOU 2017:97

Totalförsvarspliktigas rättigheter

Behandling av personuppgifter är ibland nödvändig för att Rekry- teringsmyndigheten ska kunna tillgodose totalförsvarspliktigas rättigheter. Det kan av olika skäl bli aktuellt att befria en totalför- svarspliktig från skyldigheten att tjänstgöra. Rätten till vapenfri tjänstgöring eller uppskov med tjänstgöringen kan finnas i vissa fall. Det kan också finnas rätt till olika typer av ersättningar, exempelvis vårdbidrag eller rätt till ekonomiskt bistånd.

Det åligger också Rekryteringsmyndigheten att försäkra sig om att en totalförsvarspliktig inte utsätts för onödiga påfrestningar i samband med utredning om dennes personliga förhållanden eller under tjänstgöringen. Även för dessa ändamål finns behov av att Rekryteringsmyndigheten behandlar personuppgifter om den total- försvarspliktige.

Planering, uppföljning och utvärdering

Slutligen behöver Rekryteringsmyndigheten även behandla person- uppgifter för planering, uppföljning och utvärdering av den ovan nämnda verksamheten.

Våra överväganden och förslag

Utredningens förslag: Personuppgifter får behandlas om det behövs för att

1.ta fram underlag för beslut om mönstring, inskrivning, krigs- placering eller annat ianspråktagande av personal till total- försvaret,

2.redovisa personal med uppgifter inom totalförsvaret,

3.säkerställa att den registrerade fortlöpande får ändamålsenlig utbildning och lämplig placering inom totalförsvaret,

4.se till att den registrerade fullgör sina skyldigheter i fråga om totalförsvarsplikten,

5.tillgodose den registrerades rättigheter och trygghet i egen- skap av totalförsvarspliktig,

152

SOU 2017:97

Rättslig grund och tillåtna ändamål

6.fullgöra Rekryteringsmyndighetens serviceskyldighet gentemot bemanningsansvariga organ inom totalförsvaret, och

7.planera, följa upp och utvärdera den verksamhet som anges i 1–6.

Vi vill inledningsvis erinra om att artikel 6.3 i dataskyddsför- ordningen medger ändamålsbegränsningar i förhållande till den rättsliga grunden för behandling av personuppgifter. Som konsta- terats ovan finns den rättsliga grunden för Rekryteringsmyndig- hetens behandling av personuppgifter fastställd i myndighetsinstruk- tionen. Behandlingen får därigenom anses laglig enligt bestämmel- serna i dataskyddsförordningen.

Trots att det finns en rättslig grund för Rekryteringsmyndig- hetens behandling av personuppgifter inom ramen för lagens tillämp- ningsområde är det av vikt att klargöra för vilka ändamål i vid mening som myndigheten får behandla uppgifter i sin verksamhet. Den behandling av personuppgifter som sker på grund av myndig- hetens uppdrag är både synnerligen omfattande och avser i hög grad känsliga personuppgifter. Till detta kommer att personupp- gifterna i stor utsträckning har samlats in från de totalförsvars- pliktiga själva utifrån den skyldighet som följer av lagen (1994:1809) om totalförsvarsplikt.

I enlighet med vad som är vanligt förekommande i register- författningar som rör särskilt integritetskänslig verksamhet, exem- pelvis polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145), är vårt förslag att lagen ska innehålla en uttömmande uppräkning av de primära ändamålen. De primära ändamålen bör omfatta samtliga uppgifter som Rekryteringsmyndigheten utför inom ramen för sin verksamhet enligt myndighetsinstruktionen och som förutsätter behandling av personuppgifter. Som tidigare anförts innebär omfattningen av de personuppgifter som myndigheten måste hantera att manuell behandling i princip är utesluten.

Vi bedömer att samtliga de ändamål som i dag anges i 1 § första stycket pliktregisterlagen alltjämt är berättigade och att en behand- ling med dessa ändamål som grund är nödvändig för att Rekry- teringsmyndigheten ska kunna bedriva en ändamålsenlig och effektiv verksamhet. Därutöver åtar sig Rekryteringsmyndigheten uppgifter inom ramen för sin serviceskyldighet som också följer av myn- dighetens instruktion. Myndigheten ger bl.a. stöd och service till

153

Rättslig grund och tillåtna ändamål

SOU 2017:97

bemanningsansvariga organ inom totalförsvaret i en inte obetydlig omfattning. För att Försvarsmakten ska kunna genomföra annan utredning enligt det förslag som Personalförsörjningsutredningen har lämnat i sitt betänkande En robust personalförsörjning av det mili- tära försvaret (SOU 2016:63, s. 83 f.), behöver Försvarsmakten information om de totalförsvarspliktiga i en helt annan omfattning än tidigare. Detta behov kan till viss del tillgodoses genom att För- svarsmakten beviljas direktåtkomst till personuppgifter i Rekryter- ingsmyndighetens informationssystem (se utredningens förslag i avsnitt 9.7.2). Därutöver kan Försvarsmakten behöva ytterligare information eller annat stöd och service i detta avseende. Även andra bemanningsansvariga inom totalförsvaret kan ha behov av Rekry- teringsmyndighetens stöd och service i olika sammanhang. För att tillgodose dessa behov föreslår vi att det, utöver de ovan nämnda ändamålen, även ska vara möjligt för Rekryteringsmyndigheten att behandla personuppgifter för att fullgöra myndighetens serviceskyl- dighet gentemot de bemanningsansvariga organen inom totalför- svaret.

De föreslagna ändamålen kan inordnas under den rättsliga grund som tillåter att en behandling av personuppgifter sker, dvs. Rekry- teringsmyndighetens uppdrag såsom det är formulerat i myndig- hetsinstruktionen. Myndighetens behandling av personuppgifter för de uppräknade ändamålen är således förenlig med den grund- läggande dataskyddslagstiftningen.

Vi vill avslutningsvis erinra om de principer för behandling av personuppgifter som anges i artikel 5 i dataskyddsförordningen som bl.a. innebär att varje enskild behandling måste omfattas av särskilda, uttryckligt angivna och berättigade ändamål. För att en enskild behandling ska vara tillåten är det således inte tillräckligt att den har sin grund i Rekryteringsmyndighetens uppdrag såsom det är formu- lerat i myndighetsinstruktionen och att den kan inordnas under något av de primära ändamålen som anges i lagen. Dessa ändamål har ju getts en vid formulering och syftar snarare till att precisera den rättsliga grunden för behandlingen. Behandlingen måste alltså också uppfylla de kvalitativa krav som följer av artikel 5.

Det kan konstateras att den föreslagna ändamålsbestämmelsen innehåller ett behovskrav i stället för ett nödvändighetskrav. Detta för att terminologin ska överensstämma med vad som gäller enligt andra registerförfattningar, se exempelvis 2 kap. 7 § polisdatalagen,

154

SOU 2017:97

Rättslig grund och tillåtna ändamål

3 kap. 2 § kustbevakningsdatalagen och 11 § utlänningsdatalagen (2016:27). Syftet med de olika sätten att uttrycka begränsningen är emellertid i allt väsentligt detsamma. Avsikten är att betona att behandling av uppgifter inte får ske slentrianmässigt och att en bedömning av behovet eller nödvändigheten måste göras innan en behandling påbörjas (jfr prop. 2015/16:65, s. 60).

8.2.4För vilka sekundära ändamål ska personuppgifter få behandlas?

Utlämnande av uppgifter som behandlas helt eller delvis automa- tiskt eller ingår i ett manuellt register sker i regel med stöd av för- fattningar som föreskriver alternativt tillåter utlämnande. Myndig- heter är i vissa fall enligt lag eller förordning skyldiga att på begäran lämna ut uppgifter till andra. En myndighet är exempelvis enligt tryckfrihetsförordningen skyldig att lämna ut personuppgifter som ingår i allmänna handlingar, om inte sekretess gäller för uppgifterna. Sekretessbrytande uppgiftsskyldighet kan även följa av bestämmelser i lag eller förordning (jfr 10 kap. 28 § offentlighets- och sekretesslagen [2009:400]). Enligt 6 kap. 5 § offentlighets- och sekretesslagen ska vidare en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång.

Vidare kan det i författningar finnas bestämmelser som innebär att uppgifter får lämnas ut. Enligt 10 kap. 27 § offentlighets- och sekretesslagen får en sekretessbelagd uppgift lämnas till en myn- dighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. I många registerförfattningar förekommer också föreskrifter som innebär att myndigheten i fråga får lämna personuppgifter till andra myndigheter eller enskilda.

155

Rättslig grund och tillåtna ändamål

SOU 2017:97

Våra överväganden och förslag

Utredningens förslag: Personuppgifter som behandlas för de primära ändamålen får också behandlas för att fullgöra upp- giftslämnande som sker i överensstämmelse med lag eller för- ordning.

Det kan konstateras att personuppgifter som behandlas i Rekryterings- myndighetens verksamhet i olika sammanhang lämnas ut till andra myndigheter, företrädesvis Försvarsmakten, men även till enskilda. Sker uppgiftslämnandet för syften som gäller Rekryteringsmyndig- hetens verksamhet omfattas personuppgiftsbehandlingen genom utlämnandet av de primära ändamål som angetts i avsnitt 8.2.3. Om utlämnandet av uppgifterna i stället sker för mottagarens räkning, krävs att den efterföljande personuppgiftsbehandlingen också är laglig (se föregående avsnitt). En förutsättning är förstås att per- sonuppgifterna behandlas helt eller delvis automatiskt eller ingår i manuella register. I sådana fall, dvs. när uppgiftslämnandet är för- fattningsreglerat, får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, vid vilken man funnit att upp- giften ska eller får lämnas ut. Någon anledning att i den nya lagen förhindra att personuppgifter lämnas ut i sådana fall kan vi inte se. Vi föreslår därför att det i lagen införs en ändamålsbestämmelse som medger att personuppgifter – som behandlas med stöd av något eller några av de primära ändamål som anges i avsnitt 8.2.3 – också får behandlas för att fullgöra sådant uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning.

156

9 Den nya regleringen

9.1Registret över totalförsvarspliktiga

9.1.1Allmänt om begreppen register, databaser och gemensamt tillgängliga uppgifter

Den nuvarande regleringen av Rekryteringsmyndighetens behand- ling av personuppgifter är uppbyggd med utgångspunkt i att behand- lingen sker i ett register. Begreppet register är i viss mån föråldrat. Vi inleder därför med att kort behandla detta begrepp innan vi övergår till en närmare beskrivning av regleringen av Rekryterings- myndighetens behandling av personuppgifter om totalförsvarsplik- tiga och annan personal inom totalförsvaret.

Begreppet register introducerades i och med datalagens (1973:289) införande och kom därigenom att bli ett centralt begrepp i svensk datalagstiftning. Med personregister avsågs enligt datalagen register, förteckning eller andra anteckningar som förs med hjälp av auto- matiserad databehandling (ADB) och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Den allmänt vedertagna termen för ADB-baserade uppgiftssamlingar har därför sedan datalagens införande varit register (SOU 2015:73 s. 187 f.).

Begreppet register återfinns i många äldre registerförfattningar som reglerar myndigheters automatiserade behandling av person- uppgifter. Begreppet har emellertid kritiserats i ett flertal lagstift- ningsarbeten, bl.a. för att ordet register har en teknisk anknytning och därför kan ha olika innebörd för olika yrkesgrupper. Redan i förarbetena till personuppgiftslagen (1998:204) kritiserades använd- ningen av begreppet register vid automatiserad databehandling för att vara otidsenligt (prop. 1997/98:44, s. 39). På grund av den tek-

157

Den nya regleringen

SOU 2017:97

niska utvecklingen har det enligt propositionen i en sammansatt och komplex datormiljö blivit allt svårare att fastställa vad som är ett register i förhållande till ett annat. Det har också vuxit fram allt flexiblare och kraftfullare metoder för att med hjälp av datorer söka och hantera uppgifter som inte finns i någon registerstruktur. Sam- tidigt konstateras det i propositionen att det sagda inte hindrar att det som faktiskt är ett regelrätt datoriserat register också kallas för det. Flertalet särskilda registerförfattningar rör just upprättandet och förandet av traditionella datoriserade register, dvs. att uppgif- terna läggs in i ett på visst sätt strukturerat register och bara får tas fram med hjälp av vissa angivna sökkriterier. Registerformen har därvid ofta valts medvetet för att skapa förutsägbarhet och säkerhet beträffande de uppgifter som behandlas med hjälp av datorer (a. prop. s. 39 f.).

Mot denna bakgrund ansåg regeringen att det var en fördel att personuppgiftslagen skulle omfatta all automatiserad behandling av personuppgifter utan hänsyn till det föråldrade registerbegreppet (a. prop. s. 39 f.). I personuppgiftslagen används därför inte begreppet register utan lagen gäller all helt eller delvis automatiserad behand- ling av personuppgifter, oavsett om de förekommer i ett register eller inte. Vid manuell behandling är personuppgiftslagen emeller- tid tillämplig endast om personuppgifterna ingår i ett register. I lagen används dock inte begreppet register utan dataskyddsdirek- tivets definition av begreppet, dvs. en strukturerad samling av per- sonuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. I dessa fall är registerbegreppet således fortfarande av betydelse.

På senare år har modellen med register kritiserats i flera lag- stiftningsärenden med motiveringen att den inte uppfyller dagens krav på teknikneutral lagstiftning.

I förarbetena till lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet bedömdes begreppet re- gister inte längre vara ett relevant eller lämpligt sätt att se på samlingar av uppgifter i elektronisk form med undantag för vissa traditionella register som misstanke- och belastningsregistret (prop. 2004/05:164 s. 60). I stället valde lagstiftaren att använda begreppet databas, vil- ket definierades som en samling uppgifter som med hjälp av auto- matiserad behandling används gemensamt inom en verksamhet. Det rättsliga begreppet databas var enligt regeringen att föredra

158

SOU 2017:97

Den nya regleringen

framför registerbegreppet, i synnerhet som begreppet underlättar för en teknikoberoende lagstiftning (a. prop. s. 61).

I förarbetena till polisdatalagen (2010:361) och kustbevaknings- datalagen (2012:145) kritiserades både användningen av begreppet register och databas för att inte vara tillräckligt teknikneutrala i lag- stiftning som rör personuppgiftsbehandling. I förarbetena till polisdatalagen konstaterade regeringen att registerbegreppet har kritiserats, bl.a. därför att det har en teknisk anknytning och därför att dagens datasystem normalt inte byggs som traditionella register (prop. 2009/10:85, s. 60 f.). Också begreppet databas har en stark teknisk anknytning och leder tanken till ett visst, i tekniskt av- seende avgränsat, informationssystem. Detta är inte ett helt rele- vant sätt att se på samlingar av uppgifter i elektronisk form. Upp- gifter kan t.ex. införas helt ostrukturerat och oorganiserat i olika filer i en dator utan att detta förhindrar en effektiv hantering av uppgifterna för olika sammanställningar m.m. Det konstateras att även om registerbegreppet fortsättningsvis kommer att användas inom polisen för vissa särskilda fall, t.ex. när det gäller finger- avtrycks- eller signalementsregistret, penningtvättsregistret och det allmänna spaningsregistret, går utvecklingen mot att registerformen överges för mer sofistikerade datasystem. Som en följd av detta bör den nya regleringen inte bygga på att behandlingen av person- uppgifter sker i olika register eller databaser utan i stället ges en mer generell utformning (a. prop. s. 60 f. och s. 229). Även i för- arbetena till kustbevakningsdatalagen fördes liknande resonemang och regeringen fann att regleringen för Kustbevakningens del skulle utformas i enlighet med vad som hade beslutats för polisen (prop. 2011/12:45 s. 72 f.).

I stället för bestämmelser om register och databaser innehåller polisdatalagen och kustbevakningsdatalagen särskilda bestämmelser för uppgifter som görs och har gjorts gemensamt tillgängliga i den brottsbekämpande verksamheten. Registerbegreppet behålls endast för vissa särskilda fall. Genom en sådan formulering står det enligt regeringen klart att det viktiga inte är var eller med vilken metod uppgiften rent tekniskt är lagrad eller behandlas utan om ett flertal personer har möjlighet att ta del av uppgiften. Bestämmelserna ska framför allt reglera sådan behandling av uppgifter som sker i för verksamheten gemensamma uppgiftssamlingar. Härigenom införs ett relativt nytt begrepp inom lagstiftningen på personuppgifts-

159

Den nya regleringen

SOU 2017:97

behandlingsområdet, begreppet gemensamt tillgängliga uppgifter

(prop. 2009/10:85, s. 126 f. och SOU 2015:73, s. 193 f.).

Gemensamt tillgängliga uppgifter

Särskilda bestämmelser om gemensamt tillgängliga uppgifter finns i 3 kap. polisdatalagen respektive 4 kap. kustbevakningsdatalagen. I förarbetena till polisdatalagen anges de principer som bör ligga till grund för gränsdragningen mellan behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga och annan be- handling (prop. 2009/10:85, s. 127 f.).

En grundläggande förutsättning för att personuppgifter ska an- ses vara gemensamt tillgängliga är att de kan användas gemensamt av flera, dvs. att fler än en person har åtkomst till uppgifterna. Uppgifter som endast ett fåtal personer har rätt att ta del av bör dock inte anses som gemensamt tillgängliga. Att en uppgift ”är till- gänglig” för en viss person bör förstås så att personen har såväl fak- tisk möjlighet att ta del av uppgiften som rättslig behörighet till det. Det bör däremot inte spela någon roll hur många personer som faktiskt tar del av de aktuella uppgifterna. Det bör inte heller ha någon betydelse om den som har tillgång till uppgiften kan påverka den eller bara läsa den. Detta innebär att personuppgifter blir att anse som gemensamt tillgängliga om dessa behandlas för att en obestämd krets, t.ex. hela polisorganisationen, ska kunna ta del av uppgifterna (a. prop. s. 127).

Vidare bör enligt propositionen personuppgifter anses vara gemensamt tillgängliga även i vissa fall när den personkrets som har tillgång till uppgifterna är bestämd och avgränsad. Om uppgifterna är tillgängliga för ett stort antal bestämda personer, bör de således anses vara gemensamt tillgängliga. Uppgifter bör dock inte anses som gemensamt tillgängliga enbart därför att två eller flera personer har tillgång till dem. Kan man redan från början konstatera att person- uppgifterna endast kommer att vara tillgängliga för en avgränsad krets bestående av en handfull personer, bör uppgifterna alltså inte anses som gemensamt tillgängliga. De integritetsskyddsintressen som moti- verar särskilda regler för gemensamt tillgängliga uppgifter gör sig enligt propositionen inte lika starkt gällande när bara ett fåtal per- soner har tillgång till uppgifterna som när många personer har tillgång

160

SOU 2017:97

Den nya regleringen

till dem. Som en tumregel anges att uppgifter normalt bör anses som gemensamt tillgängliga när fler än ett tiotal personer har tillgång till dem. I viss utsträckning kan också tidsaspekten ha betydelse för om uppgifter ska anses vara gemensamt tillgängliga eller inte eftersom uppgifter som behandlas under en längre tid typiskt sett kommer fler till del, bl.a. därför att personer i en från början begränsad krets med tiden byts ut. Uppgifter ska också anses vara gemensamt tillgängliga när de sprids till andra myndigheter än polisen (a. prop. s. 128 f.).

9.1.2Våra överväganden

Utredningens bedömning: Den nya lagen ska inte innehålla bestämmelser som särskilt tar sikte på register, databaser eller gemensamt tillgängliga uppgifter utan ges en generell utformning.

Kartläggningen av behandlingen av personuppgifter i Rekryterings- myndighetens verksamhet visar att det inte finns något behov av att i grunden förändra förutsättningarna för behandlingen. Däremot finns det ett behov av att klargöra hur behandlingen av person- uppgifter ska beskrivas och om det också i fortsättningen finns behov av att i en reglering av myndighetens behandling av person- uppgifter om totalförsvarspliktiga särskilja behandling som sker i register från annan behandling av personuppgifter som omfattas av lagen.

Vi har i avsnitt 5.5 bedömt att kartläggningen visar att den nu- varande regleringen fungerar i huvudsak väl. Samtidigt bör regler- ingen möjliggöra moderna och ändamålsenliga informationssystem och inte begränsa Rekryteringsmyndighetens möjligheter att utnyttja ny informationsteknik. Regleringen bör därför inte vara beroende av att vissa tekniska lösningar används, dvs. den bör vara i den meningen teknikneutral. Detta för att Rekryteringsmyndigheten så långt som möjligt ska kunna använda sig av den nya tekniken för att öka sin effektivitet men också för att underlätta och förenkla informationsutbytet med sina uppdragsgivare, andra myndigheter och enskilda. Regleringen bör också vara flexibel genom att den ska kunna anpassas till berörda myndigheters krav och inte behöva ändras inför varje förändring i Rekryteringsmyndighetens verksamhet.

161

Den nya regleringen

SOU 2017:97

Det kan konstateras att Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret huvudsakligen sker i elektronisk form genom myndig- hetens olika informationssystem. Det i pliktregisterlagen omnämnda automatiserade registret över totalförsvarspliktiga är således inte att betrakta som ett register i traditionell mening. Endast i fråga om registret över krigsplacerad personal vid andra myndigheter, registret över krigsfångar och det s.k. forskningsarkivregistret föreligger register i ordets rätta bemärkelse. I det särskilda registret över krigs- placerade för Rekryteringsmyndigheten in uppgifter om namn och personnummer på den krigsplacerade samt vid vilken myndighet han eller hon är krigsplacerad. Vid höjd beredskap har Rekryter- ingsmyndigheten i uppgift att registrera och rapportera krigsfångar (prop. 1997/98:80, s. 19). I Rekryteringsmyndighetens interna be- stämmelser om forskningsarkivregister (RIB 2012:1) regleras hur vissa personuppgifter i myndighetens informationssystem Plis och Syom med tillhörande delsystem ska bevaras och överföras till ett särskilt forskningsarkivregister. Inget av de ovan nämnda registren påkallar emellertid någon särskild reglering.

I likhet med de resonemang som förts i flera lagstiftningsärenden på senare år är det enligt vår bedömning varken relevant eller lämpligt att beskriva Rekryteringsmyndighetens behandling i övrigt av personuppgifter om totalförsvarspliktiga genom användning av begreppet register. Inte heller begreppet databas ger en rättvisande beskrivning av den behandling som utförs. Varken begreppet register eller databas kan därför anses lämpliga eller tillräckligt teknikneutrala för att beskriva den aktuella behandlingen. Den nya regleringen bör således inte innehålla bestämmelser som särskilt tar sikte på register eller databaser utan i stället ges en generell utformning.

Frågan är då om det, i likhet med polisdatalagen och kustbevak- ningsdatalagen, bör införas särskilda bestämmelser om gemensamt tillgängliga uppgifter. Härigenom kan ett starkare integritetsskydd uppnås genom att mer restriktiva regler gäller för de gemensamt tillgängliga uppgifterna, vilka kan kompletteras med ytterligare integritetsskyddande bestämmelser om bl.a. sökning, direktåtkomst, bevarande och gallring (se t.ex. 3 kap. 5–15 §§ polisdatalagen).

Det kan inledningsvis konstateras att i stort sett samtliga per- sonuppgifter om totalförsvarspliktiga som behandlas i Rekryterings- myndighetens verksamhet är av sådan karaktär att de kan betraktas

162

SOU 2017:97

Den nya regleringen

som gemensamt tillgängliga. Såväl känsliga personuppgifter som andra integritetskänsliga uppgifter om de totalförsvarspliktiga be- handlas regelmässigt i verksamheten. Flertalet anställda hos Rekry- teringsmyndighet inklusive hälso- och sjukvårdspersonal har tillgång till många uppgifter av integritetskänslig karaktär inom ramen för sina respektive arbetsuppgifter.

De uppgifter som anställd personal hos Rekryteringsmyndig- heten har tillgång till begränsas dock genom krav på behörighet. Åtkomsten begränsas såtillvida att de som har behörighet endast får tillgång till de delar av informationssystemen som de behöver för att kunna fullgöra sina arbetsuppgifter. Inloggning kan endast ske med hjälp av totalförsvarets elektroniska id-kort. Aktiviteter i systemen loggas och logguppföljning görs regelbundet av it-säker- hetschefen och verksamhetschefen.

Svårigheten att tydligt precisera vilka uppgifter som ska få göras gemensamt tillgängliga är en annan viktig aspekt som måste be- aktas. Detta låter sig inte med lätthet göras i den verksamhet som bedrivs av Rekryteringsmyndigheten.

Motsvarande skäl som ovan anförts i fråga om Rekryterings- myndighetens personuppgiftsbehandling lyftes även fram i Utlän- ningsdatautredningens förslag till ny utlänningsdatalag (SOU 2015:73, s. 198 f.). Vissa likheter kan skönjas i lagstiftningsarbetet rörande den nya utlänningsdatalagen och vårt lagförslag. I båda fallen har det i direktiven efterfrågats en modernare reglering mot tidigare mer renodlade registerförfattningar. Därtill berör lagregleringen flera myndigheter. Såväl Migrationsverkets som Rekryteringsmyn- dighetens behandling av personuppgifter är omfattande och avser till övervägande del integritetskänsliga personuppgifter. I Utlännings- datautredningens betänkande kom utredningen fram till slutsatsen att det inte skulle finnas några särskilda regler om behandling av personuppgifter på utlännings- och medborgarskapsområdet som är gemensamt tillgängliga. Till skillnad från den tidigare utlännings- dataförordningen (2001:720) innehåller den nya utlänningsdata- lagen (2016:27) således inte några bestämmelser som tar sikte på visst register i Migrationsverkets verksamhet utan lagens bestäm- melser gäller generellt för den behandling som sker inom ramen för tillämpningsområdet.

Uppgifterna om totalförsvarspliktiga och annan personal inom totalförsvaret kommer också att omgärdas av särskilda skyddsregler i

163

Den nya regleringen

SOU 2017:97

enlighet med våra förslag. Personuppgiftsbehandlingen enligt den nya lagen kommer t.ex. att begränsas genom bestämmelser om lagens tillämpningsområde och särskilda ändamålsbestämmelser (se avsnitt 7.3 och 8.2). Därtill föreslås regler om att tillgången till personuppgifter ska begränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter (se avsnitt 9.6). En särskild re- glering för när och hur direktåtkomst för andra aktörer får medges föreslås också (se avsnitt 9.7.2). På detta sätt begränsas risken för otillbörlig spridning av uppgifterna. Lagen föreslås också innehålla relativt utförliga bestämmelser om sökförbud (se avsnitt 9.8).

Mot denna bakgrund är vår bedömning att de föreslagna skyddsreglerna utgör ett tillräckligt integritetsskydd för den upp- giftsbehandling som sker hos Rekryteringsmyndigheten. Något behov av en mer restriktiv särreglering finns inte. Vi föreslår därför inte att det i den nya lagen bör införas särskilda bestämmelser om register, databaser eller gemensamt tillgängliga uppgifter utan re- gleringen bör ges en generell utformning.

9.2Personuppgifter som får behandlas

9.2.1Gällande rätt

Äldre registerförfattningar innehåller i regel bestämmelser om registerinnehåll, dvs. vilka kategorier av uppgifter eller personer som får behandlas. Pliktregisterlagen är inget undantag. I 8 § anges att i automatiserat register över totalförsvarspliktiga får person- uppgifter föras in endast om den som (i) är eller har varit aktuell för mönstring eller annan utredning, (ii) genom avtal, beslut om krigsplacering eller på annat sätt är tagen i anspråk för totalför- svaret, (iii) ska utföra särskild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig för totalförsvaret, (iv) av en redan registrerad uppgetts som närstående, eller (v) nämns bland de uppgifter som åberopas av den registrerade, om de rör hans eller hennes tjänstgöring inom totalförsvaret. Därutöver får personupp- gifter registreras om den som fattat beslut eller handlagt ärende som rör den registrerade hos Rekryteringsmyndigheten eller hos någon annan som utfört annan utredning. Detsamma gäller per- sonuppgifter om den som gjort journalanteckning i samband med sådan utredning eller i samband med den registrerades tjänstgöring

164

SOU 2017:97

Den nya regleringen

inom totalförsvaret (8 § tredje stycket). I 9 § anges uttömmande vilka personuppgifter som får föras in i registret.

I moderna registerförfattningar har den tidigare ordningen med bestämmelser om registerinnehåll frångåtts. I exempelvis polisdata- lagen, kustbevakningsdatalagen och utlänningsdatalagen är det ända- målsbestämmelserna som styr vilka uppgifter som får behandlas genom att det anges att personuppgifter får behandlas om det behövs för de ändamål för vilken behandlingen utförs (se bl.a. 2 kap. 7 § polisdatalagen, 3 kap. 2 § kustbevakningsdatalagen och 11 § utlänningsdatalagen). Polisadatalagen innehåller dock särskilda innehållsbestämmelser för fingeravtrycks- och signalementsregister (4 kap. 12–13 §§).

9.2.2Våra överväganden och förslag

Utredningens förslag: Det ska i lagen inte anges vilka katego- rier av personer eller personuppgifter som får behandlas.

Alla personuppgifter som är nödvändiga för de ändamål för vilken behandlingen utförs får behandlas.

I nu gällande pliktregisterlag anges uttömmande vilka kategorier av personer och personuppgifter som får behandlas. De skäl som vid lagens tillkomst motiverade särskilda bestämmelser om register- innehåll gör sig enligt vår bedömning inte längre gällande. Då ansågs det i personuppgiftslagen uppställda kravet på att behandling av personuppgifter inte får avse fler uppgifter än som är nödvändigt med hänsyn till ändamålen med behandlingen inte vara tillräckligt ur integritetsskyddspunkt (SOU 1997:101 s. 155). Tvärtom ansågs det viktigt att register av det slag som Rekryteringsmyndigheten för – register med känsliga personuppgifter om en stor del av befolk- ningen – reglerades noggrant vad gällde innehållet. Även försvars- sekretessen motiverade ett starkt skydd.

Inledningsvis kan vi konstatera att bestämmelser om register- innehåll inte längre är en vedertagen ordning i särskilda registerför- fattningar. Inte ens i registerförfattningar som rör särskilt integritets- känslig verksamhet, som polisdatalagen, kustbevakningsdatalagen och utlänningsdatalagen, har det ansetts befogat med sådana bestäm- melser. Den behandling av personuppgifter som sker på grund av

165

Den nya regleringen

SOU 2017:97

Rekryteringsmyndighetens uppdrag är i och för sig än i dag synner- ligen omfattande och avser i hög grad känsliga personuppgifter. Till detta kommer att personuppgifterna i stor utsträckning har samlats in från de totalförsvarspliktiga själva utifrån den skyldighet som följer av lagen (1994:1809) om totalförsvarsplikt. Vårt förslag inne- bär dock att den nya lagen, till skillnad mot tidigare, kommer att innehålla särskilda ändamålsbestämmelser med en uttömmande upp- räkning av de primära ändamål för vilka Rekryteringsmyndigheten får behandla personuppgifter i sin verksamhet. När myndigheten får behandla de uppgifter som har samlats in begränsas således av ändamålsbestämmelserna.

Som redovisats i avsnitt 8.1.2 har behandlingen sin utgångspunkt i den rättsliga grund som framgår av Rekryteringsmyndighetens uppdrag såsom det är formulerat i myndighetsinstruktionen. För att en enskild behandling ska vara tillåten är det dock inte till- räckligt att den har sin utgångspunkt i den rättsliga grunden och att den kan inordnas under något av de primära ändamålen. Utöver det grundläggande kravet på att personuppgiftsbehandlingen måste vara laglig, ska personuppgifterna behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (artikel 5.1 a data- skyddsförordningen). Varje enskild behandling måste även omfattas av särskilda, uttryckligt angivna och berättigade ändamål och får inte senare behandlas på ett sätt som är oförenligt med dessa ända- mål (artikel 5.1 b). Uppgifterna ska vidare vara adekvata och korrekta, får inte förvaras under en längre tid än vad som är nödvändigt samt måste behandlas på ett sätt som säkerställer lämplig säkerhet (artikel 5.1 c–f).

Genom dels kravet på en rättslig grund för behandlingen och de grundläggande bestämmelserna i dataskyddsförordningen, dels de föreslagna ändamålsbestämmelserna uppnås enligt vår bedömning en fullgod inramning av integritetsskyddet för Rekryteringsmyndig- hetens personuppgiftsbehandling.

Ur ett integritetsskyddsperspektiv kan det naturligtvis finnas fördelar med en reglering som tydligt specificerar de personupp- gifter som får behandlas. Det gäller särskilt när det rör sig om personuppgiftsbehandling i register i traditionell mening, dvs. att uppgifter förs in i en uppgiftssamling på ett systematiskt sätt enligt särskilda kriterier och att de är sökbara med särskilda sökord eller liknande (se t.ex. prop. 2015/16:65 s. 78 f.). En sådan specificering

166

SOU 2017:97

Den nya regleringen

av vilka personuppgifter som får behandlas finns bl.a. i fråga om fingeravtrycks- och signalementsregistret enligt 4 kap. 13 § polisdata- lagen.

Som redovisats i avsnitt 9.1.3, kan den behandling av person- uppgifter som Rekryteringsmyndigheten utför inom ramen för sin verksamhet inte anses vara ett register i traditionell mening. Myndighetens personuppgiftsbehandling är omfattande och det kan inte anses ändamålsenligt att uttömmande specificera vilka kate- gorier av uppgifter som ska få behandlas. Därtill kan Rekryterings- myndighetens behov av att behandla personuppgifter komma att för- ändras och variera över tid, vilket också talar emot att uttömmande reglera vilka personuppgifter som får behandlas. Det är således vår bedömning att den nya lagen, till skillnad mot tidigare, inte bör innehålla några bestämmelser som uttömmande anger vilka katego- rier av personuppgifter som får behandlas. Detsamma gör sig gäl- lande i fråga om vilka kategorier av personer som uppgifter ska få behandlas. Vi föreslår i stället att de i lagen föreslagna ändamåls- bestämmelserna, tillsammans med de grundläggande kraven i data- skyddsförordningen, ska styra vilka personuppgifter som får be- handlas i Rekryteringsmyndighetens verksamhet. Detta innebär att alla personuppgifter som är nödvändiga för de ändamål för vilken behandlingen utförs får behandlas.

9.3Känsliga personuppgifter

9.3.1Gällande rätt

Såvitt avser myndigheters behov av att behandla känsliga person- uppgifter tillgodoses detta till viss del av regler i sektorspecifika registerförfattningar. Därutöver har behovet täckts in av bestäm- melserna i personuppgiftslagen och personuppgiftsförordningen (1998:1191).

Personuppgiftslagen

Enligt 13 § personuppgiftslagen är det som huvudregel förbjudet att behandla känsliga personuppgifter, dvs. uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk

167

Den nya regleringen

SOU 2017:97

övertygelse eller medlemskap i fackförening eller som rör hälsa eller sexualliv.

Känsliga personuppgifter får dock behandlas, om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna (15 §). Känsliga personupp- gifter får också behandlas om behandlingen är nödvändig för att a) den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter eller utöva sina skyldigheter enligt arbetsrätten, b) den registrerades eller någon annans vitala intressen ska kunna skyddas, om denne inte kan lämna sitt samtycke, eller för att c) rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras (16 §). Behandling kan vidare vara nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård (18 §). Känsliga personuppgifter får också under vissa förhållanden behandlas av ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte inom ramen för sin verksamhet samt för forsknings- och statistikändamål (17 och 19 §§).

Regeringen eller den myndighet som regeringen bestämmer, dvs. Datainspektionen, får vidare meddela föreskrifter om ytter- ligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse (20 §).

Av 8 § personuppgiftsförordningen framgår slutligen att käns- liga personuppgifter får behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.

Pliktregisterlagen

Enligt 6 § första stycket pliktregisterlagen får känsliga personupp- gifter behandlas om det är nödvändigt för de ändamål som anges i 1 § första stycket samma lag. Detsamma gäller även kommuner, landsting och statliga myndigheter om uppgifterna behövs för utredning om den totalförsvarspliktiges personliga förhållanden enligt 2 kap. 1 § lagen om totalförsvarsplikt (andra stycket).

Av 1 § första stycket framgår att lagen tillämpas vid behandling av personuppgifter om totalförsvarspliktiga i den verksamhet Rekry- teringsmyndigheten bedriver för att

168

SOU 2017:97

Den nya regleringen

1.ta fram underlag för beslut om inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret,

2.redovisa personal med uppgifter inom totalförsvaret,

3.säkerställa att den registrerade fortlöpande får ändamålsenlig ut- bildning och lämplig placering inom totalförsvaret,

4.se till att den registrerade fullgör sina skyldigheter såvitt avser totalförsvarsplikten,

5.tillgodose den registrerades rättigheter och trygghet i hans eller hennes egenskap av totalförsvarspliktig, och

6.planera, följa upp och utvärdera den verksamhet som anges i 1–5.

I fråga om vilka känsliga personuppgifter som får registreras i det automatiserade registret över totalförsvarspliktiga anges i 9 § andra stycket att andra känsliga personuppgifter än sådana uppgifter som rör hälsa eller religiös övertygelse inte får föras in. Uppgifter om religiös övertygelse får endast registreras om den registrerade har lämnat sitt uttryckliga samtycke till att uppgifterna behandlas i re- gistret och de rör hans eller hennes tjänstgöring inom totalförsvaret.

Av förarbetena (prop. 1997/98:80 s. 37 f.) till 6 § pliktregisterlagen framgår att Rekryteringsmyndigheten i sin verksamhet har behov av att kunna behandla såväl känsliga personuppgifter som uppgifter om lagöverträdelser och personnummer, för att kunna fullgöra ålagda uppgifter på ett tillfredsställande sätt. För sådana personuppgifter om totalförsvarspliktiga som Rekryteringsmyndigheten ska kunna behandla ger enligt regeringens bedömning, bortsett från de begräns- ningar som bör göras vad gäller ADB-registrering av känsliga uppgifter, den föreslagna bestämmelsen i personuppgiftslagen om att inte fler uppgifter får behandlas än vad som är nödvändigt med hän- syn till ändamålen, en lämplig avgränsning.

Regeringen anförde att myndigheten har ett behov av att i stor utsträckning kunna behandla uppgifter om den enskildes hälsa och i vissa fall uppgifter om religiös eller filosofisk övertygelse för att få ett underlag vid bedömningen av tjänstbarhet och för beslut om hur den enskilde ska användas inom totalförsvaret. Dessutom kan det förekomma att andra känsliga personuppgifter åberopas av den enskilde själv som skäl för befrielse från tjänstgöring eller för särskild typ av tjänstgöring. Rekryteringsmyndigheten behövde

169

Den nya regleringen

SOU 2017:97

såle-des enligt regeringens bedömning kunna behandla känsliga personuppgifter och i viss utsträckning även kunna behandla dem med automatik. En bestämmelse föreslogs därför i pliktregisterlagen som generellt medger Rekryteringsmyndigheten rätt att behandla känsliga personuppgifter om det är nödvändigt med hänsyn till de ändamål som anges i lagen. Rekryteringsmyndigheten behöver in- hämta underlag för att kunna avgöra om den totalförsvarspliktige har förutsättningar för och är lämplig att fullgöra värnplikt eller civilplikt samt säkerställa att den totalförsvarspliktige och därmed jämställd personal erhåller ändamålsenlig utbildning och lämplig placering inom totalförsvaret. Av det sagda följer att det föreligger ett behov av att behandla känsliga personuppgifter, bl.a. uppgifter om hälsa och religiös övertygelse. Vad gäller andra känsliga personuppgifter såsom ras och etniskt ursprung, politiska åsikter och medlemskap i fack- förening kan det aldrig bli aktuellt för Rekryteringsmyndigheten att behandla dessa då de varken är nödvändiga eller relevanta för de ändamål som anges i 1 § första stycket (a. prop. s. 38).

Därutöver bedömde regeringen att det fanns ett behov av be- stämmelser som ger myndigheter och andra organ som kan utföra annan utredning än mönstring rätt att behandla känsliga person- uppgifter (a. prop. s. 39 f.). Regeringen framhöll att de mindre omfattande utredningarna tjänar samma syften som Rekryterings- myndighetens egen utredningsverksamhet och är mycket nära för- knippade med denna på sådant sätt att överenskommelser myndig- heterna emellan om samordning ofta är nödvändig. Praktiskt går det inte sällan till så att en myndighet först ber Rekryteringsmyndig- heten om ett underlag som omfattar vissa uppgifter, varefter myn- digheten själv kompletterar uppgifterna genom frågor till den totalförsvarspliktige. Underlaget tillställs därefter Rekryteringsmyn- digheten tillsammans med en begäran om att den totalförsvarsplik- tige ska skrivas in. Rekryteringsmyndighetens och den andra myndighetens åtgärder kan därmed sägas vara förenade i samma utredningsärende. Regeringen ansåg att det borde markeras att detta är ett undantag från lagens tillämpningsområde i övrigt, och – vilket är en mycket viktig begränsning – att undantaget från personupp- giftslagens förbud mot behandling av känsliga personuppgifter för de berörda myndigheterna endast gäller i deras verksamhet för att utreda totalförsvarspliktigas förhållanden som sker med stöd av bestämmelserna i lagen om totalförsvarsplikt. Samma krav gäller

170

SOU 2017:97

Den nya regleringen

således självfallet även för dessa myndigheter som för Rekryterings- myndigheten vid behandling av känsliga personuppgifter att detta endast får ske om det är nödvändigt med hänsyn till de ändamål som anges i lagen.

9.3.2Dataskyddsförordningen och dataskyddslagen

I dataskyddsförordningens artikel 9.1 stadgas ett förbud mot att behandla särskilda kategorier av personuppgifter. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fack- förening och behandling av genetiska uppgifter, biometriska upp- gifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning är förbjuden. I förordningens skäl 10 och 51 används i stället benämningen känsliga respektive särskilt känsliga uppgifter. Dataskyddsutredningen har i sitt förslag till dataskyddslag använt sig av begreppet känsliga personuppgifter med motiveringen att begreppet är tydligare än särskilda kategorier av uppgifter och nu- mera anses inarbetat även på EU-nivå (SOU 2017:39, s. 162).

Dataskyddsförordningens förbud mot att behandla känsliga personuppgifter är direkt tillämpligt i medlemsstaterna. Förbudet kompletteras dock av flera undantag som möjliggör behandling av känsliga personuppgifter i vissa fall, varav vissa innehåller hänvis- ningar till nationell rätt. Av artikel 9.2 g följer exempelvis att för- budet inte ska tillämpas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundlägg- ande rättigheter och intressen. Kravet på stöd i nationell rätt har av Dataskyddsutredningen tolkats så att vissa av undantagen i sig bör föreskrivas i nationell rätt, antingen i generell eller i sektorspecifik reglering (a.a. s. 162 f.). Dataskyddsutredningen har därför i data- skyddslagen föreslagit vissa kompletterande bestämmelser om undan- tag från förbudet att behandla känsliga personuppgifter i artikel 9.1.

171

Den nya regleringen

SOU 2017:97

Enligt 3 kap. 1 § dataskyddslagen får, utöver vad som framgår av artikel 9.2 a, c, d, e eller f i dataskyddsförordningen, sådana sär- skilda kategorier av personuppgifter som anges i artikel 9.1 i data- skyddsförordningen (känsliga personuppgifter) behandlas om förut- sättningarna i någon av 2–8 §§ är uppfyllda. Bestämmelserna i 3 kap. 2 och 5–7 §§ omfattar behandling av känsliga personupp- gifter inom arbetsrätten, hälso- och sjukvården och den sociala om- sorgen samt för arkiv- och statistikändamål.

Mot bakgrund av att myndigheter ofta har berättigade skäl att behandla känsliga personuppgifter, och att sådan behandling i många fall sker i den registrerades eget intresse, har Dataskyddsutred- ningen bedömt att det även fortsättningsvis finns ett behov av generellt tillämpliga undantag som ska gälla i de fall där sektorspe- cifik reglering saknas (a.a. s. 172 f.). En särskild myndighetsregler- ing har därför föreslagits i 3 kap. 3 § dataskyddslagen med följande lydelse.

Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskyddsför- ordningen behandlas av en myndighet

1.i löpande text om uppgifterna har lämnats i ett ärende eller är nöd- vändiga för handläggningen av ett ärende,

2.om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, eller

3.i enstaka fall, om det är absolut nödvändigt för ändamålet med be- handlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Undantagen är generellt tillämpliga i den meningen att de gäller för verksamheter som inte har någon sektorsspecifik reglering av sin behandling av känsliga personuppgifter. Av författningskommen- taren framgår att bestämmelsen har sin grund i artikel 9.2 g i data- skyddsförordningen om behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse.

Punkten 1 i bestämmelsen möjliggör behandling av känsliga per- sonuppgifter i myndigheternas ärenden, förutsatt att uppgifterna förekommer i löpande text och inte har strukturerats i registerform eller på annat sätt sorterats. Bestämmelsen utesluter dock inte att handlingar som innehåller löpande text med ostrukturerade käns- liga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande. Uppgifterna måste ha lämnats in av någon utom- stående eller vara nödvändiga för handläggningen av ärendet.

172

SOU 2017:97

Den nya regleringen

Punkten 2 möjliggör sådan behandling av känsliga personupp- gifter som är oundviklig i myndigheternas verksamhet som en direkt följd av framför allt tryckfrihetsförordningens, offentlighets- och sekretesslagens och förvaltningslagens bestämmelser om hur inkomna handlingar ska hanteras, exempelvis genom krav på diarie- föring och skyldighet att ta emot e-post. Behandling av känsliga personuppgifter med stöd av denna punkt får bara ske om upp- gifterna har lämnats in till myndigheten, dvs. uppgifter i handlingar som definieras som inkomna enligt 2 kap. 6 § tryckfrihetsförord- ningen och själva behandlingen av uppgifterna är ett direkt krav en- ligt annan lag. Det bör noteras att enligt 1 kap. 5 § dataskyddslagen ska bestämmelsen i denna punkt gälla även för andra organ än myndigheter, i den mån offentlighetsprincipen och sekretesslag- stiftningen enligt författning gäller i organets verksamhet.

Punkten 3 möjliggör behandling av känsliga personuppgifter hos myndigheter i enstaka fall även då behandlingen inte sker i löpande text med koppling till visst ärende eller krävs enligt annan lag. Så kan exempelvis vara fallet i faktisk verksamhet såsom inom en myndighet i samband med utvärdering. Kravet i punkten 3 på att behandlingen ska vara absolut nödvändig för ändamålet med behand- lingen innebär att regleringen ska tillämpas mycket restriktivt och att behovet av att behandla den känsliga personuppgiften i det enskilda fallet noga ska prövas mot ändamålet med behandlingen. Vidare ställer bestämmelsen i punkten 3 krav på att ytterligare en avvägning ska göras för att behandling av känsliga personuppgifter ska få ske i det enskilda fallet. Det krävs en prövning av om en i och för sig absolut nödvändig behandling av känsliga personupp- gifter ändå innebär ett otillbörligt intrång i den registrerades integ- ritet. Vid bedömningen av om behandling utgör ett otillbörligt intrång ska vikt läggas vid sådana aspekter som uppgifternas käns- lighet, den inställning de registrerade kan antas ha till att uppgiften behandlas, den spridning uppgiften skulle komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet.

173

Den nya regleringen

SOU 2017:97

9.3.3Våra överväganden och förslag

Utredningens förslag: Utöver vad som följer av 3 kap. data- skyddslagen får känsliga personuppgifter behandlas om det är absolut nödvändigt för de ändamål som anges i lagen.

Detsamma ska gälla även vid annan utredning om den total- försvarspliktiges personliga förhållanden som enligt 2 kap. 1 § lagen om totalförsvarsplikt utförs av annan än Rekryterings- myndigheten.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen med- dela ytterligare föreskrifter som begränsar användningen av käns- liga personuppgifter.

I enlighet med Dataskyddsutredningens förslag kommer vi i det följande att använda begreppet känsliga personuppgifter i stället för uttrycket särskilda kategorier av personuppgifter som används i dataskyddsförordningen.

I Rekryteringsmyndighetens verksamhet förekommer känsliga personuppgifter i stor utsträckning och behandlingen omfattar flera av de kategorier av personuppgifter som anges i artikel 9.1 i data- skyddsförordningen. Undantaget i 3 kap. 3 § dataskyddslagen är begränsat såtillvida att den endast ger myndigheter rätt att behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det (punk- ten 1). Myndigheter och andra organ som omfattas av offentlig- hetsprincipen ska även få behandla känsliga personuppgifter om dessa har lämnats till myndigheten eller organet och behandlingen krävs enligt annan lag (punkten 2). Dessutom ska myndigheter få behandla känsliga personuppgifter om det är absolut nödvändigt för ändamålet med behandlingen och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (punkten 3). Enligt vår bedömning är nämnda undantag inte tillräckliga för att täcka all nödvändig behandling av känsliga personuppgifter som för närvar- ande utförs av Rekryteringsmyndigheten. Inte heller Försvarsmaktens och andra myndigheters m.fl. behov av att behandla känsliga per- sonuppgifter vid annan utredning enligt lagen om totalförsvarsplikt täcks in av bestämmelsen.

174

SOU 2017:97

Den nya regleringen

Rekryteringsmyndighetens särpräglade verksamhet innebär att myndigheten har ett stort behov av att behandla känsliga person- uppgifter för att kunna fullgöra sina uppgifter. Som redovisats ovan ansågs redan vid pliktregisterlagens tillkomst att behovet var om- fattande. Samma behov finns än i dag.

Rekryteringsmyndigheten har behov av att i stor utsträckning kunna behandla uppgifter om enskildas hälsa. Framför allt resul- taten från de medicinska och psykologiska undersökningar som genomförs under mönstring är nödvändig information för att myn- digheten ska kunna bedöma om kraven för tjänstgöring är upp- fyllda. Underlaget är avgörande för att Rekryteringsmyndigheten ska kunna fatta beslut om inskrivning till grundutbildning med värnplikt eller annan tjänstgöring inom totalförsvaret. Även vid annan utredning som utförs av andra myndigheter än Rekryterings- myndigheten enligt lagen om totalförsvarsplikt föreligger ett behov av underlag i form av uppgifter om hälsa.

Rekryteringsmyndigheten har även behov av att i vissa fall behandla uppgifter om religiös övertygelse för att kunna fatta be- slut om tjänstgöring inom totalförsvaret och i förlängningen lämp- lig befattning för den enskilde. Det kan finnas skäl för att inte kalla en totalförsvarspliktig till mönstring. Så kan vara fallet när den totalförsvarspliktige tillhör ett religiöst samfund. Enligt 10 kap. 8 § p. 2 lagen om totalförsvarsplikt får Rekryteringsmyndigheten i särskilda fall besluta att en totalförsvarspliktig tills vidare inte ska kallas till mönstring eller inkallelse till värnplikt eller civilplikt, om han eller hon med hänvisning till sin anslutning till visst religiöst samfund förklarar att han eller hon inte kommer att fullgöra vare sig värnplikt eller civilplikt. I 7 kap. 3 § förordningen (1995:238) om totalförsvarsplikt nämns Jehovas vittnen. Motsvarande resone- mang gör sig gällande i fråga om en enskilds personliga övertygelse om att inte använda vapen. Till följd av detta regleras i 3 kap. 16 § samma lag en rätt för en totalförsvarspliktig att vara vapenfri.

Det kan även bli aktuellt för Rekryteringsmyndigheten att be- handla andra känsliga personuppgifter än hälsa och religiös över- tygelse. Så kan exempelvis bli fallet om en enskild själv, t.ex. i form av ett läkarintyg, lämnar och åberopar andra känsliga personupp- gifter för att inte behöva mönstra, tjänstgöra eller inneha viss be- fattning inom totalförsvaret. I sådant fall råder inte Rekryterings- myndigheten över vilka känsliga personuppgifter som kommer till

175

Den nya regleringen

SOU 2017:97

dess kännedom men som ändå måste behandlas av myndigheten vid beslutsfattandet. Det är dock inte möjligt att uttömmande ange de fall då ett sådant behov föreligger.

Det kan konstateras att de undantag från förbudet att behandla känsliga personuppgifter som anges i 3 kap. 2, 5 och 7 §§ data- skyddslagen inte är tillämpliga på Rekryteringsmyndighetens verk- samhet. Inte heller de undantag som enligt 3 kap. 3 § data- skyddslagen generellt kan tillämpas av myndigheter och möjliggör viss ytterligare behandling av känsliga personuppgifter är tillräck- liga för att myndigheten ska kunna fullgöra de uppgifter som åligger den. Det står klart att Rekryteringsmyndigheten har ett berättigat behov av att behandla känsliga personuppgifter i större omfattning än vad dataskyddslagens undantag medger. Detsamma gäller För- svarsmakten och andra myndigheter m.fl. som behöver behandla känsliga personuppgifter vid annan utredning enligt lagen om totalförsvarsplikt. Vi föreslår därför att en mer tillåtande reglering av behandling av känsliga personuppgifter bör införas i den nya lagen.

Nästa fråga är hur en sådan bestämmelse bör utformas. En grund- läggande förutsättning för att en mer tillåtande reglering ska kunna införas i den nya lagen är att bestämmelserna utformas så att de är förenliga med regeringsformens och dataskyddsförordningens be- stämmelser. Det innebär att kraven i artikel 9.2 g i dataskyddsför- ordningen måste vara uppfyllda. Av bestämmelsen framgår att känsliga personuppgifter får behandlas om behandlingen är nöd- vändig av hänsyn till ett viktigt allmänt intresse, på grundval av nationell rätt. Den nationella regleringen måste dock stå i pro- portion till det eftersträvade syftet, vara förenligt med det väsent- liga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registre- rades grundläggande rättigheter och intressen. Därtill måste de grundläggande principerna för behandling av personuppgifter i arti- kel 5 i förordningen vara uppfyllda.

Ytterligare en förutsättning för att känsliga personuppgifter över huvud taget ska få behandlas är att behandlingen inte innebär ett otillbörligt intrång i den enskildes personliga integritet. Ur integri- tetsskyddspunkt är det således viktigt att möjligheten att behandla känsliga personuppgifter begränsas. Enligt vår bedömning är det därför lämpligt att regleringen, i likhet med vad som är fallet i dag, utformas med utgångspunkt från de i lagen angivna ändamålen.

176

SOU 2017:97

Den nya regleringen

I enlighet med nuvarande bestämmelse i pliktregisterlagen bör undan- taget vidare inte begränsas till vissa känsliga personuppgifter, eftersom det inte är möjligt att förutse vilka personuppgifter som den enskilde själv kan komma att åberopa eller som av annat skäl måste behandlas av Rekryteringsmyndigheten.

Vårt förslag till ny reglering av Rekryteringsmyndighetens be- handling av personuppgifter innebär att bestämmelsen ska tillämpas generellt i verksamheten. Någon åtskillnad görs alltså inte för behandling i register eller i annat sammanhang. Vi anser även att behovet av att behandla känsliga personuppgifter är lika stort i hela verksamheten. Den begränsning som finns i pliktregisterlagen i fråga om vilken sorts känsliga personuppgifter som får föras in i det automatiserade registret ska således inte finnas kvar. Det tillåtande undantag som vi föreslår ska alltså gälla generellt men måste kunna motiveras utifrån ett viktigt allmänt intresse. Bestämmelsen måste därför ges en särskilt restriktiv utformning. Vi föreslår därför att behandling endast får ske i de fall det är absolut nödvändigt. Samma begrepp används i dataskyddslagen (3 kap. 3 § 3) och även i flertalet registerförfattningar från senare tid, bl.a. polisdatalagen (2 kap. 10 §) och utlänningsdatalagen (15 §). I förarbetena (prop. 2015/16:65 s. 81) till utlänningsdatalagen diskuteras lämpligheten av att använda begreppet i lagtext. Ett skäl som väger tungt vid bedömningen är intresset av att så långt möjligt använda likartad terminologi i de olika lagar som reglerar myndigheternas personuppgiftsanvändning. Både i polisdatalagen och i åklagardatalagen används begreppet absolut nödvändigt för att avgränsa i vilken mån behandling av känsliga personuppgifter ska vara tillåten. Syftet med begränsningen att be- handlingen ska vara absolut nödvändig är att markera att behand- lingen av känsliga personuppgifter bör ske med försiktighet och aldrig slentrianmässigt. Rekvisitet innebär emellertid inte att känsliga personuppgifter endast får behandlas i undantagsfall. Genom rekvi- sitet markeras dock att behandling ska ske med restriktivitet och att behovet av att behandla den känsliga personuppgiften ska prövas noga i det enskilda ärendet. En sådan prövning ska inte bara göras när uppgiften samlas in eller behandlas för första gången utan även vid senare behandling av redan insamlade uppgifter.

Mot denna bakgrund är vår bedömning att bestämmelsen bör utformas i enlighet med motsvarande bestämmelser i bl.a. polisdata- lagen och utlänningsdatalagen, dvs. att känsliga personuppgifter ska

177

Den nya regleringen SOU 2017:97

få behandlas om det är absolut nödvändigt för de tillåtna ändamålen med behandlingen.

Som redovisats ovan har även andra myndigheter m.fl. behov av att behandla känsliga personuppgifter vid annan utredning än mönst- ring enligt lagen om totalförsvarsplikt. Sådan utredning tjänar i regel samma syfte som vid Rekryteringsmyndighetens egna utredningar. Att känsliga personuppgifter omfattas av pliktregisterlagens bestäm- melser i nu aktuellt avseende ansågs i förarbetena bero på att Rekry- teringsmyndighetens och den andra myndighetens åtgärder kunde sägas vara förenade i samma utredningsärende (prop. 1997/98:80, s. 40). Dock valde regeringen att i lagtexten markera att detta var ett undantag från lagens tillämpningsområde i övrigt och endast gällde i de berörda myndigheternas verksamhet för att utreda total- försvarspliktigas förhållanden enligt lagen om totalförsvarsplikt. Motsvarande synsätt gör sig alltjämt gällande. Vi föreslår därför att aktuella myndigheter, liksom tidigare, bör omfattas av den före- slagna bestämmelsen om behandling av känsliga personuppgifter med den begränsningen att behandling av känsliga personuppgifter endast får ske om det är absolut nödvändigt med hänsyn till de ändamål som anges i lagen.

Vid kartläggningen har det kommit fram att det finns ett behov för Rekryteringsmyndigheten att kunna behandla känsliga person- uppgifter för vissa statistikändamål och uppföljning av verksam- heten. Det är naturligtvis av vikt att myndigheten fortlöpande kan bevaka att effektiviteten och kvaliteten upprättshålls i verksamheten. Detta behov omfattas av den föreslagna ändamålsbestämmelsen i avsnitt 8.2.3, dvs. att personuppgifter får behandlas för tillhanda- hållande av information som behövs i Rekryteringsmyndighetens verksamhet för att planera, följa upp och utvärdera verksamheten. Detta innebär att sådan behandling omfattas av den nu föreslagna bestämmelsen att känsliga personuppgifter ska få behandlas endast i de fall det är absolut nödvändigt för de i lagen tillåtna ändamålen.

Avslutningsvis föreslår vi att bestämmelsen om behandling av känsliga personuppgifter kompletteras med en upplysningsbestäm- melse om att regeringen med stöd av 8 kap. 7 § regeringsformen kan meddela ytterligare föreskrifter som begränsar användningen av känsliga personuppgifter.

I avsnitt 11.3 behandlar vi frågan om bevarande av känsliga personuppgifter för arkivändamål.

178

SOU 2017:97

Den nya regleringen

9.4Behandling av personnummer och samordningsnummer

9.4.1Gällande rätt

Enligt 22 § personuppgiftslagen får uppgifter om personnummer eller samordningsnummer behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Upp- gift om personnummer eller samordningsnummer utgör inte en känslig personuppgift enligt personuppgiftslagens definition men är ändå en uppgift som påkallar viss försiktighet när den behandlas. Bestämmelsen bör tillämpas restriktivt och innebär att en avväg- ning måste göras mellan behovet av att uppgiften behandlas och de integritetsrisker som behandlingen innebär. För en personuppgifts- ansvarig som inte fått samtycke till behandling av personnummer eller samordningsnummer innebär bestämmelsen att denne själv måste göra den intresseavvägning som framgår av bestämmelsen. Den personuppgiftsansvarige torde också ha bevisbördan för att det finns sådana omständigheter som gör att uppgifter om person- nummer eller samordningsnummer får behandlas (SOU 2017:39, s. 198 f.). I ett flertal sektorspecifika registerförfattningar har mot- svarande avvägningar gjorts genom en hänvisning till 22 § person- uppgiftslagen. Vikten av en säker identifiering har bl.a. föranlett att såväl polisdatalagen, kustbevakningsdatalagen och utlänningsdata- lagen innehåller hänvisning till personuppgiftslagens bestämmelse om behandling av personnummer.

Enligt 50 § c personuppgiftslagen får regeringen eller den myn- dighet som regeringen bestämmer, dvs. Datainspektionen, meddela närmare föreskrifter om i vilka fall användning av personnummer är tillåten. Några sådana föreskrifter har inte meddelats av Datainspek- tionen men det är däremot relativt vanligt med sektorsspecifika förordningsbestämmelser om behandling av personnummer och samordningsnummer (a.a. s. 198).

Varken den nu gällande pliktregisterlagen eller förordningen (1998:1229) om behandling av personuppgifter om totalförsvars- pliktiga innehåller särskilda bestämmelser om personnummer eller samordningsnummer. Det innebär att personuppgiftslagens bestäm- melser är tillämpliga vid sådan behandling hos Rekryteringsmyndig- heten (jfr 4 § pliktregisterlagen).

179

Den nya regleringen

SOU 2017:97

9.4.2Dataskyddsförordningen

Enligt artikel 87 i dataskyddsförordningen får medlemsstaterna när- mare bestämma på vilka särskilda villkor ett nationellt identifika- tionsnummer eller något annat vedertaget sätt för identifiering får behandlas. Villkoren ska i sådana fall säkerställa att identifikations- uppgifterna bara får användas med iakttagande av lämpliga skydds- åtgärder för de registrerades fri- och rättigheter. Det finns inga uttalanden i skälen till dataskyddsförordningen som konkretiserar vilken typ av skyddsåtgärder det bör vara frågan om. Sannolikt kan kraven på skyddsåtgärder inte ställas särskilt högt eftersom det är upp till medlemsstaterna själva att bedöma om några särskilda villkor ska införas över huvud taget. I denna del ges alltså medlemsstaterna ett stort utrymme att själva bedöma vilka skyddsåtgärder som behövs (SOU 2017:39, s. 199).

9.4.3Dataskyddslagen

Dataskyddsutredningen har i sitt förslag till dataskyddslag (SOU 2017:39, s. 197 f.) övervägt om det även fortsättningsvis bör finnas särskilda villkor för behandling av personnummer eller sam- ordningsnummer. Även om personnummer och samordningsnum- mer inte har bedömts som känsliga personuppgifter i data- skyddsförordningens mening, har de ändå getts en särställning genom att medlemsstaterna medgetts möjlighet att införa särskilda villkor för behandlingen. Regeringen har uttalat att själva person- numret inte i sig är en integritetskränkande uppgift men att viss användning av det, såsom samköring av register och liknande, kan uppfattas som integritetskränkande. Regeringen har också uttalat att ”onödig” användning ska betraktas som ett integritetsintrång (se bl.a. prop. 1990/91:60, s. 69). Den nuvarande lydelsen i 22 § personuppgiftslagen, som innebär att en intresseavvägning ska ske, ligger väl i linje med förordningens intentioner. Det har inte fram- kommit att regleringen har mötts av kritik eller annars inte fungerat. Tvärtom har den i lagstiftningsärenden under de senaste åren be- dömts vara flexibel och väl avpassad för att förhindra omotiverad behandling av personnummer och samordningsnummer (se t.ex. prop. 2014/15:148 s. 51). Dataskyddsutredningen har mot denna

180

SOU 2017:97

Den nya regleringen

bakgrund bedömt att en särreglering av personnummer och sam- ordningsnummer i dataskyddslagen är motiverad (a.a. s. 200).

En bestämmelse motsvarande den i 22 § personuppgiftslagen föreslås därför i den nya dataskyddslagen. Enligt 3 kap. 13 § data- skyddslagen får följaktligen uppgifter om personnummer eller sam- ordningsnummer behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Bestämmelsen innebär att en intresseavvägning mellan behovet av behandlingen och de integritetsrisker som den innebär ska göras. Omständigheter som bör tillmätas betydelse vid intresseavvägningen är exempelvis om det eftersträvade syftet med behandlingen hade kunnat uppnås på annat sätt, behandlingens omfattning och om den förutsätter samkörning av register (a.a. s. 373).

Av 3 kap. 14 § framgår vidare att regeringen får meddela ytter- ligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten. Bestämmelsen motsvarar delvis 50 § c personuppgiftslagen. Bestämmelsen innehåller således ett bemyndigande för regeringen att meddela föreskrifter som tillåter behandling av personnummer och samordningsnummer i andra fall än enligt 3 kap. 13 §. I dag finns bestämmelser på förordningsnivå som reglerar behandlingen av personnummer och samordnings- nummer i sektorsspecifika författningar. Dataskyddsutredningen har bedömt att det även fortsättningsvis finns behov av en möjlighet för regeringen att meddela sådana föreskrifter. Enligt Dataskydds- utredningen kan det inte uteslutas att det finns behov av föreskrifter som går utöver regeringens kompetens enligt 8 kap. 7 § 2 reger- ingsformen, varför ett bemyndigande behövs. Sådana föreskrifter får dock bara meddelas om dataskyddsförordningens krav på lämpliga skyddsåtgärder för de registrerades grundläggande rättigheter och friheter iakttas (a.a. s. 200).

9.4.4Våra överväganden

Utredningens bedömning: Bestämmelserna om personnummer och samordningsnummer i den föreslagna dataskyddslagen bör tillämpas vid behandling av personuppgifter enligt denna lag.

181

Den nya regleringen

SOU 2017:97

Bestämmelser om personuppgifter och samordningsnummer be- höver därför inte föras in i lagen.

Dataskyddsutredningens förslag till bestämmelser i 3 kap. 13 och 14 §§ dataskyddslagen om personnummer och samordningsnummer motsvarar 22 § och delvis 50 § c personuppgiftslagen. En tillämp- ning av de föreslagna bestämmelserna i dataskyddslagen innebär därför inga större förändringar i förhållande till vad som gäller i dag. Vikten av en säker identifiering av totalförsvarspliktiga och annan personal inom totalförsvaret medför vidare att personnummer och samordningsnummer regelmässigt måste behandlas av Rekry- teringsmyndigheten. Vi bedömer därför att det inte bör införas några inskränkningar i rätten att behandla personnummer eller sam- ordningsnummer i förhållande till dataskyddslagens bestämmelser. Det har inte heller framkommit skäl att avvika från eller i övrigt föreskriva undantag från dataskyddsförordningens bestämmelser i detta avseende. Vi föreslår därför att bestämmelserna i den före- slagna dataskyddslagen bör tillämpas på motsvarande sätt vid behandling av personuppgifter enligt denna lag. Bestämmelser om personnummer och samordningsnummer behöver därför inte föras in i den nya lagen.

9.5Behandling av personuppgifter om lagöverträdelser

9.5.1Gällande rätt

Enligt 21 § första stycket personuppgiftslagen är det förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträ- delser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Med admini- strativa frihetsberövanden avses bl.a. frihetsberövanden enligt lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1988:870) om vård av missbrukare och lagen (1990:52) med särskilda bestämmelser om vård av unga. Personuppgifter om lagöverträdelser får dock be- handlas för forskningsändamål om behandlingen har godkänts en- ligt lagen (2003:460) om etikprövning av forskning som avser män- niskor (andra stycket). Regeringen eller den myndighet regeringen

182

SOU 2017:97

Den nya regleringen

bestämmer får meddela föreskrifter eller beslut i enskilda fall om undantag från förbudet (tredje och fjärde stycket). Datainspek- tionen har med stöd av bemyndigandet i 9 § personuppgiftsförord- ningen meddelat sådana föreskrifter bl.a. för att möjliggöra be- handling av enstaka uppgifter som är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall, liksom behandling av enstaka uppgifter som är nödvän- dig för att anmälningsskyldighet enligt lag ska kunna fullgöras.14

Eftersom pliktregisterlagen inte innehåller några bestämmelser om behandling av personuppgifter om lagöverträdelser blir 21 § per- sonuppgiftslagen tillämplig vid sådan behandling (jfr 4 § pliktregister- lagen). Enligt förarbetena (prop. 1997/98:80 s. 37) kan Rekryterings- myndigheten ta in uppgifter om lagöverträdelser som innefattar brott från olika polisregister för att förhindra att en kriminellt belastad person placeras i en från säkerhetssynpunkt olämplig be- fattning. Vidare fick Rekryteringsmyndigheten uppgifter från då- varande Kriminalvårdsstyrelsen om intagningar och avgångar från kriminalvårdsanstalter, främst som underlag för beslut om kallelser till mönstring och repetitionsövningar, och från domstolar om domar i mål om brott mot totalförsvarsplikten. Regeringen anförde att Rekryteringsmyndigheten som myndighet har rätt att behandla sådana uppgifter så länge behandlingen är nödvändig med hänsyn till ändamålen.

9.5.2Dataskyddsförordningen

Enligt artikel 10 i dataskyddsförordningen får behandling av person- uppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämp- liga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet. En betydande skillnad i dataskyddsförordningen jämfört med motsvarande bestämmelse i

14 DIFS 2010:1, Datainspektionens föreskrifter om ändring av Datainspektionens föreskrifter (DIFS 1998:3) om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m.

183

Den nya regleringen

SOU 2017:97

dataskyddsdirektivet (artikel 8.5) är att någon möjlighet för med- lemsstaterna att på denna grund begränsa behandlingen av person- uppgifter om avgöranden i tvistemål och administrativa sanktioner inte finns (SOU 2017:39, s. 192).

9.5.3Dataskyddslagen

Dataskyddsutredningen har i sitt förslag till dataskyddslag (SOU 2017:39, s. 189 f.) analyserat i vilken utsträckning det bör införas regler i den kompletterande regleringen som tillåter be- handling av uppgifter om lagöverträdelser som inte sker under kontroll av en myndighet. Utgångspunkten för analysen har varit den befintliga regleringen om behandling för forskningsändamål och den delegerade föreskriftsrätten i personuppgiftslagen. Dataskydds- utredningen har dock i sitt förslag inte behandlat frågan om behand- ling av uppgifter om lagöverträdelser för forskningsändamål. Denna fråga behandlas i stället av Forskningsdatautredningen i delbetänk- andet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50).

I 3 kap. 9–12 §§ i den föreslagna dataskyddslagen finns bestäm- melser om personuppgifter som rör lagöverträdelser. Enligt 3 kap. 9 § får personuppgifter som rör fällande domar i brottmål, lagöver- trädelser som innefattar brott eller straffprocessuella tvångsmedel enligt artikel 10 i dataskyddsförordningen behandlas av myndig- heter. Bestämmelsen avses delvis motsvara 21 § första stycket personuppgiftslagen (a.a. s. 371). De delar av artikel 10 som rör behandling av uppgifter om fällande domar i brottmål, över- trädelser och därmed sammanhängande säkerhetsåtgärder under kontroll av en myndighet är direkt tillämpliga. Dataskyddsutred- ningen anser emellertid att det är av stor vikt att regleringen i artikel 10 tydliggörs så långt som möjligt i nationell rätt även vad avser myndigheters behandling. Behandling av sådana uppgifter torde allmänt anses som integritetskänslig, och risken för miss- bruk, exempelvis genom otillbörlig spridning på internet, framstår som stor. Förordningens skäl 8 ger uttryck för att medlemsstaterna får införliva delar av förordningen i nationell rätt, om det krävs för att göra de nationella bestämmelserna begripliga för de personer de tillämpas på. Dataskyddsutredningen menar att ett sådant införliv- ande skulle fylla en viktig funktion när det gäller myndigheters

184

SOU 2017:97

Den nya regleringen

behandling av uppgifter om lagöverträdelser, bl.a. för att tydliggöra att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla uppgifter om lagöverträdelser. Bestämmelsen införlivar därför delvis första ledet i förordningens artikel 10 i svensk rätt genom att det tydliggörs att myndigheter får behandla sådana uppgifter om lagöverträdelser som avses i artikeln (a.a. s. 192 f.). Begreppet lagöverträdelser som innefattar brott är detsamma som i personuppgiftslagen (a.a. s. 371). I avvaktan på klargörande EU-rättslig praxis omfattas därför även fortsättnings- vis uppgifter om misstankar om brott i viss utsträckning. Faktiska iakttagelser om en persons handlande omfattas normalt sett inte.

Enligt förslaget till 3 kap. 10 § får den myndighet som reger- ingen bestämmer i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter som avses i 9 §. Bestämmelsen avser enskilda organs behandling av personuppgifter som rör lagöver- trädelser och motsvarar delvis 21 § fjärde stycket personuppgifts- lagen (a.a. s. 371). Bestämmelsen innebär att den myndighet som regeringen bestämmer kan meddela särskilda beslut om att tillåta sådan behandling i enskilda fall. Sådana beslut bör förenas med villkor såsom återkallelseförbehåll, tidsbegränsningar eller krav på återrapportering, för att på så sätt uppfylla förordningens krav på att behandlingen ska ske under kontroll av en myndighet. Beslut som tillåter behandling av uppgifter om lagöverträdelser i enskilda fall bör dock meddelas endast om intresset av sådan behandling väger tyngre än de registrerades intresse av att behandling inte sker.

Av 3 kap. 11 § följer enligt förslaget att behandling av sådana personuppgifter som avses i 9 § får ske om behandlingen är nöd- vändig för att den personuppgiftsansvarige ska kunna följa före- skrifter om bevarande och vård av arkiv. Bestämmelsen saknar direkt motsvarighet i personuppgiftslagen men kompletterar 9 § i fråga om sådan behandling av personuppgifter om lagöverträdelser för arkivändamål av allmänt intresse som utförs av andra än myn- digheter (a.a. s. 372). För att andra än myndigheter ska få behandla personuppgifter om lagöverträdelser för arkivändamål av allmänt intresse med stöd av denna bestämmelse krävs att behandlingen sker som en följd av de skyldigheter att bevara och vårda hand- lingar som anges i föreskrifter. På generell nivå anges sådana skyl- digheter i arkivlagen, arkivförordningen samt i Riksarkivets och andra arkivmyndigheters föreskrifter. Det utrymme för behandling

185

Den nya regleringen

SOU 2017:97

av personuppgifter om lagöverträdelser för arkivändamål av allmänt intresse som bestämmelsen ger är därmed i första hand tillgängligt för de organ som omfattas av arkivlagstiftningen. Bestämmelsen medför att dataskyddsförordningen och dataskyddslagen inte hindrar att ett enskilt organ som omfattas av offentlighetsprincipen arki- verar och bevarar allmänna handlingar som innehåller personupp- gifter som rör lagöverträdelser.

Slutligen föreslås i 3 kap. 12 § att regeringen eller den myndig- het som regeringen bestämmer ska få meddela föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i 9 §. Bestämmelsen innehåller ett bemyndigande som motsvarar 21 § tredje stycket personuppgiftslagen och innebär att regeringen eller den myndighet som regeringen bestämmer kan tillåta behandling av sådana uppgifter om lagöverträdelser och lik- nande uppgifter som avses i 9 § i föreskriftsform. Sådana generella föreskrifter kan exempelvis reglera behandling på vissa områden eller för vissa ändamål. Ett krav enligt dataskyddsförordningen är dock att föreskrifter bara får meddelas om lämpliga skyddsåtgärder för de registrerades grundläggande rättigheter och friheter iakttas.

9.5.4Våra överväganden

Utredningens bedömning: Bestämmelserna om personuppgifter som rör lagöverträdelser i den föreslagna dataskyddslagen bör tillämpas vid behandling av personuppgifter enligt denna lag. Någon bestämmelse om behandling av personuppgifter som rör lagöverträdelser behöver därför inte föras in i lagen.

Enligt nuvarande ordning tillämpas 21 § personuppgiftslagen såvitt avser Rekryteringsmyndighetens behandling av personuppgifter som rör totalförsvarspliktigas lagöverträdelser (jfr 4 § pliktregister- lagen). Bestämmelsen i personuppgiftslagen kommer att ersättas av motsvarande bestämmelser i 3 kap. 9–12 §§ i den föreslagna data- skyddslagen. Utredningen anser att Rekryteringsmyndigheten bör omfattas av samma bestämmelser som andra myndigheter i detta avseende. En sådan ordning har även gällt sedan tidigare. Bestämmel- serna om personuppgifter som rör lagöverträdelser i den föreslagna dataskyddslagen bör därför gälla även i fråga om Rekryterings-

186

SOU 2017:97

Den nya regleringen

myndighetens behandling av sådana uppgifter. Någon bestämmelse om behandling av personuppgifter som rör lagöverträdelser behö- ver därför inte föras in i den nya lagen. Vi vill dock erinra om att Rekryteringsmyndighetens behandling av personuppgifter som rör lagöverträdelser, liksom all behandling av personuppgifter, även måste uppfylla de grundläggande kraven för behandling i artikel 5 i dataskyddsförordningen.

9.6Tillgång till personuppgifter

Det är numera vanligt att i registerförfattningar som reglerar myn- digheters personuppgiftsbehandling inför bestämmelser som byg- ger på att principen att tillgången till personuppgifter ska begränsas till vad varje anställd behöver för att kunna fullgöra sina arbets- uppgifter. I registerförfattningar från senare tid som polisdatalagen, kustbevakningsdatalagen och utlänningsdatalagen finns sådana sär- skilda bestämmelser som reglerar tillgången till personuppgifter. Det har från integritetssynpunkt ansetts angeläget att åtkomsten till personuppgifter inte är vidare än nödvändigt eftersom stora informationssamlingar som lagras på ett sätt som gör dem enkelt sökbara på elektronisk väg allmänt sett utgör en betydande risk för intrång i den personliga integriteten (se bl.a. prop. 2011/12:45, s. 87 f.). Genom bestämmelser med en sådan innebörd åläggs den personuppgiftsansvarige att organisera sin verksamhet på ett sådant sätt att obefogad spridning av personuppgifter motverkas. En sådan bestämmelse får också till följd att enskilda tjänstemän blir för- hindrade att lämna uppgifterna vidare till den som inte behöver dem för sitt arbete.

9.6.1Våra överväganden och förslag

Utredningens förslag: Tillgången till personuppgifter ska be- gränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om hur tillgången till personuppgifter ska begränsas.

187

Den nya regleringen

SOU 2017:97

Inom Rekryteringsmyndigheten sker en omfattande behandling av personuppgifter med ett ofta mycket integritetskänsligt innehåll. Många av de uppgifter som behandlas är känsliga personuppgifter. Det är därför särskilt angeläget att uppgifterna som behandlas inom Rekryteringsmyndigheten begränsas till en snäv personkrets för att undvika att uppgifterna sprids till någon som inte är behörig att ta del av dem. Endast de anställda som på grund av sina arbetsupp- gifter behöver åtkomst till uppgifterna bör därför ha tillgång till dem. En bestämmelse där en sådan princip uttrycks bör därför tas in i den nya lagen. Det åligger därmed Rekryteringsmyndigheten i egenskap av personuppgiftsansvarig att begränsa tillgången till upp- gifter för myndighetens anställda så att obefogad spridning mot- verkas.

Det är dock inte bara de anställda hos Rekryteringsmyndigheten som behöver tillgång till vissa av de uppgifter som behandlas i myn- dighetens verksamhet. Mellan Försvarsmakten och Rekryterings- myndigheten finns exempelvis behov av ett omfattande informa- tionsutbyte. Försvarsmakten har i sin verksamhet behov av att bl.a. behandla uppgifter om totalförsvarspliktiga och föreslås genom direkt- åtkomst få tillgång till vissa personuppgifter i Rekryteringsmyndig- hetens verksamhet (se avsnitt 9.7.2). Även vid Försvarsmaktens behandling av personuppgifter är det av vikt att åtkomsten till upp- gifterna begränsas till vad de anställda vid myndigheten behöver för att kunna utföra sina arbetsuppgifter.

Den föreslagna bestämmelsen om tillgång till personuppgifter innebär endast en generell begränsning av åtkomsten till uppgifterna. Det är Rekryteringsmyndighetens uppgift att i egenskap av person- uppgiftsansvarig, utifrån myndighetens organisation och behov, säkerställa att tillgången till personuppgifter begränsas i enlighet med bestämmelsen. Det innebär bl.a. att det vid tilldelning av behörighet för åtkomst till personuppgifter särskilt bör beaktas att det, utöver behovet av uppgifterna, ställs krav på utbildning och lämplighet. Det är vidare Rekryteringsmyndighetens ansvar att det inom myndigheten finns rutiner för tilldelning, förändring, bort- tagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifterna.

Bestämmelsen om tillgång till personuppgifter bör även komplet- teras med en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § reger-

188

SOU 2017:97

Den nya regleringen

ingsformen kan meddela ytterligare föreskrifter om hur tillgången till personuppgifter ska begränsas.

9.7Direktåtkomst

9.7.1Allmänt om direktåtkomst

Utlämnande av uppgifter mellan myndigheter sker ofta genom direktåtkomst. Det finns dock inte någon legaldefinition av begreppet direktåtkomst. Med direktåtkomst avses i regel att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen (se bl.a. prop. 2009/10:85, s. 168). I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av (se bl.a. prop. 2011/12:45, s. 133). Vid direktåtkomst fattas beslutet om över- föring i varje enskilt fall av mottagaren. Sekretessprövningen måste därför ske redan då uppgifterna görs tillgängliga för direktåtkomst, oavsett om någon mottagare vid den tidpunkten tar del av dem. En sådan prövning innefattar alla de uppgifter som mottagaren har möj- lighet att ta del av genom sin direktåtkomst. Det innebär att det måste finnas en sekretessbrytande bestämmelse som omfattar alla de uppgifter som direktåtkomsten avser. Den direktåtkomst som en myndighet medger är vanligtvis begränsad så att mottagaren endast har tillgång till vissa bestämda uppgifter, såsom uppgifter i en viss databas eller i vissa dokument (a. prop. s. 132 f. och prop. 2015/16:65, s. 89).

Högsta förvaltningsdomstolen (HFD) har i rättsfallet HFD 2015 ref. 61 uttalat sig om hur begreppet direktåtkomst bör tolkas. I rätts- fallet konstaterar HFD att gränsdragningen mellan vad som enligt bestämmelsen i 114 kap. 22 § socialförsäkringsbalken (2010:110) är direktåtkomst och annat utlämnande på medium för automatiserad behandling beror på om den aktuella upptagningen kan anses för- varad hos den mottagande myndigheten enligt 2 kap. 3 § tryck- frihetsförordningen, dvs. om den är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för över- föring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. En avgränsning görs på detta sätt av begreppet direkt-

189

Den nya regleringen

SOU 2017:97

åtkomst genom tillämpning av tryckfrihetsförordningens bestäm- melser om allmänna handlingars offentlighet. Det avgörande blir om upptagningen kan anses förvarad i tryckfrihetsförordningens mening. I det aktuella fallet handlade det om att socialnämnderna inte på egen hand kunde söka information i socialförsäkringsdatabasen utan ett utlämnande förutsatte att Försäkringskassan reagerade på en begäran om att de efterfrågade uppgifterna skulle lämnas ut. För- säkringskassan fick därigenom anses förfoga över frågan om och i så fall vilka uppgifter som skulle lämnas ut. HFD ansåg därför att socialnämnderna inte kunde anses ha någon sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket tryckfri- hetsförordningen. Detta innebar att förfarandet inte var att betrakta som direktåtkomst. Genom avgörandet har HFD således klargjort att begreppet direktåtkomst ska tolkas med utgångspunkt från 2 kap. 3 § andra stycket tryckfrihetsförordningen.

Vid författningsreglering av direktåtkomst anges ofta att en myndighet får ha direktåtkomst. Innebörden av detta är inte att den eller de angivna myndigheterna har en ovillkorlig rätt att få ut uppgifterna genom direktåtkomst utan att den myndighet som inne- har informationen har en rätt att medge sådan åtkomst. Att myn- digheter medges direktåtkomst till uppgifter i andra myndigheters datasystem och att de upptagningar som direktåtkomsten avser blir allmänna handlingar hos de mottagande myndigheterna, innebär dock en ökad risk för intrång i den personliga integriteten (prop. 2011/12:45 s. 133 f.). Allmänna handlingar är som huvud- regel offentliga och rätten att ta del av dem får begränsas endast av de skäl som anges i 2 kap. tryckfrihetsförordningen och endast om det anges i lag. Ju fler myndigheter som har direktåtkomst till uppgifter i ett datasystem, desto större blir således inte bara myn- digheters möjlighet att få tillgång till dessa uppgifter utan också allmänhetens möjlighet.

Förutom att uppgifterna blir tillgängliga för fler personer, minskar även den utlämnande myndighetens möjlighet att kontrollera användningen av uppgifterna (se t.ex. prop. 2015/16:65 s. 89 f.). Den utlämnande myndigheten har därför ett principiellt ansvar att förvissa sig om att den myndighet som medges direktåtkomst vid- tar de åtgärder som bedöms vara nödvändiga från säkerhetssyn- punkt. Medgivandet av direktåtkomst förutsätter också att utläm- nande får ske enligt den gällande sekretessregleringen för berörda

190

SOU 2017:97

Den nya regleringen

myndigheter. Det finns också en särskild bestämmelse i 11 kap. 4 § offentlighets- och sekretesslagen (2009:400) som reglerar överföring av sekretess vid direktåtkomst. Om en myndighet har elektronisk tillgång till en annan myndighets upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad hos den andra myndigheten, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Detta gäller dock inte om uppgiften ingår i ett beslut hos den mottagande myndigheten. Det finns också en bestämmelse om vad som gäller vid konkurrens mellan den överförda sekretessen och sekretess som är direkt tillämplig hos den mottagande myndigheten (11 kap. 8 §).

En annan viktig aspekt är hur uppgifterna sprids och används inom den mottagande myndigheten. Bestämmelser om informa- tionssäkerhet, exempelvis system för behörighet, loggning och till- syn, måste också tas i beaktande innan direktåtkomst medges (se bl.a. prop. 2009/10:85 s. 176 f.).

9.7.2Reglering av direktåtkomst

Gällande rätt

Enligt 12 § pliktregisterlagen har Rekryteringsmyndigheten direkt- åtkomst till det automatiserade registret över totalförsvarspliktiga. Regeringen får meddela föreskrifter om att annan får ha direkt- åtkomst till registret.

I förarbetena (prop. 1997/98:80 s. 64) till bestämmelsen anges att direktåtkomsten till det automatiserade registret över totalför- svarspliktiga bör, av hänsyn till kravet på skydd för den registre- rades personliga integritet, hållas begränsad. Direktåtkomst till registret innebär ökade risker för att obehöriga ska komma åt uppgifterna. Av effektivitetsskäl bör dock direktåtkomst tillåtas i de fall ett verkligt behov därav föreligger, under förutsättning att erforderligt skydd för uppgifterna kan garanteras. Av stor bety- delse vid bedömningen är naturligtvis vilka personuppgifter som användaren ska kunna få tillgång till.

Av förarbetena framgår vidare att det, utöver Rekryterings- myndighetens direktåtkomst till registret över totalförsvarspliktiga, bör övervägas från fall till fall vilka myndigheter m.fl. samt vilka uppgifter var och en av dessa ska få ta del av via egen bildskärm.

191

Den nya regleringen

SOU 2017:97

Bestämmelserna om direktåtkomst måste i praktiken vara relativt detaljerade och det är inte uteslutet att de behöver ändras med relativt täta mellanrum. Direktåtkomsten bör därför enligt reger- ingens bedömning regleras i förordningsform (a. prop. s. 65).

I förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga anges vilka myndigheter m.fl. som får medges direktåtkomst till registret över totalförsvarspliktiga. Av 3 § framgår att de myndigheter, kommuner, landsting och bolag som anges i bilaga 1 till förordningen får ha direktåtkomst till automati- serat register över totalförsvarspliktiga i enlighet med vad som anges i bilagan. Behandling av personuppgifter om totalförsvarspliktiga enligt första stycket får endast utföras om den är nödvändig för den egna verksamheten. Rekryteringsmyndigheten ska ställa de villkor för direktåtkomsten och registreringen av uppgifter som myndig- heten bedömer vara nödvändiga för registrets säkerhet.

Av bilaga 1 till förordningen framgår att Affärsverket svenska kraftnät, Arbetsförmedlingen, Försvarsmakten, kommuner, landsting, Myndigheten för samhällsskydd och beredskap, Polismyndigheten, Posten AB, Regeringskansliet, Socialstyrelsen, Säkerhetspolisen, Trafikverket, Transportstyrelsen och Vattenfall AB får ha direkt- åtkomst till det automatiserade registret över totalförsvarspliktiga.

Skälen till att de i förordningen uppräknade myndigheterna har behov av och får medges direktåtkomst till registret över totalför- svarspliktiga framgår inte uttryckligen av några förarbeten. I Plikt- registerutredningens betänkande Behandling av personuppgifter om totalförsvarspliktiga (SOU 1997:101) anges att det utöver Rekryterings- myndigheten i första hand är de utbildnings- och bemannings- ansvariga myndigheterna inom det militära och civila försvaret som kan ha ett befogat intresse av uppgifterna i informationssystemet Plis mot bakgrund av ändamålet med registret. Härutöver kan andra myndigheter ha behov av vissa uppgifter, till exempel lämnas uppgifter om in- och utryckningstider till Riksförsäkringsverket (a.a. s. 97). Bemanningsansvariga myndigheter och organ bör således ha åtkomst till uppgifter om den egna personalen. Detsamma gäller de myndigheter och andra organ som genomför utbildning av totalförsvarspliktiga såvitt avser dem som antagits till utbildningen. De personuppgifter som de bemanningsansvariga organen behöver om sin egen personal ansågs dock vara relativt få och som regel inte av känslig karaktär för den registrerade. Inom de bemannings- och

192

SOU 2017:97

Den nya regleringen

utbildningsansvariga enheterna bedömdes skyddet för personupp- gifterna kunna hållas på en hög nivå (a.a. s. 173).

I bilaga 1 till förordningen anges vidare vilka personkategorier och personuppgifter enligt 8 och 9 §§ pliktregisterlagen som om- fattas av direktåtkomsten för de angivna aktörerna. Direktåtkomsten får, beroende på vilken aktör som avses, omfatta uppgifter om den som (i) är eller har varit aktuell för mönstring eller annan utred- ning, (ii) genom avtal, beslut om krigsplacering eller på annat sätt är tagen i anspråk för totalförsvaret, eller (iii) ska utföra särskild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig för totalförsvaret (8 § första stycket p. 1–3). I samma bilaga anges uttömmande vilka personuppgifter som får omfattas av aktörernas direktåtkomst till registret över totalförsvarspliktiga. De uppgifter i registret som undantas från direktåtkomst är uppgift om

–boende- och familjeförhållanden samt försörjning, om uppgiften behövs för att Rekryteringsmyndigheten ska kunna fullgöra sina åligganden i fråga om förmåner till totalförsvarspliktiga,

–utgången i mål om ansvar för brott mot totalförsvarsplikten,

–att den registrerade har dömts till påföljd för brott som framgår av uppgift ur belastningsregistret som Rekryteringsmyndigheten fått del av,

–vad som bestämts vid inskrivningen enligt lagen om totalför- svarsplikt eller lagen (1994:1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning15, samt

–personliga förhållanden i övrigt som åberopas av den registrerade, om de rör hans eller hennes tjänstgöring inom totalförsvaret (9 § första stycket p. 3, 7, 8, 10 och 13).

15 Lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grund- utbildning är numera upphävd.

193

Den nya regleringen

SOU 2017:97

Våra överväganden och förslag

Utredningens förslag: Myndigheter och enskilda ska medges direktåtkomst till Rekryteringsmyndighetens personuppgifter endast i den utsträckning som framgår av lagen.

Direktåtkomst till personuppgifter får medges Försvars- makten i den utsträckning som följer av föreskrifter som med- delats av regeringen och den registrerade själv. Direktåtkomst till den registrerade själv får endast avse personuppgifter i den registrerades ärende.

En ny reglering av direktåtkomst

Utgångspunkten för den nya regleringen bör enligt vår bedömning vara att begreppet direktåtkomst ges den innebörd som HFD slagit fast i rättsfallet HFD 2015 ref. 61. Det innebär att direktåtkomst föreligger om en myndighet hos en annan myndighet har en sådan teknisk tillgång till den aktuella upptagningen som avses i 2 kap. 3 § andra stycket tryckfrihetsförordningen, dvs. om upptagningen kan anses förvarad hos den mottagande myndigheten enligt tryckfri- hetsförordningen.

Enligt förordningen om behandling av personuppgifter om total- försvarspliktiga får ett flertal myndigheter m.fl. medges direktåt- komst till vissa särskilt angivna personuppgifter i Rekryterings- myndighetens register över totalförsvarspliktiga. Såsom anförts ovan, är det vår bedömning att användningen av begreppet register inte längre är ett relevant sätt att beskriva personuppgiftsbehand- lingen av totalförsvarspliktiga i Rekryteringsmyndighetens verk- samhet. Fortsättningsvis kommer därför vad som nu föreslås i fråga om regleringen av direktåtkomst att avse personuppgifter om total- försvarspliktiga och annan personal inom totalförsvaret som gene- rellt behandlas i Rekryteringsmyndighetens verksamhet.

Mot bakgrund av att det i Rekryteringsmyndighetens informa- tionssystem finns stora mängder personuppgifter registrerade,

194

SOU 2017:97

Den nya regleringen

varav många av särskilt känslig karaktär, bör det av den nya lagen framgå i vilken utsträckning direktåtkomst får medges. Om en aktör ska kunna medges en mer omfattande direktåtkomst bör det uttryckligen framgå av lagen vem denne aktör är (se även av- snitt 6.3.3). Vi föreslår därför att utlämnande genom direktåtkomst av personuppgifter som behandlas i Rekryteringsmyndighetens verk- samhet ska vara tillåtet endast i den utsträckning som följer av lagen. De närmare detaljerna om exempelvis vilka slags personuppgifter som direktåtkomsten får avse bör emellertid lämpligen, liksom hittills, regleras i förordning.

Det saknas behov av att, såsom är fallet i gällande lag, reglera att Rekryteringsmyndigheten har direktåtkomst till de personuppgifter som myndigheten behandlar. Någon sådan bestämmelse föreslås därför inte.

Som framgår ovan får ett flertal myndigheter m.fl. enligt nuvar- ande reglering medges direktåtkomst till vissa, särskilt angivna upp- gifter hos Rekryteringsmyndigheten. I förarbetena redogörs dock inte närmare för skälen till att dessa aktörer har behov av direkt- åtkomst till Rekryteringsmyndighetens uppgifter. Nedan följer en redogörelse för samt vår bedömning av vilka aktörer som i den nya lagen har behov av och bör medges direktåtkomst till Rekryterings- myndighetens personuppgifter.

Försvarsmaktens behov av direktåtkomst

Vår kartläggning av Rekryteringsmyndighetens behandling av per- sonuppgifter visar att Försvarsmakten är den enda av de i förord- ningen uppräknade aktörerna som i praktiken har medgetts direkt- åtkomst till vissa uppgifter om totalförsvarspliktiga hos Rekryterings- myndigheten. Det har inte varit aktuellt att medge någon annan aktör direktåtkomst sedan lagens och förordningens ikraftträdande.

Vi vill först erinra om att frågan om behovet och lämpligheten av direktåtkomst för Försvarsmakten tidigare har övervägts av reger- ingen. Det har inte framkommit att behovet av direktåtkomst skulle ha minskat. Tvärtom har behovet av elektroniskt informa- tionsutbyte ökat avsevärt sedan nuvarande reglering trädde i kraft. Såväl Försvarsmakten som Rekryteringsmyndigheten har ofta be- hov av att snabbt och enkelt få omedelbar tillgång till information

195

Den nya regleringen

SOU 2017:97

om totalförsvarspliktiga. Direktåtkomst till sådana uppgifter inne- bär fördelar och effektivitetsvinster för båda myndigheterna. För- svarsmaktens anställda behöver vid direktåtkomst inte begära ut uppgifter från Rekryteringsmyndigheten vid handläggningen i varje enskilt fall, utan kan själv söka den information som krävs. Rekry- teringsmyndigheten behöver å sin sida inte avsätta några resurser för att hantera förfrågningar från Försvarsmakten om utlämnande av sådana personuppgifter som nu omfattas av direktåtkomsten. Det kan vidare innebära fördelar från informationssäkerhetssyn- punkt att överföring av uppgifter vid direktåtkomst kan ske på ett säkrare sätt än t.ex. genom e-post. Att lämna ut tillgänglig informa- tion genom direktåtkomst är således en förutsättning för att myn- digheterna ska kunna bedriva sitt arbete effektivt. Verksamhetsskäl talar således för att ge Försvarsmakten fortsatt möjlighet till direkt- åtkomst. Det kan vidare konstateras att Försvarsmakten sedan lång tid tillbaka har direktåtkomst. Mot den bakgrunden är vår bedöm- ning att Försvarsmakten, liksom tidigare, har ett behov av direkt- åtkomst till personuppgifter i Rekrytreringsmyndighetens informa- tionssystem. Försvarsmakten bör följaktligen kunna medges sådan direktåtkomst. Direktåtkomsten är av sådan omfattning att det uttryckligen bör framgå av lagen att Försvarsmakten får medges direktåtkomst. Regeringen bör dock ges bemyndigande att med- dela föreskrifter om i vilken utsträckning denna direktåtkomst får medges. Sådana bestämmelser kan alltså, liksom hittills, meddelas i förordning.

En annan viktig fråga i detta sammanhang är om Försvarsmak- ten bör medges direktåtkomst i samma utsträckning som enligt nuvarande reglering. Enligt bilaga 1 till förordningen om behand- ling av personuppgifter om totalförsvarspliktiga har Försvarsmakten i dag direktåtkomst till följande personuppgifter enligt 9 § första stycket pliktregisterlagen

–personnummer eller samordningsnummer, namn, adress, telefon- nummer och folkbokföringsort,

–hinder för genomförande av utredning som avses i 3 § första stycket, för utbildning eller för krigsplacering eller annat ian- språktagande av den registrerade för totalförsvarets räkning,

196

SOU 2017:97

Den nya regleringen

–utbildning, anställning, kunskaper, färdigheter, anlag och intressen som har betydelse för bedömningen av den registrerades använd- barhet inom totalförsvaret,

–om den registrerade är svensk medborgare eller inte,

–att den registrerade genomgått säkerhetsprövning enligt säker- hetsskyddslagen (1996:627), vilken säkerhetsklass prövningen avsett och resultatet av denna, samt

–tjänstgöring inom totalförsvaret samt betyg, vitsord, förord- nanden och utmärkelser som är att hänföra till denna.

Det är särskilt viktigt ur integritetshänseende att Försvarsmakten medges direktåtkomst endast till de uppgifter som myndigheten har ett verkligt behov av. I utredningen har det framkommit att Försvarsmakten har behov av direktåtkomst till samtliga person- uppgifter som anges i 9 § första stycket pliktregisterlagen med undantag för punkten 3, dvs. boende- och familjeförhållanden samt försörjning. Uppgifterna behövs för att Försvarsmakten ska kunna genomföra annan utredning enligt det förslag som Personalförsörj- ningsutredningen har lämnat i sitt betänkande En robust personal- försörjning av det militära försvaret (SOU 2016:63, s. 83 f.). Annan utredning har tidigare använts för att skriva in totalförsvarspliktiga för civilplikt och för att inhämta information om den enskilde genom beredskapsunderlaget. Enligt Personalförsörjningsutredningens för- slag ska totalförsvarspliktiga nu ges möjlighet att anmäla att de är intresserade av att genomföra annan utredning för att därefter ta ställning till om de vill mönstra. Annan utredning föreslås således kunna användas för att utreda den enskildes förutsättningar, kompe- tenser och kvalitéer och vilken befattning som den enskilde skulle kunna komma i fråga för.

För att möjliggöra att både Försvarsmakten och den totalför- svarspliktige får så mycket information som möjligt för att den totalförsvarspliktige ska kunna göra ett välgrundat val om eventuell mönstring – och i förlängningen för att kunna bedöma om denne är lämplig för mönstring – har Försvarsmakten behov av direktåtkomst till fler personuppgifter än tidigare. Vår bedömning är att För- svarsmakten, utöver de ovan uppräknade personuppgifterna, numera även har behov av och bör medges direktåtkomst till uppgifter om

197

Den nya regleringen

SOU 2017:97

–fysisk och psykisk hälsa och förmåga jämte de uppgifter som ligger till grund för bedömningen härav,

–utgången i mål om ansvar för brott mot totalförsvarsplikten,

–att den registrerade har dömts till påföljd för brott som framgår av uppgift ur belastningsregistret som Rekryteringsmyndig- heten fått del av,

–vad som bestämts vid inskrivningen för att fullgöra värnplikt eller civilplikt,

–krigsplacering, annat ianspråktagande av den registrerade för total- försvaret eller särskild uppgift som han eller hon ska utföra vid höjd beredskap, samt

–personliga förhållanden i övrigt som åberopas av den registrerade, om de rör hans eller hennes tjänstgöring inom totalförsvaret.

För att värna om integritetsskyddet för de utlämnade uppgifterna – vilka i flera avseenden kan vara känsliga för den totalförsvars- pliktige – bör det i den nya förordningen uttömmande anges vilka personuppgifter som omfattas av den medgivna direktåtkomsten.

Av 3 § andra stycket förordningen om behandling av person- uppgifter om totalförsvarspliktiga framgår vidare att den person- uppgiftsbehandling som följer av direktåtkomsten endast får ut- föras om den är nödvändig för den egna verksamheten. Det bör dock erinras om att regleringen av Försvarsmaktens uppdrag och uppgifter kan komma att förändras i framtiden med följden att behovet av direktåtkomst kan komma att variera över tid. Vi anser därför att en motsvarande bestämmelse för begränsning av Försvars- maktens direktåtkomst till uppgifter i Rekryteringsmyndighetens verksamhet ska finnas i den nya förordningen.

Vi vill också erinra om den pågående översynen av lagstiftningen om personuppgiftsbehandlingen inom Försvarsmakten och Försvarets radioanstalt som ska redovisas den 31 maj 2018 (dir. 2017:42). Den särskilde utredaren ska översiktligt beskriva hur personuppgifter behandlas och vilken reglering som gäller för behandlingen inom Försvarsmakten och Försvarets radioanstalt. Utredaren ska bl.a. bedöma om den reglering som gäller vid behandling av person- uppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och i Försvarets radioanstalts försvars-

198

SOU 2017:97

Den nya regleringen

underrättelse- och utvecklingsverksamhet är ändamålsenligt utformad och tillräcklig när det gäller skyddet för enskildas personliga integri- tet. Utredaren ska också analysera vilket utrymme det finns för nationell reglering av den personuppgiftsbehandling i Försvarsmakten och Försvarets radioanstalt som i dag regleras i personuppgifts- lagen och utifrån den analysen bedöma om behandlingen helt eller delvis bör regleras särskilt.

De registrerades behov av direktåtkomst

Ytterligare en fråga som bör beaktas är om det finns andra än För- svarsmakten som bör kunna medges direktåtkomst till Rekryterings- myndighetens personuppgifter. Rekryteringsmyndigheten har i detta avseende efterfrågat en möjlighet för totalförsvarspliktiga att genom direktåtkomst få ökad tillgång till vissa uppgifter om sig själva. I dag har totalförsvarspliktiga direktåtkomst till ”Min Sida” på webben och de uppgifter som finns tillgängliga där, i huvudsak beredskapsunderlaget och uppgifter om mönstring i form av ett digitalt brev i pdf-format. Med hänsyn till att Rekryteringsmyndig- hetens behandling och handläggning av uppgifter om totalförsvars- pliktiga vid mönstring, utbildning, tjänstgöring eller liknande, i allt större utsträckning bygger på elektronisk hantering och kommu- nikation med såväl de totalförsvarspliktiga som berörda myndigheter, är vår bedömning att direktåtkomst bör få medges totalförsvars- pliktiga. Vi föreslår därför att det ska vara möjligt för Rekry- teringsmyndigheten att lämna ut uppgifter genom direktåtkomst till den registrerade själv. Möjligheten till direktåtkomst i dessa fall bör dock begränsas till personuppgifter i den registrerades eget ärende. Det ska alltså vara frågan om personuppgifter som hänför sig till den registrerade själv.

Sekretess till skydd för en enskild gäller som huvudregel inte i förhållande till den enskilde själv (jfr 12 kap. 1 § offentlighets- och sekretesslagen). Det är således – ur integritetshänseende – inte påkallat med författningsstöd för direktåtkomst som medges den registrerade själv. Vi har emellertid gjort den principiella bedöm- ningen att de grundläggande reglerna för behandlingen bör ges i form av lag, bl.a. i vilka fall direktåtkomst ska vara möjlig. Av sys- tematiska skäl bör därför även denna bestämmelse ges i form av lag.

199

Den nya regleringen

SOU 2017:97

För att säkerställa att personuppgifter genom direktåtkomsten inte lämnas ut till annan än den registrerade själv, bör Rekryterings- myndigheten se till att det finns tillräckliga säkerhetsrutiner för detta.

Övriga aktörers behov av direktåtkomst

I fråga om de övriga aktörer som enligt nuvarande reglering får medges direktåtkomst till vissa uppgifter hos Rekryteringsmyndig- heten, finner vi att sådan åtkomst inte fyller något egentligt behov. Vår utredning visar att ingen av dessa aktörer har haft sådan direkt- åtkomst sedan regleringens ikraftträdande och det har, såvitt fram- kommit, aldrig varit aktuellt att medge någon av dem direkt- åtkomst. Den omständigheten att vissa av de uppräknade aktörerna fortfarande, i egenskap av utbildnings- och bemanningsansvariga myndigheter inom det militära och civila försvaret, kan ha visst be- hov av uppgifter om den egna personalen respektive de som an- tagits till utbildning utgör inte tillräckligt skäl för att de i den nya lagen ska få medges direktåtkomst. Vår bedömning är att de upp- gifter som eventuellt behöver lämnas ut till dessa aktörer för när- varande inte nödvändigtvis behöver lämnas ut genom direktåtkomst. Andra metoder för utlämnande av uppgifter får således användas i fråga om dessa aktörer. I den mån det i framtiden skulle uppstå ett behov av att medge andra aktörer än Försvarsmakten direktåtkomst bör det dock finnas möjlighet för regeringen att meddela föreskrif- ter om att så får ske i begränsad utsträckning. En sådan föreskriftsrätt bör således införas i den föreslagna lagen genom ett bemyndigande.

Nästa fråga av betydelse för att säkerställa skyddet för person- uppgifter hos Rekryteringsmyndigheten är omfattningen av den direktåtkomst som får medges genom denna föreskriftsrätt. Det är, ur ett integritetsskyddsperspektiv, särskilt viktigt att endast sådana personuppgifter som den mottagande aktören kan antas ha ett reellt och konkret behov av omfattas av direktåtkomst. Direktåtkomsten bör därför begränsas till de personuppgifter som aktören behöver för att fullgöra sina uppgifter enligt lag eller förordning och får endast avse vissa uppgifter. Skulle det däremot bli aktuellt att medge någon av dessa övriga aktörer direktåtkomst av större omfattning bör detta, liksom i fråga om Försvarsmakten, uttryckligen regleras i lagen.

200

SOU 2017:97

Den nya regleringen

Skyddsregler vid direktåtkomst

Möjligheten att medge Försvarsmakten, de registrerade själva samt andra aktörer direktåtkomst till Rekryteringsmyndighetens person- uppgifter innebär att risken för kränkning av den enskildes per- sonliga integritet ökar. Det är därför nödvändigt med regler som säkerställer skyddet för personuppgifterna vid direktåtkomst.

Den första frågan som bör beaktas är hur uppgifterna sprids och används hos mottagaren, eftersom en begränsad krets av personer som har tillgång till uppgifterna minskar risken för integritets- intrång. Mottagaren måste därför begränsa åtkomstmöjligheterna så mycket som möjligt med hänsyn till den aktuella verksamheten och känsligheten hos personuppgifterna. Det är följaktligen den per- sonuppgiftsansvarige som har medgetts direktåtkomst som ansvarar för att tillgången till personuppgifter begränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter. På detta sätt minskas risken för integritetsintrång genom att en begränsad krets av anställda hos mottagaren får tillgång till uppgifterna. Härigenom undviks också en otillbörlig spridning av uppgifterna. Det ankom- mer på Rekryteringsmyndigheten att innan en direktåtkomst i prak- tiken medges kontrollera att mottagaren har en fungerande ordning och kommer att behandla uppgifterna i enlighet med vad som ovan anförts.

En annan fråga av särskild vikt är att det hos mottagaren finns ett tillräckligt och fullgott säkerhetsskydd för de personuppgifter som myndigheten genom direktåtkomsten får tillgång till. Det åligger Rekryteringsmyndighet, i egenskap av personuppgiftsansvarig, att kontrollera och säkerställa att mottagaren har en acceptabel säker- hetsnivå och uppfyller kraven på behörighet och säkerhet (jfr arti- kel 32.2 i dataskyddsförordningen). På detta sätt uppnås ett starkt integritetsskydd för de registrerade genom att Rekryteringsmyn- digheten inte får medge Försvarsmakten eller annan aktör direkt- åtkomst i praktiken förrän myndigheten har sett till att mottagaren uppfyller kraven på behörighet och säkerhet. En bestämmelse härom bör därför tas in i den föreslagna förordningen.

Ovan nämnda regler om tillgång till personuppgifter hos Rekry- teringsmyndigheten, omfattningen av den i lag medgivna direkt- åtkomsten samt bestämmelser om informationssäkerhet och be-

201

Den nya regleringen

SOU 2017:97

hörighet, innebär enligt vår bedömning att de integritetsrisker som är förknippade med möjligheten till direktåtkomst motverkas.

9.7.3En sekretessbrytande bestämmelse för direktåtkomst

Allmänt om sekretessbrytande regler

I vissa fall måste myndigheter kunna utbyta information mellan varandra för att kunna utföra sina uppgifter. Ibland kan det också vara nödvändigt att uppgifter lämnas ut till enskilda. En grund- läggande förutsättning för att uppgifter ska få lämnas ut är dock att sekretess inte hindrar att så sker. En regel om direktåtkomst bryter inte reglerna om sekretess (se t.ex. prop. 2004/05:164, s. 83 och prop. 2015/16:65, s. 93). Regler om direktåtkomst brukar därför ofta kompletteras med sekretessbrytande bestämmelser som är utformade som regler om uppgiftsskyldighet. Dessa formuleras antingen som en rätt för mottagaren att ta del av uppgifter eller som en skyl- dighet för myndigheten i fråga att lämna uppgifter till mottagaren.

Enligt 8 kap. 1 § offentlighets- och sekretesslagen får en uppgift för vilken sekretess gäller enligt denna lag inte röjas för enskilda eller för andra myndigheter, om inte annat anges i denna lag eller i lag eller förordning som denna lag hänvisar till.

I offentlighets- och sekretesslagen finns ett flertal sekretessbry- tande bestämmelser som innebär att sekretess inte hindrar ett ut- byte av uppgifter mellan myndigheter. Bestämmelserna har utfor- mats efter en intresseavvägning mellan myndigheternas behov av att utbyta uppgifter och det intresse som de aktuella sekretess- bestämmelserna ska skydda.

Enligt 10 kap. 2 § offentlighets- och sekretesslagen hindrar inte sekretess att en uppgift lämnas till en annan myndighet om det är nödvändigt för att den utlämnande myndigheten ska kunna full- göra sin verksamhet. Syftet med bestämmelsen är att förhindra att sekretessregleringen gör det omöjligt för en myndighet och dess personal att sköta de uppgifter som åvilar myndigheten. Bestäm- melsen ska dock tillämpas restriktivt och får inte användas för att hjälpa en annan myndighet att fullgöra sin verksamhet (Lenberg, E. m.fl., kommentaren till 10 kap. 2 §). Enligt 10 kap. 17 § hindrar sekretess inte heller att en uppgift lämnas till en annan myndighet om uppgiften behövs där för tillsyn över eller revision hos den

202

SOU 2017:97

Den nya regleringen

myndighet där uppgiften förekommer. Bestämmelsen möjliggör utlämnande till bl.a. JO, JK och Datainspektionen. Vidare gäller enligt huvudregeln i 10 kap. 27 §, den s.k. generalklausulen, att en sekretessbelagd uppgift får lämnas ut till en annan myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Undantag från huvudregeln görs för vissa sekretessbestämmelser som dock inte är aktuella här. Enligt 10 kap. 28 § första stycket hindrar inte heller sekretess att en uppgift lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning. Det är sådana bestämmelser om uppgiftsskyldighet som i allmänhet brukar användas för att möjliggöra direktåtkomst.

Bestämmelsen i 6 kap. 5 § innebär att en myndighet på begäran av en annan myndighet ska lämna ut uppgifter i den mån hinder inte möter på grund av sekretess eller arbetets behöriga gång. Det innebär att om en myndighet begär att få del av uppgifter från en annan myndighet och någon av de ovan nämnda sekretessbrytande bestämmelserna är tillämpliga, så ska uppgifterna lämnas ut. Det- samma gäller om de begärda uppgifterna är offentliga, dvs. inte omfattas av sekretess. I sammanhanget bör även nämnas 12 kap. 2 § där det anges att sekretess till skydd för en enskild inte hindrar att en uppgift lämnas ut, exempelvis till en myndighet, om den en- skilde samtycker till det.

Som exempel på sekretessbrytande bestämmelser som tar sikte på enskildas möjlighet att ta del av uppgifter kan nämnas 26 kap. 8 § och 27 kap. 7 § offentlighets- och sekretesslagen.

Sekretessbrytande regler för Rekryteringsmyndigheten

I 16 § pliktregisterlagen föreskrivs att för utlämnande av person- uppgifter om totalförsvarspliktiga gäller de begränsningar som följer av offentlighets- och sekretesslagen. I förarbetena till bestämmel- sen anförde regeringen att det var viktigt att framhålla att en före- skrift om direktåtkomst inte bryter reglerna om sekretess. För att klargöra detta förhållande fann regeringen att det skulle föras in en bestämmelse i pliktregisterlagen med erinran om att dåvarande sekretesslagen är tillämplig när det gäller utlämnande av uppgifter om totalförsvarspliktiga. Härigenom bedömde regeringen att den restrik-

203

Den nya regleringen

SOU 2017:97

tivitet vad gällde direktåtkomst skulle upprätthållas (prop. 1997/98:80, s. 65).

Enligt 4 § förordningen om behandling av personuppgifter om totalförsvarspliktiga får, i enlighet med 14 kap. 1 § andra meningen sekretesslagen, uppgifter endast lämnas ut med direktåtkomst om det är särskilt föreskrivet i lag eller förordning. Den sistnämnda bestämmelsen motsvarar 10 kap. 28 § första stycket offentlighets- och sekretesslagen, dvs. sekretess hindrar inte att en uppgift lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning.

För Rekryteringsmyndighetens del finns sekretessbrytande be- stämmelser i förordningen (1995:238) om totalförsvarsplikt. Av 3 kap. 16 § framgår att Rekryteringsmyndigheten, i samband med att en totalförsvarspliktig rycker in för värnplikt eller civilplikt med längre grundutbildning än 60 dagar, ska lämna de journalhandlingar som upprättats vid mönstring eller särskild antagningsprövning enligt lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning (lagen är numera upphävd), till hälso- och sjukvårdspersonalen vid den organisatoriska enhet hos en myndighet, en kommun eller ett landsting där grundutbild- ningen ska genomföras (första stycket). Rekryteringsmyndigheten ska vid samma tidpunkt lämna uppgifter om den totalförsvarspliktiges psykiska funktionsförmåga, fysiska arbetsförmåga, allmänna begåv- ning och hälsotillstånd till den befattningshavare på en sådan enhet som anges i första stycket som har till uppgift att utbilda den total- försvarspliktige (andra stycket). Rekryteringsmyndigheten ska också vid samma tidpunkt och till samma enheter som anges i första stycket lämna uppgift i form av fotografisk bild av den totalförsvarspliktige från det register som myndigheten för över sådana uppgifter. En sådan uppgift ska på begäran även lämnas till Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Försvarsmakten, Tullver- ket, Skatteverket och Kronofogdemyndigheten (tredje stycket).

204

SOU 2017:97

Den nya regleringen

Våra överväganden och förslag

Utredningens förslag: Det ska i lagen införas en sekretessbry- tande bestämmelse om uppgiftsskyldighet i förhållande till För- svarsmakten som motsvarar den direktåtkomst som myndig- heten får medges.

Regeringen får meddela föreskrifter om att annan myndighet vid direktåtkomst har rätt att ta del av de personuppgifter som omfattas av åtkomsten.

Det kan inledningsvis konstateras att det i nu gällande förordning finns sekretessbrytande regler om uppgiftsskyldighet för Rekryterings- myndigheten endast i begränsad utsträckning. Den skyldighet som finns i 3 kap. 16 § förordningen om totalförsvarsplikt om att lämna ut uppgifter till exempelvis Försvarsmakten motsvarar långtifrån den direktåtkomst som myndigheten får medges och har behov av. Vi föreslår därför att en mer omfattande sekretessbrytande bestäm- melse om uppgiftsskyldighet i förhållande till Försvarsmakten införs i den nya lagen. En sådan bestämmelse korresponderar med den ändamålsbestämmelse som vi föreslår ska införas i lagen, vilken medger att personuppgifter – som behandlas med stöd av något eller några av de primära ändamålen – också får behandlas för så- dant uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning.

Av integritetshänsyn till personuppgifter som får lämnas ut genom direktåtkomst har vi i avsnitt 9.7.2 föreslagit att det i den nya förordningen tas in en bestämmelse som uttömmande speci- ficerar vilka personuppgifter som Försvarsmakten får medges direktåtkomst till. Den sekretessbrytande bestämmelsen bör utformas som en rätt för Försvarsmakten att vid direktåtkomst ta del av de personuppgifter som därigenom omfattas av åtkomsten.

Behovet av sekretessbrytande regler i övrigt

Den föreslagna sekretessbrytande bestämmelsen tar enbart sikte på direktåtkomst som har medgetts Försvarsmakten. Frågan är om det finns behov av sekretessbrytande regler i övrigt.

205

Den nya regleringen

SOU 2017:97

Enligt 12 kap. 1 § offentlighets- och sekretesslagen gäller sekre- tess till skydd för en enskild inte i förhållande till den enskilde själv, om inte annat anges i den lagen. Det finns således inte något behov av att införa en sekretessbrytande regel för sådana fall. Enligt vår uppfattning bör det därför inte föreslås någon motsvarande bestämmelse som gäller till förmån för de registrerade själva.

För det fall behov skulle uppstå att medge även andra myndig- heter än Försvarsmakten eller någon annan aktör direktåtkomst krävs sekretessbrytande bestämmelser också i sådana fall. Av 10 kap. 28 § offentlighets- och sekretesslagen framgår att ytterligare sekre- tessbrytande regler i förhållande till andra myndigheter kan ges i form av bestämmelser i förordning. Regeringen bör därför bemyn- digas att få meddela föreskrifter med sekretessbrytande verkan i de fall regeringen med stöd av det bemyndigande som föreslås i av- snitt 9.7.2 tillåter att någon annan myndighet får medges direkt- åtkomst. En sådan sekretessbrytande bestämmelse bör få omfatta samma personuppgifter som direktåtkomsten avser. I det fall en enskild aktör ska få medges direktåtkomst följer av 8 kap. 1 § offent- lighets- och sekretesslagen att en sekretessbrytande bestämmelse måste införas i denna lag eller i lag eller förordning som den lagen hänvisar till. Eftersom det inte finns något aktuellt behov av att tillåta direktåtkomst för någon enskild aktör saknas det också be- hov av en sekretessbrytande bestämmelse.

9.8Sökförbud

9.8.1Allmänt om sökbegränsningar

Vid behandling av personuppgifter är det betydelsefullt i vilken omfattning uppgifter kan sökas och sammanställas, inte minst ur ett integritetsperspektiv. Användningen av sökbegrepp som tar sikte på känsliga personuppgifter innebär i regel en integritetsrisk efter- som det skapar utrymme för kartläggning och sammanställning av enskildas personliga förhållanden, vilket i sig kan utgöra ett intrång i den enskildes personliga integritet. Som anförts i avsnitt 9.3.2 avses med känsliga personuppgifter uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska och biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa

206

SOU 2017:97

Den nya regleringen

samt uppgifter om en fysisk persons sexualliv eller sexuella lägg- ning (artikel 9.1 i dataskyddsförordningen). I registerförfattningar som rör myndigheters personuppgiftsbehandling finns därför i regel bestämmelser som begränsar möjligheten att söka och sammanställa känsliga personuppgifter, t.ex. bestämmelser om vilka sökbegrepp som får användas, olika typer av sökbegränsningar och sökförbud.

En följd av att bestämmelser om sökförbud av vissa känsliga personuppgifter finns i olika registerförfattningar är att offentlig- hetsprincipen inskränks enligt den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen. En begäran om att få tillgång till en sammanställning av uppgifter som är resultatet av en förbjuden sökning ska enligt den bestämmelsen avslås på den grunden att sammanställningen inte anses förvarad hos myndigheten. Den utgör då följaktligen inte heller en allmän handling. Syftet med begränsningsregeln är att hindra allmänheten från att göra anspråk på att få del av sammanställningar av uppgifter ur upptagningar hos myndigheten som myndigheten själv, av integritetsskäl, är rättsligt förhindrad att ta fram i sin egen verksamhet. Integritetsskyddet ska alltså upprätthållas även om 2 kap. tryckfrihetsförordningen åberopas (se t.ex. prop. 2015/16:65, s. 85).

9.8.2Gällande rätt

I pliktregisterlagen finns bestämmelser om förbud mot användning av vissa särskilt angivna sökbegrepp. Enligt 14 § första stycket plikt- registerlagen får personuppgifter som avses i 9 § första stycket 2 och 3 samt 5–9 inte användas som sökbegrepp annat än om det behövs för tillsyn, uppföljning eller utvärdering av Rekryterings- myndighetens verksamhet eller för framtagande av material för forskning eller statistik. Det innebär att uppgift om hinder för genomförande av mönstring eller annan utredning, för utbildning eller för krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning inte får användas som sökbegrepp. Inte heller uppgift om boende- och familjeförhållanden och försörjning får enligt nuvarande reglering användas som sökbegrepp. Det- samma gäller uppgifter om resultat från kunskapsprov och anlags- test som utförts vid mönstring eller annan utredning. Uppgift om fysisk och psykisk hälsa och förmåga jämte de uppgifter som ligger

207

Den nya regleringen

SOU 2017:97

till grund för bedömningen härav faller också utanför vad som är tillåtet att söka fram. Sökning får vidare inte ske beträffande upp- gifter om den registrerade är svensk medborgare eller inte, utgången i mål om ansvar för brott mot totalförsvarsplikten eller att den registrerade har dömts till påföljd för brott som framgår av uppgift ur belastningsregistret. Slutligen får inte heller uppgift om att den registrerade genomgått säkerhetsprövning enligt säkerhetsskydds- lagen, vilken säkerhetsklass prövningen avsett och resultatet av denna användas som sökbegrepp.

9.8.3Våra överväganden och förslag

Utredningens förslag: Vid sökning i personuppgifter är det förbjudet att som sökbegrepp använda känsliga personuppgifter.

Det är också förbjudet att som sökbegrepp använda upp- gifter om

1.hinder för mönstring, annan utredning, utbildning, krigs- placering eller annat ianspråktagande av den registrerade för totalförsvarets räkning,

2.boende- och familjeförhållanden samt försörjning,

3.resultat från begåvningstest eller anlagstest som utförs vid mönstring eller annan utredning,

4.medborgarskap, och

5.lagöverträdelser, säkerhetsprövning enligt säkerhetsskydds- lagen samt vilken säkerhetsklass prövningen avsett och resul- tatet av denna.

De sökbegrepp som anges i andra stycket får användas som sökbegrepp vid behandling för ändamålet planering, uppföljning och utvärdering av verksamheten eller vid utlämnande för fram- ställning av statistik eller för forskningsändamål. De sökbegrepp som anges i andra stycket 3 får även användas som sökbegrepp vid behandling för ändamålet att ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret.

208

SOU 2017:97

Den nya regleringen

I 3 kap. 4 § i den föreslagna dataskyddslagen uppställs ett generellt förbud för myndigheter att använda sökbegrepp som avslöjar käns- liga personuppgifter. Bestämmelsen är dock enbart tillämplig vid myndigheters behandling som sker med stöd av 3 kap. 3 § samma lag. Såsom beskrivits ovan anser vi att nämnda bestämmelse inte är tillräcklig för att Rekryteringsmyndigheten ska kunna fullgöra sina uppgifter. Myndigheten har således ett berättigat behov av att be- handla känsliga personuppgifter i större omfattning än vad data- skyddslagens undantag medger. Vi föreslår därför att en mer tillåt- ande bestämmelse om behandling av känsliga personuppgifter tas in i lagen (se avsnitt 9.3.3).

Vidare omfattar den nu föreslagna lagen, liksom tidigare, behand- ling av en stor mängd känsliga personuppgifter som – om det inte fanns några sökbegränsningar – skulle möjliggöra sammanställ- ningar av stor omfattning eller kartläggning av totalförsvarspliktigas personliga förhållanden, vilket i sig kan utgöra ett intrång i den per- sonliga integriteten.

Mot den bakgrunden föreslår vi att det i lagen, i likhet med nu- varande reglering, införs en bestämmelse om sökförbud. Av bestäm- melsen bör det framgå att det vid sökning i personuppgifter ska vara förbjudet att som sökbegrepp använda känsliga personupp- gifter, bl.a. uppgifter om fysisk och psykisk hälsa. Därutöver bör det vara förbjudet att som sökbegrepp använda uppgifter om

1.hinder för mönstring, annan utredning, utbildning, krigsplacer- ing eller annat ianspråktagande av den registrerade för totalför- svarets räkning,

2.boende- och familjeförhållanden samt försörjning,

3.resultat från begåvningstest eller anlagstest som utförs vid mönst- ring eller annan utredning,

4.medborgarskap, och

5.lagöverträdelser, säkerhetsprövning enligt säkerhetsskyddslagen samt vilken säkerhetsklass prövningen avsett och resultatet av denna.

Det föreslagna sökförbudet omfattar samma sökbegrepp som enligt nu gällande reglering med undantag för uppgifter om resultat från kunskapsprov. Anledningen är att totalförsvarspliktiga vid mönstring

209

Den nya regleringen

SOU 2017:97

eller annan utredning inte längre utför kunskapsprov utan begåv- ningstest. Det innebär att sökförbudet i den nya lagen bör omfatta uppgifter om resultat från begåvningstest eller anlagstest som utförs vid mönstring eller annan utredning.

Från sökförbudet föreslår vi dock vissa generella undantag för de fall de ovan uppräknade sökbegreppen (p. 1–5) behöver användas vid behandling för ändamålet planering, uppföljning och utvärdering av Rekryteringsmyndighetens verksamhet. Den insamling av uppgif- ter och behandling av totalförsvarspliktigas personliga förhållanden som Rekryteringsmyndigheten utför inom ramen för sin verksam- het, dvs. de uppgifter som tidigare fanns i registret över totalför- svarspliktiga, är också betydelsefullt som underlag för statistik eller för forskningsändamål. Vi förslår därför att undantag från förbudet att använda de uppräknade sökbegreppen bör göras för framställ- ning av statistik eller för forskningsändamål. De nu föreslagna undantagen gäller även enligt nu gällande lag. Skäl att frångå en sådan ordning har inte kommit fram.

Rekryteringsmyndigheten har även behov av att som sökbegrepp använda uppgifter om resultat från begåvningstest och anlagstest för att kunna ta fram underlag för inskrivning av lämpliga personer till grundutbildning med värnplikt. För att samtliga utbildnings- platser ska kunna tillsättas med personer som uppfyller kraven för inskrivning till grundutbildning med värnplikt använder sig Rekry- teringsmyndigheten av den s.k. utbildningsreserven. Genom att söka på resultat från de begåvningstester eller anlagstester som utförs vid mönstring eller annan utredning kan myndigheten få fram vilka personer i utbildningsreserven som uppfyller kraven för inskrivning. Därefter kan en bedömning göras vilka av dessa som bör skrivas in till grundutbildning med värnplikt. Vi föreslår därför att uppgifter om resultat från begåvnings- eller anlagstest som utförs vid mönstring eller annan utredning (p. 3) ska få användas som sökbegrepp vid behandling för ändamålet att ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret.

Skulle en känslig personuppgift uppdagas vid en sökning för de ovan angivna ändamålen omfattas dock uppgiften av sökförbudet enligt huvudregeln, dvs. förbudet att som sökbegrepp använda känsliga personuppgifter.

210

SOU 2017:97

Den nya regleringen

9.9Annans registrering och rättelse av uppgifter

9.9.1Gällande rätt

Enligt 13 § pliktregisterlagen får regeringen meddela föreskrifter om att annan än Rekryteringsmyndigheten får föra in person- uppgifter i det automatiserade registret över totalförsvarspliktiga och rätta dessa. Av 3 § första stycket förordningen om behandling av personuppgifter om totalförsvarspliktiga framgår att de myndig- heter m.fl. som anges i bilagorna till förordningen får föra in upp- gifter i registret över totalförsvarspliktiga och rätta dessa. Vilka personuppgifter som får föras in och rättas anges uttömmande i bilaga 2 till förordningen. Försvarsmakten får exempelvis föra in och rätta uppgifter om

–personnummer eller samordningsnummer, namn, adress, telefon- nummer och folkbokföringsort,

–krigsplacering, annat ianspråktagande av den registrerade för total- försvaret eller särskild uppgift som han eller hon ska utföra vid höjd beredskap, och

–tjänstgöring inom totalförsvaret samt betyg, vitsord, förord- nanden och utmärkelser som är att hänföra till denna (jfr 9 § första stycket punkterna 1, 11 och 12).

I förarbetena (prop. 1997/98:80 s. 62 f.) till nuvarande reglering anförde regeringen att effektivitetsskäl talar för att ett system där uppgiftslämnare lämnar uppgifterna genom att själva föra in dem i mottagarens register som förs med hjälp av automatiserad behand- ling ska tillåtas. Vissa organ inom totalförsvaret ska från egen terminal kunna lägga in uppgifter om sin personal direkt i Rekryterings- myndighetens register som förs med hjälp av automatiserad be- handling. Tre olika typer av anteckningar ska i första hand kunna göras på detta sätt:

1.journalanteckningar som under grundutbildningen förs av läkare eller annan sjukvårdspersonal vid en utbildningsenhet,

2.utryckningsrapporter med uppgifter om antalet fullgjorda tjänst- göringsdagar, vitsord m.m. som lämnas till Rekryteringsmyndig-

211

Den nya regleringen

SOU 2017:97

heten från den ansvariga utbildningsenheten efter det att den totalförsvarspliktige fullgjort sin grundutbildning, samt

3.anteckningar om att en person tagits i anspråk för ett organs krigsorganisation.

En förutsättning är emellertid att säkerhet kan garanteras mot att obehöriga personer påverkar registerinnehållet. Sådan säkerhet kan enligt regeringens uppfattning skapas genom att endast vissa befatt- ningshavare hos uppgiftslämnaren ges tillträde till registret. Per- sonliga användarkort med koder måste utfärdas och möjligheterna för den behörige att föra in uppgifter måste begränsas till den art av uppgifter som vederbörande ska lämna till Rekryteringsmyndig- heten. Säkerheten vid terminalen hos uppgiftslämnaren måste vara hög, utrustningen bör t.ex. vara inlåst när terminalen är obemannad. Rekryteringsmyndigheten måste ta på sig ett ansvar för att utbilda och informera uppgiftslämnarna i säkerhetsfrågor. De säkerhets- mässiga överväganden som bör föregå ett tillstånd för annan att föra in uppgifter i Rekryteringsmyndighetens register kan inte göras generellt. Varje organ – eller i vart fall typ av organ (t.ex. För- svarsmaktens utbildningsenheter) – bör prövas för sig. Regeringen bör från fall till fall kunna avgöra vilka organ, utöver Rekryterings- myndigheten, som ska ha rätt att föra in uppgifter i det auto- matiserade registret över totalförsvarspliktiga samt vilken art av uppgifter dessa har rätt att lämna. Rekryteringsmyndigheten och de andra organ som behandlar personuppgifterna bär ansvaret för att tillräckliga säkerhetsåtgärder vidtas. De som medges rätt att föra in personuppgifter i det automatiserade registret över totalförsvars- pliktiga bör också ges behörighet att rätta sina uppgifter som blivit felaktigt antecknade. Däremot bör det vara Rekryteringsmyndig- hetens sak att se till att inaktuella uppgifter gallras efterhand.

9.9.2Våra överväganden och förslag

Utredningens förslag: Försvarsmakten får föra in och rätta per- sonuppgifter i Rekryteringsmyndighetens informationssystem i den utsträckning som följer av förordning.

212

SOU 2017:97

Den nya regleringen

Regeringen får meddela föreskrifter om att även annan än Försvarsmakten får medges sådan rätt.

Försvarsmakten har enligt nu gällande reglering rätt att föra in och rätta vissa särskilt angivna personuppgifter i Rekryteringsmyndig- hetens register över totalförsvarspliktiga. Under utredningen har framkommit att Försvarsmakten använder sig av denna rätt att föra in och rätta sådana personuppgifter i Rekryteringsmyndighetens informationssystem. Det bör därför införas en bestämmelse i den nya lagen om att Försvarsmakten får föra in och rätta vissa person- uppgifter i Rekryteringsmyndighetens informationssystem. I likhet med nuvarande ordning bör det i den nya förordningen uttöm- mande anges vilka personuppgifter som omfattas av rätten till regi- strering och rättelse. Enligt vår bedömning bör denna rätt omfatta samma uppgifter som enligt nuvarande reglering. Vad som gäller i fråga om rättelse behandlas i avsnitt 10.1.

I avsnitt 9.7.2 föreslås att regeringen får meddela föreskrifter om att medge annan aktör direktåtkomst till Rekryteringsmyndig- hetens informationssystem. I den mån regeringen medger andra aktörer än Försvarsmakten direktåtkomst enligt nämnda förslag, bör det också finnas möjlighet för dessa att föra in och rätta vissa uppgifter i Rekryteringsmyndighetens informationssystem. En be- stämmelse som möjliggör detta bör därför föras in i den nya lagen. Även i sådana fall bör det i den nya förordningen uttömmande anges vilka personuppgifter som omfattas av rätten till registrering och rättelse.

Det bör i detta sammanhang erinras om att den behandling av personuppgifter som utförs av den aktuella aktören sker med stöd av den nu föreslagna lagen och inte med stöd av någon annan register- författning. Aktören i fråga blir personuppgiftsansvarig för den per- sonuppgiftsbehandling som sker när uppgifterna förs in i Rekryter- ingsmyndighetens informationssystem samt vid rättelse av dem. Rekryteringsmyndigheten blir å sin sida personuppgiftsansvarig för den behandling av personuppgifterna som myndigheten utför. Det innebär att Rekryteringsmyndigheten och Försvarsmakten har ett gemensamt personuppgiftsansvar för den behandling som respektive myndighet utför (jfr artikel 26 i dataskyddsförordningen).

I Informationshanteringsutredningens förslag till Myndighets- datalag (SOU 2015:39, s. 354 f.) föreslås att en överenskommelse om

213

Den nya regleringen

SOU 2017:97

hur skyddet för personuppgifter ska säkerställas bör träffas mellan myndigheter innan direktåtkomst medges samt vid andra former av informationsutbyten som innebär behandling av personuppgifter i gemensamma eller annars integrerade informationssystem. Överens- kommelsen ska i första hand syfta till att klargöra ansvarsförhållan- det mellan de berörda myndigheterna. Av överenskommelsen bör framgå hur utövande av de skyldigheter som personuppgiftsansvaret innefattar ska ske. Motsvarande synsätt fastställs i artikel 26 i data- skyddsförordningen. I bestämmelsen anges bl.a. att gemensamt per- sonuppgiftsansvariga ska under öppna former fastställa sitt respek- tive ansvar för att fullgöra skyldigheterna enligt förordningen, sär- skilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de person- uppgiftsansvariga omfattas av. Mot denna bakgrund är det lämpligt att Rekryteringsmyndigheten och Försvarsmakten träffar en gemen- sam överenskommelse om hur de skyldigheter som följer med res- pektive personuppgiftsansvar ska utövas. Detta är även av stor vikt för integritetsskyddet.

9.10Rätten att göra invändningar

9.10.1Gällande rätt

I gällande svensk rätt finns inte någon generell rätt för den regi- strerade att göra invändningar mot den behandling av personupp- gifter som sker hos myndigheter. En begränsad rätt att motsätta sig behandling följer dock av personuppgiftslagen.

Enligt 11 § personuppgiftslagen får personuppgifter inte behand- las för ändamål som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling. I 12 § första stycket personupp- giftslagen anges att den registrerade har rätt att när som helst åter- kalla sitt samtycke i vissa fall då behandling av personuppgifter bara är tillåten när den registrerade har lämnat sitt samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas. Av andra stycket följer att en registrerad, utöver vad som följer av första

214

SOU 2017:97

Den nya regleringen

stycket och 11 §, inte har rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt personuppgiftslagen.

Varken pliktregisterlagen eller förordningen om behandling av personuppgifter om totalförsvarspliktiga innehåller någon uttryck- lig bestämmelse som tillåter Rekryteringsmyndigheten att behandla personuppgifter även om den registrerade motsätter sig behandlingen. Det innebär att personuppgiftslagens bestämmelser är tillämpliga, vil- ket betyder att behandling får ske trots att en totalförsvarspliktig motsätter sig behandling med undantag för behandling som sker för direkt marknadsföring (jfr 4 § pliktregisterlagen och 11 och 12 §§ personuppgiftslagen).

9.10.2Dataskyddsförordningen

Den registrerades rätt att göra invändningar mot behandling av personuppgifter regleras i artikel 21 i dataskyddsförordningen. Be- stämmelsen innebär en utvidgad rätt att göra invändningar i för- hållande till gällande rätt.

Enligt artikel 21.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f, inbegripet profilering som grundar sig på dessa bestämmelser. Rätten att göra invändningar avser sådan behandling som är nödvändig för att ut- föra en uppgift av allmänt intresse eller som ett led i den person- uppgiftsansvariges myndighetsutövning eller som sker med stöd av en intresseavvägning (artikel 6.1 e eller f). Rättigheten gäller alltså inte vid behandling av personuppgifter som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förplikt- else (artikel 6.1 c). Om den registrerade gör en invändning får den personuppgiftsansvarige inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behand- lingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller för- svar av rättsliga anspråk.

I artikel 21.2 föreskrivs en rätt för den registrerade att när som helst invända mot behandling av personuppgifter som sker för direkt marknadsföring. Om den registrerade invänder mot sådan behand-

215

Den nya regleringen

SOU 2017:97

ling ska personuppgifterna inte längre behandlas för sådana ändamål (artikel 21.3). Rätten att invända mot behandling ska uttryckligen meddelas den registrerade senast vid den första kommunikationen med denne (artikel 21.4).

I dataskyddsförordningen ges en möjlighet att i nationell rätt begränsa bl.a. rätten att göra invändningar enligt artikel 21.1 om de förutsättningar som anges i artikel 23 är uppfyllda. Enligt artikel 23.1 får en sådan begränsning införas om den sker med respekt för ande- meningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Därutöver måste begränsningen ske i syfte att säkerställa något av de i punkterna a–j uppräknade intressena, såsom den nationella säker- heten och försvaret (punkterna a och b) och andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet (punkten e). Vidare måste den lagstiftning som begränsar den registrerades rättigheter innehålla vissa specifika bestämmelser om bl.a. skyddsåtgärder i enlighet med artikel 23.2.

9.10.3Dataskyddslagen

Dataskyddsutredningen har i sitt betänkande (SOU 2017:39 s. 207 f.) särskilt övervägt om rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen bör inskränkas generellt när det gäller sådan behandling som sker med stöd av artikel 6.1 e, dvs. med en fastställd uppgift av allmänt intresse som rättslig grund. Utred- ningen ansåg dock att rätten att göra invändningar mot myndig- heters behandling av personuppgifter inte bör inskränkas på ett generellt plan genom ett undantag i den föreslagna dataskydds- lagen. I stället bör sådana undantag övervägas på sektorspecifik nivå, om villkoren för behandling av personuppgifter med stöd av arti- kel 6.1 e specificeras genom författning.

216

SOU 2017:97

Den nya regleringen

9.10.4Våra överväganden och förslag

Utredningens förslag: Dataskyddsförordningens bestämmelse om rätt att göra invändningar (artikel 21.1) ska inte gälla vid behandling enligt denna lag eller föreskrifter som har meddelats med stöd av lagen. En sådan bestämmelse ska därför föras in i lagen.

Som framgår av avsnitt 8.1.2 är Rekryteringsmyndighetens person- uppgiftsbehandling nödvändig för att myndigheten ska kunna be- driva sin verksamhet och får därför anses vara av allmänt intresse. Behandlingen kan också betraktas som ett led i myndighetsutöv- ning. Behandlingen grundar sig därmed huvudsakligen på artikel 6.1 e i dataskyddsförordningen, vilket medför en rätt för den registrerade att med stöd av artikel 21.1 i förordningen invända mot behand- lingen.

Det kan konstateras att Rekryteringsmyndighetens verksamhet och behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret utförs i syfte att säkerställa den nationella säkerheten och försvaret. Det kan också hävdas att per- sonuppgiftsbehandlingen sker för att säkerställa skyddet för både den registrerades och andras rättigheter och friheter. Behandlingen grundar sig till övervägande del på den skyldighet för totalförsvars- pliktiga att lämna uppgifter om sina personliga förhållanden i bered- skapsunderlaget enligt lagen om totalförsvarsplikt. Samtycke från de totalförsvarspliktiga till att uppgifterna behandlas krävs således inte. Den behandling som tillåts enligt denna lag är en förutsättning för att Rekryteringsmyndigheten ska kunna utföra sitt uppdrag. Det är därför inte rimligt att en totalförsvarspliktig ska kunna invända mot behandlingen med följden att personuppgifterna inte längre får behandlas om inte Rekryteringsmyndigheten kan påvisa tvingande berättigade skäl för behandlingen. Att begränsa rätten att göra invändningar mot behandling av personuppgifter om totalför- svarspliktiga och annan personal på totalförsvarsområdet är nödvän- digt för att totalförsvarets personalförsörjning ska kunna upprätt- hållas. En möjlighet för den registrerade att invända mot behandlingen skulle kunna få stora konsekvenser för bemanningen av totalförsvaret. Vi gör därför bedömningen att en begränsning av rätten att göra invändningar både är nödvändig och proportionerlig i förhållande

217

Den nya regleringen

SOU 2017:97

till sitt syfte. Begränsningen strider inte heller mot andemeningen i de grundläggande rättigheterna och friheterna.

I den nya lagen föreslås vidare att Rekryteringsmyndigheten ska följa dataskyddsförordningens direkt tillämpliga bestämmelser om skyddsåtgärder i form av bl.a. kravet på effektiva rättsmedel och säkerhet för personuppgifter (se avsnitt 9.11.3). Därutöver tillgodo- ses den registrerades möjligheter att åtgärda en felaktig personupp- giftsbehandling dels genom dataskyddsförordningens bestämmel- ser om rätt till rättelse, radering och begränsning av behandling (artiklarna 16–18), dels bestämmelserna om information och till- gång till personuppgifter i den föreslagna dataskyddslagen (5 kap. 1–3 §§). Samtliga nu uppräknade bestämmelser ska enligt våra för- slag i avsnitt 10.1.3 och 10.3.3 tillämpas av Rekryteringsmyndig- heten. Vår bedömning är att bestämmelser med det innehåll som krävs enligt artikel 23.2 i dataskyddsförordningen, bl.a. bestämmel- ser om skyddsåtgärder, finns i den reglering som föreslås gälla för Rekryteringsmyndighetens personuppgiftsbehandling.

Rekryteringsmyndighetens behandling av personuppgifter utförs i en verksamhet som inte omfattas av dataskyddsförordningens egentliga tillämpningsområde. Det står således i och för sig den svenske lagstiftaren fritt att föreslå ett undantag från rätten att göra invändningar på detta område. Vi har ändå funnit anledning att bedöma om förutsättningarna enligt dataskyddsförordningen för att föreskriva undantag från rätten att göra invändningar är upp- fyllda och anser att så är fallet. En bestämmelse som anger att artikel 21.1 i dataskyddsförordningen inte ska gälla vid behandling enligt denna lag eller föreskrifter som har meddelats med stöd av lagen bör därför föras in i den nya lagen.

9.11Säkerheten för personuppgifter

9.11.1Gällande rätt

Dataskyddsrättsliga bestämmelser

I 31 § första stycket personuppgiftslagen föreskrivs att den person- uppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av

218

SOU 2017:97

Den nya regleringen

a) de tekniska möjligheter som finns, b) vad det skulle kosta att genomföra åtgärderna, c) de särskilda risker som finns med behand- lingen av personuppgifterna, och d) hur känsliga de behandlade personuppgifterna är. Vidare anges i 32 § personuppgiftslagen att tillsynsmyndigheten i enskilda fall får besluta om säkerhetsåtgärder enligt 31 §. Enligt 16 § personuppgiftsförordningen får Datainspek- tionen meddela närmare föreskrifter om säkerhetsåtgärder men har hittills endast lämnat vägledning i form av allmänna råd.

Pliktregisterlagen innehåller ingen särskild bestämmelse om säker- het för personuppgifter som behandlas hos Rekryteringsmyndighe- ten. I stället är personuppgiftslagens bestämmelser om säkerhets- åtgärder tillämpliga (jfr 4 § pliktregisterlagen).

Av vikt för säkerheten vid behandlingen är vidare att Rekryterings- myndigheten ska ställa de villkor för direktåtkomst och registrering av uppgifter som myndigheten bedömer vara nödvändiga för registrets säkerhet (3 § tredje stycket förordningen om behandling av person- uppgifter). Därutöver ska Rekryteringsmyndigheten i sin årsredo- visning varje år rapportera till Försvarsdepartementet om användandet av registret och efterlevnaden av säkerhetskraven (5 § andra stycket förordningen).

Informationssäkerhet i ett vidare perspektiv

För sekretesskyddade uppgifter som rör rikets säkerhet finns sär- skilda bestämmelser om säkerhetsskydd i säkerhetsskyddslagen (1996:627). Kompletterande bestämmelser finns i säkerhetsförord- ningen (1996:633) och i Försvarsmaktens (FFS 2003:7) föreskrifter om säkerhetsskydd. Reglerna om säkerhetsskydd är föremål för översyn.16

Rekryteringsmyndigheten har meddelat interna bestämmelser om säkerhetsskydd (RIB 2011:9). I de bestämmelserna regleras myndig- hetens säkerhetsskydd. Myndigheten har också beslutat interna bestämmelser om it-säkerhet (RIB 2011:10). De bestämmelserna gäller vid planering, utveckling, anskaffning och avveckling samt vid

16 Regeringen beslutade den 16 november 2017 en lagrådsremiss med förslag till en ny säker- hetsskyddslag.

219

Den nya regleringen

SOU 2017:97

drift, ändring och annan användning av informationstekniska system (it-system) inom Rekryteringsmyndigheten.

9.11.2Dataskyddsförordningen

Artikel 32.1 i dataskyddsförordningen motsvarar i princip 31 § första stycket personuppgiftslagen. Enligt artikel 32.1 ska den per- sonuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tek- niska och organisatoriska åtgärder för att säkerställa en säkerhets- nivå som är lämplig i förhållande till risken. Åtgärderna ska vara lämpliga med beaktande av den senaste utvecklingen, genomförande- kostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter.

Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röj- ande av eller obehörig åtkomst till de personuppgifter som över- förts, lagrats eller på annat sätt behandlats (artikel 32.2).

Artikel 32 kompletterar det grundläggande kravet i artikel 5.1 f i dataskyddsförordningen att personuppgifter, med användning av lämpliga tekniska eller organisatoriska åtgärder, ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse.

Dataskyddsutredningen har inte särskilt behandlat kraven på säker- het i dataskyddsförordningen.

9.11.3Våra överväganden

Utredningens bedömning: Dataskyddsförordningens bestämmel- ser om säkerhet för personuppgifter (artiklarna 5.1 f och 32) är direkt tillämpliga och bör tillämpas av Rekryteringsmyndigheten. Någon bestämmelse om säkerhet för personuppgifter behöver därför inte föras in i lagen.

220

SOU 2017:97

Den nya regleringen

Av de direkt tillämpliga bestämmelserna om säkerhet för person- uppgifter i dataskyddsförordningen (artiklarna 5.1 f och 32) följer att en personuppgiftsansvarig ska vidta lämpliga tekniska och orga- nisatoriska åtgärder för att skydda de personuppgifter som be- handlas i myndighetens verksamhet. Bestämmelserna ska tillämpas av alla personuppgiftsansvariga, såväl enskilda som offentliga, när förordningens bestämmelser börjar gälla. Rekryteringsmyndigheten har hittills haft att tillämpa personuppgiftslagens generellt gällande bestämmelser om säkerhet för personuppgifter. Vi ser inte att det finns något behov av att nu införa särskilda bestämmelser med andra krav på säkerhet än de som följer av dataskyddsförordningen. Någon bestämmelse om säkerhet för personuppgifter behöver därför inte föras in i den nya lagen.

Det kan dock konstateras att det kan behövas bestämmelser om säkerhet som rör vissa delar av den personuppgiftsbehandling som äger rum hos Rekryteringsmyndigheten. Det är exempelvis viktigt att Rekryteringsmyndigheten ställer de villkor för direktåtkomst och registrering av personuppgifter som myndigheten bedömer vara nödvändiga för att säkerställa en nödvändig säkerhetsnivå. Vi har i avsnitt 9.7.2 ovan lämnat ett förslag till bestämmelse i den nya förordningen som säkerställer skyddet för personuppgifter i detta avseende. En annan viktig säkerhetsfråga är att anställdas tillgång till personuppgifter begränsas. I denna del föreslår vi en bestäm- melse i den nya lagen.

Den personuppgiftsansvariges skyldighet att se till att lämpliga tekniska och organisatoriska säkerhetsåtgärder vidtas har ett nära samband med ansvaret för informationssäkerheten i hela verksam- heten. Inte minst har denna omständighet aktualitet i Rekryterings- myndighetens verksamhet där personuppgiftsbehandlingen är av vikt för rikets säkerhet. Det kan konstateras att Rekryterings- myndigheten har utfärdat interna bestämmelser om säkerhetsskydd och it-säkerhet som kompletterar de grundläggande bestämmelser som finns på området i bl.a. säkerhetsskyddslagen.

221

Den nya regleringen

SOU 2017:97

9.12Personuppgiftsincidenter

9.12.1Allmänt om begreppet personuppgiftsincident

Begreppet personuppgiftsincident definieras i artikel 4.12 i data- skyddsförordningen som en säkerhetsincident som leder till oav- siktlig eller olaglig förstöring, förlust eller ändring eller till obe- hörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Begreppet mot- svarar till viss del vad som brukar kallas dataintrång. Med person- uppgiftsincident avses dock inte bara ett sådant avsiktligt intrång, utan även olyckshändelser och andra oavsiktliga händelser som får oönskade effekter, t.ex. brand.

I 20 § förordningen (2015:1052) om krisberedskap och bevak- ningsansvariga myndigheters åtgärder vid höjd beredskap och i 10 a § säkerhetsskyddsförordningen används uttrycket it-incident för att beskriva i princip samma sak (SOU 2017:29 s. 329). Efter- som begreppet personuppgiftsincident används i dataskyddsförord- ningen kommer vi fortsättningsvis att använda oss av detta begrepp.

9.12.2Gällande rätt

Det finns inga bestämmelser om personuppgiftsincidenter i person- uppgiftslagen eller i pliktregisterlagen. Incidenter behandlas inte heller i Datainspektionens allmänna råd om säkerhet. Av 20 § första stycket förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap framgår dock att en myndighet skyndsamt ska rapportera it-incidenter som inträffat i myndighetens informationssystem till Myndigheten för samhälls- skydd och beredskap. Det gäller om incidenten allvarligt kan på- verka säkerheten i den informationshantering som myndigheten ansvarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation. En myndighet som tillhandahåller it-tjänster åt en annan organisation ska informera och vid behov samråda med den eller de uppdragsgivare som berörs av incidenten (andra stycket). Rapporteringsskyldigheten omfattar dock inte sådana it-incidenter som enligt 10 a § säkerhetsskyddsförordningen ska rapporteras till Säkerhetspolisen eller Försvarsmakten (tredje stycket). Exempel på sådana incidenter är incidenter i informationssystem där hemliga

222

SOU 2017:97

Den nya regleringen

uppgifter som gäller Sveriges säkerhet behandlas eller i informa- tionssystem som särskilt behöver skyddas mot terrorism. Säkerhets- skyddsförordningen gäller för myndigheter, kommuner och lands- ting och för vissa bolag, föreningar, stiftelser och enskilda (SOU 2017:29, s. 330 f.). Rekryteringsmyndigheten har med stöd av säkerhetsskyddsförordningen utfärdat interna bestämmelser om säkerhetsskydd (RIB 2011:9) och om it-säkerhet (RIB 2011:10).

9.12.3Dataskyddsförordningen

Enligt skäl 85 i dataskyddsförordningen kan en personuppgiftsinci- dent som inte snabbt åtgärdas på lämpligt sätt leda till fysisk, mate- riell eller immateriell skada för fysiska personer. Exempel på skador som kan uppkomma är enligt nämnda skäl bl.a. diskriminering, identitetsstöld, bedrägeri, ekonomisk förlust, skadat anseende eller förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt. Enligt artikel 33.1 i dataskyddsförord- ningen ska den personuppgiftsansvarige vid en personuppgiftsincident således utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personupp- giftsincidenten till den tillsynsmyndighet som är behörig i enlighet med artikel 55, såvida det inte är osannolikt att personuppgifts- incidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan till tillsynsmyndigheten inte görs inom 72 tim- mar ska den åtföljas av en motivering till förseningen.

Anmälan ska enligt tredje stycket åtminstone

a)beskriva personuppgiftsincidentens art, inbegripet, om så är möj- ligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet person- uppgiftsposter som berörs,

b)förmedla namnet på och kontaktuppgifterna för dataskydds- ombudet eller andra kontaktpunkter där mer information kan erhållas,

c)beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och

d)beskriva de åtgärder som den personuppgiftsansvarige har vid- tagit eller föreslagit för att åtgärda personuppgiftsincidenten,

223

Den nya regleringen

SOU 2017:97

inbegripet, när så är lämpligt, åtgärder för att mildra dess poten- tiella negativa effekter.

Om och i den utsträckning det inte är möjligt att tillhandahålla infor- mationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål (fjärde stycket). Den personupp- giftsansvarige ska dokumentera alla personuppgiftsincidenter, inbe- gripet omständigheterna kring personuppgiftsincidenten, dess effek- ter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av artikeln (femte stycket).

Av artikel 34.1 i dataskyddsförordningen följer vidare att om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personupp- giftsincidenten. Informationen ska innehålla en tydlig och klar beskrivning av personuppgiftsincidentens art och åtminstone de upplysningar och åtgärder som avses i artikel 33.3 b, c och d (andra stycket). Information till den registrerade krävs dock inte enligt tredje stycket om något av följande villkor är uppfyllt:

a)Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkades av personuppgiftsinci- denten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personupp- gifterna, såsom kryptering.

b)Den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att den höga risk för registrerades rättigheter och friheter som avses i punkt 1 sannolikt inte längre kommer att uppstå.

c)Det skulle inbegripa en oproportionell ansträngning. I så fall ska i stället allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt.

Om den personuppgiftsansvarige inte redan har informerat den registrerade om personuppgiftsincidenten får tillsynsmyndigheten, efter att ha bedömt sannolikheten för att personuppgiftsincidenten medför en hög risk, kräva att personuppgiftsbiträdet gör det eller

224

SOU 2017:97

Den nya regleringen

får besluta att något av de villkor som avses i punkt 3 uppfylls (fjärde stycket).

9.12.4Förslag till brottsdatalag

Utredningen om 2016 års dataskyddsdirektiv har i delbetänkandet Brottsdatalag (SOU 2017:29 s. 330 f.) föreslagit att den personupp- giftsansvarige inom 72 timmar ska anmäla en personuppgiftsincident till tillsynsmyndigheten. Ett undantag föreslås emellertid från denna skyldighet i de fall där incidenten rör nationell säkerhet. Någon anmälan behöver inte göras om det kan antas att incidenten inte har medfört eller kommer att medföra någon risk för otill- börligt intrång i den registrerades personliga integritet.

Enligt utredningen uppfyller en personuppgiftsincident kriterierna för en it-incident. Det innebär att de flesta behöriga myndigheter kommer att behöva anmäla sådana incidenter enligt två olika för- faranden och till olika myndigheter. It-incidenter som kan antas påverka säkerheten för hemliga uppgifter som rör Sveriges säkerhet ska enligt förslaget dock enbart anmälas enligt säkerhetsskydds- förordningen. Behovet av att skydda sådan information anses vara så viktigt att endast den myndighet som utövar tillsyn över säker- hetsskyddet ska få ta del av den. Även om den rapporteringen har ett annat syfte än rapporteringen av personuppgiftsincidenter, anser utredningen att behovet av skydd för uppgifter som rör Sveriges säkerhet väger tyngre än behovet av att skydda enskilda från even- tuella intrång i den personliga integriteten. Eftersom nationell säkerhet ligger utanför direktivets tillämpningsområde bedömer utredningen att sådana personuppgiftsincidenter som ska anmälas enligt 10 a § säkerhetsskyddsförordningen inte bör anmälas till till- synsmyndigheten (a.a. s. 331 f.).

9.12.5Våra överväganden och förslag

Utredningens förslag: Dataskyddsförordningens bestämmelser om anmälan av en personuppgiftsincident till tillsynsmyndig- heten och information till den registrerade (artiklarna 33 och 34) ska inte gälla vid behandling enligt denna lag eller föreskrifter

225

Den nya regleringen

SOU 2017:97

som har meddelats med stöd av lagen. En sådan bestämmelse ska därför föras in i lagen.

Inledningsvis bör det framhållas att dataskyddsförordningen inte omfattar behandling av personuppgifter som utgör ett led i en verk- samhet som inte omfattas av unionsrätten (artikel 2.2 a). I skäl 16 till dataskyddsförordningen anges verksamhet som rör nationell säkerhet som ett exempel på en verksamhet som enligt led a inte omfattas av unionsrättens tillämpningsområde. I 1 kap. 2 § den föreslagna dataskyddslagen föreslås att bestämmelserna i data- skyddsförordningen, i den ursprungliga lydelsen, och i lagen i tillämpliga delar ska gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unions- rätten. Vi har anslutit oss till Dataskyddsutredningens förslag (se avsnitt 6.2.6). Det innebär att dataskyddsförordningen och data- skyddslagen även kommer att omfatta Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret. Med detta sagt, bör det erinras om att dataskyddsförordningens bestämmelser inte har utformats med verksamhet som nationell säkerhet och försvar i åtanke. Tvärtom faller sådan verksamhet som huvudregel utanför unionsrätten och dataskyddsförordningens tillämpningsområde, vilket följer direkt av dataskyddsförordningen (artikel 2.2 a och skäl 16). Detta inne- bär att det finns skäl att särskilt överväga om vissa av de skyldig- heter som åläggs personuppgiftsansvariga i dataskyddsförordningen fullt ut bör tillämpas av myndigheter verksamma inom totalförsvaret, såsom Rekryteringsmyndigheten.

Det är av stor vikt att det finns ett tillräckligt skydd för per- sonuppgifter som behandlas inom Rekryteringsmyndighetens verk- samhetsområde. Den information som hanteras av Rekryterings- myndigheten är emellertid per definition i hög grad av betydelse för rikets säkerhet. Det finns redan i dag en ordning som innebär att it-incidenter som allvarligt kan antas påverka säkerheten i infor- mationssystem där hemliga uppgifter som rör rikets säkerhet be- handlas, ska anmälas till Försvarsmakten och Säkerhetspolisen. Be- hovet av att skydda sådan information anses vara så viktigt att endast den myndighet som utövar tillsyn över säkerhetsskyddet ska få ta del av den (SOU 2017:29, s. 332). Detta synsätt gör sig alltjämt gällande i fråga om Rekryteringsmyndighetens behandling

226

SOU 2017:97

Den nya regleringen

av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret. De särskilda behov som följer av sådan person- uppgiftsbehandling på totalförsvarsområdet måste därför särskilt beaktas i den nu föreslagna regleringen. Vi bedömer mot denna bakgrund att behovet av skydd för uppgifter som rör Sveriges säkerhet och försvar medför att dataskyddsförordningens bestäm- melser om anmälan av en personuppgiftsincident till tillsynsmyn- digheten och information till den registrerade inte ska tillämpas av Rekryteringsmyndigheten. En bestämmelse som anger att artiklar- na 33 och 34 i dataskyddsförordningen inte ska gälla vid behandling enligt denna lag eller föreskrifter som har meddelats med stöd av lagen ska därför föras in i den nya lagen.

Det kan emellertid konstateras att den rapporteringsskyldighet som i dag gäller i förhållande till Försvarsmakten och Säkerhets- polisen rör it-incidenter och inte personuppgiftsincidenter. Begreppen kan uppfattas ha olika räckvidd. Det kan därför finnas anledning att framöver överväga om personuppgiftsincidenter får ett likvärdigt skydd vid den it-incidentrapportering som beskrivs ovan jämfört med den rapportering som ska ske enligt dataskyddsförordningen. Vi bedömer att det är lämpligare att sådana överväganden görs i ett bredare sammanhang som omfattar också annan personuppgifts- behandling som rör rikets säkerhet. Vi gör därför inga ytterligare överväganden i den frågan.

9.13Tillsynsmyndighetens befogenheter

9.13.1Gällande rätt

Personuppgiftslagen

Tillsynsmyndighetens, dvs. Datainspektionens, befogenheter regleras i 43–47 §§ personuppgiftslagen. Enligt 43 § personuppgiftslagen har Datainspektionen rätt att för sin tillsyn på begäran få tillgång till personuppgifter, upplysningar och dokumentation om behand- lingen av personuppgifter och säkerheten vid denna samt tillträde till lokaler som har anknytning till behandlingen. Om Datainspek- tionen inte efter en begäran enligt 43 § kan få tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig, får myndigheten med stöd av 44 § vid vite förbjuda den personupp-

227

Den nya regleringen

SOU 2017:97

giftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem. Om Datainspektionen enligt 45 § konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, ska myndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på något annat sätt eller är saken brådskande, får myndigheten vid vite förbjuda den personuppgiftsansvarige att fortsätta behandla personuppgifterna på något annat sätt än genom att lagra dem. I 46 § första stycket anges att den personuppgiftsansvarige ska ha fått tillfälle att yttra sig innan Datainspektionen beslutar om vite enligt 44 eller 45 §. Om saken är brådskande, får dock myndigheten i avvaktan på yttrandet meddela ett tillfälligt beslut om vite. Det tillfälliga beslutet ska omprövas, när tiden för yttrande har gått ut. Enligt 47 § får Datainspektionen ansöka hos förvaltningsrätten om att sådana personuppgifter som har behandlats på ett olagligt sätt ska utplånas. Beslut om utplånande får inte meddelas om det är oskäligt.

Pliktregisterlagen

Bestämmelserna i personuppgiftslagen om Datainspektionens befo- genheter att meddela förbud mot att behandla personuppgifter är i dag inte tillämpliga vid personuppgiftsbehandling om totalför- svarspliktiga i Rekryteringsmyndighetens verksamhet. I 17 § plikt- registerlagen anges att tillsynsmyndigheten enligt personuppgifts- lagen inte får förbjuda Rekryteringsmyndigheten att behandla person- uppgifter om totalförsvarspliktiga. I förarbetena (prop. 1997/98:80, s.48 f.) till bestämmelsen anförde regeringen att Rekryterings- myndighetens registrering och övriga behandling av personupp- gifter om totalförsvarspliktiga är nödvändig för att totalförsvarets personalförsörjning ska klaras. Det är inte rimligt att Datainspek- tionen ska ha möjlighet att förbjuda behandling av personuppgifter i en statlig verksamhet av sådan vikt, även om inspektionen skulle finna att uppgifterna behandlas på ett olagligt sätt. Det förefaller inte troligt att ett behov skulle uppkomma för Datainspektionen att förbjuda Rekryteringsmyndigheten att behandla personuppgifter. En sådan åtgärd förutsätter i praktiken dels att Rekryterings- myndigheten behandlat uppgifterna på ett olagligt sätt, dels att

228

SOU 2017:97

Den nya regleringen

myndigheten inte rättat sig efter påpekanden från Datainspek- tionen. Med tanke på den betydelse som Rekryteringsmyndig- hetens behandling av personuppgifter har för Sveriges totalförsvar anser regeringen dock att lagstiftningen inte ens bör ge Data- inspektionen möjlighet att stoppa verksamheten. I övrigt är dock Rekryteringsmyndighetens behandling av personuppgifter om total- försvarspliktiga underkastad Datainspektionens tillsyn.

9.13.2Dataskyddsförordningen och dataskyddslagen

Dataskyddsförordningen innehåller direkt tillämpliga bestämmelser om tillsynsmyndighetens befogenheter. Dessa befogenheter är mer detaljerat reglerade än dem som anges i personuppgiftslagen. Till- synsmyndighetens utredningsbefogenheter enligt artikel 58.1 i data- skyddsförordningen motsvarar i stora drag de befogenheter som tillkommer myndigheten enligt personuppgiftslagen. De s.k. korri- gerande befogenheterna, som framgår av artikel 58.2, är däremot mer omfattande. Enligt led g i den angivna artikeln får bl.a. till- synsmyndigheten förelägga om radering av personuppgifter och enligt led i får myndigheten påföra administrativa sanktionsavgif- ter. Vidare anges i artikel 58.3 vilken möjlighet myndigheten har att utfärda tillstånd och att ge råd (SOU 2017:39, s. 309).

Enligt artikel 58.5 ska det i den nationella lagstiftningen faststäl- las att tillsynsmyndigheten har befogenhet att upplysa de rättsliga myndigheterna om överträdelser av förordningen och vid behov inleda eller på annat vis delta i rättsliga förfaranden, för att verk- ställa bestämmelserna. Varje medlemsstat får enligt artikel 58.6 före- skriva att dess tillsynsmyndighet ska ha ytterligare befogenheter, utöver dem som avses i punkterna 1, 2 och 3. Utredningen om till- synen över den personliga integriteten har i sitt betänkande Ett samlat ansvar för tillsyn över den personliga integriteten (SOU 2016:65, s. 154 f.) konstaterat att det för närvarande inte finns något behov av att ge Datainspektionen sådana ytterligare befogenheter.

I artikel 58.4 anges att utövandet av de befogenheter som tillsyns- myndigheten tilldelas enligt denna artikel ska omfattas av lämpliga skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställs i unionsrätten och i medlemsstaternas nationella rätt i enlighet med stadgan. I artikel 83.8 upprepas kravet på lämpliga

229

Den nya regleringen

SOU 2017:97

skyddsåtgärder avseende tillsynsmyndighetens befogenheter att påföra administrativa sanktionsavgifter.

Dataskyddsutredningen har i sitt förslag till dataskyddslag före- slagit att tillsynsmyndighetens befogenheter enligt dataskyddsförord- ningen ska gälla även vid myndighetens tillsyn över att de be- stämmelser som kompletterar förordningen följs (SOU 2017:39 s. 377). I enlighet härmed anges i 6 kap. 1 § i den föreslagna data- skyddslagen att de befogenheter som tillsynsmyndigheten har enligt artikel 58.1, 58.2 och 58.3 i dataskyddsförordningen även gäl- ler vid tillsyn över efterlevnaden av bestämmelserna i lagen och andra författningar som kompletterar dataskyddsförordningen. Bestämmelsen saknar direkt motsvarighet i personuppgiftslagen men fyller i sak samma funktion som 2 a § andra stycket förord- ningen (2007:975) med instruktion för Datainspektionen. Bestäm- melsen innebär att de tillsynsåtgärder som tillsynsmyndigheten kan vidta vid överträdelser av förordningen också kan vidtas vid över- trädelser av bestämmelser i svensk rätt som kompletterar förord- ningen. Detta gäller oavsett om dessa kompletterande bestäm- melser om behandling av personuppgifter finns i dataskyddslagen eller i sektorsspecifika författningar.

Dataskyddsutredningen föreslår att det i 6 kap. 2–4 §§ förslaget till dataskyddslag regleras vissa ytterligare frågor som rör tillsyns- myndighetens handläggning och beslut. I korthet innebär förslagen att innan tillsynsmyndigheten fattar vissa ingripande beslut ska den som beslutet gäller ha fått tillfälle att yttra sig över allt material av betydelse för beslutet, om det inte är uppenbart obehövligt. Om saken är brådskande kan dock ett tillfälligt beslut fattas, i avvaktan på yttrandet (6 kap. 3 §). Bestämmelsen reglerar tillsynsmyndig- hetens kommunikationsplikt och motsvarar således delvis 46 § första stycket personuppgiftslagen (a.a. s. 379). Bestämmelsen gäller sådana beslut som tillsynsmyndigheten meddelar med stöd av de korri- gerande befogenheter som föreskrivs i artikel 58.2 i förordningen, oavsett om mottagaren är en enskild eller en myndighet. Avseende andra slags beslut gäller förvaltningslagens allmänna bestämmelser om kommuniceringsskyldighet. Kravet på kommunikation omfattar enbart sådant material som utgör underlag för beslutet, inte varje uppgift som har tillförts ärendet utifrån. Sådant material som helt saknar relevans för ett beslut i ett ärende omfattas alltså inte av kravet på kommunikation. Med material av betydelse avses sådana

230

SOU 2017:97

Den nya regleringen

omständigheter eller uppgifter i materialet som påverkar tillsyns- myndighetens ställningstagande i den fråga som beslutet gäller.

Vissa ingripande beslut ska delges, om det inte är uppenbart obe- hövligt. Vissa former av stämningsmannadelgivning ska få användas bara om det finns särskild anledning att anta att mottagaren har avvikit eller på annat sätt håller sig undan (6 kap. 4 §). Bestäm- melsen motsvarar delvis 46 § andra stycket personuppgiftslagen.

Om det finns skäl att ifrågasätta giltigheten av en unionsrättsakt som påverkar tillämpningen av förordningen, ska tillsynsmyndig- heten få ansöka hos förvaltningsrätten om att en tillsynsåtgärd ska vidtas, i stället för att själv besluta om åtgärden (6 kap. 2 §). Bestäm- melsen avser tillsynsmyndighetens möjlighet att anhängiggöra ett mål i domstol om behandling av personuppgifter och saknar motsvarighet i personuppgiftslagen.

Enligt artikel 58.2 g i dataskyddsförordningen får tillsynsmyn- digheten bl.a. förelägga en personuppgiftsansvarig om att uppgifter ska raderas om personuppgifterna inte längre är nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats eller om personuppgifterna har behandlats på ett olagligt sätt (se även artikel 17). Enligt 47 § personuppgiftslagen får beslut om utplåning endast fattas av förvaltningsrätten, på ansökan av tillsynsmyndig- heten. Enligt Dataskyddsutredningen är ett föreläggande om rader- ing av personuppgifter dels en mycket ingripande åtgärd, dels i vissa fall otillåten i det allmännas verksamhet om tillämplig gall- ringsföreskrift saknas. Utredningen anser dock att detta inte utgör något skäl för att frångå principen om att prövningen av om åtgärd ska vidtas ska göras av tillsynsmyndigheten som första instans. Mot denna bakgrund samt med beaktande av att tillsynsmyndighetens förelägganden kan överklagas, saknas det enligt utredningens be- dömning skäl att föreskriva en särskild ordning, såsom krav på för- handstillstånd eller beslut av domstol, när tillsynsmyndigheten utövar sin befogenhet enligt artikel 58.2 g att förelägga om radering av personuppgifter (a.a. s. 317).

231

Den nya regleringen

SOU 2017:97

9.13.3Våra överväganden och förslag

Utredningens förslag: Tillsynsmyndigheten får inte förbjuda Rekryteringsmyndigheten att behandla personuppgifter om total- försvarspliktiga eller annan personal inom totalförsvaret. Arti- kel 58.2 f i dataskyddsförordningen och 6 kap. 1 § dataskydds- lagen ska i denna del inte gälla vid behandling enligt denna lag eller föreskrifter som har meddelats med stöd av lagen. En sådan bestämmelse ska därför föras in i lagen.

I övrigt ska bestämmelserna om tillsynsmyndighetens befogen- heter i dataskyddsförordningen (artikel 58) och den föreslagna dataskyddslagen (6 kap. 1 §) tillämpas vid Rekryteringsmyndig- hetens behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret.

Enligt gällande rätt finns det i dag ingen möjlighet för Datainspek- tionen att förbjuda Rekryteringsmyndighetens behandling av per- sonuppgifter om totalförsvarspliktiga (se 17 § pliktregisterlagen). Motsvarande skäl som anfördes vid bestämmelsen införande gör sig alltjämt gällande. Rekryteringsmyndighetens behandling av person- uppgifter om totalförsvarspliktiga är nödvändig för att totalför- svarets personalförsörjning ska upprätthållas och det är varken rimligt eller lämpligt att införa en möjlighet att förbjuda sådan behandling. De korrigerande befogenheter i form av bl.a. varningar, reprimander och förelägganden som Datainspektionen innehar enligt artikel 58.2 i dataskyddsförordningen, är enligt vår bedömning fullt tillräckliga för att säkerställa en rättssäker behandling och handläggning av per- sonuppgifterna. Därtill finns andra skyddsåtgärder i form av kravet på effektiva rättsmedel enligt förordningen samt de i förvaltningslagen uppställda kraven på god förvaltning (partsinsyn, kommunikations- skyldighet etc.). Det saknas därför enligt vår bedömning skäl att frångå nuvarande ordning. Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret bör således undantas från tillsynsmyndighetens befo- genhet enligt artikel 58.2 f i dataskyddsförordningen och 6 kap. 1 § dataskyddslagen att förbjuda behandling. En sådan bestämmelse ska därför föras in i den nya lagen. Det innebär att tillsyns- myndigheten inte med omedelbar verkan kan besluta om att införa vare sig en tillfällig eller definitiv begränsning, dvs. ett förbud, mot

232

SOU 2017:97

Den nya regleringen

Rekryteringsmyndighetens behandling av personuppgifter. I övrigt ska bestämmelserna om tillsynsmyndighetens befogenheter i data- skyddsförordningen (artikel 58) och den föreslagna dataskydds- lagen (6 kap. 1 §) tillämpas vid Rekryteringsmyndighetens behand- ling av personuppgifter om totalförsvarspliktiga och annan perso- nal inom totalförsvaret.

Vi vill dock i detta sammanhang särskilt erinra om att data- skyddsförordningens bestämmelser endast gäller i ”tillämpliga delar” vid personuppgiftsbehandling som utförs som ett led i en verksam- het som inte omfattas av unionsrätten (jfr 1 kap. 2 § dataskydds- lagen). Kapitel VII (Samarbete och enhetlighet) och kapitel X (Dele- gerade akter och genomförandeakter) i förordningen kan exempelvis inte bedömas utgöra ”tillämpliga delar”. Förordningens bestäm- melser om tillsynsmyndigheternas skyldighet att samarbeta med varandra är alltså inte tillämpliga. Detta innebär att Datainspek- tionen, i egenskap av svensk tillsynsmyndighet, inte har alla de befogenheter i förhållande till Rekryteringsmyndigheten som anges i förordningen, dvs. även utöver vad som särskilt föreslås i detta avsnitt.

233

10Vissa andra frågor av särskild vikt för dataskyddet

Regleringen av Rekryteringsmyndighetens verksamhet, såvitt avser behandlingen av personuppgifter, bör enligt vårt förslag i avsnitt 6.2.6 anpassas till bestämmelserna i dataskyddsförordningen och den kompletterande dataskyddslagen. Det är emellertid inte möjligt att i detta betänkande behandla alla bestämmelser i förordningen och dataskyddslagen som därigenom blir direkt tillämpliga vid Rekryter- ingsmyndighetens personuppgiftsbehandling. Vi har därför valt att i betänkandet i första hand behandla frågor där en särskild reglering är påkallad för Rekryteringsmyndighetens del, exempelvis rätten att behandla känsliga personuppgifter. Vi behandlar också frågor som inte behandlas vare sig i dataskyddsförordningen eller i data- skyddslagen men som ändå är av stor vikt vid införandet av en ny reglering, såsom bestämmelser om direktåtkomst. De frågor där en särskild reglering är påkallad behandlas framför allt i kapitel 9. I det nu aktuella kapitlet behandlar vi vissa andra frågor som också är av särskild vikt för dataskyddet, även om en särskild reglering för Rekryteringsmyndigheten inte är påkallad i dessa delar. Detta inne- bär att flera bestämmelser i dataskyddsförordningen och i mindre utsträckning även i dataskyddslagen, som blir direkt tillämpliga för Rekryteringsmyndigheten, inte tas upp särskilt i detta betänkande. Ett sådant exempel är bestämmelserna om överklagande (artik- larna 78 och 79 i dataskyddsförordningen och 8 kap. 2–6 §§ data- skyddslagen).

235

Vissa andra frågor av särskild vikt för dataskyddet

SOU 2017:97

10.1Rättelse och annan korrigering

10.1.1Gällande rätt

Av 18 § pliktregisterlagen följer att bestämmelserna i personupp- giftslagen (1998:204) om den personuppgiftsansvariges skyldighet att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man, till vilken uppgift- erna har lämnats ut, ska gälla även då personuppgifter behandlats i strid med lagen eller föreskrifter som utfärdats med stöd av lagen.

I förarbetena till bestämmelsen (prop. 1997/98:80 s. 43 f.) be- dömde regeringen att den registrerade bör ha samma möjlighet att få personuppgifter rättade eller korrigerade på annat sätt om be- handlingen strider mot bestämmelserna i en särskild registerför- fattning som i andra fall. Skyldigheten för den personuppgifts- ansvarige att på begäran av den registrerade snarast rätta, blockera eller utplåna personuppgifter gäller enligt 28 § personuppgiftslagen endast uppgifter som inte behandlats i enlighet med personupp- giftslagen eller föreskrifter som meddelats med stöd av den lagen. Den personuppgiftsansvarige ska också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbets- insats. Den personuppgiftsansvarige ska vidare se till att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana uppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen (9 § första stycket punkten h personuppgiftslagen).

10.1.2Dataskyddsförordningen och dataskyddslagen

Enligt artikel 16 i dataskyddsförordningen har den registrerade rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få fel- aktiga personuppgifter rättade och ofullständiga personuppgifter kompletterade. Artikel 18 ger även den registrerade rätt att under vissa omständigheter kräva att behandlingen av personuppgifter be- gränsas. Enligt Dataskyddsutredningen finns bestämmelsernas motsvarighet i 28 § personuppgiftslagen första meningen, som an-

236

SOU 2017:97

Vissa andra frågor av särskild vikt för dataskyddet

ger att den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast bl.a. rätta eller blockera sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen (SOU 2017:39 s. 230 f.). Personuppgiftslagen innehåller inte något undantag från dessa rättigheter. Det bör i detta sammanhang också nämnas att det enligt artikel 17 i dataskyddsförordningen under vissa särskilt an- givna förutsättningar föreligger en rätt till radering (”rätten att bli bortglömd”). Bestämmelsen har sin motsvarighet i 28 § personupp- giftslagen.

Dataskyddsutredningen har föreslagit att det i förhållande till artiklarna 16, 17 och 18 i dataskyddsförordningen inte bör införas något generellt undantag från den registrerades rättigheter vid be- handling av personuppgifter. Utredningen har övervägt om ett så- dant bör införas i fråga om rätten till rättelse eller begränsning då behandling sker för arkivändamål av allmänt intresse. Ett undantag i denna del föreslås emellertid endast för arkivmyndigheternas del (a.a. s. 230). Utredningen konstaterar vidare att rätten till radering inte gäller enligt artikel 17.3 vid behandling för arkivändamål av all- mänt intresse, i den utsträckning som rätten sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen.

Enligt artikel 19 i dataskyddsförordningen ska den personupp- giftsansvarige underrätta dem som personuppgifter har lämnats ut till, om rättelse, radering eller begränsning sker enligt artiklarna 16– 18. Motsvarande underrättelseskyldighet regleras i 28 § andra men- ingen personuppgiftslagen. I denna bestämmelse anges att under- rättelse inte behöver lämnas, om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Ett näst intill likalydande undantag från underrättelseskyldigheten gäller även en- ligt artikel 19 i dataskyddsförordningen. Undantaget innebär t.ex. att en myndighet inte behöver informera dem som har tagit del av en allmän handling om att behandlingen av uppgifter i handlingen har begränsats. Något ytterligare undantag, utöver den i förord- ningen direkt tillämpliga bestämmelsen, behöver enligt Dataskydds- utredningens bedömning inte införas i svensk rätt (a.a. s. 231).

237

Vissa andra frågor av särskild vikt för dataskyddet

SOU 2017:97

10.1.3Våra överväganden

Utredningens bedömning: Dataskyddsförordningens bestämmel- ser om rätt till rättelse, radering och begränsning av behandling (artiklarna 16–18) är direkt tillämpliga och bör tillämpas av Rekryteringsmyndigheten. Någon bestämmelse om rättelse och annan korrigering behöver därför inte föras in i lagen.

Det är viktigt att det även fortsättningsvis finns en möjlighet för enskilda att se till att en felaktig behandling av personuppgifter rät- tas eller korrigeras på annat sätt av Rekryteringsmyndigheten. Detta behov tillgodoses i dag genom pliktregisterlagens bestäm- melse därom med hänvisning till 28 § personuppgiftslagen. I och med dataskyddsförordningens ikraftträdande den 25 maj 2018 kommer emellertid förordningens bestämmelser om den registrerades rätt till rättelse, radering respektive begränsning av behandlingen (artik- larna 16–18) att bli direkt tillämpliga. Dataskyddsutredningens be- dömning innebär att förordningens bestämmelser kommer att gälla generellt även i myndigheternas verksamhet. Skäl att avvika från eller i övrigt föreskriva undantag från detta när det gäller Rekryterings- myndighetens verksamhet har inte framkommit. Bestämmelserna bör följaktligen tillämpas även av Rekryteringsmyndigheten. Någon bestämmelse om rättelse och annan korrigering behöver därför inte föras in i den nya lagen.

Vad som nu anförts gäller även Försvarsmakten och andra som medges rätt att, förutom att föra in personuppgifter i Rekryterings- myndighetens informationssystem, rätta personuppgifter.

10.2Anmälningsskyldighet och dataskyddsombud

10.2.1Gällande rätt

Pliktregisterlagen innehåller inte några bestämmelser om anmälnings- skyldighet eller dataskyddsombud. Det innebär att personuppgifts- lagens bestämmelser om anmälningsskyldighet respektive person- uppgiftsombud ska tillämpas (jfr 4 § pliktregisterlagen).

238

SOU 2017:97

Vissa andra frågor av särskild vikt för dataskyddet

Av 36 § personuppgiftslagen framgår att behandling av person- uppgifter som är helt eller delvis automatiserad omfattas av anmäl- ningsskyldighet till tillsynsmyndigheten, dvs. Datainspektionen. Om den personuppgiftsansvarige utser och anmäler ett personupp- giftsombud till tillsynsmyndigheten behöver dock ingen anmälan enligt 36 § göras (37 §).

Dataskyddsdirektivets bestämmelser om personuppgiftsombud har implementerats i svensk rätt genom bestämmelserna om per- sonuppgiftsombud i 38–40 §§ personuppgiftslagen. Personuppgifts- ombudet har till uppgift att självständigt se till att den person- uppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpekar eventuella brister för honom eller henne. Har personuppgiftsombudet anledning att miss- tänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rätt- else så snart det kan ske efter påpekande, ska personuppgiftsom- budet anmäla förhållandet till tillsynsmyndigheten. Personupp- giftsombudet ska även i övrigt samråda med tillsynsmyndigheten vid tveksamhet om hur de bestämmelser som gäller för behand- lingen av personuppgifter ska tillämpas (38 §). Personuppgifts- ombudet ska vidare föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits (39 §). Slutligen ska personuppgiftsombudet hjälpa den registrerade att få rättelse när det finns anledning att misstänka att behandlade person- uppgifter är felaktiga eller ofullständiga (40 §).

10.2.2Dataskyddsförordningen

Motsvarande bestämmelser om dataskyddsombud finns i artiklarna 37– 39 i dataskyddsförordningen. Myndigheter som behandlar person- uppgifter måste enligt förordningen utnämna dataskyddsombud. Enligt artikel 37.1 ska den personuppgiftsansvarige och personupp- giftsbiträdet utnämna ett dataskyddsombud om behandlingen genom- förs av en myndighet eller ett offentligt organ. Dataskyddsombud ska också utses av personuppgiftsansvariga eller personuppgifts- biträden vilkas kärnverksamhet består av behandling som kräver regelbunden och systematisk övervakning av de registrerade i stor

239

Vissa andra frågor av särskild vikt för dataskyddet

SOU 2017:97

omfattning. Detsamma gäller om kärnverksamheten består av be- handling i stor omfattning av känsliga personuppgifter och person- uppgifter som rör fällande domar i brottmål och överträdelser.

I artiklarna 37.5 och 38 finns bestämmelser om dataskydds- ombudets kvalifikationer och ställning. Ett dataskyddsombud ska ha till uppgift att informera de personuppgiftsansvariga, biträden och anställda om skyldigheterna enligt förordningen och andra unions- eller medlemsstatsreglerade dataskyddsbestämmelser. Om- budet ska också bl.a. övervaka efterlevnaden av förordningen och samarbeta med tillsynsmyndigheten (artikel 39). Enligt artikel 38.5 ska dataskyddsombudet, när det gäller dennes genomförande av sina uppgifter, vara bundet av sekretess eller konfidentialitet i enlighet med unionsrätten eller medlemsstaternas nationella rätt.

10.2.3Våra överväganden

Utredningens bedömning: Dataskyddsförordningens bestämmel- ser om dataskyddsombud (artiklarna 37–39) är direkt tillämpliga och bör tillämpas av Rekryteringsmyndigheten. Bestämmelser om dataskyddsombud behöver därför inte föras in i lagen.

Rekryteringsmyndigheten har utsett ett personuppgiftsombud som för en förteckning över de behandlingar som myndigheten genom- för och som skulle ha omfattats av anmälningsskyldighet om ombudet inte funnits (jfr 37 och 39 § personuppgiftslagen). I och med dataskyddsförordningens ikraftträdande upphör dock person- uppgiftslagen att gälla. Det innebär att dataskyddsförordningens bestämmelser om krav på dataskyddsombud i myndigheters och offentliga organs verksamhet blir direkt tillämpliga. I likhet med vad som anförts i föregående avsnitt saknas skäl att avvika från eller i övrigt föreskriva undantag från dataskyddsförordningens bestäm- melser. Bestämmelserna bör således tillämpas av Rekryterings- myndigheten i likhet med andra myndigheter. Bestämmelser om dataskyddsombud behöver därför inte föras in i den nya lagen.

240

SOU 2017:97

Vissa andra frågor av särskild vikt för dataskyddet

10.3Information till den registrerade

10.3.1Gällande rätt

I pliktregisterlagen finns inte några bestämmelser som reglerar den registrerades rätt till information. Rekryteringsmyndighetens skyl- dighet att, i egenskap av personuppgiftsansvarig, lämna information till den registrerade om myndighetens behandling av uppgifter om denne regleras i stället i personuppgiftslagen (jfr 4 § pliktregister- lagen).

I förarbetena (prop. 1997/98:80 s. 42 f.) till pliktregisterlagen konstaterade regeringen att det saknas skäl att göra undantag, vare sig genom utvidgning eller genom inskränkning, från den informa- tionsskyldighet gentemot den registrerade som föreskrivs i person- uppgiftslagen. Enligt regeringen är personuppgiftslagens bestäm- melser om den personuppgiftsansvariges informationsplikt tillräckliga. För Rekryteringsmyndighetens del innebär reglerna om information till den registrerade bl.a. att sådan självmant ska lämnas vid mönst- ringen och vid motsvarande utredningar, där den totalförsvars- pliktige själv lämnar uppgifterna till Rekryteringsmyndigheten. Infor- mation om behandling av personuppgifter som Rekryteringsmyndig- heten hämtat från annan myndighet eller annat organ behöver dock inte ges till den registrerade om det framgår av lag eller förordning att dessa uppgifter ska lämnas ut till myndigheten. Detta undantag från informationsskyldigheten följer av 24 § andra stycket person- uppgiftslagen.

Enligt 23–25 §§ personuppgiftslagen är en personuppgiftsansva- rig skyldig att självmant tillhandahålla den registrerade information om behandlingen av personuppgifter. Den registrerade har vidare enligt 26 § första stycket personuppgiftslagen rätt att på begäran få information om och tillgång till de personuppgifter som behandlas.

I 27 § personuppgiftslagen anges att bestämmelserna i 23–26 §§ om den registrerades rätt till information inte gäller i den utsträck- ning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författ- ning att uppgifter inte får lämnas ut till den registrerade.

241

Vissa andra frågor av särskild vikt för dataskyddet

SOU 2017:97

10.3.2Dataskyddsförordningen och dataskyddslagen

Den personuppgiftsansvariges skyldighet att självmant ge den regi- strerade information om och tillgång till de personuppgifter som behandlas regleras i artiklarna 13–15 i dataskyddsförordningen. Enligt artiklarna 13 och 14 ska den personuppgiftsansvarige bl.a. lämna information om sin identitet och kontaktuppgifter, data- skyddsombudets kontaktuppgifter, ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen. För att säkerställa en rättvis och transparent behandling ska den personuppgiftsansvarige vid insamlingen av personuppgifterna även lämna den registrerade information om bl.a. den period under vilken personuppgifterna kommer att lagras, rätten att begära tillgång till och rättelse eller radering av person- uppgifter eller begränsning av behandling som rör den registrerade samt rätten att inge klagomål till en tillsynsmyndighet. I arti- kel 14.5 föreskrivs dock flera direkt tillämpliga undantag från rätten till information. Den personuppgiftsansvarige behöver t.ex. inte förse den registrerade med information om denne redan förfogar över informationen, tillhandahållandet av informationen visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning eller personuppgifterna måste förbli konfidentiella till följd av tyst- nadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt, inbegripet andra lagstadgade sekretessförpliktelser. Av artikel 15 följer att den registrerade har rätt att på begäran få information om och tillgång till de personuppgifter som behandlas, bl.a. i form av registerutdrag. Denna rätt ska enligt artikel 15.4 inte inverka men- ligt på andra rättigheter och friheter. Artikel 23 möjliggör ytter- ligare undantag i medlemsstaternas nationella rätt från de skyldig- heter och rättigheter som föreskrivs i nämnda bestämmelser.

Dataskyddsutredningen har föreslagit att motsvarande undantag som i 27 § personuppgiftslagen ska tas in i den föreslagna data- skyddslagen. I 5 kap. 1 § första stycket i den föreslagna dataskydds- lagen anges att den registrerades rätt till information och tillgång till personuppgifter enligt artiklarna 13–15 i dataskyddsförord- ningen inte gäller sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan för- fattning eller enligt beslut som har meddelats med stöd av författ- ning. Första stycket innebär att sådan sekretess eller tystnadsplikt

242

SOU 2017:97

Vissa andra frågor av särskild vikt för dataskyddet

gentemot den registrerade som har stöd i författning, har företräde framför rätten att få information och tillgång till de personupp- gifter som behandlas. Bestämmelsen har vidare stöd i artikel 23 i dataskyddsförordningen (SOU 2017:39 s. 204 f. och 375).

Av 5 kap. 2 § i förslaget till dataskyddslag följer vidare att be- stämmelsen om den registrerades rätt till tillgång till personupp- gifter i artikel 15 i dataskyddsförordningen inte gäller personupp- gifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande. Undantaget i första stycket gäller inte om personuppgifterna

1.har lämnats ut till tredje part,

2.behandlas enbart för arkivändamål av allmänt intresse eller sta- tistiska ändamål, eller

3.har behandlats under längre tid än ett år i löpande text som inte fått sin slutliga utformning.

Bestämmelsen föreskriver undantag från den personuppgiftsansvariges skyldighet att på den registrerades begäran lämna s.k. registerut- drag. Bestämmelsen motsvarar i sak 26 § tredje stycket person- uppgiftslagen (a.a. s. 376). Undantaget begränsas genom andra stycket. Begränsningen i punkten 1 innebär att rätten till registerutdrag ändå gäller, om den handling där personuppgifterna förekommer har lämnats ut till någon tredje part. Punkten 2 innebär bl.a. att rätten till registerutdrag omfattar personuppgifter i sådana utkast eller minnesanteckningar som har tagits om hand för arkivering. Med behandling för arkivändamål av allmänt intresse eller statistiska ändamål avses detsamma som i dataskyddsförordningen. Slutligen innebär punkten 3 att personuppgifter som förekommer i löpande text som inte har fått sin slutliga utformning ska lämnas ut, om behandlingen har pågått under längre tid än ett år. Minnesanteck- ningar, som normalt får sin slutliga utformning i samband med att de förs, omfattas däremot inte av punkten 3. Personuppgifter som förekommer i sådana handlingar behöver således inte lämnas ut, även om behandlingen pågått i mer än ett år, om inte någon av punkterna 1 eller 2 är tillämpliga (a.a. s. 376).

I detta sammanhang kan nämnas att Dataskyddsutredningen föreslår att det i 5 kap. 3 § dataskyddslagen tas in en bestämmelse som i sak motsvarar 8 a § personuppgiftslagen, dvs. ett bemyndig-

243

Vissa andra frågor av särskild vikt för dataskyddet

SOU 2017:97

ande för regeringen att meddela föreskrifter om ytterligare begräns- ningar av vissa rättigheter och skyldigheter enligt artikel 23 i data- skyddsförordningen. Artikel 23 möjliggör därmed att undantag från förordningens bestämmelser tas in i sektorspecifika författ- ningar.

10.3.3Våra överväganden

Utredningens bedömning: Bestämmelserna om information och tillgång till personuppgifter i den föreslagna dataskyddslagen (5 kap. 1–3 §§) bör tillämpas vid behandling av personuppgifter enligt denna lag. Bestämmelser om information och tillgång till personuppgifter behöver därför inte föras in i lagen.

Dataskyddsutredningens förslag till bestämmelser i 5 kap. 1 och 2 §§ dataskyddslagen om information och tillgång till personuppgifter motsvarar i allt väsentligt bestämmelserna i personuppgiftslagen som redan tillämpas av Rekryteringsmyndigheten. En tillämpning av de föreslagna bestämmelserna i dataskyddslagen kommer därför att innebära få förändringar i förhållande till vad som gäller i dag. Det har inte heller framkommit skäl att avvika från eller i övrigt föreskriva undantag från dataskyddsförordningens eller dataskydds- lagens bestämmelser i detta avseende. Vi föreslår därför att bestäm- melserna i den föreslagna dataskyddslagen bör tillämpas på mot- svarande sätt vid behandling av personuppgifter enligt denna lag. Bestämmelser om information och tillgång till personuppgifter behöver därför inte föras in i den nya lagen.

Det föreslagna bemyndigandet i 5 kap. 3 § dataskyddslagen innebär vidare att regeringen med stöd i artikel 23 i dataskydds- förordningen kan meddela ytterligare begränsningar i vissa av de rättigheter som följer av förordningen.

244

SOU 2017:97

Vissa andra frågor av särskild vikt för dataskyddet

10.4Skadestånd

10.4.1Gällande rätt

Pliktregisterlagen innehåller, i likhet med många andra särskilda registerförfattningar, en hänvisning till skadeståndsbestämmelsen i personuppgiftslagen (19 § pliktregisterlagen). Av 48 § personupp- giftslagen framgår att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling i strid med lagen har orsakat. Ersättnings- skyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte beror på honom eller henne (andra stycket).

I de fall den registrerade anser att Rekryteringsmyndighetens behandling av personuppgifter har skett i strid med pliktregister- lagen, kan den registrerade yrka att myndigheten ska betala ersättning med stöd av nämnda bestämmelse i personuppgiftslagen. Ersättning kan utgå för såväl ekonomisk som ideell skada. Skade- ståndsansvaret är strikt i den meningen att det inte finns något krav på uppsåt eller oaktsamhet. Så snart behandlingen av personupp- gifter har skett i strid med personuppgiftslagen är den eller de personer som är personuppgiftsansvariga avseende behandlingen ersättningsskyldiga gentemot den registrerade (Öman m.fl., kom- mentaren till 48 §). Endast i den mån ersättningsfrågan inte omfattas av bestämmelsen i personuppgiftslagen, exempelvis beräkning av den ersättning som ska utgå, tillämpas de allmänna skadeståndsreglerna i skadeståndslagen (1972:207).

10.4.2Dataskyddsförordningen och dataskyddslagen

I dataskyddsförordningen finns bestämmelser om skadestånd i artikel 82. Av artikel 82.1 framgår att varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av för- ordningen ska ha rätt till ersättning från den personuppgifts- ansvarige för den uppkomna skadan. Under vissa förutsättningar kan även personuppgiftsbiträden bli skadeståndsskyldiga.

I skäl 146 och artikel 82.2–5 preciseras närmare under vilka förut- sättningar personuppgiftsansvariga kan bli skadeståndsskyldiga. Varje personuppgiftsansvarig som medverkat vid behandlingen ska

245

Vissa andra frågor av särskild vikt för dataskyddet

SOU 2017:97

ansvara för skada som orsakats av behandling i strid med förord- ningen. Med behandling som strider mot dataskyddsförordningen avses enligt skäl 146 även behandling som strider mot nationella bestämmelser som specificerar förordningen. Ansvar kan undgås endast om den personuppgiftsansvarige visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.

Artikel 82, som är direkt tillämplig, tar över de allmänna skade- ståndsreglerna i skadeståndslagen (jfr 1 kap. 1 § skadeståndslagen). Dataskyddsförordningen innebär också ett förtydligande jämfört med dataskyddsdirektivet av att varje personuppgiftsansvarig och personuppgiftsbiträde som har medverkat vid en behandling kan hållas ansvarig för hela skadan, dvs. att ett solidariskt ansvar gäller när det finns flera personuppgiftsansvariga eller personuppgifts- biträden för samma behandling (SOU 2017:39, s. 277 f.).

Dataskyddsutredningen bedömer att skadeståndsbestämmel- serna i dataskyddsförordningen innebär ett i princip strikt skade- ståndsansvar för såväl ekonomisk som ideell skada enligt förord- ningen, dvs. en liknande reglering som den som gäller enligt personuppgiftslagen. Förarbetsuttalanden rörande personuppgifts- lagen och den praxis som har utvecklats vid tillämpningen av 48 § personuppgiftslagen bör därför kunna vara vägledande även vid prövning av rätten till ersättning enligt artikel 82 i dataskydds- förordningen (a.a. s. 277 och s. 304). Enligt 8 kap. 1 § i den före- slagna dataskyddslagen gäller rätten till ersättning enligt artikel 82 i dataskyddsförordningen även vid överträdelser av bestämmelser i lagen och andra författningar som kompletterar dataskyddsför- ordningen. Bestämmelsen, som har sin grund i förordningens arti- kel 82 och skäl 146, upplyser om att den rätt till ersättning som regleras i dataskyddsförordningen även gäller vid överträdelser av de bestämmelser om behandling av personuppgifter som finns i dataskyddslagen och i andra författningar som kompletterar data- skyddsförordningen, t.ex. i så kallade registerförfattningar. Bestäm- melsen saknar motsvarighet i personuppgiftslagen.

Enligt Dataskyddsutredningen behövs inte några nationella be- stämmelser i övrigt, utöver dem som redan finns i rättegångsbalken och skadeståndslagen, för att uppfylla dataskyddsförordningens krav på rättsmedel enligt artikel 79 (a.a. s. 305).

246

SOU 2017:97

Vissa andra frågor av särskild vikt för dataskyddet

10.4.3Våra överväganden

Utredningens bedömning: Bestämmelserna om skadestånd i dataskyddsförordningen (artikel 82) och den föreslagna data- skyddslagen (8 kap. 1 § ) bör tillämpas även vid behandling av personuppgifter enligt denna lag. Någon bestämmelse om skade- stånd behöver därför inte föras in i lagen.

Enligt 19 § pliktregisterlagen tillämpas personuppgiftslagens bestäm- melser om skadestånd då personuppgifter behandlats i strid med lagen. Bestämmelserna i personuppgiftslagen kommer att ersättas av motsvarande bestämmelser om skadestånd i dels dataskydds- förordningen (artikel 82), dels den föreslagna dataskyddslagen (8 kap. 1 §). Genom skäl 146 i dataskyddsförordningen och 8 kap. 1 § dataskyddslagen slås det fast att rätten till ersättning enligt artikel 82 i dataskyddsförordningen även gäller vid överträdelser av bestämmelser enligt lagen och andra författningar som kompletterar dataskyddsförordningen. Det innebär att bestämmelsen även blir tillämplig vid Rekryteringsmyndighetens behandling av personupp- gifter om totalförsvarspliktiga och annan personal inom totalför- svaret. Det saknas därför behov av en bestämmelse om skadestånd i den nya lagen.

10.5Administrativa sanktionsavgifter

10.5.1Gällande rätt

Administrativa sanktionsavgifter är en företeelse som varken finns i dataskyddsdirektivet eller den nuvarande svenska personuppgifts- regleringen. Utöver de nu gällande bestämmelserna om skadestånd och straff vid överträdelse av personuppgiftsregleringen (48 och 49 §§ personuppgiftslagen) finns dock en möjlighet för Datainspek- tionen att utfärda vite.

Enligt 44 och 45 §§ personuppgiftslagen får Datainspektionen vid vite förbjuda en personuppgiftsansvarig att fortsätta att behandla uppgifter på annat sätt än att lagra dem, om inspektionen inte på begäran får tillgång till ett tillräckligt underlag för att konstatera att behandlingen är laglig eller om tillsynsmyndigheten konstaterar att

247

Vissa andra frågor av särskild vikt för dataskyddet

SOU 2017:97

personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt. Detsamma gäller om den personuppgiftsansvarige inte frivilligt följer ett beslut om säkerhetsåtgärder.

Bestämmelserna om vite i personuppgiftslagen gäller även för statliga och kommunala myndigheter som är personuppgiftsansva- riga. I flera registerförfattningar som reglerar behandling av person- uppgifter vid statliga myndigheter finns dock bestämmelser som föreskriver att Datainspektionens befogenhet enligt personuppgifts- lagen att besluta om vite inte ska gälla i samband med tillsyn över den berörda myndigheten. Som skäl har i dessa fall anförts att det följer av allmänna rättsgrundsatser att vite inte bör användas som sanktionsmedel mellan statliga myndigheter (se bl.a. SOU 2015:39 s. 631). Någon sådan bestämmelse finns dock inte i pliktregister- lagen. I praktiken har emellertid Datainspektionen aldrig utnyttjat möjligheten att besluta om vite (SOU 2017:39 s. 276).

10.5.2Dataskyddsförordningen

Administrativa sanktionsavgifter är en nyhet i dataskyddsförord- ningen. Sanktionsavgifterna införs enligt skäl 148 för att stärka verk- ställigheten av förordningen.

Artikel 83 i dataskyddsförordningen hänvisar till ett antal artik- lar i förordningen som vid överträdelse föranleder en administrativ sanktionsavgift, om förutsättningarna i övrigt är uppfyllda enligt artikel 83.2. I artikel 83.1 anges att det är den nationella tillsynsmyn- digheten som ska besluta om sanktionsavgifter vid överträdelser av förordningens bestämmelser. Enligt artikel 83.2 ska tillsynsmyn- digheten vid beslutet bl.a. beakta överträdelsens karaktär, svårighets- grad och varaktighet samt om överträdelsen skett med uppsåt eller genom oaktsamhet. Vidare ska tillsynsmyndigheten beakta antalet berörda registrerade, vilken skada de har lidit, om den personupp- giftsansvarige har försökt förebygga eller i efterhand komma till rätta med överträdelsen och eventuell ekonomisk vinst som görs eller ekonomisk förlust som undviks genom överträdelsen.

Av artikel 83.3 framgår att vid överträdelse av flera av dataskydds- förordningens bestämmelser får den administrativa sanktionsavgif- tens totala belopp inte överstiga det belopp som fastställs för den allvarligaste överträdelsen. Överträdelser enligt förordningen kan

248

SOU 2017:97

Vissa andra frågor av särskild vikt för dataskyddet

vara mer eller mindre allvarliga. En mindre allvarlig överträdelse, såsom överträdelse av regler om inbyggt dataskydd, förteckningar och konsekvensbeskrivningar, ska resultera i en avgift upp till 10 000 000 EUR eller 2 procent av den globala årsomsättningen om det gäller ett företag, beroende på vilket belopp som är högst (artikel 83.4). För allvarligare överträdelser, såsom överträdelser av regler om de grundläggande principerna för behandling och behand- ling av känsliga personuppgifter, registrerades rätt till information, rättelse och radering, överföring av uppgifter till tredje land och underlåtenhet att rätta sig efter tillsynsmyndighetens förelägganden, ska avgiften uppgå till högst 20 000 000 EUR eller 4 procent av den globala årsomsättningen (artikel 83.5).

Utöver överträdelse av förordningens bestämmelser kan också underlåtelse att rätta sig efter tillsynsmyndighetens instruktioner, förelägganden eller beslut resultera i sanktionsavgift (artiklarna 83.5 e och 83.6). I detta avseende fyller sanktionsavgiften samma funk- tion som ett vite (SOU 2017:39 s. 280). Enligt artikel 83.5 e kan en personuppgiftsansvarig eller ett personuppgiftsbiträde få betala sank- tionsavgift vid

–underlåtenhet att rätta sig efter ett föreläggande från tillsynsmyn- digheten,

–underlåtenhet att rätta sig efter ett beslut om en tillfällig eller per- manent begränsning av behandling av uppgifter,

–underlåtenhet att rätta sig efter ett beslut om att avbryta upp- giftsflöden, eller

–underlåtenhet att ge tillsynsmyndigheten tillgång till uppgifter.

Sanktionsavgiften ska i dessa fall uppgå till maximalt 20 000 000 EUR eller 4 procent av den globala årsomsättningen. Motsvarande gäller vid underlåtenhet att rätta sig efter förelägganden från tillsynsmyn- digheten (artikel 83.6).

Varje medlemsstat får reglera om och i vilken utsträckning det ska vara möjligt att besluta om sanktionsavgifter för offentliga myndigheter och organ i medlemsstaten (artikel 83.7).

Tillsynsmyndighetens befogenhet att besluta om administrativa sanktionsavgifter ska enligt artikel 83.8 omfattas av lämpliga rätts- säkerhetsgarantier i form av effektiva rättsmedel och rättssäkerhet.

249

Vissa andra frågor av särskild vikt för dataskyddet

SOU 2017:97

I artikel 83.9 anges vidare att om det inte finns några regler om administrativa sanktionsavgifter i en medlemsstats rättssystem får förfarandet inledas av tillsynsmyndigheten och sanktionsavgifter utdömas av behörig nationell domstol.

10.5.3Dataskyddslagen

Dataskyddsutredningen har inom ramen för sitt utredningsuppdrag bl.a. analyserat om, och i så fall i vilken utsträckning, det bör vara möjligt att besluta om administrativa sanktionsavgifter även inom den offentliga sektorn. Utredningen har anfört bl.a. följande (SOU 2017:39 s. 287 f.)

Inledningsvis kan det konstateras att regleringen syftar till att skydda enskildas integritet, och att enskildas intresse av skydd för sin person- liga integritet väger lika tungt om uppgifter behandlas i det allmännas verksamhet som i den privata sektorn. Såväl statliga som kommunala myndigheter hanterar mycket stora mängder personuppgifter, ofta mycket känsliga sådana, som dessutom i allt ökande grad utbyts över myndighets- och nationsgränser utan enskildas samtycke. Trots att det allmännas verksamhet i och för sig är reglerad i högre grad genom annan lagstiftning än personuppgiftsrelaterad sådan, exempelvis i tryckfrihets- förordningen, offentlighets- och sekretesslagen (2009:400) och arkiv- lagstiftningen, sker själva behandlingen av personuppgifter på i stort sett samma villkor och enligt samma regelverk som för personupp- giftsansvariga i privat sektor. Det framgår vidare av tillsynsmyndig- heternas granskningar under senare år att några av de grövre överträd- elserna mot dataskyddslagstiftningens grundläggande principer har gjorts av myndigheter. Det är alltså högst tveksamt om myndigheter kan förväntas att i högre grad än enskilda följa regleringen om dataskydd. Inte heller borde behovet av avskräckande sanktioner vara mindre när det gäller myndigheternas personuppgiftsbehandling.

Utredningen anför vidare att behovet av skydd inte kan anses vara mindre vid personuppgiftsbehandling av myndigheter än av enskilda. Tjänstefelsansvaret är inte en tillräckligt effektiv sanktion mot syste- matiska överträdelser på myndighetsnivå. Inte heller effektivitets- argument leder till ett annat ställningstagande eftersom liknande sanktionsavgifter har ansetts utgöra en effektiv sanktion på flera andra områden trots att vitet eller avgiften betalas av statliga myn- digheter till staten.

250

SOU 2017:97

Vissa andra frågor av särskild vikt för dataskyddet

Mot denna bakgrund och med stöd i artikel 83.7 i dataskydds- förordningen föreslås i 7 kap. 1–4 §§ dataskyddslagen bestämmel- ser om att administrativa sanktionsavgifter ska kunna påföras stat- liga och kommunala myndigheter.

Enligt 7 kap. 1 § första stycket får sanktionsavgift tas ut av en myndighet vid överträdelser som avses i artikel 83.4, 83.5 och 83.6 i dataskyddsförordningen, varvid artikel 83.1, 83.2 och 83.3 i förord- ningen ska tillämpas. Vid överträdelser som avses i artikel 83.4 i data- skyddsförordningen ska avgiften bestämmas till högst 10 000 000 kro- nor och annars till högst 20 000 000 kronor (andra stycket).

Någon möjlighet att påföra sanktionsavgift vid överträdelser mot artikel 10, dvs. behandling av personuppgifter som rör lagöver- trädelser, följer inte direkt av dataskyddsförordningen. Dataskydds- utredningen förslår dock att det i 7 kap. 2 § tas in en bestämmelse om att sanktionsavgift får tas ut vid överträdelser av artikel 10. Enligt artikel 10 får emellertid myndigheter behandla personuppgifter som rör lagöverträdelser. Det blir därmed inte aktuellt att ta ut sank- tionsavgift av en myndighet enligt denna paragraf (a.a. s. 383).

Av 7 kap. 3 § följer att sanktionsavgift inte får beslutas, om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig enligt 6 kap. 3 § inom fem år från den dag då överträdelsen ägde rum. Bestämmelsen innebär dels att det finns en bortre tidsgräns för när sanktionsavgift får beslutas, dels att om kommunikation enligt 6 kap. 3 § samma lag inte har skett mot den som ska påföras avgiften inom fem år från överträdelsen, får den inte beivras. Tidsfristen börjar löpa när behandlingen upphör. Så länge otillåten eller felaktig behandling pågår är det fråga om en pågående överträdelse. Den i bestämmelsen angivna tiden förskjuts då framåt så länge behandlingen pågår (a.a. s. 384).

Slutligen föreslås i 7 kap. 4 § att en sanktionsavgift som beslutats enligt dataskyddsförordningen eller lagen ska tillfalla staten.

251

Vissa andra frågor av särskild vikt för dataskyddet

SOU 2017:97

10.5.4Våra överväganden

Utredningens bedömning: Bestämmelserna om administrativa sanktionsavgifter i den föreslagna dataskyddslagen (7 kap.) bör tillämpas vid behandling av personuppgifter enligt denna lag. Någon bestämmelse om administrativa sanktionsavgifter behö- ver därför inte föras in i lagen.

Som framgår av redovisningen ovan är inte dataskyddsförordningens bestämmelser om administrativa sanktionsavgifter direkt tillämpliga beträffade offentliga myndigheter och organ. I stället har medlems- staterna getts möjlighet att själva besluta om administrativa sank- tionsavgifter ska kunna beslutas för personuppgiftsansvariga i offent- lig verksamhet. I dag gäller enligt flera registerförfattningar på myn- dighetsområdet att Datainspektionen saknar befogenhet att besluta om vite. Som skäl har angetts att det följer av allmänna rättsgrund- satser att vite inte bör användas som sanktionsmedel mellan statliga myndigheter. Informationshanteringsutredningen har i betänkandet SOU 2015:39 med förslag till en myndighetsdatalag föreslagit att tillsynsmyndigheten inte bör ha befogenhet att besluta om vites- föreläggande mot vare sig statliga eller kommunala myndigheter (s. 628 f.). Utredningen ansåg att starka principiella skäl talar mot en sådan ordning. Dataskyddsutredningen har emellertid funnit att dataskyddsförordningens bestämmelser om administrativa sanktions- avgifter bör gälla även för myndigheter och föreslår därför att det införs regler om detta i 7 kap. i dataskyddslagen. Det saknas skäl för att Rekryteringsmyndigheten inte skulle omfattas av samma sank- tionsbestämmelser som andra myndigheter. Bestämmelserna om administrativa sanktionsavgifter i den föreslagna dataskyddslagen bör därför gälla även i fråga om Rekryteringsmyndighetens behandling av personuppgifter. Någon bestämmelse om administrativa sanktions- avgifter behöver därför inte föras in i den nya lagen.

252

11 Bevarande och gallring m.m.

11.1Allmänt om bevarande och gallring

Enligt 2 kap. 1 § tryckfrihetsförordningen har varje svensk med- borgare rätt att ta del av allmänna handlingar. Bestämmelsen med- för en skyldighet för myndigheterna att bevara handlingar för att möjliggöra denna rätt till handlingsoffentlighet. Enligt 2 kap. 18 § tryckfrihetsförordningen ska bestämmelser om hur allmänna hand- lingar ska bevaras och gallras meddelas i lag. Bestämmelser om myndigheternas skyldighet att bevara och gallra allmänna hand- lingar finns framför allt i arkivlagen (1990:782), arkivförordningen (1991:446) och Riksarkivets föreskrifter (RA-FS och RA-MS). Be- stämmelser om gallring finns även ofta i registerförfattningar som reglerar behandling av personuppgifter.

Allmänna handlingar ska enligt huvudregeln i 3 § arkivlagen bevaras, vilket innebär att myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser (i) rätten att ta del av all- männa handlingar, (ii) behovet av information för rättskipningen och förvaltningen, och (iii) forskningens behov. Enligt 10 § arkiv- lagen får dock allmänna handlingar under vissa förutsättningar gall- ras. Med gallring avses att allmänna handlingar eller uppgifter i allmänna handlingar förstörs. Vanliga pappershandlingar förstörs fysiskt. Gallring av elektroniska handlingar innebär i regel att viss information raderas från databäraren. Med gallring avses dock inte bara att en allmän handling eller uppgifter i en sådan handling rent faktiskt förstörs. Gallring innebär också att åtgärder vidtas med en allmän handling som medför förlust av betydelsebärande data, för- lust av möjliga sammanställningar, förlust av sökmöjligheter, eller förlust av möjligheter att bedöma handlingens autenticitet (RA- FS 1997:4 ändrad genom RA-FS 2008:4).

253

Bevarande och gallring m.m.

SOU 2017:97

När det gäller gallring är arkivlagens bestämmelser subsidiära i förhållande till annan lagstiftning. Det innebär att om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning har de bestämmelserna företräde (10 § tredje stycket arkivlagen). Av 14 § arkivförordningen framgår vidare att statliga myndigheter får gallra allmänna handlingar endast i enlig- het med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. Om det i författ- ningar som exempelvis rör myndigheters behandling av personupp- gifter inte finns några särskilda regler om gallring, ska således arkiv- lagens bestämmelser om bevarande som huvudprincip tillämpas. Grundprincipen i arkivlagstiftningen är således att allmänna hand- lingar ska bevaras. Några särskilda hänsyn till vilken risk bevar- andet kan medföra ur integritetshänseende ska inte tas. Bestäm- melser om gallring som inte specifikt rör handlingar som innehåller personuppgifter föranleds i stället vanligtvis av kostnads- och ut- rymmesskäl.

I personuppgiftslagen (1998:204) är utgångspunkten en annan. Enligt 9 § första stycket personuppgiftslagen får personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Tryckfrihetsförordningens och arkivlagens bestämmelser har dock företräde framför person- uppgiftslagens bestämmelser. Det följer av 8 § första stycket per- sonuppgiftslagen att bestämmelserna i lagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att läm- na ut personuppgifter enligt 2 kap. tryckfrihetsförordningen. I para- grafens andra stycke anges att bestämmelserna i personuppgiftslagen inte hindrar att en myndighet arkiverar och bevarar allmänna hand- lingar eller att arkivmaterial tas om hand av en arkivmyndighet. Personuppgiftslagens bestämmelser medför således inte att person- uppgifter som ingår i allmänna handlingar ska utplånas eller gallras. För personuppgifter som inte ingår i allmänna handlingar gäller emel- lertid regeln i 9 § första stycket personuppgiftslagen, vilket innebär att personuppgiften inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

254

SOU 2017:97

Bevarande och gallring m.m.

I registerförfattningar är det vanligt med bestämmelser om gall- ring. Sådana bestämmelser innebär i allmänhet att en omvänd prin- cip tillämpas där huvudregeln är gallring och inte, som i arkivlagen, bevarande.

11.2Bevarande och gallring

i Rekryteringsmyndighetens verksamhet

11.2.1Gallring

Gällande rätt m.m.

I 15 § pliktregisterlagen finns en bestämmelse om gallring. Enligt bestämmelsens första stycke ska en personuppgift i det automati- serade registret över totalförsvarspliktiga gallras så snart uppgiften inte längre behövs för de ändamål som anges i 1 § första stycket. Personuppgifter beträffande dem som avses i 8 § första stycket 1–3, dvs. den som (i) är eller har varit aktuell för mönstring eller annan utredning, (ii) genom avtal, beslut om krigsplacering eller på annat sätt är tagen i anspråk för totalförsvaret eller (iii) ska utföra sär- skild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig för totalförsvaret, ska gallras senast vid utgången av det kalenderår den registrerade fyller 70 år, om inte han eller hon även därefter har en uppgift inom totalförsvaret vid höjd beredskap. Upp- gifter om närstående, beslutsfattare, handläggare, den som gjort journalanteckning samt om personer som nämns bland vad som antecknats med stöd av 9 § första stycket 13 ska härvid anses som uppgifter om den totalförsvarspliktige. Regeringen får meddela före- skrifter om kortare tid för gallring än vad som följer av detta stycke.

I förarbetena (prop. 1997/98:80 s. 71 f.) till bestämmelsen anges bl.a. följande. För personuppgifter som Rekryteringsmyndigheten behandlar utan att registrera dem i register som förs med hjälp av automatiserad behandling, krävs inga särskilda bestämmelser om gallring. Här är arkivlagens huvudregel om att handlingarna ska be- varas och de möjligheter arkivmyndigheten (Riksarkivet) har att lämna föreskrifter tillräckliga. Integritetsskyddet motiverar dock en i förhållande till arkivlagen omvänd gallringsprincip för register som förs med hjälp av automatiserad behandling med personuppgifter. För personuppgifter i det automatiserade registret över total-

255

Bevarande och gallring m.m.

SOU 2017:97

försvarspliktiga bör utgångspunkten därför vara att uppgifterna ska gallras efter en bestämd tid. Behovet av uppgifterna för de ändamål som Rekryteringsmyndigheten samlade in dem för bör vara väg- ledande vid bedömningen av hur länge uppgifterna ska bevaras i registret. Det finns som regel inte skäl att hålla uppgifterna ordnade i register, med de sökmöjligheter och möjligheter till att ta fram olika sammanställningar av uppgifter som detta innebär, när detta inte längre behövs för de ändamål för vilka registren skapats. När uppgifterna inte längre behövs för något av dessa ändamål ska de gallras, om inte särskilda skäl talar för att de ska bevaras.

De uppgifter Rekryteringsmyndigheten samlar in och registrerar är av skilda slag. En del av dem förlorar mycket snabbt i värde medan andra behövs under hela den tid den registrerade är total- försvarspliktig. En stor del av underlaget från mönstringen torde t.ex. vara ointressant med hänsyn till de angivna ändamålen efter det att grundutbildningen genomförts. Uppgifter om vilken utbild- ning den totalförsvarspliktige erhållit och vilka färdigheter han därvid förvärvat är däremot intressanta under en längre tid. Det är svårt att avgöra när en viss uppgift förlorar sin relevans. Regeringen föreslår att den yttersta gränsen för ett bevarande av uppgifter i registret med personuppgifter om totalförsvarspliktiga som förs med hjälp av automatiserad behandling anges i lagen. Det kan uttryckas så att en uppgift ska gallras så snart den inte längre behövs för något av de ändamål som den insamlats för och som framgår av lagen. Uppgifterna ska därvid – som huvudregel – gallras senast vid utgången av det kalenderår den registrerade fyller 70 år (a. prop. s. 71).

I vissa fall kan det förekomma att personer har uppgifter att fylla inom totalförsvaret även efter det att totalförsvarsplikten upphört för deras del. Till exempel kan medlemmar i frivilligorganisationer kvarstå som medlemmar efter det att de fyllt 70 år och därvid också behålla sina krigsuppgifter inom organisationen. De som ska ställa egendom till förfogande vid höjd beredskap, de som ingår som leda- möter i värderingsnämnder och vissa andra personer med mer eller mindre särpräglade uppgifter, är skyldiga att utföra sina åligganden oavsett om de är över eller under 70 år. I gallringsbestämmelsen be- hövs därmed också ett undantag från sjuttioårsgränsen för dem som även därefter har en uppgift vid höjd beredskap (a. prop. s. 71 f.).

Regeringen har inte beslutat närmare föreskrifter om när per- sonuppgifter om totalförsvarspliktiga ska gallras. Rekryteringsmyn-

256

SOU 2017:97

Bevarande och gallring m.m.

dighetens interna bestämmelser om gallring av upptagningar respek- tive in- och utdata i systemen Plis och Syom (RIB 2011:13 och RIB 2011:15) innehåller dock gallringsfrister för personuppgifter om totalförsvarspliktiga. Alla personuppgifter om totalförsvars- pliktiga ska gallras ur systemet Plis Prov en gång om året. Plis Prov innehåller medicinska och psykologiska uppgifter, resultat från begåv- ningstester samt svar från frågeformulär som samlats in i samband med eller under utredning inför mönstring och antagningspröv- ning. Innan gallring sker i Plis Prov, ska en kontroll genomföras för att säkerställa att all information som ska överföras till Plis är gjord. EKG-data som samlats in i samband med mönstring sparas i en separat databas fram till och med det levnadsår då den totalförsvars- pliktige fyller 47 år. Uppgifterna överförs därefter till Rekryterings- myndighetens s.k. forskningsarkivregister. Efter att uppgifterna över- förts till forskningsarkivregistret ska alla EKG-data gallras ur den separata databasen. Detsamma gäller för personuppgifter om total- försvarspliktiga i informationssystemet Syom. Efter att de person- uppgifter om totalförsvarspliktiga som ska sparas för forskningens behov har överförts till forskningsarkivet, ska personuppgifter om totalförsvarspliktiga gallras ur Syom vid ett tillfälle årligen. Undan- tag är personuppgifter i tjänstgörings- och krigsplaceringsregistren som ska gallras kontinuerligt.

Enligt Riksarkivets föreskrifter (RA-MS 2011:50) får vidare in- och utdata till systemen Plis och Syom samt övriga uppgifter rörande totalförsvarspliktiga gallras när de inte längre behövs för verksam- heten, under förutsättning att Rekryteringsmyndigheten fastställer ett särskilt tillämpningsbeslut (RIB 2011:15).

Den gallring som Rekryteringsmyndigheten enligt 15 § plikt- registerlagen utför omfattar endast gallring av personuppgifter i det automatiserade registret över totalförsvarspliktiga, dvs. myndighetens informationssystem. Det innebär i praktiken att huvuddelen av uppgifterna överförs och sparas i myndighetens s.k. forsknings- arkivregister i syfte att utgöra underlag för forskning. De uppgifter som alltjämt behövs i Rekryteringsmyndighetens löpande verksam- het, exempelvis namn, adress och tjänstgöringsuppgifter, sparas i informationssystemen Plis eller Atlas till och med den tidpunkt då den totalförsvarspliktige fyller 70 år. I de fall den totalförsvarspliktige har en uppgift inom totalförsvaret vid höjd beredskap, sparas upp- gifterna ännu längre. Därefter överförs uppgifterna till en särskild

257

Bevarande och gallring m.m.

SOU 2017:97

databas för långtidslagring, ett s.k. elektroniskt slutarkiv. Vissa upp- gifter överförs sedan till Krigsarkivet. I Krigsarkivet förvaras i pappers- form läkarhandlingar om avregistrerade totalförsvarspliktiga födda före 1946, de som frikallades före 1988 och vapenfria tjänstepliktiga. Här finns även akter över vapenfria tjänstepliktiga. Läkarhandlingarna bevaras också i form av mikrofilm hos Rekryteringsmyndigheten. I Krigsarkivet ingår också det s.k. inskrivningsarkivregistret (före- gångaren till Plis), vilket omfattar data om samtliga som mönstrat mellan åren 1969–1997. Även detta bevaras också hos Rekryterings- myndigheten i form av mikrofilm. Vid vilken tidpunkt handlingar ska överföras från Rekryteringsmyndigheten till Krigsarkivet fast- ställs genom en överenskommelse mellan de båda myndigheterna.

Någon regelrätt gallring i arkivlagens mening, dvs. att uppgift- erna rent faktiskt förstörs genom att informationen raderas från databäraren, sker alltså i allmänhet inte.

Dataskyddsförordningen

Enligt artikel 5.1 e i dataskyddsförordningen får personuppgifter inte förvaras i en form som möjliggör identifiering av den regi- strerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagrings- minimering).

Av artikel 6.2 framgår bl.a. att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behand- ling för att efterleva punkt 6.1 e, dvs. behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Enligt artikel 6.3 andra stycket andra meningen kan dessutom den rättsliga grunden, som fastställs i den nationella rätten, innehålla särskilda bestämmelser

258

SOU 2017:97

Bevarande och gallring m.m.

för att anpassa tillämpningen av bestämmelserna i förordningen i form av bl.a. lagringstid.

11.2.2Bevarande för arkivändamål

Gällande rätt

I pliktregisterlagen finns ingen bestämmelse om att personuppgifter om totalförsvarspliktiga som behandlas enligt lagen får bevaras för arkivändamål. Någon sådan ansågs inte behövas för behandling som skedde utanför registret (prop. 1997/98:80, s. 71 f.). Enligt 15 § andra stycket pliktregisterlagen får dock regeringen meddela före- skrifter om undantag från skyldigheten att gallra personuppgifter ur registret i fråga om bevarande av material för forskningens behov. Sådana uppgifter ska dock avföras från registret vid den tidpunkt de annars skulle ha gallrats enligt första stycket.

Av förarbetena (a. prop. s. 72 f.) till bestämmelsen framgår att många av de personuppgifter som Rekryteringsmyndigheten regi- strerar har ett mycket stort värde för forskningen. Uppgifterna inne- håller en allsidig information beträffande en stor del av befolkningen vid en viss ålder. Samma slags uppgifter insamlas år efter år och förändringar av t.ex. folkhälsan kan härigenom kontinuerligt följas. Undantag från skyldigheten att gallra uppgifter bör göras med hän- syn till forskningen. Ett sådant undantag medför att uppgifterna inte behöver överföras till annan databärare med någon typ av informa- tionsförlust som följd, vilket torde vara en stor fördel för forsk- ningen. Avgörandet av vilka uppgifter som ska bevaras med hänsyn till forskningens behov borde enligt regeringen överlåtas till Riks- arkivet.

Såvitt avser Rekryteringsmyndighetens läkarhandlingar bevaras dessa genom att uppgifterna förs över till Rekryteringsmyndig- hetens s.k. forskningsarkivregister. Läkarhandlingarna bevaras även i Rekryteringsmyndighetens centrala läkarhandlingsarkiv. Läkarhand- lingsarkivet innehåller journaler med medicinska uppgifter om alla män som är födda 1946 eller senare och som har mönstrat till och med den 30 juni 2010. Journaler finns också om de kvinnor som antagningsprövats vid Rekryteringsmyndigheten till och med den 30 juni 2010. Journalhandlingar i pappersform mikrofilmas. Avsikten är att denna information ska föras över på digitalt medium i informa-

259

Bevarande och gallring m.m.

SOU 2017:97

tionssystemet Atlas. I informationssystemen Plis och Atlas förvaras också resultaten för de personer som Rekryteringsmyndigheten testat för Försvarsmaktens grundläggande militära utbildning (GMU) efter halvårsskiftet 2010. I de arkiverade handlingarna finns upp- gifter om bl.a. längd, vikt, blodtryck, syn, hörsel, kondition, muskel- styrka, i vissa fall EKG samt psykologiska förmågor, som exempel- vis ledaregenskaper och lämplighet att bli befäl.

I 6 § förordningen (1998:1229) om behandling av personupp- gifter om totalförsvarspliktiga anges att Riksarkivet får meddela före- skrifter om undantag från skyldigheten att gallra personuppgifter i fråga om bevarande av material för forskningens behov. Av Riks- arkivets föreskrifter (RA-MS 2011:50) framgår bl.a. att vissa sär- skilt angivna upptagningar i Rekryteringsmyndighetens informations- system (Plis) och systemet för krigsplacering (Syom) ska, med undantag från gallringsplikten i 15 § pliktregisterlagen, bevaras och överföras till det s.k. forskningsarkivregistret hos Rekryterings- myndigheten. Även uppgifter om totalförsvarspliktigas personliga förhållanden, det s.k. beredskapsunderlaget, ska bevaras. Överföring av uppgifter från Plis och Syom till det s.k. forskningsarkivregistret ska ske minst en gång per år (2 §). Medicinska journalhandlingar för värnpliktiga samt systembeskrivningar och systemdokumentation avseende upptagningar rörande totalförsvarspliktiga ska också be- varas (3 §).

I Rekryteringsmyndighetens interna bestämmelser om forsk- ningsarkivregister (RIB 2012:1) regleras hur personuppgifter i Rekry- teringsmyndighetens informationssystem Plis och Syom med till- hörande delsystem ska bevaras och överföras till det särskilda forsk- ningsarkivregistret (1 §).

Dataskyddsförordningen

Enligt artikel 5.1 b i dataskyddsförordningen ska ytterligare be- handling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, inte anses vara oförenlig med de ursprungliga ändamålen. Av artikel 5.1 e framgår att personupp- gifter får lagras under en längre tid än vad som normalt gäller, om uppgifterna enbart kommer att behandlas för arkivändamål av all-

260

SOU 2017:97

Bevarande och gallring m.m.

mänt intresse eller för vetenskapliga eller historiska forsknings- ändamål eller för statistiska ändamål. Detta under förutsättning att lämpliga tekniska och organisatoriska åtgärder genomförs i enlighet med kraven i artikel 89.1 för att säkerställa de registrerades fri- och rättigheter.

Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska en- ligt artikel 89.1 omfattas av lämpliga skyddsåtgärder för den regi- strerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att ändamålen kan uppfyllas på det sättet. När ändamålen kan uppfyllas genom vidarebehandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.

Dataskyddslagen

Enligt Dataskyddsutredningens direktiv är det av central betydelse att myndigheternas bevarande av allmänna handlingar inte hindras av dataskyddsregleringen och att myndigheternas möjlighet att an- vända uppgifter i dessa handlingar säkerställs. Även behandling av personuppgifter för andra arkivändamål av allmänt intresse samt för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål måste garanteras. Samtidigt ska skyddet för den registre- rades fri- och rättigheter beaktas. Utgångspunkten för Dataskydds- utredningens uppdrag har därför varit att vissa grundläggande be- stämmelser, liknande de som i dag finns i personuppgiftslagen, behöver tas in i den generella reglering som ska komplettera data- skyddsförordningen. Dataskyddsutredningen har mot bakgrund härav bl.a. analyserat vilka bestämmelser om myndigheters bevar- ande av allmänna handlingar, användning av uppgifter i dessa och överlämnande av arkivmaterial till en arkivmyndighet som behövs i den generella regleringen. Vidare har Dataskyddsutredningen ana- lyserat vilka övriga bestämmelser om behandling av personuppgif- ter för arkivändamål av allmänt intresse samt för vetenskapliga eller

261

Bevarande och gallring m.m.

SOU 2017:97

historiska forskningsändamål eller för statistiska ändamål som bör finnas i den generella regleringen.

Enligt Dataskyddsutredningen (SOU 2017:39 s. 216 f.) står det klart att den behandling av personuppgifter som myndigheter och andra organ utför när de som en följd av arkivlagens bestämmelser arkiverar sina allmänna handlingar utgör en vidarebehandling som sker för arkivändamål av allmänt intresse. Behandlingen ska därmed enligt artikel 5.1 b i dataskyddsförordningen inte anses som ofören- lig med de ursprungliga ändamålen. Det krävs då inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs (skäl 50).

Bestämmelsen i 8 § andra stycket första meningen personupp- giftslagen tydliggör att personuppgiftslagen inte hindrar att en myn- dighet, i enlighet med arkivbestämmelserna, arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkiv- myndighet. Det finns enligt Dataskyddsutredningen ingenting i dataskyddsförordningen som förhindrar att ett sådant synsätt bi- behålls. Tvärtom säkerställs offentlighetsprincipens ställning genom artikel 86 i förordningen (a.a. s. 220).

Personuppgifter som behandlas enbart för arkivändamål av all- mänt intresse ska enligt 4 kap. 1 § första stycket i den föreslagna dataskyddslagen inte få användas för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. I andra stycket föreskrivs att denna begränsning inte ska hindra en myndighet från att använda personuppgifter som finns i allmänna handlingar.

Bestämmelsen motsvarar delvis 9 § fjärde stycket och delvis 8 § andra stycket andra meningen personuppgiftslagen. Första stycket utgör en sådan lämplig och särskild åtgärd som krävs enligt förord- ningen för att säkerställa den registrerades grundläggande rättig- heter och intressen. Bestämmelsen förhindrar att personuppgifter som finns hos den personuppgiftsansvarige enbart för arkivändamål av allmänt intresse används för att vidta åtgärder rörande den regi- strerade, om det inte finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Begränsningen gäller alla typer av per- sonuppgifter och inte bara känsliga sådana. För att bestämmelsen över huvud taget ska aktualiseras krävs att den aktuella använd- ningen är förenlig med det ändamål för vilket uppgifterna ursprung- ligen samlades in. Bestämmelsen kan alltså inte tillämpas till stöd

262

SOU 2017:97

Bevarande och gallring m.m.

för en vidarebehandling som i sig är otillåten. Andra stycket inne- bär att användningsbegränsningen i första stycket inte gäller för myndigheters användning av personuppgifter i allmänna handlingar (a.a. s. 373 f.).

Förslag till forskningsdatalag

Forskningsdatautredningen har i delbetänkandet Personuppgifts- behandling för forskningsändamål (SOU 2017:50) föreslagit en kom- pletterande lag vid behandling av personuppgifter för forsknings- ändamål – forskningsdatalagen. Lagen innehåller de kompletterade nationella bestämmelser som utredningen bedömt nödvändiga för att dataskyddsförordningen, den föreslagna dataskyddslagen och lagen sammantaget ska uppfylla det övergripande syftet att möjlig- göra personuppgiftsbehandling för forskningsändamål och samtidigt skydda den enskildes fri- och rättigheter. Personuppgiftsbehand- ling för forskningsändamål definieras av Forskningsdatautredningen som arbete som är eller avses vara en del av forskningsprocessen, inklusive förberedande eller avslutande aktiviteter såsom iordning- ställande och dokumentation av databaser för användning i forsk- ning eller arkivering av forskningsmaterial. Enligt utredningen ska personuppgiftsbehandling för ändamålet forskning och för forsk- ningsändamål betraktas som likställda (a.a. s. 106 f.). Forskningsdata- lagen föreslås träda i kraft den 25 maj 2018.

11.2.3Våra överväganden och förslag

Utredningens bedömning och förslag: Det behöver inte infö- ras någon kompletterande ändamålsbestämmelse i lagen för Rekryteringsmyndighetens egen arkivering av personuppgifter. Lagen bör inte heller innehålla någon särskild bestämmelse om gallring. Rekryteringsmyndighetens bevarande av personuppgif- ter om totalförsvarspliktiga i det s.k. forskningsarkivregistret omfattas inte av den föreslagna forskningsdatalagens tillämp- ningsområde.

I lagen ska föreskrivas att personuppgifter ska avskiljas så att tillgången till dem begränsas när de inte längre behövs i Rekry- teringsmyndighetens löpande verksamhet för de primära ända-

263

Bevarande och gallring m.m.

SOU 2017:97

målen. Personuppgifter om totalförsvarspliktiga ska avskiljas senast vid utgången av det kalenderår den totalförsvarspliktige fyller 70 år, om inte den totalförsvarspliktige därefter har en uppgift inom totalförsvaret vid höjd beredskap.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om avskiljande av personuppgifter.

Behovet av en kompletterande ändamålsbestämmelse för arkivändamål

Det står enligt vår bedömning klart att personuppgifter i Rekry- teringsmyndighetens kärnverksamhet fortsätter att vara en del av denna verksamhet även efter det att de handlingar som de ingår i har arkiverats, i vart fall så länge arkiveringen sker hos Rekryterings- myndigheten. Arkivering av personuppgifter omfattas därmed en- ligt vår mening av den nya lagens tillämpningsområde.

Vi har emellertid i avsnitt 8.2.3 och 8.2.4 föreslagit att ända- målsbestämmelserna i den nya lagen ska vara uttömmande. Frågan uppstår då om det finns behov av en kompletterande ändamåls- bestämmelse som tar sikte på Rekryteringsmyndighetens egen arki- vering av personuppgifter.

Det framgår av artikel 5.1 b i dataskyddsförordningen att vidare- behandling av personuppgifter för bl.a. arkivändamål av allmänt intresse i enlighet med artikel 89.1 inte ska anses vara oförenlig med de ursprungliga ändamålen. Dataskyddsutredningen har, med hänvisning till skäl 50 till dataskyddsförordningen, gjort bedöm- ningen att det då inte krävs någon annan rättslig grund för arki- veringen än den med stöd av vilken insamlingen av personuppgifter medgavs. I skäl 50 anges att om behandling av personuppgifter är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Ytterligare behandling för bl.a. arkivändamål av allmänt intresse bör betraktas som förenlig och laglig behandling av uppgifter. Enligt vår bedömning saknas det skäl att uppfatta detta på annat

264

SOU 2017:97

Bevarande och gallring m.m.

sätt än att en myndighets arkivering av personuppgifter till följd av arkivlagens bestämmelser alltid är tillåten, även om en register- författning har uttömmande ändamålsbestämmelser. Det kan vidare konstateras att pliktregisterlagen redan i dag innehåller en uttöm- mande uppräkning av ändamålsbestämmelser. Såvitt vi har erfarit har det inte satts i fråga att myndighetens egen arkivering av personuppgifter inte skulle ske utifrån ett tillåtet ändamål, trots att det saknas en uttrycklig hänvisning till 8 § andra stycket person- uppgiftslagen. Myndigheters arkivering av sina allmänna handlingar i enlighet med arkivlagens bestämmelser och myndighetsarkivens betydelse för det nationella kulturarvet, bl.a. i syfte att tillgodose offentlighetsprincipen och forskningens behov, får anses som helt grundläggande för alla myndigheters verksamhet, oavsett hur den är reglerad i övrigt. Något annat rättsligt stöd för vidarebehandling av personuppgifter hos myndigheter för arkivändamål av allmänt intresse än det som ges i dataskyddsförordningen kan därför inte anses påkallat. Vi anser därför att det saknas behov av att införa en kompletterande ändamålsbestämmelse i den nya lagen för Rekry- teringsmyndighetens egen arkivering av de personuppgifter som behandlas med stöd av lagen.

Behovet av en särskild gallringsbestämmelse

Vi har i avsnitt 8.1.2 konstaterat att Rekryteringsmyndighetens personuppgiftsbehandling är nödvändig för att myndigheten ska kunna bedriva sin verksamhet och att det för myndigheten finns en i svensk rätt fastställd rättslig grund för behandlingen. Enligt arti- kel 6.2 och 6.3 andra stycket i dataskyddsförordningen är det då tillåtet att i en registerförfattning behålla specifika bestämmelser i form av lagringstid. Vi bedömer därför att en särskild gallrings- bestämmelse är förenlig med dataskyddsförordningen och kan infö- ras i den föreslagna lagen. Frågan är då om det finns behov av en särskild gallringsbestämmelse.

Det kan konstateras att det i Rekryteringsmyndighetens verk- samhet behandlas en betydande mängd personuppgifter om ett stort antal totalförsvarspliktiga i myndighetens olika informations- system. Behandlingen grundar sig till övervägande del på den skyl- dighet för totalförsvarspliktiga att lämna uppgifter om sina person-

265

Bevarande och gallring m.m.

SOU 2017:97

liga förhållanden i beredskapsunderlaget enligt lagen (1994:1809) om totalförsvarsplikt. Många av de personuppgifter som behandlas utgör även känsliga personuppgifter. Det finns också personupp- gifter som inte betraktas som känsliga personuppgifter men som ändå kan uppfattas som integritetskänsliga. Dessa omständigheter talar för att den nya lagen bör innehålla en specialreglering med gallring som utgångspunkt.

Det finns dock omständigheter som talar för det motsatta för- hållandet, dvs. att ingen särskild gallringsbestämmelse bör införas i den nya lagen. Den gallring som Rekryteringsmyndigheten utför enligt 15 § pliktregisterlagen av personuppgifter om totalförsvars- pliktiga innebär i praktiken att den gallring i egentlig mening som sker, dvs. att information förstörs, är ytterst begränsad. Huvud- delen av de personuppgifter som behandlas i den löpande verksam- heten överförs vid olika tidpunkter då de inte längre behövs till myndighetens s.k. forskningsarkivregister och sparas där i syfte att utgöra underlag för forskning. Övriga uppgifter sparas som regel i 70 år i något av Rekryteringsmyndighetens informationssystem för den löpande verksamheten för att därefter överföras till ett elektroniskt slutarkiv. När handlingar ska överföras till Krigsarki- vet fastställs genom en överenskommelse mellan Rekryterings- myndigheten och Krigsarkivet. Det kan alltså konstateras att någon gallring i egentlig mening inte sker utan de personuppgifter som inte längre behöver vara tillgängliga i de olika informationssyste- men för en aktiv hantering, dvs. det som i pliktregisterlagen benämns registret, bevaras i andra lagringsutrymmen för forsk- nings- eller andra arkivändamål. Vi kan konstatera att det alltjämt finns ett stort behov av att för forskningsändamål bevara många av de personuppgifter som behandlas i Rekryteringsmyndighetens verksamhet. Dessa omständigheter talar för att bevarande enligt arkivlagens bestämmelser bör vara utgångspunkten i den nya lagen. Vi anser därför att lagen inte bör innehålla någon bestämmelse om gallring. I stället ska bestämmelserna om gallring i arkivlagen gälla inklusive möjligheterna för Riksarkivet att meddela föreskrifter.

266

SOU 2017:97

Bevarande och gallring m.m.

Avskiljande av inaktuella personuppgifter

Det är viktigt att personuppgifter endast finns tillgängliga så länge som det finns berättigade ändamål för behandlingen (jfr artikel 5.1 b i dataskyddsförordningen). Det är därför – ur ett integritetsskydds- perspektiv – angeläget att uppgifter som inte längre behövs för något av de i lagen angivna ändamålen avförs från den löpande verk- samheten så att de inte längre finns tillgängliga för Rekryterings- myndighetens samtliga anställda. De uppgifter om totalförsvars- pliktiga som behandlas i myndighetens verksamhet är ofta av integ- ritetskänslig karaktär och är tillgängliga för ett flertal av myndighetens anställda. Från integritetsskyddssynpunkt är det därför viktigt att uppgifterna finns tillgängliga för de anställda endast så länge som de har behov av uppgifterna för att kunna utföra sina arbetsupp- gifter. Vi föreslår därför att en bestämmelse införs i den nya lagen som innebär att personuppgifter ska avskiljas och överföras till annan form av lagring när de inte längre behövs i den löpande verksamheten för de primära ändamålen.

Utformningen av bestämmelsen bör enligt vår bedömning vara generell i den meningen att det bör ankomma på Rekryterings- myndigheten själv att bestämma hur avskiljandet ska ske så länge det inte innebär någon informationsförlust av något slag. Någon anledning att i lagen precisera hur personuppgifterna ska avskiljas föreligger inte enligt vår bedömning.

Det kan vara svårt att avgöra om, och på vilket sätt, person- uppgifter om totalförsvarspliktiga kan komma att få betydelse i ett senare skede. De uppgifter som Rekryteringsmyndigheten samlar in och behandlar är av vitt skilda slag, varav vissa kan vara nödvän- diga under hela den period som en enskild är totalförsvarspliktig eller på annat sätt verksam inom totalförsvaret, och andra inte. För att tillgodose integritetsskyddet är det därför av vikt att föreskriva en yttersta gräns för hur länge personuppgifter får behandlas i den löpande verksamheten innan de ska avskiljas. Vi föreslår att per- sonuppgifter om totalförsvarspliktiga ska avskiljas senast vid utgången av det kalenderår den totalförsvarspliktige fyller 70 år, dvs. vid total- försvarspliktens upphörande. Om det dock vid en tidigare tidpunkt står klart att uppgifterna saknar betydelse utifrån de i lagen angivna ändamålen ska de avskiljas redan vid denna tidpunkt.

267

Bevarande och gallring m.m.

SOU 2017:97

Det är dock inte ovanligt att totalförsvarspliktiga har uppgifter att fylla inom totalförsvaret även efter det att totalförsvarsplikten har upphört, t.ex. medlemmar i frivilligorganisationer som väljer att kvarstå som medlemmar efter att de fyllt 70 år och som därmed behåller sina krigsuppgifter. Det kan också föreligga en skyldighet för vissa totalförsvarspliktiga att utföra uppgifter inom totalför- svaret vid höjd beredskap trots att de har fyllt 70 år. I likhet med nu gällande reglering bör därför bestämmelsen kompletteras med ett undantag från sjuttioårsgränsen för dem som därefter har en uppgift inom totalförsvaret vid höjd beredskap. Ett sådant undan- tag bör därför föras in i den nya lagen.

Upplysning om ytterligare bestämmelser

Vi föreslår att bestämmelsen om avskiljande av inaktuella person- uppgifter kompletteras med en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela ytterligare före- skrifter om avskiljande och gallring av personuppgifter. Vårt för- slag till ny förordning bör innehålla en sådan föreskriftsrätt för Rekryteringsmyndigheten.

Arkivering för forskningens behov

Forskningsdatautredningen har gjort bedömningen att begreppen forskning och forskningsändamål bör likställas så att den reglering som gäller för behandling av personuppgifter för forskning också kommer att gälla för forskningsändamål. Som redovisas ovan överför Rekryteringsmyndigheten en betydande mängd person- uppgifter om totalförsvarspliktiga till myndighetens s.k. forsk- ningsarkivregister för att bevaras för forskningens behov. Vi bedömer att detta bevarande dock inte kan anses utgöra en sådan behandling för forskningsändamål som avses i den föreslagna forskningsdatalagen och som i så fall skulle omfattas av de särskilda krav som föreslås i den lagen, bl.a. i form av etikprövning om känsliga personuppgifter avses att behandlas (SOU 2017:50, s. 200 f.). Enligt vår bedömning omfattas därmed inte Rekryter- ingsmyndighetens bevarande av personuppgifter om totalförsvars-

268

SOU 2017:97

Bevarande och gallring m.m.

pliktiga i det s.k. forskningsarkivregistret av den föreslagna forsk- ningsdatalagens tillämpningsområde utan av de generella bestäm- melserna i dataskyddsförordningen och den kommande data- skyddslagen om bevarande för arkivändamål av allmänt intresse.

11.3Särskilt om bevarande av känsliga personuppgifter för arkivändamål

11.3.1Dataskyddsförordningen

Av artikel 9.1 i dataskyddsförordningen framgår att behandling som avslöjar känsliga personuppgifter ska vara förbjuden. Enligt artikel 9.2 j gäller dock inte förbudet om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med arti- kel 89.1, på grundval av unionsrätten eller medlemsstaternas natio- nella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det enligt artikel 89.2 föreskrivas undantag från de rättigheter som avses i artiklarna 15, 16, 18 och 21, med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1. Detta får bara göras i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen och sådana undan- tag krävs för att uppnå dessa ändamål. Möjligheten att föreskriva sådana undantag gäller enligt artikel 89.3 även avseende behandling av personuppgifter för arkivändamål av allmänt intresse.

11.3.2Dataskyddslagen

Behandling för arkivändamål av allmänt intresse av personuppgifter som inte utgör känsliga personuppgifter regleras av direkt tillämp- liga bestämmelser i dataskyddsförordningen (jfr artikel 5.1 b och e och artikel 89.1). Vidare följer det direkt av förordningen att vidare-

269

Bevarande och gallring m.m.

SOU 2017:97

behandling av personuppgifter för arkivändamål av allmänt intresse inte ska anses som oförenlig med de ursprungliga ändamålen (arti- kel 5.1 b). Det behövs därmed, enligt skäl 50, inte någon separat rättslig grund för en sådan behandling. Enligt Dataskyddsutred- ningen talar det faktum att behandling av känsliga personuppgifter för arkivändamål särbehandlas i artikel 9.2 j i dataskyddsförordningen dock för att all behandling av känsliga personuppgifter för arkiv- ändamål, även vidarebehandling, måste omfattas av en särskild undan- tagsreglering för att vara tillåten. Denna bestämmelse förutsätter nämligen att gällande rätt innehåller bestämmelser om lämpliga och särskilda skyddsåtgärder för att säkerställa den registrerades rättig- heter och intressen. Den vidarebehandling av känsliga personupp- gifter som myndigheter och andra organ utför som en följd av arkivlagens bestämmelser är därmed inte tillåten enbart på grundval av det undantag från förbudet som tillämpats vid behandlingen för det ursprungliga ändamålet. Utredningen har därför gjort bedöm- ningen att det i den föreslagna dataskyddslagen behövs en bestäm- melse som, i likhet med 8 § andra stycket första meningen person- uppgiftslagen, tillåter att en myndighet arkiverar och bevarar all- männa handlingar som innehåller känsliga personuppgifter samt att arkivmaterial som innehåller känsliga personuppgifter tas om hand av en arkivmyndighet. Den svenska lagstiftningen på detta område, med beaktande av de skyddsåtgärder som föreskrivs i form av sekretess och i registerförfattningar och genom gallringsföreskrif- ter, måste enligt utredningen i sig anses vara proportionell till det eftersträvade syftet och förenlig med det väsentliga innehållet i rätten till dataskydd (SOU 2017:39 s. 221 f.).

Eftersom behandling för arkivändamål av allmänt intresse av personuppgifter som inte utgör känsliga personuppgifter regleras av direkt tillämpliga bestämmelser i dataskyddsförordningen har den föreslagna bestämmelsen i dataskyddslagen utformats som ett undantag från förbudet mot behandling av känsliga personupp- gifter. Av den föreslagna bestämmelsen i 3 kap. 6 § första stycket dataskyddslagen följer således att känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas för arkiv- ändamål av allmänt intresse om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevar- ande och vård av arkiv. För att känsliga personuppgifter ska få behandlas för arkivändamål av allmänt intresse enligt första stycket

270

SOU 2017:97

Bevarande och gallring m.m.

krävs att behandlingen sker som en följd av de skyldigheter att bevara och vårda handlingar som anges i föreskrifter. Detta krav gäller oavsett om personuppgifterna samlas in för arkivändamål av allmänt intresse eller om uppgifter som samlats in för andra ända- mål vidarebehandlas för arkivändamål av allmänt intresse. På gene- rell nivå anges sådana skyldigheter i arkivlagen, arkivförordningen samt i Riksarkivets och andra arkivmyndigheters föreskrifter. Det utrymme för behandling av känsliga personuppgifter för arkivända- mål av allmänt intresse som första stycket ger är därmed i första hand tillgängligt för myndigheter och andra organ som omfattas av arkivlagstiftningen. Bestämmelsen medför, tillsammans med 3 kap. 11 § dataskyddslagen, att dataskyddsförordningen och dataskydds- lagen inte hindrar att en myndighet eller ett annat organ som omfattas av offentlighetsprincipen arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndig- het. Den författningstekniska skillnaden mellan 8 § andra stycket första meningen personuppgiftlagen och den föreslagna bestämmel- sen innebär således ingen saklig förändring i denna del (a.a. s. 222 och s. 368 f.).

11.3.3Våra överväganden

Utredningens bedömning: Bestämmelsen om behandling av käns- liga personuppgifter för arkivändamål av allmänt intresse i den föreslagna dataskyddslagen (3 kap. 6 §) bör tillämpas i Rekryter- ingsmyndighetens verksamhet. Någon motsvarande bestämmel- se behöver därför inte föras in i lagen.

I 3 kap. 6 § i den föreslagna dataskyddslagen finns en bestämmelse om behandling av känsliga personuppgifter för arkivändamål av allmänt intresse. Det saknas skäl för att Rekryteringsmyndigheten inte skulle omfattas av samma bestämmelse som andra myndigheter i detta avseende. Bestämmelsen om behandling av känsliga person- uppgifter för arkivändamål av allmänt intresse i den föreslagna data- skyddslagen bör därför gälla även i Rekryteringsmyndighetens verksamhet. Någon motsvarande bestämmelse behöver därför inte föras in i den nya lagen.

271

12 Sekretess

12.1Allmänt om offentlighet och sekretess

Enligt 2 kap. 1 § tryckfrihetsförordningen har var och en rätt att ta del av allmänna handlingar. Den rätten får enligt 2 kap. 2 § första stycket tryckfrihetsförordningen begränsas endast om det är på- kallat med hänsyn till vissa särskilt angivna intressen, bl.a. skyddet för enskilds personliga eller ekonomiska intressen. En sådan begräns- ning ska enligt andra stycket anges noga i en bestämmelse i en särskild lag eller, om det i ett visst fall anses lämpligare, i en annan lag som den särskilda lagen hänvisar till. Den särskilda lag som avses i bestämmelsen är offentlighets- och sekretesslagen (2009:400). Regeringen har meddelat närmare tillämpningsföreskrifter i offent- lighets- och sekretessförordningen (2009:641).

Sekretess innebär inte enbart en begränsning av rätten att ta del av allmänna handlingar. Enligt 3 kap. 1 § offentlighets- och sekre- tesslagen definieras sekretess som ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av allmän handling eller på något annat sätt. Sekretess innebär således dels handlings- sekretess, dels tystnadsplikt.

Sekretessens styrka bestäms i regel genom s.k. skaderekvisit. Ett rakt skaderekvisit innebär att uppgifterna som huvudregel är offentliga och att sekretess endast gäller om det kan antas att viss skada upp- står om de lämnas ut, dvs. det är en presumtion för offentlighet. Vid ett omvänt skaderekvisit är utgångspunkten den motsatta, dvs. presumtionen är att uppgifterna omfattas av sekretess. Uppgifterna får då lämnas ut endast om det står klart att uppgifterna kan röjas utan att viss skada uppstår. Sekretessen kan även vara absolut, vil- ket innebär att de uppgifter som sekretessen omfattar ska hemlig- hållas utan någon skadeprövning om uppgifterna begärs ut.

273

Sekretess

SOU 2017:97

Som huvudregel följer inte sekretess med en uppgift när den lämnas över till en annan myndighet. Enligt 8 kap. 1 § offentlighets- och sekretesslagen får uppgifter för vilka sekretess gäller inte röjas för andra myndigheter, om inte annat anges i lagen eller lag eller förordning som lagen hänvisar till. När uppgifter ska lämnas mellan myndigheter måste därför hänsyn tas till sekretesslagstiftningen. Det finns dock vissa bestämmelser i offentlighets- och sekretess- lagen om överföring av sekretess mellan myndigheter, dvs. bestäm- melser som möjliggör ett utbyte av uppgifter mellan myndigheter trots sekretess (se avsnitt 9.7.3 för en närmare beskrivning av dessa). Behovet av sekretessbrytande regler för Rekryteringsmyndighetens del behandlas i avsnitt 9.7.3 och 12.3.2.

12.2Gällande rätt

Enligt 16 § pliktregisterlagen gäller de begränsningar som följer av offentlighets- och sekretesslagen (2009:400) för utlämnande av personuppgifter om totalförsvarspliktiga.

Detta innebär att det inte finns några särskilda bestämmelser om utlämnande av personuppgifter i pliktregisterlagen. I stället gäller bestämmelserna i 2 kap. tryckfrihetsförordningen om utlämnande av allmänna handlingar samt bestämmelserna i offentlighets- och sekretesslagen om informationsutbyte mellan myndigheter och sekretess för olika typer av uppgifter. Ett flertal bestämmelser i offentlighets- och sekretesslagen kan således aktualiseras vid ett ut- lämnande av allmänna handlingar och uppgiftsutbyte mellan myndig- heter i fråga om personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret. Nedan följer en kort redogörelse för tillämpliga bestämmelser.

12.2.1Försvarssekretess

Enligt 15 kap. 2 § offentlighets- och sekretesslagen gäller sekretess för uppgift som rör verksamhet för att försvara landet eller plan- läggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgif- ten röjs. För uppgift i en allmän handling gäller sekretessen i högst

274

SOU 2017:97

Sekretess

fyrtio år. Om det finns särskilda skäl, får dock regeringen meddela föreskrifter om att sekretessen ska gälla under längre tid.

För att undvika ett onödigt hemlighållande av uppgifter som rör de många verksamhetsområden och företeelser som försvarssekre- tessen omfattar har bestämmelsen utformats med ett rakt skade- rekvisit. Samhällets åtgärder för landets försvar ska således inte undandras offentlighet annat än då det verkligen är påkallat. Sekre- tessen gäller därför bara om det kan antas att ett röjande av uppgifter skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet. Det är alltså inte bara antagna skador mot landets försvar i vedertagen mening som medger sekretess utan också ett sådant röjande av uppgifter som vållar fara för rikets säkerhet på annat sätt än genom skador för de traditionella försvarsintressena. Ett röjande av uppgifter om den civila säkerhetstjänsten kan t.ex. vålla fara för rikets säkerhet trots att någon skada för försvaret egentligen inte har inträffat (Lenberg m.fl., kommentaren till 15 kap. 2 §). För Rekry- teringsmyndighetens del torde det framför allt vara uppgifter om totalförsvarspliktigas krigsplacering och befattning med anledning härav som omfattas av bestämmelsen om försvarssekretess.

12.2.2Kunskapsprov m.m.

Enligt 17 kap. 4 § offentlighets- och sekretesslagen gäller sekretess för uppgift som ingår i eller utgör underlag för kunskapsprov eller psykologiskt prov under en myndighets överinseende, om det kan antas att syftet med provet motverkas om uppgiften röjs. Någon sekretesstid är inte föreskriven i bestämmelsen.

Bestämmelsen aktualiseras vid utlämnande av uppgifter i de kunskapsprov (numera begåvningstest) och anlagstest som total- försvarspliktiga får genomföra vid mönstring eller annan utredning inför eventuell plikttjänstgöring. Sekretess gäller endast om det kan antas att syftet med provet motverkas om uppgiften röjs. Utform- ningen av skaderekvisitet innebär att bestämmelsen framför allt får betydelse för de s.k. standardiserade proven, dvs. prov som upprepas. Så länge samma provhandlingar används gäller alltså sekretess för uppgifterna i dessa. Det bör observeras att någon sekretess av hänsyn till skyddet för enskildas personliga förhållanden inte gäller enligt bestämmelsen (Lenberg m.fl., kommentaren till 17 kap. 4 §).

275

Sekretess

SOU 2017:97

12.2.3Hälsotillstånd samt hälso- och sjukvård

Enligt 21 kap. 1 § första stycket offentlighets- och sekretesslagen gäller sekretess för uppgift som rör en enskilds hälsa eller sexualliv, såsom uppgifter om sjukdomar, missbruk, sexuell läggning, köns- byte, sexualbrott eller annan liknande uppgift, om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Bestämmelsen är en primär sekretessbestämmelse och kan tillämpas av alla myndigheter och andra organ som ska tillämpa offentlighets- och sekretesslagen. Den innebär således ett minimiskydd för käns- liga uppgifter om enskildas hälsa och sexualliv inom hela den offentliga sektorn. Sekretessen avgränsas med ett rakt kvalificerat skaderekvisit som innebär att sekretess gäller endast om det måste antas att den enskilde eller någon närstående till den enskilde kom- mer att lida betydande men om uppgiften röjs. Skaderekvisitet är alltså utformat med en särskilt stark offentlighetspresumtion (Lenberg m.fl., kommentaren till 21 kap. 1 §).

Uppgifter om enskildas hälsa och sexualliv skyddas även av be- stämmelsen om hälso- och sjukvårdssekretess i 25 kap. 1 §. Av bestämmelsen följer att sekretess gäller inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga för- hållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Detsamma gäller i annan medicinsk verksamhet, exempelvis rättsmedicinsk och rätts- psykiatrisk undersökning, insemination, befruktning utanför krop- pen, fastställande av könstillhörighet, abort, sterilisering, omskärelse och åtgärder mot smittsamma sjukdomar. Sekretesstiden för upp- gifter i allmänna handlingar är enligt bestämmelsen högst sjuttio år.

Bestämmelsen är tillämplig för den personal som är verksam i det allmännas hälso- och sjukvård, t.ex. läkare, sjuksköterskor, psyko- loger, kuratorer och psykoterapeuter. Genom att bestämmelsen även gäller vid ”annan medicinsk verksamhet” omfattas t.ex. hälsounder- sökning vid mönstring hos Rekryteringsmyndigheten (SOU 1997:101, s. 52). Medicinska och psykologiska uppgifter om totalförsvarspliktiga som inhämtats i samband med urvalstester för olika uppdragsgivares räkning omfattas också av sekretess enligt denna bestämmelse.

276

SOU 2017:97

Sekretess

Sekretessen på hälso- och sjukvårdsområdet avgränsas med ett omvänt skaderekvisit. Detta innebär att en uppgift inte får lämnas ut, om det inte står klart att uppgiften kan röjas utan att den en- skilde eller hans eller hennes närstående lider men. Det råder alltså en presumtion för sekretess.

12.2.4Personuppgifter

Av 21 kap. 7 § offentlighets- och sekretesslagen framgår att sekre- tess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgifts- lagen (1998:204). Bestämmelsen innehåller således ett generellt förbud mot att lämna ut personuppgifter. Någon sekretesstid är inte föreskriven i bestämmelsen.

Bestämmelsen är tillämplig hos sådana myndigheter som är per- sonuppgiftsansvariga eller som annars har tillgång till personupp- gifter. Bedömningen ska dock inte ta sikte på om myndighetens eget utlämnande av uppgifter skulle strida mot personuppgiftslagen. Enligt 8 § första stycket personuppgiftslagen ska nämligen bestäm- melserna i den lagen inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförord- ningen att lämna ut personuppgifter. Bedömningen ska således avse om det kan antas att uppgifterna efter utlämnandet kommer att behandlas i strid med personuppgiftslagen, dvs. om det kan antas att mottagaren kommer att behandla uppgiften i strid med denna (Lenberg m.fl., kommentaren till 21 kap. 7 §).

Dataskyddsutredningen har i sitt förslag till dataskyddslag (SOU 2017:39 s. 253 f.) bl.a. lämnat förslag om hur de bestämmel- ser i offentlighets- och sekretsslagen som innehåller hänvisningar till personuppgiftslagen bör anpassas till den nya regleringen. Av artikel 86 i dataskyddsförordningen följer att nationella bestämmel- ser om tillgång till allmänna handlingar ges företräde framför för- ordningens bestämmelser om skydd för personuppgifter. I artikeln nämns att detta görs för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd av personuppgifter enligt förordningen. Enligt Dataskyddsutredningen innebär bestäm- melsen i 21 kap. 7 § offentlighets- och sekretesslagen ett uttryckligt stöd i svensk rätt för en sådan sammanjämkning mellan de nämnda

277

Sekretess

SOU 2017:97

rättigheterna. Detta talar för att bestämmelsen fyller en funktion även fortsättningsvis. Eftersom Dataskyddsutredningen har föreslagit att personuppgiftslagen ska upphävas och materiellt ersättas av data- skyddsförordningen och förslaget till dataskyddslag, har utredningen lämnat förslag till en ny bestämmelse i offentlighets- och sekretess- lagen som ska ersätta den nuvarande bestämmelsen i 21 kap. 7 §.

Enligt den föreslagna nya lydelsen av 21 kap. 7 § offentlighets- och sekretesslagen gäller sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen, i den ursprungliga lydelsen, eller dataskyddslagen. Ändringen innebär dels ett förtydligande av att prövningen enligt denna bestämmelse gäller den behandling som kommer att ske efter ett eventuellt utlämnande, dels att hänvis- ningen till personuppgiftslagen ersätts med en hänvisning till data- skyddsförordningen och dataskyddslagen (a.a. s. 388). En konsekvens av att hänvisningen inte enbart avser nationell rätt är att utlämnan- den till utländska mottagare som omfattas av dataskyddsförordningens tillämpningsområde också omfattas av sekretessbestämmelsen. I övrigt är äldre förarbetsuttalanden relevanta även fortsättningsvis.

12.2.5Folkbokföringsuppgifter

Enligt 22 kap. 1 § offentlighets- och sekretesslagen gäller sekretess för uppgift om en enskilds personliga förhållanden, om det av sär- skild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i verksamhet som avser

1.folkbokföringen eller annan liknande registrering av befolkningen och, i den utsträckning regeringen meddelar föreskrifter om det, i annan verksamhet som avser registrering av en betydande del av befolkningen, eller

2.förande av eller uttag ur sjömansregistret.

Enligt bestämmelsens andra stycke gäller sekretess i verksamhet som avses i första stycket 1 för uppgift i form av fotografisk bild av den enskilde, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. För upp- gift i en allmän handling gäller sekretessen i högst sjuttio år.

278

SOU 2017:97

Sekretess

Punkten 1 gäller först och främst den egentliga folkbokföringen. Därmed avses folkbokföring enligt folkbokföringslagen (1991:481). Folkbokföringsuppgifter, t.ex. personnummer, namn och adress, är normalt offentliga. Under vissa förutsättningar och efter särskild ansökan kan en person få sina personuppgifter av detta slag skyddade genom att en sekretessmarkering förs in i folkbokföringssystemet. För att inte sekretessen inom den egentliga folkbokföringen ska kunna kringgås genom att uppgifterna får en vidsträcktare offent- lighet i andra register som omfattar befolkningen är bestämmelsen tillämplig också i fråga om annat befolkningsregister som baserar sig på uppgifter från folkbokföringsmyndigheten. Med uttrycket annan liknande registrering av befolkningen i punkten 1 avses så- lunda t.ex. det automatiserade centrala statliga person- och adress- registret SPAR. Försäkringskassans register över befolkningen och Statistiska centralbyråns register över totalbefolkningen, s.k. RTB- register, träffas också av bestämmelsen (Lenberg m.fl., kommen- taren till 22 kap. 1 §).

Punkten 1 är också aktuell för vissa myndighetsregister som om- fattar endast ett begränsat urval av befolkningen. I punkten be- myndigas nämligen regeringen att meddela föreskrifter om sekre- tess i annan verksamhet än den redan nämnda, om verksamheten avser registrering av en betydande del av befolkningen. Hur stor del av befolkningen som härmed avses är inte reglerat i lag eller närmare angivet i några förarbeten. Tanken är emellertid att upp- gifter i sådana register som det ligger nära till hands att söka i efter t.ex. en adress, ska kunna omfattas av sekretess (prop. 1993/94:165 s. 40 f.). Sådana föreskrifter har regeringen meddelat i 6 § offentlig- hets- och sekretessförordningen.

Enligt 6 § offentlighets- och sekretessförordningen gäller sekretess i verksamhet, som avser registrering av betydande del av befolk- ningen, för

1.uppgift om en enskilds personliga förhållanden, om det av sär- skild anledning kan antas att den enskilde eller någon närstående till honom eller henne lider men om uppgiften röjs, och

2.uppgift i form av fotografisk bild av den enskilde, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider men.

279

Sekretess

SOU 2017:97

Sådan verksamhet som avses i bestämmelsen är bl.a. Rekryterings- myndighetens hantering av information om personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret.

Sekretessen enligt ovan nämnda bestämmelser gäller för upp- gifter om enskildas personliga förhållanden. Förutsättningen för sekretessen är att det av särskild anledning kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Det raka skaderekvisit som sålunda föreskrivs innebär att sekre- tesskydd kan ges dels åt uppgifter av typiskt sett ömtålig art – t.ex. uppgifter om ändrad könstillhörighet, adoption m.m. – dels, på grund av speciella omständigheter, åt normalt harmlösa uppgifter. För uppgifter om namn, adress, personnummer, civilstånd eller natio- nalitet gäller alltså normalt inte någon sekretess. Det måste föreligga någon särskild anledning för att sådana uppgifter ska få hemlighållas. En särskild anledning som nämns i förarbetena till offentlighets- och sekretesslagen kan vara t.ex. att uppgifter ur folkbokföringen begärs om utlänningar med en viss nationalitet (prop. 1979/80:2 Del A,

s.211).

12.2.6Totalförsvarsplikt m.m.

Utredning, inskrivning, krigsplacering m.m.

Enligt 38 kap. 1 § offentlighets- och sekretesslagen gäller sekretess för uppgift om en enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i ärende som angår

1.utredning om totalförsvarspliktigas personliga förhållanden,

2.antagning av kvinnor till befattningar inom totalförsvaret som kräver längre grundutbildning än 60 dagar,

3.inskrivning och krigsplacering av totalförsvarspliktiga,

4.antagning till utbildning vid Försvarsmakten, eller

5.skyldighet att tjänstgöra med totalförsvarsplikt samt uppskov med och avbrott i sådan tjänstgöring.

Sekretessen gäller inte beslut i ärende. För uppgift i en allmän hand- ling gäller sekretessen i högst femtio år.

280

SOU 2017:97

Sekretess

Även före pliktregisterlagens införande hade bestämmelsen sin huvudsakliga motsvarighet i 7 kap. 12 § första stycket dåvarande sekretesslagen. Sekretessen gällde i ärende om inskrivning av total- försvarspliktiga och i ärende om antagning av kvinnor till befatt- ningar inom totalförsvaret som krävde längre grundutbildning än 60 dagar för uppgift om enskilds personliga förhållanden, om det kunde antas att den enskilde eller någon honom närstående led men om uppgiften röjdes (nuvarande punkter 2 och 3). Motsvarande sekre- tess gällde i ärende angående antagning till utbildning vid Försvars- makten, skyldighet att tjänstgöra med totalförsvarsplikt samt upp- skov med och avbrott i sådan tjänstgöring (nuvarande punkter 4 och 5). I samband med att pliktregisterlagen infördes kompletterades sekretessen att gälla också uppgifter i utredning om totalförsvars- pliktigas personliga förhållanden samt i ärende om krigsplacering av totalförsvarspliktiga (nuvarande punkter 1 och 3).

Bestämmelsen om sekretess enligt punkten 1 är i första hand tillämplig hos Rekryteringsmyndigheten som ansvarar för och genom- för mönstring och andra utredningar beträffande de totalförsvars- pliktiga. Bestämmelsen är dock även tillämplig hos andra myndig- heter som utför utredningar om totalförsvarspliktigas personliga förhållanden. I förarbetena (prop. 1997/98:80 s. 74 f.) till bestäm- melsen diskuterades frågan om sekretess för personuppgifter som framkommer vid utredning om totalförsvarspliktigas personliga för- hållanden. Sveriges Psykologförbund anförde bl.a. att för uppgifter som framkommit vid en psykologisk undersökning som utförs vid mönstring eller motsvarande gäller endast sekretess enligt ett rakt skaderekvisit. Vid sådan undersökning inhämtas ofta mycket käns- liga uppgifter av personlig natur avseende de enskilda individer som omfattas av undersökningen. När sådan psykologisk undersökning genomförs inom t.ex. hälso- och sjukvården, socialtjänsten eller skolans elevvård, skyddas uppgifter av ett omvänt skaderekvisit. Enligt förbundets uppfattning talade starka skäl för att motsvar- ande sekretesskydd med omvänt skaderekvisit borde införas för uppgifter från psykologiska undersökningar som utförs vid mönst- ring eller motsvarande. Även Rekryteringsmyndigheten ansåg att uppgifter hänförliga till medicinska eller psykologiska undersök- ningar borde skyddas med ett omvänt skaderekvisit. Båda remiss- instanserna påpekade således att journalhandlingar som lämnas från utbildningsenheterna till Rekryteringsmyndigheten liksom uppgifter

281

Sekretess

SOU 2017:97

ur psykologiska undersökningar som utförts hos myndigheten och överlämnas till utbildningsenheter, är skyddade med olika skade- rekvisit beroende på hos vilken myndighet uppgifterna finns. Detta förhållande ansåg regeringen inte vara ändamålsenligt men då frågan inte hade behandlats av utredningen, behövde denna fråga över- vägas ytterligare innan ett ställningstagande kunde göras.

Sekretessen gäller också i ärenden om antagning av kvinnor till vissa befattningar inom totalförsvaret (punkten 2). Lagen (1994:1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning upphävdes dock den 1 juli 2010, då även kvinnor kom att omfattas av de allmänna bestämmelserna om skyldighet att genomgå mönstring och fullgöra värnplikt.

Vidare gäller sekretessen i ärenden om inskrivning och krigs- placering av totalförsvarspliktiga (punkten 3). I denna del är bestäm- melsen tillämplig hos Rekryteringsmyndigheten och Statens över- klagandenämnd. Som exempel på vad som kan sekretessbeläggas vid inskrivningen kan nämnas uppgifter som kommer fram vid de psykologiska undersökningarna. Att det finns behov av sekretess för sådana undersökningar som görs i samband med inskrivning är uppenbart. Vårdmyndigheter lämnar bl.a. känsliga uppgifter om värnpliktiga. Dessa uppgifter omfattas av sekretess hos ursprungs- myndigheterna. De bör inte vara offentliga när de förekommer i ärende om inskrivning av värnpliktig (prop. 1979/80:2 Del A, s. 204 f.). Det är dock inte bara dessa mera utpräglat känsliga uppgifter som bestämmelsen avser att skydda utan den tar sikte på ömtåliga upp- gifter över huvud taget som förekommer i sammanhanget. I fråga om de medicinska undersökningar av hälsotillstånd och fysiska kvalifikationer i övrigt som försiggår vid inskrivningen är också bestämmelserna i 25 kap. 1 § offentlighets- och sekretesslagen tillämpliga. Under grundutbildningen förekommer det att förbands- läkare och annan hälso- och sjukvårdspersonal vid utbildningsenhet- erna för journalanteckningar beträffande pliktpersonal. Rekryterings- myndigheten behöver dessa journalanteckningar som underlag vid bedömningen av hur den totalförsvarspliktige bäst ska kunna an- vändas inom totalförsvaret efter genomförd grundutbildning. Sekre- tess kan gälla även för dessa uppgifter.

Sekretessen enligt första stycket gäller också i ärenden om antag- ning till utbildning vid Försvarsmakten (punkten 4). Härmed avses framför allt de särskilda prövningar som vissa aspiranter till fast

282

SOU 2017:97

Sekretess

anställning vid försvaret går igenom före antagningen. Den 1 juli 2010 infördes vissa frivilliga utbildningar inom Försvarsmakten. Bestäm- melsen är tillämplig på ömtåliga personliga uppgifter som förekom- mer vid dessa prövningar i samband med t.ex. psykologiska prov och medicinska och andra undersökningar.

Vidare gäller sekretessen enligt första stycket i ärenden som angår skyldighet att tjänstgöra med totalförsvarsplikt samt uppskov med och avbrott i sådan tjänstgöring (punkten 5).

En förutsättning för att sekretess ska gälla i de aktuella ärendena enligt punkterna 1–5 är att det kan antas att uppgifterna gäller en- skilds personliga förhållanden samt att den enskilde eller någon närstående till denne lider men om uppgifterna röjs. Ett rakt skade- rekvisit gäller alltså med en presumtion för offentlighet. Genom att sekretessen är begränsad till att gälla endast för uppgifter om en- skilds personliga förhållanden kan bara sådana uppgifter om ekono- miska förhållanden som är av mera personlig natur sekretesskyddas. Detta innebär t.ex. att en näringsidkare inte kan påräkna något sekretesskydd för uppgifter om sin rörelse som lämnas i ett an- ståndsärende (Lenberg, E. m.fl., kommentaren till 38 kap. 1 §).

Personalvård för den som tjänstgör med totalförsvarsplikt

Enligt 38 kap. 2 § offentlighets- och sekretesslagen gäller sekretess inom personalvård med avseende på den som tjänstgör med total- försvarsplikt för uppgift som hänför sig till psykologisk undersök- ning och för uppgift om en enskilds personliga förhållanden hos en konsulent eller annan befattningshavare som särskilt har till uppgift att bistå med råd och hjälp i personliga angelägenheter, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. För uppgift i en allmän handling gäller sekretessen i högst femtio år.

283

Sekretess

SOU 2017:97

Enligt bestämmelsen gäller sekretess inom Försvarsmaktens per- sonalsociala verksamhet avseende de totalförsvarspliktiga. Sekre- tessen gäller med ett omvänt skaderekvisit och tar sikte på bl.a. uppgifter som hänför sig till psykologisk undersökning. Det råder således en presumtion för att uppgifterna omfattas av sekretess. Att märka är att psykologiska undersökningar som sker i annat än per- sonalvårdande sammanhang, t.ex. vid inskrivningen, inte omfattas av den strängare sekretessen i denna paragraf. Sekretessen gäller här vidare för uppgifter om enskildas personliga förhållanden hos för- svarets särskilda personalvårdsfunktionärer. I fråga om den personal- sociala verksamhet som avser anställda inom Försvarsmakten finns motsvarande bestämmelser i 39 kap. 1 § offentlighets- och sekre- tesslagen (Lenberg, E. m.fl., kommentaren till 38 kap. 2 §).

Utbildning för totalförsvarsändamål

Enligt 38 kap. 3 § offentlighets- och sekretesslagen gäller sekretess inom verksamhet som avser utbildning för totalförsvarsändamål av den som tjänstgör med totalförsvarsplikt för uppgift som hänför sig till psykologisk undersökning och för uppgift om en enskilds per- sonliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. För uppgift i en allmän handling gäller sekretessen i högst femtio år.

Sekretess gäller således för uppgifter som hänför sig till psyko- logiska undersökningar och för uppgifter om den totalförsvars- pliktiges personliga förhållanden inom verksamhet som avser utbild- ning för totalförsvarsändamål. Bestämmelsen är därmed tillämplig hos befattningshavare vid totalförsvarets utbildningsenheter.

Av förarbetena (prop. 1997/98:80, s. 75 f.) till bestämmelsen framgår bl.a. följande. När den totalförsvarspliktige rycker in till grundutbildning får den utbildningsansvarige, utöver basdata som adress, personnummer osv., tillgång till en mängd känsliga uppgifter om den totalförsvarspliktige. Av uppgifterna framgår bl.a. omdömen lämnade av Rekryteringsmyndigheten om den totalförsvarspliktiges psykiska funktionsförmåga, allmänna begåvning, hälsa, fysiska arbets- förmåga samt befäls- och arbetsledarlämplighet. Uppgifterna lämnas i form av ett hälsokort och ett grundutbildningskort. I grundutbild- ningskortet anges till en början den kravprofil som ställs för den

284

SOU 2017:97

Sekretess

befattning den totalförsvarspliktige tagits ut till både vad avser psyko- logisk profil och medicinsk profil. Kraven anges med en graderad sifferkod och med en skriftlig redogörelse för graderingens betydelse. I utbildningskortet anges därefter den pliktiges psykologiska profil och medicinska profil ställd mot nyss nämnda kravprofil för befatt- ningen. Avseende psykologisk profil för den totalförsvarspliktige anges, utöver en sifferkod, skriftliga omdömen om dennes befäls- och arbetsledarlämplighet, psykiska funktionsförmåga, resultat av begåv- ningsprov och hälsa. I den medicinska profilen anges skriftliga om- dömen om bl.a. uppgifter om den pliktiges fysiska arbetsförmåga och även sådana uppgifter som exempelvis anlag för cellskräck eller svindel.

Sekretessen avgränsas med ett omvänt skaderekvisit. Detta inne- bär att en uppgift inte får lämnas ut, om det inte står klart att uppgif- ten kan röjas utan att den enskilde eller hans eller hennes närstående lider men. Presumtionen är alltså för sekretess. Enligt regeringen motiverar de aktuella personuppgifternas känslighet ett omvänt skaderekvisit (a. prop. s. 76). Som påpekats ovan, har uppgifter från psykologiska undersökningar således ett starkare sekretesskydd hos befattningshavaren vid utbildningsenheten än vad uppgifterna har hos Rekryteringsmyndigheten.

Det förekommer att utbildning av totalförsvarspliktiga som ska tjänstgöra med civilplikt genomförs hos ett organ som inte är en myndighet. Om det skulle vara aktuellt att lämna ut uppgifter till dessa utbildningsanordnare, torde detta kunna ske med förbehåll med stöd av 10 kap. 14 § offentlighets- och sekretesslagen (a. prop. s. 76).

12.3Våra överväganden och förslag

12.3.1Ett förstärkt sekretesskydd

Utredningens bedömning och förslag: Uppgifter om totalför- svarspliktigas personliga förhållanden omfattas av sekretesskydd i flera bestämmelser i offentlighets- och sekretesslagen. Dessa bestämmelser täcker den verksamhet där Rekryteringsmyndig- heten använder sig av sådana uppgifter. Det finns således inget behov av andra sekretessbestämmelser än de befintliga för att skydda de totalförsvarspliktigas personliga integritet.

285

Sekretess

SOU 2017:97

Sekretesskyddet bör dock stärkas i ärenden som rör utred- ning, inskrivning, krigsplacering m.m. Ett sekretesskydd med omvänt skaderekvisit ska därför införas i 38 kap. 1 § offentlig- hets- och sekretesslagen. Det innebär att uppgifter om enskilds personliga förhållanden som förekommer i den typen av ären- den inte får lämnas ut, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Skäl att förlänga sekretesstiden har dock inte kommit fram.

Tanken bakom såväl offentlighets- och sekretesslagstiftningen som personuppgiftslagen och annan lagstiftning som reglerar behand- lingen av personuppgifter är behovet av att kunna skydda den enskildes personliga integritet. När information ska utbytas eller lämnas ut måste hänsyn tas till om – och i så fall i vilken grad – sekretess gäller för de aktuella uppgifterna. Samtidigt är det viktigt med ett effektivt sekretesskydd för känsliga personuppgifter.

Den behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret som sker i Rekryteringsmyndig- hetens verksamhet omfattas av den befintliga sekretessregleringen som det redogjorts för i avsnitt 12.2. Dessa bestämmelser täcker den verksamhet där Rekryteringsmyndigheten använder sig av sådana uppgifter. Det finns således inget behov av andra sekretessbestäm- melser än de befintliga för att skydda de totalförsvarspliktigas per- sonliga integritet.

Samtliga uppgifter som Rekryteringsmyndigheten erhåller och behandlar vid bl.a. utredning om totalförsvarspliktigas personliga förhållanden, inskrivning och krigsplacering av totalförsvarspliktiga, antagning till utbildning vid Försvarsmakten eller vid tjänstgöring med totalförsvarsplikt omfattas av sekretess enligt 38 kap. 1 § offent- lighets- och sekretesslagen. För uppgifterna råder en presumtion för offentlighet (rakt skaderekvisit). I den mån uppgifter om en totalförsvarspliktigs hälsotillstånd förekommer inom ramen för den medicinska grenen av verksamheten omfattas de dock även av sekre- tess enligt 25 kap. 1 § offentlighets- och sekretesslagen och skyddas då av ett omvänt skaderekvisit. För denna typ av uppgifter är alltså sekretesskyddets styrka beroende av var i verksamheten som upp- gifterna befinner sig. Uppgifter om den totalförsvarspliktiges per- sonliga förhållanden som framkommer vid mönstring eller annan utredning lämnas regelmässigt över till befattningshavare vid total-

286

SOU 2017:97

Sekretess

försvarets utbildningsenheter, företrädesvis Försvarsmakten. För denna verksamhet gäller det motsatta förhållandet, dvs. det råder en presumtion för sekretess (omvänt skaderekvisit). Detta innebär att samtliga uppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret som lämnas över från Rekryteringsmyndig- heten till Försvarsmakten eller andra mottagare för utbildning för totalförsvarsändamål, åtnjuter ett svagare sekretesskydd hos Rekry- teringsmyndigheten än hos totalförsvarets utbildningsenheter.

Detta förhållande, som uppmärksammades av regeringen redan vid tillkomsten av bestämmelsen i dess nuvarande lydelse, är enligt vår bedömning inte tillfredsställande. En betydande del av de upp- gifter som lämnas till och behandlas av Rekryteringsmyndigheten är antingen känsliga personuppgifter eller uppgifter av mycket integritetskänslig karaktär. Därtill rör det sig om en betydande mängd uppgifter om en stor del av befolkningen. Flertalet av uppgifterna härrör också från den lagstadgade skyldigheten för totalförsvars- pliktiga att lämna uppgifter om sina personliga förhållanden och lämnas under straffansvar (jfr 2 kap. 1 § och 10 kap. 1 § lagen (1994:1809) om totalförsvarsplikt). Dessa omständigheter talar sam- mantaget för att uppgifterna bör omfattas av ett starkt sekretesskydd även hos Rekryteringsmyndigheten. Uppgifterna bör följaktligen åtnjuta ett lika starkt sekretesskydd hos Rekryteringsmyndigheten som hos totalförsvarets utbildningsenheter. Vi föreslår mot denna bakgrund att ett motsvarande sekretesskydd med omvänt skade- rekvisit bör införas i 38 kap. 1 § offentlighets- och sekretesslagen. Uppgifter om en enskilds personliga förhållanden som avses i denna bestämmelse ska således inte få lämnas ut, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Ett förstärkt sekretessskydd kommer därmed även att gälla i de fall andra myndigheter ska tillämpa bestämmelsen såsom Statens ansvarsnämnd och Försvarsmakten.

Det kan konstateras att uppgifter om enskilds hälsotillstånd åtnjuter sekretesskydd under en längre tid enligt 25 kap. 1 § offentlighets- och sekretesslagen än uppgifter som behandlas i Rekryteringsmyndighetens verksamhet med stöd av 38 kap. 1 §. Skäl att stärka sekretesskyddet enligt den senare bestämmelsen också på så sätt att sekretesstiden förlängs har emellertid inte kommit fram.

Lagen om möjlighet för kvinnor att fullgöra värnplikt eller civil- plikt med längre grundutbildning har upphävts. Eftersom uppgift-

287

Sekretess

SOU 2017:97

erna bevaras fram till dess att den enskilde fyller 47 år finns det dock fortfarande behov av sekretess för uppgifter som har lämnats i ärenden enligt den lagen. Bestämmelsen i 38 kap. 1 § 2 om sekre- tess för uppgift som förekommer i ärende som angår antagning av kvinnor till befattningar inom totalförsvaret som kräver längre grund- utbildning än 60 dagar bör därför finnas kvar.

12.3.2En ny sekretessbrytande bestämmelse

Utredningens förslag: Den del av Rekryteringsmyndighetens verksamhet som avser medicinsk insats ska trots sekretess kunna lämna uppgift om en enskild till inskrivningsverksamheten inom samma myndighet, om det krävs att uppgiften lämnas för inskriv- ning enligt lagen (1994:1809) om totalförsvarsplikt.

Enligt 38 kap. 1 § första stycket 1 offentlighets- och sekretesslagen gäller sekretess för samtliga uppgifter som framkommer vid utred- ning om totalförsvarspliktigas personliga förhållanden. Uppgifter om hälsotillstånd som lämnas i samband härmed inom ramen för den medicinska grenen av verksamheten omfattas även av sekretess enligt 25 kap. 1 § offentlighets- och sekretesslagen. Enligt denna bestämmelse gäller sekretess även inom annan medicinsk verksam- het än hälso- och sjukvård, varmed bl.a. avses Rekryteringsmyndig- hetens verksamhet, för uppgifter om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider men. För Rekryteringsmyndighetens medicinska verksamhet gäller således samma sekretess som för annan hälso- och sjukvård.

Möjligheten att lämna ut sekretessbelagda uppgifter som om- fattas av sekretess enligt 25 kap. 1 § offentlighets- och sekretess- lagen till annan verksamhet är mycket begränsad och förekommer endast i undantagsfall (se de sekretessbrytande bestämmelserna i 25 kap. 11–14 §§ offentlighets- och sekretesslagen). Sekretess en- ligt 25 kap. 1 § har också undantagits från tillämpningsområdet för den s.k. generalklausulen i 10 kap. 27 § offentlighets- och sekre- tesslagen, som i vissa fall bryter sekretess mellan myndigheter (andra stycket).

288

SOU 2017:97

Sekretess

Enligt 8 kap. 1 § offentlighets- och sekretesslagen får en uppgift för vilken sekretess gäller enligt den lagen inte röjas för andra myndigheter, om inte annat anges i den lagen eller i lag eller för- ordning som lagen hänvisar till. Av 8 kap. 2 § följer att vad som föreskrivs om sekretess mot andra myndigheter i 1 § och vad som föreskrivs i andra bestämmelser om uppgiftslämnande till andra myndigheter och överföring av sekretess mellan myndigheter, gäller också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra. Det är således inte fritt fram för personal inom en myndighet att lämna uppgifter som omfattas av sekretess till varandra.

Frågan om det finns en sekretessgräns mellan olika verksam- heter inom en myndighet har behandlats i ett antal olika proposi- tioner (se t.ex. prop. 2007/08:126, s. 162 f.). I dessa förarbeten har slagits fast att om olika delar av en myndighets verksamhet har att tillämpa olika sekretessbestämmelser får de anses utgöra olika verk- samhetsgrenar i sekretesslagens mening. Först om olika delar av en myndighet utgör olika verksamhetsgrenar i sekretesslagens mening finns det skäl att även ta ställning till om de också är att betrakta som självständiga i förhållande till varandra. Frågan om när verk- samhetsgrenar inom samma myndighetsorganisation är att betrakta som självständiga i förhållande till varandra kan dock vara svår- bedömd och har diskuterats både i lagstiftningsarbetet och i rätts- praxis (se bl.a. a. prop. s. 162 f. och HFD 2013 ref. 40).

Det kan konstateras att den behandling av personuppgifter som utförs inom Rekryteringsmyndighetens medicinska verksamhet om- fattas av patientdatalagens tillämpningsområde. Uppgifter om en totalförsvarspliktigs hälsotillstånd som behandlas i denna verksam- het, t.ex. vid medicinska undersökningar, omfattas av den s.k. hälso- och sjukvårdssekretessen i 25 kap. 1 § offentlighets- och sekretess- lagen. Den verksamhet som bedrivs i samband med inskrivning av totalförsvarspliktiga till värnplikt, civilplikt eller i en utbildnings- reserv enligt lagen om totalförsvarsplikt omfattas av pliktregisterlagen och kommer även att omfattas av den nya lagens tillämpningsområde. De uppgifter som behandlas i denna verksamhet omfattas av sekre- tess enligt 38 kap. 1 § offentlighets- och sekretesslagen.

Eftersom inskrivningsverksamheten och den medicinska delen av verksamheten tillämpar helt skilda sekretessbestämmelser talar mycket för att de kan anses utgöra olika verksamhetsgrenar i offent-

289

Sekretess

SOU 2017:97

lighets- och sekretesslagens mening. Vidare är Rekryteringsmyn- digheten organiserad på ett sådant sätt att det kan hävdas att de båda verksamhetsgrenarna kan anses vara självständiga i förhållande till varandra. Det kan därför finnas ett behov av att möjligheten att lämna över uppgifter från den medicinska verksamheten till inskriv- ningsverksamheten säkerställs genom en sekretessbrytande bestäm- melse.

För att ställning ska kunna tas till om en totalförsvarspliktig ska skrivas in till värnplikt, civilplikt eller i en utbildningsreserv enligt lagen om totalförsvarsplikt behövs uppgifter om den totalförsvars- pliktiges hälsa. Uppgifter om hälsa inhämtas framför allt vid de medi- cinska undersökningar som genomförs i samband med mönstringen. För att inskrivningshandläggarna ska kunna fatta ett välgrundat beslut om inskrivning krävs att de har tillgång till ett fullständigt beslutsunderlag om den totalförsvarspliktiges hälsotillstånd. Uppgif- terna behövs också för att ställning ska kunna tas till om den total- försvarspliktige av hälsoskäl inte är lämplig för tjänstgöring inom totalförsvaret.

För att säkerställa att uppgifter om hälsotillstånd kan lämnas över från Rekryteringsmyndighetens medicinska verksamhet till personal som arbetar inom inskrivningsverksamheten utan hinder av sekre- tess, föreslår vi att en sekretessbrytande bestämmelse införs i 25 kap. offentlighets- och sekretesslagen. Bestämmelsen ska endast vara tillämplig då uppgifter lämnas inom Rekryteringsmyndigheten. Det ska också understrykas att uppgifter bara får lämnas till den per- sonal inom inskrivningsverksamheten som behöver dem för beslut om inskrivning enligt lagen om totalförsvarsplikt. I förhållande till övrig personal gäller vanliga regler om sekretess.

290

13 Ikraftträdande

13.1Ikraftträdande

Utredningens förslag: Lagen och förordningen liksom lagen om ändring i offentlighets- och sekretesslagen ska träda i kraft den 1 november 2018.

Dataskyddsförordningen trädde i kraft den 4 maj 2016. Enligt arti- kel 99.2 i dataskyddsförordningen ska förordningen tillämpas från och med den 25 maj 2018. Av artikel 94 följer vidare att dataskydds- direktivet ska upphöra att gälla med verkan från samma dag och att hänvisningar till det upphävda direktivet ska anses som hänvis- ningar till förordningen. Eftersom dataskyddsförordningen till alla delar är bindande och direkt tillämplig i medlemsstaterna, måste nationella författningar som inte är förenliga med förordningen antingen upphävas eller anpassas per detta datum.

Dataskyddsutredningen har föreslagit att den kompletterande dataskyddslagen ska träda i kraft den 25 maj 2018, samtidigt som personuppgiftslagen (1998:204) ska upphöra att gälla. Personupp- giftslagen föreslås dock övergångsvis fortsätta gälla i den utsträck- ning som det i en annan lag eller förordning finns bestämmelser som innehåller hänvisningar till den (SOU 2017:39, s. 340 f.). Vårt förslag till ny lag och förordning har utformats mot bakgrund av den föreslagna dataskyddslagens bestämmelser. Eftersom den nya lagen föreslås ha företräde framför dataskyddslagen (se avsnitt 6.2.6) innebär det att bestämmelserna i dataskyddslagen ska gälla om inte annat följer av den nya lagen eller föreskrifter som har meddelats med stöd av denna. En förutsättning för att den nya lagen och förordningen ska kunna träda i kraft är därmed att dataskyddslagen har trätt i kraft. Eftersom både dataskyddsförordningen och data- skyddslagen ska tillämpas från och med den 25 maj 2018 bör den

291

Ikraftträdande

SOU 2017:97

föreslagna regleringen träda i kraft så snart som möjligt därefter. Vi föreslår därför att den nya lagen och förordningen ska träda i kraft den 1 november 2018.

Eftersom dataskyddsförordningen är direkt tillämplig och enligt vårt förslag i tillämpliga delar ska tillämpas av Rekryteringsmyn- digheten från och med den 25 maj 2018 (se 1 kap. 2 § dataskydds- lagen) medför ett införande av de föreslagna övergångsbestämmel- serna vissa tillämpningsproblem för myndigheten. Som övergångs- bestämmelserna är utformade innebär de att personuppgiftslagen, genom hänvisningen till densamma i pliktregisterlagen, övergångs- vis ska tillämpas trots att dataskyddsförordningen är direkt tillämplig och därigenom har företräde framför personuppgiftslagen. I prak- tiken innebär det att Rekryteringsmyndigheten under övergångs- perioden den 25 maj 2018 till och med den 31 oktober 2018 har att tillämpa fyra lagar parallellt – dataskyddsförordningen, dataskydds- lagen, personuppgiftslagen och pliktregisterlagen. Rekryterings- myndighetens behandling av personuppgifter utgör emellertid ett led i en verksamhet som inte omfattas av unionsrätten och faller som sådan utanför dataskyddsförordningens egentliga tillämpnings- område (jfr artikel 2.2. a i dataskyddsförordningen). Det är således inte nödvändigt att dataskyddsförordningen och dataskyddslagen ska tillämpas redan från och med den 25 maj 2018. I stället skulle enbart pliktregisterlagen och personuppgiftslagen kunna tillämpas under övergångsperioden. Detta förutsätter emellertid att övergångs- bestämmelserna till dataskyddslagen utformas på ett annat sätt än vad som nu har föreslagits. Denna fråga får således beaktas inom ramen för det fortsatta lagstiftningsarbetet om införandet av den kompletterande dataskyddslagen och de överväganden som då görs av behovet av övergångsbestämmelser till den lagen.

De föreslagna ändringarna i offentlighets- och sekretesslagen (2009:400) är i och för sig inte beroende av att dataskyddsförord- ningen och dataskyddslagen har trätt i kraft men bör ändå träda i kraft vid samma tidpunkt som den nya lagen och förordningen, dvs. den 1 november 2018.

Eftersom den nya lagen och förordningen ersätter pliktregister- lagen respektive förordningen (1998:1229) om behandling av per- sonuppgifter om totalförsvarspliktiga, bör dessa författningar upp- hävas när den nya regleringen träder i kraft. Den nya lagen och för- ordningen kompletterar dataskyddsförordningen och den föreslagna

292

14 Konsekvenser

14.1Vårt uppdrag

Kommittéförordningen

Enligt 14–15 a §§ kommittéförordningen (1998:1474) ska en utred- ning redovisa vilka konsekvenser förslagen i ett betänkande kan få i vissa avseenden. Om förslagen i ett betänkande påverkar kostnad- erna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda, ska en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen innebär samhällsekonomiska konsekven- ser i övrigt, ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, ska kommittén föreslå en finansiering (14 §). Om förslagen i ett be- tänkande har betydelse för den kommunala självstyrelsen, ska kon- sekvenserna i det avseendet anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsföre- byggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrens- förmåga eller villkor i övrigt i förhållande till större företags, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen (15 §). Om ett betänkande inne- håller förslag till nya eller ändrade regler, ska förslagens kostnads- mässiga och andra konsekvenser anges i betänkandet. Konsekven- serna ska anges på ett sätt som motsvarar de krav på innehållet i konsekvensutredningar som finns i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning (15 a §).

295

Konsekvenser

SOU 2017:97

Våra direktiv

Enligt våra direktiv ska vi bedöma de ekonomiska konsekvenserna för det allmänna och för enskilda som utredningens förslag kan komma att medföra. Om förslagen kan förväntas leda till kostnads- ökningar för det allmänna ska vi föreslå hur dessa ska finansieras. Vi ska också redovisa förslagens konsekvenser för den personliga integriteten.

14.2Vårt förslag till ny reglering

I enlighet med våra direktiv har vi utarbetat ett förslag till en ny lag om behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret i Rekryteringsmyndighetens verksam- het (totalförsvarsdatalagen) och en anslutande förordning (totalför- svarsdataförordningen) som föreslås ersätta den nu gällande plikt- registerlagen respektive förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga. Vi har också analyserat vilket förhållande lagstiftningen ska ha till EU:s dataskyddsförord- ning och den kommande kompletterande dataskyddslagen. I den delen har vi funnit att dataskyddsförordningen och den kompletterande dataskyddslagen i tillämpliga delar ska tillämpas vid Rekryterings- myndighetens behandling av personuppgifter i enlighet med bestäm- melserna i förslaget till dataskyddslag. Utgångspunkten för vårt uppdrag har varit att Rekryteringsmyndighetens verksamhet ska kunna bedrivas effektivt med rationellt datorstöd samtidigt som enskildas rätt till personlig integritet tillgodoses.

Syftet med förslagen är att införa en modern, teknikneutral och flexibel reglering för Rekryteringsmyndighetens personuppgifts- behandling för att myndighetens verksamhet ska kunna bedrivas så effektivt och ändamålsenligt som möjligt samtidigt som enskildas rätt till personlig integritet tillgodoses vid sådan behandling.

296

SOU 2017:97

Konsekvenser

14.3Konsekvenser för den personliga integriteten

Vår bedömning: Sammantaget gör vi bedömningen att våra förslag innebär en förstärkning av skyddet för enskildas personliga integritet. Förslagen kan emellertid i vissa enskilda delar uppfattas ha negativa konsekvenser för den personliga integriteten. I dessa delar har den avvägning som vi har gjort mellan detta och andra intressen redovisats.

Dataskyddsförordningens bestämmelser anses sammantaget inne- bära ett förstärkt skydd för enskildas personliga integritet och ge enskilda bättre möjligheter att kontrollera behandlingen av deras personuppgifter. Vårt förslag innebär att förordningens bestäm- melser i tillämpliga delar även ska tillämpas i fråga om Rekryterings- myndighetens behandling av personuppgifter liksom bestämmelser i den kompletterande dataskyddslagen. Enbart i de fall där det finns behov av särskilda bestämmelser för myndighetens del har sådana föreslagits. Dessa bestämmelser innebär i flertalet fall inte någon avvikelse från de generellt tillämpliga bestämmelserna utan endast en precisering av dessa. Våra författningsförslag syftar allmänt till att modernisera regleringen så att den är anpassad till gällande ter- minologi och dagens användning av datorstöd samt annan reglering på området. På detta sätt blir regleringen tydligare och enklare att tillämpa. Sammantaget innebär detta enligt vår bedömning en för- stärkning av skyddet för enskildas personliga integritet vid Rekry- teringsmyndighetens behandling av personuppgifter.

I enlighet med vårt uppdrag har vi också analyserat den behand- ling av personuppgifter som får ske hos Rekryteringsmyndigheten utifrån det nya grundlagsskyddet för den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen. Genom vår analys har vi funnit att grundlagsskyddet påkallar lagstöd för vissa delar av den behandling som sker och vi har utformat våra bestämmelser utifrån det. I samband därmed har vi också funnit att de grundläggande bestämmelserna för behandling av personuppgifter om totalförsvars- pliktiga bör ges i form av lag, medan övriga bestämmelser kan regleras på en lägre normhierarkisk nivå i form av förordning. Det kan således konstateras att skyddet för den personliga integriteten har beaktats också utifrån ett mer principiellt perspektiv.

297

Konsekvenser

SOU 2017:97

I materiell mening innebär förslagen inte så stora förändringar jämfört med den nu gällande regleringen. Däremot har de enskilda bestämmelserna om exempelvis ändamålsbegränsningar, sökförbud och avskiljande av personuppgifter utformats så att de är bättre anpassade till dagens förhållanden både rent faktiskt och rättsligt. Bestämmelsen om begränsning av tillgången till personuppgifter är dock en nyhet och innebär ett förstärkt skydd för den personliga integriteten. Även förslaget om ett starkare sekretesskydd för upp- gift om enskilds personliga förhållanden i ärenden om bl.a. utred- ning om totalförsvarspliktigas personliga förhållanden innebär ett förstärkt integritetsskydd.

Det föreslagna undantaget för behandling av känsliga personupp- gifter innebär en utvidgad möjlighet till behandling både i förhåll- ande till nu gällande bestämmelser i pliktregisterlagen och till vad som avses gälla generellt på myndighetsområdet i den kommande dataskyddslagen. Bestämmelsen har emellertid utformats med en begränsning att sådan behandling måste vara absolut nödvändig för de i lagen angivna ändamålen. Det är vår bedömning att förslaget är väl motiverat med hänsyn till Rekryteringsmyndighetens behov. Det får därför anses vara ett viktigt allmänt intresse att behand- lingen kan ske. Bestämmelsen har dock avgränsats så att nödvändiga integritetsskyddsaspekter beaktas. Vårt förslag om att dataskydds- förordningens och dataskyddslagens bestämmelser om tillsynsmyn- dighetens befogenhet att förbjuda behandling inte ska gälla vid behandling enligt denna lag kan uppfattas som negativt för skyddet för enskildas personliga integritet. Detsamma gäller det föreslagna undantaget från skyldigheten att rapportera personuppgiftsinci- denter till tillsynsmyndigheten enligt dataskyddsförordningen. Båda förslagen har emellertid motiverats med hänsyn till att myndig- hetens verksamhet har betydelse för rikets säkerhet.

Det kan konstateras att våra förslag i vissa enskilda delar kan upp- fattas ha negativa konsekvenser för den personliga integriteten. I dessa delar har den avvägning som vi har gjort mellan detta och andra intressen redovisats. Sammantaget gör vi emellertid bedöm- ningen att förslagen innebär en förstärkning av skyddet för enskildas personliga integritet.

298

SOU 2017:97

Konsekvenser

14.4Ekonomiska konsekvenser

Vår bedömning: Förslagen kommer inte att innebära någon kost- nadsökning för det allmänna eller för enskilda.

Vår konsekvensbedömning utgår från vårt uppdrag så som det är formulerat i direktiven. Det innebär att vi har gjort en analys av om den nya lagstiftningen bör vara helt fristående och har därvid funnit att dataskyddsförordningen och den kompletterande dataskydds- lagen i tillämpliga delar i princip ska tillämpas även i fråga om Rekryteringsmyndighetens behandling av personuppgifter. Genom bestämmelser i dataskyddslagen görs dataskyddsförordningen tillämplig även för personuppgiftsbehandling som sker i verksam- het som inte omfattas av unionsrätten. En konsekvensanalys av denna bestämmelse görs i det lagstiftningsärende som rör den lagen. Det framstår inte som meningsfullt att i detalj försöka analysera vilka konsekvenser som enskilt kan uppstå för Rekryteringsmyn- digheten med anledning av detta. Vi har därför begränsat konse- kvensanalysen till sådana konsekvenser som följer direkt av våra förslag. I de delar dataskyddsförordningen och den kompletterande dataskyddslagen ska tillämpas av Rekryteringsmyndigheten kan det dock antas uppstå behov av ökad administration, nya interna rutiner, utbildningsinsatser m.m.

Förslagen avser att reglera en redan pågående verksamhet hos Rekryteringsmyndigheten och har därför anpassats till befintliga informationssystem. Dessa kan således behållas. Eftersom förslagen är teknikoberoende kan även informationssystemen utvecklas och ändras utan att lagstiftningen behöver ändras. De krav som regler- ingen ställer bör därför kunna uppfyllas genom en anpassning eller utveckling av de befintliga systemen samt genom utbildning och instruktioner till myndighetens anställda. Kostnader för utbildning täcks normalt av myndighetens anslag och bör därför rymmas inom befintliga kostnadsramar. Nya interna föreskrifter och styrande dokument som kan komma att krävas med anledning av den nya lagstiftningen får anses ingå i de normala uppgifterna för Rekry- teringsmyndigheten. Även förslaget om krav på avskiljande får an- ses utgöra en del av det ordinarie utvecklingsarbetet och borde följaktligen inte medföra några större merkostnader för Rekryterings- myndigheten.

299

15 Författningskommentar

15.1Förslaget till totalförsvarsdatalag

Lagens syfte

1 § Syftet med denna lag är att ge Totalförsvarets rekryteringsmyndig- het (Rekryteringsmyndigheten) möjlighet att i sin verksamhet behand- la personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret på ett effektivt och ändamålsenligt sätt samtidigt som skyddet för den enskildes personliga integritet tillgodoses vid sådan behandling.

I paragrafen anges lagens övergripande syfte. Övervägandena finns i avsnitt 7.2.

Syftet med lagen är dubbelt. Lagen ska både ge Rekryterings- myndigheten möjlighet att i sin verksamhet behandla personupp- gifter om totalförsvarspliktiga och annan personal inom försvaret på ett effektivt och ändamålsenligt sätt och samtidigt skydda en- skilda mot att deras personliga integritet kränks vid sådan behand- ling. Därmed tydliggörs att lagen har till syfte att balansera båda dessa intressen.

Paragrafen är en portalbestämmelse som har en informativ och symbolisk betydelse. Paragrafen klargör dels den övergripande mål- sättningen med regleringen, vilken är att reglera Rekryterings- myndighetens personuppgiftsbehandling i förhållande till enskildas behov av dataskydd. Paragrafen klargör även att lagen endast inne- håller dataskyddsrättsliga bestämmelser och att den ger vägledning för hur de materiella bestämmelserna i lagen bör tolkas.

301

Författningskommentar

SOU 2017:97

Lagens tillämpningsområde

2 § Denna lag tillämpas i Rekryteringsmyndighetens verksamhet vid behandling av personuppgifter om totalförsvarspliktiga och annan per- sonal inom totalförsvaret.

I de fall det anges särskilt gäller lagen även i verksamhet som be- drivs av någon annan än Rekryteringsmyndigheten.

När sådan behandling av personuppgifter som avses i första stycket utförs av Rekryteringsmyndigheten i egenskap av vårdgivare inom hälso- och sjukvården tillämpas patientdatalagen (2008:355).

Paragrafen anger lagens materiella tillämpningsområde. Övervägan- dena finns i avsnitt 7.3.3 (första och andra stycket) och 7.3.5 (tredje stycket).

I första stycket anges att lagen tillämpas i Rekryteringsmyndig- hetens verksamhet vid behandling av personuppgifter om totalför- svarspliktiga och annan personal inom totalförsvaret. Begreppen behandling respektive personuppgifter har samma betydelse som i artikel 4 i dataskyddsförordningen. Med behandling avses således en åtgärd eller kombination av åtgärder beträffande personuppgif- ter eller uppsättningar av personuppgifter, oberoende av om de ut- förs automatiserat eller inte, såsom insamling, registrering, organi- sering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, be- gränsning, radering eller förstöring. Begreppet personuppgifter omfattar varje upplysning som avser en identifierad eller identi- fierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hän- visning till en identifierare som ett namn, ett identifikationsnum- mer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Behandling av personuppgifter om avlidna eller juridiska personer omfattas således inte av lagens bestämmelser (jfr arti- kel 4.1 och skäl 27 i dataskyddsförordningen).

Både behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret omfattas. Med behandling av personuppgifter om annan personal inom totalförsvaret avses den

302

SOU 2017:97

Författningskommentar

behandling som Rekryteringsmyndigheten på grund av sitt uppdrag utför beträffande både anställd personal och avtalspersonal. Bestäm- melsen är uttömmande i den meningen att lagen varken är tillämp- lig på Rekryteringsmyndighetens interna administrativa verksam- het eller civila uppdragsverksamhet. Med administrativ verksamhet avses t.ex. anställning och avlöning av personal, lokalfrågor, faktura- hantering och liknande administrativa göromål hos myndigheten. Den civila uppdragsverksamheten omfattar uppdrag som Rekry- teringsmyndigheten inom sakområdet åtar sig att utföra åt andra myndigheter, kommuner, landsting och enskilda, exempelvis upp- drag om rekrytering åt Polismyndigheten, Kriminalvården eller Myndigheten för samhällsskydd och beredskap. Även behandling av personuppgifter om rekryter som genomgår utbildning enligt förordningen (2015:613) om militär grundutbildning faller utanför lagens tillämpningsområde. Detsamma gäller sådan behandling av personuppgifter om totalförsvarspliktiga som bemanningsansvariga organ utför. Behandling av personuppgifter inom viss annan verk- samhet faller också utanför lagens tillämpningsområde på grund av hur tillämpningsområdet för dataskyddsförordningen respektive den kompletterande dataskyddslagen har bestämts.

I andra stycket anges att i de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av någon annan än Rekryterings- myndigheten. Här avses i första hand 9 § andra stycket som ger annan än Rekryteringsmyndigheten rätt att behandla känsliga per- sonuppgifter enligt lagen vid annan utredning om den totalförsvars- pliktiges personliga förhållanden enligt 2 kap. 1 § lagen (1994:1809) om totalförsvarsplikt. I 4 kap. 5 § andra stycket förordningen (1995:238) om totalförsvarsplikt anges uttömmande vilka aktörer som har så- dan rätt. Därtill kan Försvarsmakten medges rätt att föra in och rätta personuppgifter i Rekryteringsmyndighetens informations- system (14 § första stycket). Även annan aktör än Försvarsmakten kan medges en sådan rätt (14 § andra stycket).

Tredje stycket innehåller en upplysning om att patientdatalagen tillämpas när sådan behandling av personuppgifter som avses i första stycket utförs av Rekryteringsmyndigheten i egenskap av vårdgiva- re inom hälso- och sjukvården. Genom bestämmelsen erinras om att vårdgivares behandling av personuppgifter inom hälso- och sjuk- vården, dvs. sådan personuppgiftsbehandling som utförs i Rekry-

303

Författningskommentar

SOU 2017:97

teringsmyndighetens medicinska verksamhet, omfattas av patient- datalagen och faller därmed utanför denna lags tillämpningsområde.

I paragrafen anges vilken typ av personuppgiftsbehandling som regleras av lagen. Övervägandena finns i avsnitt 7.3.4.

Paragrafen begränsar lagens tillämpningsområde genom att det klargörs att inte all slags behandling av personuppgifter omfattas av tillämpningsområdet. Det krävs att behandlingen är helt eller delvis automatisk eller ingår i eller kommer att ingå i en strukturerad sam- ling av personuppgifter som är tillgänglig enligt särskilda kriterier. Rekvisiten är desamma som i artikel 2.1 i dataskyddsförordningen och ska ha motsvarande innebörd (jfr artikel 4 i dataskyddsförord- ningen). Helt manuell behandling av personuppgifter som inte in- går i ett register eller annan samling som är tillgänglig för sökning faller därmed utanför lagens tillämpningsområde.

Förhållandet till annan dataskyddsreglering

4 § Lagen (2018:xx) med kompletterande bestämmelser till EU:s data- skyddsförordning (dataskyddslagen) gäller vid behandling av person- uppgifter i Rekryteringsmyndighetens verksamhet, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen.

Vad som anges i första stycket innebär att denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behand- ling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

Paragrafen reglerar förhållandet mellan lagens bestämmelser om per- sonuppgiftsbehandling och andra dataskyddsbestämmelser. I para- grafen anges inledningsvis lagens relation till den generella data- skyddslag som Dataskyddsutredningen har föreslagit i sitt betänk-

304

SOU 2017:97

Författningskommentar

ande Ny dataskyddslag. Kompletterande bestämmelser till EU:s data- skyddsförordning (SOU 2017:39). Dataskyddslagen avser att komplet- tera dataskyddsförordningen på nationell generell nivå. Paragrafen innehåller även en upplysning om lagens förhållande till dataskydds- förordningen. Övervägandena finns i avsnitt 6.2.6.

Första stycket uttrycker förhållandet mellan dataskyddslagen och denna lag. Av 1 kap. 3 § dataskyddslagen följer att om en annan lag eller en förordning innehåller någon bestämmelse som rör behand- ling av personuppgifter och som avviker från den lagen tillämpas den bestämmelsen. Bestämmelsen i första stycket innebär att data- skyddslagen gäller vid behandling av personuppgifter i Rekryter- ingsmyndighetens verksamhet. En förutsättning är dock att inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen. Dataskyddslagen är således subsidiär i förhållande till denna lag eller föreskrifter som har meddelats med stöd av lagen.

Andra stycket innehåller en upplysning om att denna lag, till följd av bestämmelserna i dataskyddslagen, kompletterar dataskydds- förordningen. Enligt 1 kap. 2 § dataskyddslagen ska bestämmel- serna i dataskyddsförordningen, i den ursprungliga lydelsen, och i dataskyddslagen i tillämpliga delar gälla även vid behandling av per- sonuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen. Bestämmelsen inne- bär att förordningens bestämmelser gäller som svensk rätt vid per- sonuppgiftsbehandling som utförs i sådan verksamhet som enligt artikel 2.2 a och 2.2 b i dataskyddsförordningen är undantagen från förordningens tillämpningsområde. Förordningens bestämmelser gäller alltså även vid personuppgiftsbehandling som utförs som ett led i en verksamhet som inte omfattas av unionsrätten, bl.a. verk- samhet som rör nationell säkerhet och försvar. Någon avvikande bestämmelse föreslås inte i denna lag. Till följd av 1 kap. 2 § data- skyddslagen blir dataskyddsförordningen, i tillämpliga delar, direkt tillämplig vid behandling av personuppgifter i Rekryteringsmyndig- hetens verksamhet.

Begränsningen av dataskyddsförordningens generella tillämplighet genom uttrycket ”tillämpliga delar” i 1 kap. 2 § dataskyddslagen innebär att vissa bestämmelser i dataskyddsförordningen inte kan tillämpas i rent nationell verksamhet och därmed inte heller av Rekryteringsmyndigheten eller Datainspektionen i egenskap av natio-

305

Författningskommentar

SOU 2017:97

nell tillsynsmyndighet. Förordningens bestämmelser i kapitel VII om tillsynsmyndigheternas skyldighet att samarbeta med varandra kan inte bli tillämpliga. Detsamma gäller bestämmelserna i kapi- tel X om kommissionens befogenhet att anta delegerade akter. I denna lag föreskrivs också särskilt att dataskyddsförordningens och dataskyddslagens bestämmelser i vissa avseenden inte ska gälla vid Rekryteringsmyndighetens behandling av personuppgifter enligt lagen, se kommentaren till 5 §. Vilka bestämmelser som i övrigt kan komma att falla utanför förordningens egentliga tillämpningsområde får avgöras i rättstillämpningen.

Förutom något enstaka undantag innehåller lagen inte några termer och uttryck som avviker från de som används i dataskyddsförord- ningen och dataskyddslagen utan de ska förstås på samma sätt. Det innebär bl.a. att definitionerna i artikel 4 i dataskyddsförordningen gäller vid tillämpning av lagen (jfr 1 kap. 1 § andra stycket data- skyddslagen).

5 § Vid behandling enligt denna lag eller föreskrifter som har meddelats med stöd av lagen gäller inte följande bestämmelser i dataskyddsför- ordningen och dataskyddslagen:

1.artikel 21.1 i dataskyddsförordningen om rätt att göra invänd- ningar,

2.artikel 33 i dataskyddsförordningen om anmälan av en person- uppgiftsincident till tillsynsmyndigheten,

3.artikel 34 i dataskyddsförordningen om information till den regi- strerade om en personuppgiftsincident, och

4.artikel 58.2 f i dataskyddsförordningen och 6 kap. 1 § dataskydds- lagen om tillsynsmyndighetens befogenhet att införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling.

Paragrafen reglerar dataskyddsförordningens tillämplighet i fråga om rätten att göra invändningar samt anmälan av personuppgiftsinci- denter till tillsynsmyndigheten och information till den registrerade med anledning härav. Paragrafen reglerar också dataskyddsförord- ningens och dataskyddslagens tillämplighet i fråga om tillsyns- myndighetens befogenhet att förbjuda Rekryteringsmyndighetens behandling av personuppgifter. Övervägandena finns i avsnitt 9.10.4, 9.12.5 och 9.13.3.

306

SOU 2017:97

Författningskommentar

Första stycket 1 innebär att dataskyddsförordningens bestämmelse om den registrerades rätt att göra invändningar mot behandling av personuppgifter inte gäller vid behandling enligt denna lag eller föreskrifter som har meddelats med stöd av lagen.

Första stycket 2 och 3 innebär att inte heller bestämmelserna i dataskyddsförordningen om anmälan av en personuppgiftsincident till tillsynsmyndigheten och information till den registrerade i samband därmed gäller vid behandling enligt denna lag eller föreskrifter som har meddelats med stöd av lagen.

Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga är nödvändig för att totalförsvarets personalför- sörjning ska kunna upprätthållas. Genom första stycket 4 undantas därför Rekryteringsmyndighetens behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret från tillsynsmyndighetens befogenhet enligt artikel 58.2 f i dataskydds- förordningen och 6 kap. 1 § dataskyddslagen att förbjuda behand- ling. I övrigt ska bestämmelserna om tillsynsmyndighetens befogen- heter i dataskyddsförordningen och dataskyddslagen tillämpas vid Rekryteringsmyndighetens behandling av personuppgifter om total- försvarspliktiga och annan personal inom totalförsvaret.

Personuppgiftsansvar

6 § Rekryteringsmyndigheten ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

I paragrafen regleras vem som ska vara personuppgiftsansvarig för behandlingen av personuppgifter. Övervägandena finns i avsnitt 7.4.3.

Av definitionen i artikel 4.7 i dataskyddsförordningen framgår att personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsam- mans med andra bestämmer ändamålen och medlen för behand- lingen av personuppgifter. Om ändamålen och medlen för behand- lingen bestäms av unionsrätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlems- staternas nationella rätt. Det är således tillåtet enligt dataskydds-

307

Författningskommentar

SOU 2017:97

förordningen att i nationell lagstiftning peka ut vem som är person- uppgiftsansvarig.

I bestämmelsen anges att Rekryteringsmyndigheten ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Bestämmelsen klargör för de registrerade vem som ska hållas ansvarig för behandlingen av personuppgifter enligt lagen. Bestämmelsen innebär att Rekryteringsmyndigheten ansvarar för den personuppgiftsbehandling som sker inom ramen för myn- dighetens verksamhet. Bestämmelsen utesluter emellertid inte att Rekryteringsmyndigheten kan ha ett med andra aktörer, t.ex. myn- digheter, gemensamt personuppgiftsansvar.

Ändamål

7 § Personuppgifter får behandlas om det behövs för att

1.ta fram underlag för beslut om mönstring, inskrivning, krigs- placering eller annat ianspråktagande av personal till totalförsvaret,

2.redovisa personal med uppgifter inom totalförsvaret,

3.säkerställa att den registrerade fortlöpande får ändamålsenlig ut- bildning och lämplig placering inom totalförsvaret,

4.se till att den registrerade fullgör sina skyldigheter i fråga om totalförsvarsplikten,

5.tillgodose den registrerades rättigheter och trygghet i egenskap av totalförsvarspliktig,

6.fullgöra Rekryteringsmyndighetens serviceskyldighet gentemot be- manningsansvariga organ inom totalförsvaret, och

7.planera, följa upp och utvärdera den verksamhet som anges i 1–6.

Paragrafen reglerar de primära ändamålen, dvs. de ändamål för vilka personuppgifter får behandlas i Rekryteringsmyndighetens verksam- het. De uppräknade ändamålen i punkterna 1–7 är uttömmande och motsvarar de centrala delarna i Rekryteringsmyndighetens verk- samhet. Övervägandena och en närmare beskrivning av ändamålen finns i avsnitt 8.1.2 och 8.2.3.

En första förutsättning för att Rekryteringsmyndigheten ska få behandla personuppgifter är att behandlingen vilar på en rättslig grund. I artikel 6.1 i dataskyddsförordningen finns en uttömmande uppräkning av de rättsliga grunderna. Behandling av personuppgif-

308

SOU 2017:97

Författningskommentar

ter får inte utföras om inte minst ett av de uppräknade villkoren är uppfyllt. Flera rättsliga grunder kan också vara tillämpliga för en och samma behandling. Behandling av personuppgifter för de i lagen angivna ändamålen kan i teorin grundas på vilken som helst av punkterna i artikel 6.1 c och e i dataskyddsförordningen. Framför allt torde dock den rättsliga grunden allmänt intresse (punkten e) bli tillämplig.

Utöver att det finns en rättslig grund för behandlingen enligt artikel 6.1 c och e krävs att den rättsliga grunden är fastställd i unionsrätten eller nationell rätt (artikel 6.3 första stycket). Den rättsliga grunden för Rekryteringsmyndighetens behandling av per- sonuppgifter finns fastställd i förordningen (2010:1472) med in- struktion för Totalförsvarets rekryteringsmyndighet (myndighets- instruktionen).

De primära ändamålen syftar till att precisera den rättsliga grunden för behandlingen. Artikel 6.3 andra stycket i dataskydds- förordningen medger ändamålsbegränsningar i förhållande till den rättsliga grunden. De primära ändamålen kan inordnas under den rättsliga grund som tillåter att en behandling av personuppgifter sker, dvs. Rekryteringsmyndighetens uppdrag så som det är formu- lerat i myndighetsinstruktionen. Rekryteringsmyndighetens behand- ling av personuppgifter för de uppräknade ändamålen är således förenlig med de grundläggande rättsliga förutsättningarna för be- handlingen.

För att en enskild behandling ska vara tillåten är det emellertid inte tillräckligt att den har sin grund i Rekryteringsmyndighetens uppdrag så som det är formulerat i myndighetsinstruktionen och kan inordnas under något av de vitt formulerade primära ändamålen för myndighetens behandling. Därtill måste den enskilda behand- lingen uppfylla de grundläggande principerna i artikel 5 i dataskydds- förordningen som bl.a. innebär att varje sådan behandling måste vara förenlig med särskilda, uttryckligt angivna och berättigade ända- mål.

309

Författningskommentar

SOU 2017:97

8 § Personuppgifter som behandlas enligt 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Paragrafen reglerar för vilka sekundära ändamål som personupp- gifter får behandlas i Rekryteringsmyndighetens verksamhet. Behand- ling enligt denna bestämmelse förutsätter att uppgifterna har sam- lats in för något primärt ändamål som följer av 7 §. Bestämmelsen utgör således inte något stöd för att samla in personuppgifter enbart i syfte att behandla dem enligt denna paragraf. Övervägandena finns i avsnitt 8.2.4.

Av bestämmelsen framgår att personuppgifter som behandlas enligt 7 § också får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Ett uppgiftsläm- nande kan ske av olika anledningar. I vissa fall sker utlämnandet på grund av en skyldighet att lämna uppgifter till vissa myndigheter enligt olika författningar. I andra fall är myndigheterna enligt lag eller förordning skyldiga att på begäran lämna ut uppgifter till andra. Vidare finns det ett antal författningar med bestämmelser som medger att uppgifter får lämnas ut utan att det finns någon uttryck- lig skyldighet att göra det. Det kan exempelvis vara fråga om en åtgärd som vidtas för att fullgöra serviceskyldigheten gentemot enskilda enligt 4 § förvaltningslagen (1986:223). Ett annat exempel är 10 kap. 27 § offentlighets- och sekretesslagen som innebär att en sekretessbelagd uppgift får lämnas till en annan myndighet, om det är uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse som sekretessen ska skydda.

Behandling av känsliga personuppgifter

9 § Utöver vad som följer av 3 kap. dataskyddslagen får känsliga person- uppgifter behandlas om det är absolut nödvändigt för de ändamål som anges i 7 och 8 §§.

310

SOU 2017:97

Författningskommentar

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter som begränsar användningen av känsliga person- uppgifter.

Paragrafen reglerar när känsliga personuppgifter får behandlas. Med känsliga personuppgifter avses samtliga kategorier av personuppgif- ter som anges i artikel 9.1 i dataskyddsförordningen och som där benämns särskilda kategorier av personuppgifter. Övervägandena finns i avsnitt 9.3.3.

Av första stycket följer att känsliga personuppgifter, utöver vad som följer av 3 kap. dataskyddslagen, får behandlas för de ändamål som avses i 7 och 8 §§ om det är absolut nödvändigt. De grundlägg- ande bestämmelserna om när känsliga personuppgifter får behand- las regleras i artikel 9.2 i dataskyddsförordningen. Genom 3 kap. 1 och 3 §§ dataskyddslagen ges stöd för ytterligare behandling av känsliga personuppgifter på myndighetsområdet. Bestämmelsen i denna lag tillåter att känsliga personuppgifter därutöver får behand- las om det är absolut nödvändigt för de ändamål som gäller för myndighetens behandling. Behandling av känsliga personuppgifter är tillåten för samtliga primära ändamål i 7 § och sekundära ända- mål i 8 §. Syftet med begränsningen att behandlingen ska vara absolut nödvändig är att markera att behandlingen av känsliga per- sonuppgifter bör ske med försiktighet och aldrig slentrianmässigt. Rekvisitet innebär emellertid inte att känsliga personuppgifter endast får behandlas i undantagsfall. Rekryteringsmyndighetens verksam- het kräver regelmässigt att vissa typer av känsliga personuppgifter kan behandlas, exempelvis uppgifter om hälsa. Genom kravet på absolut nödvändighet markeras dock att behandlingen ska ske med restriktivitet och att behovet av att behandla den känsliga person- uppgiften ska prövas noga i det enskilda fallet. En sådan prövning ska inte bara göras när uppgiften samlas in eller behandlas för första gången utan även vid senare behandling av redan insamlade uppgifter.

Det bör noteras att en tillåten behandling av känsliga person- uppgifter förutsätter att behandlingen är tillåten enligt de grund- läggande principerna i artikel 5 i dataskyddsförordningen. Det kan alltså förutsättas att det aldrig blir aktuellt att behandla vissa typer av känsliga personuppgifter, såsom ras, etniskt ursprung, politiska åsikter eller medlemskap i fackförening, eftersom sådana uppgifter

311

Författningskommentar

SOU 2017:97

över huvud taget inte är relevanta för den uppgift som Rekryterings- myndigheten har att utföra.

I andra stycket anges att motsvarande ska gälla vid annan utred- ning om den totalförsvarspliktiges personliga förhållanden som enligt 2 kap. 1 § lagen om totalförsvarsplikt utförs av annan än Rekryterings- myndigheten. Annan utredning innebär att en totalförsvarspliktig är skyldig att, på begäran av Rekryteringsmyndigheten, en annan statlig myndighet som regeringen bestämmer, en kommun eller ett landsting, skriftligen eller muntligen eller, om det behövs, vid en personlig inställelse lämna nödvändiga uppgifter om hälsotillstånd, utbildning, arbete och personliga förhållanden i övrigt. Såväl För- svarsmakten som andra myndigheter m.fl. har i samband med annan utredning ett berättigat behov av att behandla känsliga personupp- gifter i större omfattning än vad dataskyddslagens undantag med- ger. Dessa aktörer ges därför vid sådan behandling en motsvarande rätt att behandla känsliga personuppgifter som den Rekryterings- myndigheten har.

I tredje stycket finns en upplysningsbestämmelse om att reger- ingen kan meddela ytterligare föreskrifter om begränsning av använd- ningen av känsliga personuppgifter.

Tillgången till personuppgifter

10 § Tillgången till personuppgifter ska begränsas till vad varje an- ställd behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om hur tillgången till personuppgifter ska begränsas.

Paragrafen reglerar den interna tillgången till personuppgifter för personal som arbetar vid Rekryteringsmyndigheten. Övervägan- dena finns i avsnitt 9.6.1.

I första stycket slås fast att tillgången till personuppgifter hos Rekryteringsmyndigheten ska begränsas till vad varje anställd be- höver för att kunna fullgöra sina arbetsuppgifter. Bestämmelsen har sin grund i att risken för integritetsintrång minskar om endast en begränsad krets av anställda har tillgång till uppgifterna. Det är Rekryteringsmyndigheten som avgör vilka uppgifter som respek-

312

SOU 2017:97

Författningskommentar

tive anställd behöver för att kunna fullgöra sina uppgifter. Rekry- teringsmyndigheten ansvarar också för att myndighetens informa- tionssystem utformas så att det är möjligt att på ett ändamålsenligt sätt begränsa tillgången till information, t.ex. genom krav på be- hörighet, utbildning och lämplighet.

I andra stycket finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela föreskrifter om hur tillgången till personuppgifter ska begränsas.

Direktåtkomst

11 § Direktåtkomst till personuppgifter får medges

1.Försvarsmakten i den utsträckning som följer av föreskrifter som meddelats av regeringen, och

2.den registrerade själv.

Direktåtkomst enligt första stycket 2 får endast avse personuppgifter i den registrerades ärende.

Regeringen får meddela föreskrifter om att medge annan aktör direkt- åtkomst. Sådan direktåtkomst ska begränsas till de personuppgifter som aktören behöver för att fullgöra sina uppgifter enligt lag eller förord- ning och får endast avse vissa personuppgifter.

I paragrafen anges vilka aktörer som får medges direktåtkomst till Rekryteringsmyndighetens personuppgifter. Övervägandena finns i avsnitt 9.7.2.

Högsta förvaltningsdomstolen har i rättsfallet HFD 2015 ref. 61 uttalat att begreppet direktåtkomst ska tolkas med utgångspunkt från 2 kap. 3 § andra stycket tryckfrihetsförordningen. I rättsfallet slås fast att med direktåtkomst avses att en myndighet hos en annan myndighet har en sådan teknisk tillgång till den aktuella upptag- ningen som avses i 2 kap. 3 § andra stycket tryckfrihetsförordningen, dvs. att upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan avläsas, avlyssnas eller på annat sätt uppfattas. Avgörande för om direktåtkomst föreligger är således om upptag- ningen kan anses förvarad hos den mottagande myndigheten enligt tryckfrihetsförordningen.

313

Författningskommentar

SOU 2017:97

I bestämmelsen föreskrivs att direktåtkomst får medges. Det innebär att det är det den myndighet som avses lämna ut uppgifter genom direktåtkomst som avgör om direktåtkomst ska medges i praktiken. Det ankommer således på Rekryteringsmyndigheten att avgöra om direktåtkomst faktiskt ska medges. Att bestämmelsen ger Rekryteringsmyndigheten en möjlighet att medge direktåtkomst innebär således inte någon rätt för de angivna mottagarna att få sådan åtkomst.

I första stycket 1 och 2 anges vilka aktörer som får medges direkt- åtkomst. Utöver Försvarsmakten kan direktåtkomst medges den registrerade själv. Omfattningen av den medgivna direktåtkomsten regleras för Försvarsmaktens del i föreskrifter som meddelas av regeringen.

Av andra stycket följer att direktåtkomst för den registrerade själv endast får avse personuppgifter i den registrerades eget ärende. Det ska alltså vara frågan om personuppgifter som hänför sig till den registrerade själv. Det ankommer på Rekryteringsmyndigheten att genom tillräckliga säkerhetsrutiner se till att personuppgifter genom direktåtkomsten inte lämnas ut till någon annan än den registrerade.

I tredje stycket finns ett bemyndigande för regeringen att med- dela föreskrifter om att medge annan aktör direktåtkomst. Befogen- heten är begränsad såtillvida att direktåtkomsten endast får omfatta de personuppgifter som aktören i fråga behöver för att fullgöra sina uppgifter enligt lag eller förordning. Därtill får den medgivna direkt- åtkomsten endast avse vissa personuppgifter. Detta innebär att endast sådana uppgifter som mottagaren har ett konkret behov av får omfattas av direktåtkomsten.

Bestämmelserna om att direktåtkomst får medges bryter inte eventuell sekretess som kan gälla för uppgifterna. Bestämmelser som har en sekretessbrytande verkan vid utlämnande till andra myn- digheter i samband med direktåtkomst finns i 12 §.

314

SOU 2017:97

Författningskommentar

Utlämnande av uppgifter till myndigheter

12 § Försvarsmakten har rätt att vid direktåtkomst enligt 11 § första stycket 1 ta del av de personuppgifter som omfattas av åtkomsten.

Regeringen får meddela föreskrifter om att annan myndighet vid direktåtkomst som medges med stöd av 11 § tredje stycket har rätt att ta del av de personuppgifter som omfattas av åtkomsten.

Paragrafen reglerar utlämnande av uppgifter till Försvarsmakten och andra myndigheter. Övervägandena finns i avsnitt 9.7.3.

Av första stycket följer att Försvarsmakten har rätt att vid direkt- åtkomst som medges med stöd av 11 § första stycket 1 ta del av de personuppgifter som omfattas av åtkomsten. Regleringen i 11 § första stycket 1 innebär att det framgår av bestämmelse i förord- ning vilka personuppgifter som direktåtkomsten omfattar. Den omständigheten att Försvarsmakten har rätt att ta del av person- uppgifter innebär att bestämmelsen har en sådan sekretessbrytande verkan som följer av 10 kap. 28 § första stycket offentlighets- och sekretesslagen. Rätten att ta del av personuppgifter enligt bestäm- melsen tar dock enbart sikte på ett utlämnande av uppgifter som sker i samband med direktåtkomst. Det är således inte frågan om någon generell uppgiftsskyldighet i fråga om de personuppgifter som omfattas av bestämmelsen.

I andra stycket finns ett bemyndigande för regeringen att med- dela föreskrifter om att även annan myndighet har rätt att vid direktåtkomst som medges med stöd av 11 § tredje stycket ta del av de personuppgifter som omfattas av åtkomsten. Även en sådan bestämmelse i förordning har sekretessbrytande verkan i enlighet med vad som följer av 10 kap. 28 § första stycket offentlighets- och sekretesslagen. I likhet med vad som gäller enligt första stycket tar rätten att ta del av personuppgifter enbart sikte på ett utlämnande som sker i samband med direktåtkomst.

315

Författningskommentar

SOU 2017:97

Sökförbud

13 § Vid sökning i personuppgifter är det förbjudet att som sökbegrepp använda känsliga personuppgifter.

Det är också förbjudet att som sökbegrepp använda uppgifter om

1.hinder för mönstring, annan utredning, utbildning, krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räk- ning,

2.boende- och familjeförhållanden samt försörjning,

3.resultat från begåvningstest eller anlagstest som utförs vid mönst- ring eller annan utredning,

4.medborgarskap, och

5.lagöverträdelser, säkerhetsprövning enligt säkerhetsskyddslagen (1996:627) samt vilken säkerhetsklass prövningen avsett och resultatet av denna.

De sökbegrepp som anges i andra stycket får användas som sök- begrepp vid behandling för ändamål som avses i 7 § första stycket 7 eller vid utlämnande enligt 8 § för framställning av statistik eller för forskningsändamål. De sökbegrepp som anges i andra stycket 3 får även användas som sökbegrepp vid behandling för ändamål som avses

i7 § första stycket 1.

Paragrafen innehåller ett förbud mot att använda känsliga person- uppgifter och andra integritetskänsliga uppgifter som sökbegrepp. Övervägandena finns i avsnitt 9.8.3.

Enligt första stycket är det vid sökning i personuppgifter för- bjudet att som sökbegrepp använda känsliga personuppgifter. Det innebär bl.a. att uppgift om totalförsvarspliktigas fysiska och psy- kiska hälsa omfattas av förbudet. Sökförbudet införs för att tillgodose kraven på särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen enligt artikel 9.2 g i data- skyddsförordningen. Förbudet omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information så att känsliga personuppgifter avslöjas.

Sökförbudet innebär att offentlighetsprincipen, i den mån den är tillämplig, inskränks enligt den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen. En begäran att få till- gång till en sammanställning av uppgifter som är resultatet av en förbjuden sökning ska alltså avslås på den grunden att sammanställ-

316

SOU 2017:97

Författningskommentar

ningen inte anses förvarad hos myndigheten. Det bör dock under- strykas att begränsningsregeln inte hindrar att sökningar görs för att söka fram redan upprättade elektroniska handlingar vid en begäran om tillgång till sådana allmänna handlingar.

Av andra stycket följer att vissa andra typer av integritetskänsliga uppgifter än sådana som betecknas som känsliga personuppgifter inte heller får användas som sökbegrepp. Förbudet gäller uppgifter om hinder för mönstring, annan utredning, utbildning, krigsplacer- ing eller annat ianspråktagande av den registrerade för totalförsva- rets räkning, boende- och familjeförhållanden samt försörjning, resultat från begåvningstest eller anlagstest som utförs vid mönst- ring eller annan utredning, medborgarskap, lagöverträdelser, säker- hetsprövning enligt säkerhetsskyddslagen samt vilken säkerhetsklass prövningen avsett och resultatet av denna.

I tredje stycket anges undantag från sökförbudet. Av bestämmel- sen följer att de uppgifter som anges i andra stycket får användas som sökbegrepp vid behandling av personuppgifter för de ändamål som anges i 7 § första stycket 7, dvs. för att planera, följa upp och utvärdera Rekryteringsmyndighetens verksamhet enligt 7 § första stycket 1–6. Uppgifterna får även användas som sökbegrepp vid uppgiftslämnande enligt 8 § för framställning av statistik eller för forskningsändamål. Uppgifter om resultat från begåvningstest eller anlagstest som utförs vid mönstring eller annan utredning får vidare användas som sökbegrepp vid behandling för det ändamål som fram- går av 7 § första stycket 1, dvs. för att ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktag- ande av personal till totalförsvaret. Skulle emellertid en känslig per- sonuppgift upptäckas vid sådana sökningar som avses i detta stycke, omfattas uppgiften av sökförbudet enligt huvudregeln i första stycket.

Annans registrering och rättelse av uppgifter

14 § Försvarsmakten får föra in och rätta personuppgifter i Rekryterings- myndighetens informationssystem i den utsträckning som följer av för- ordning.

Regeringen får meddela föreskrifter om att även annan än Försvars- makten får medges sådan rätt.

317

Författningskommentar

SOU 2017:97

Paragrafen reglerar vilka aktörer som får föra in och rätta uppgifter i Rekryteringsmyndighetens informationssystem. Övervägandena finns i avsnitt 9.9.2.

Enligt första stycket får Försvarsmakten föra in och rätta person- uppgifter i Rekryteringsmyndighetens informationssystem. Vilka personuppgifter som omfattas av denna rätt till registrering och rättelse följer av föreskrifter som regeringen meddelar. Försvars- makten är personuppgiftsansvarig för den behandling som myndig- heten utför enligt denna bestämmelse. Rekryteringsmyndigheten ansvarar för att ställa de villkor för registreringen av personupp- gifterna som myndigheten bedömer vara nödvändiga för att säker- ställa en lämplig säkerhetsnivå.

I andra stycket finns ett bemyndigande för regeringen att med- dela föreskrifter om att medge andra aktörer än Försvarsmakten rätt att registrera och rätta personuppgifter.

Avskiljande

15 § Personuppgifter ska avskiljas så att tillgången till dem begränsas när de inte längre behövs i Rekryteringsmyndighetens löpande verk- samhet för de ändamål som anges i 7 §. Personuppgifter om totalför- svarspliktiga ska avskiljas senast vid utgången av det kalenderår den totalförsvarspliktige fyller 70 år, om inte den totalförsvarspliktige där- efter har en uppgift inom totalförsvaret vid höjd beredskap.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om avskiljande av personuppgifter.

I paragrafen regleras avskiljande av personuppgifter som inte längre behövs i Rekryteringsmyndighetens löpande verksamhet. Övervägan- dena finns i avsnitt 11.2.3.

Enligt första stycket första meningen ska Rekryteringsmyndig- heten, i egenskap av personuppgiftsansvarig, avskilja personuppgif- ter när de inte längre behövs i den löpande verksamheten för de ändamål som anges i 7 §. Med avskiljande menas att personupp- gifterna tas bort från de informationssystem som används i verk- samheten enligt 2 §. Det åligger Rekryteringsmyndigheten att in- föra rutiner för när avskiljande ska ske och på vilket sätt. Avskilj-

318

SOU 2017:97

Författningskommentar

andet får dock inte innebära att uppgifter gallras i strid med arkiv- lagen (1990:782) eller föreskrifter som har meddelats med stöd av den lagen. Det är också Rekryteringsmyndighetens ansvar att begränsa den interna tillgången till avskilda personuppgifter till det som varje anställd behöver för att kunna fullgöra sina arbetsupp- gifter, se kommentaren till 10 §.

I första stycket andra meningen anges att personuppgifter om totalförsvarspliktiga ska avskiljas senast vid utgången av det kalenderår den totalförsvarspliktige fyller 70 år, om inte den totalförsvars- pliktige därefter har en uppgift inom totalförsvaret vid höjd bered- skap. Bestämmelsen föreskriver en yttersta tidsgräns för hur länge uppgifter om totalförsvarspliktiga kan få vara tillgängliga i den löpande verksamheten. När totalförsvarsplikten upphör torde det i normalfallet inte längre vara nödvändigt att behandla uppgifter om totalförsvarspliktiga i Rekryteringsmyndighetens verksamhet. Om det vid en tidigare tidpunkt står klart att uppgifterna saknar bety- delse utifrån de i lagen angivna primära ändamålen ska de avskiljas redan vid denna tidpunkt. I undantagsfall kan totalförsvarspliktiga även efter att totalförsvarsplikten har upphört ha en uppgift att ut- föra vid höjd beredskap. Som exempel kan nämnas medlemmar i frivilligorganisationer som väljer att kvarstå som medlemmar efter att de fyllt 70 år och som därmed behåller sina krigsuppgifter. I be- stämmelsen föreskrivs undantag för sådana fall.

I andra stycket finns en upplysningsbestämmelse om att reger- ingen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om avskiljande av personuppgifter.

15.2Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)

25 kap.

13 b §

Paragrafen innehåller en ny sekretessbrytande bestämmelse. Bestäm- melsen innebär att sekretess inte hindrar att en uppgift lämnas från den verksamhet som Rekryteringsmyndigheten i egenskap av vård- givare bedriver inom hälso- och sjukvården, dvs. den medicinska grenen av verksamheten, till myndighetens inskrivningsverksam-

319

Författningskommentar

SOU 2017:97

het. En förutsättning för sekretessgenombrott är att uppgiften är nödvändig för att en totalförsvarspliktig ska kunna skrivas in till värnplikt, civilplikt eller i en utbildningsreserv enligt lagen (1994:1809) om totalförsvarsplikt. En uppgift får endast lämnas till personal som arbetar inom inskrivningsverksamheten och som behöver uppgiften för att kunna fatta beslut om inskrivning. Övervägandena finns i avsnitt 12.3.2.

38 kap.

1 §

Paragrafen reglerar sekretess för uppgift om en enskilds personliga förhållanden om uppgiften förekommer i ärende som angår utred- ning om totalförsvarspliktigas personliga förhållanden, antagning av kvinnor till befattningar inom totalförsvaret som kräver längre grundutbildning än 60 dagar, inskrivning och krigsplacering av total- försvarspliktiga, antagning till utbildning vid Försvarsmakten, skyl- dighet att tjänstgöra med totalförsvarsplikt samt uppskov med och avbrott i sådan tjänstgöring. Sekretessen avgränsas med ett omvänt skaderekvisit. Ändringen innebär att en uppgift om en enskilds per- sonliga förhållanden som förekommer i sådana ärenden inte får lämnas ut, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Presum- tionen är alltså för sekretess. Genom ändringen står det klart att uppgifter om totalförsvarspliktigas personliga förhållanden som fram- kommer vid mönstring eller annan utredning har ett lika starkt sekretesskydd hos Rekryteringsmyndigheten som vad uppgifterna har hos befattningshavare vid totalförsvarets utbildningsenheter. Det förstärkta sekretesskyddet gäller för samtliga ärenden som om- fattas av paragrafen och därmed även hos Statens ansvarsnämnd och Försvarsmakten. Övervägandena finns i avsnitt 12.3.1.

320

Kommittédirektiv 2016:103

Behandlingen av personuppgifter om totalförsvarspliktiga

Beslut vid regeringssammanträde den 1 december 2016

Sammanfattning

En särskild utredare ska göra en översyn av regleringen av behand- lingen av personuppgifter om totalförsvarspliktiga (lagen [1998:938] respektive förordningen [1998:1229] om behandling av personupp- gifter om totalförsvarspliktiga). Utgångspunkten är att Totalför- svarets rekryteringsmyndighets verksamhet ska kunna bedrivas effek- tivt med rationellt datorstöd samtidigt som enskildas rätt till personlig integritet tillgodoses.

Utredaren ska bl.a.

•analysera hur behandlingen av personuppgifter om totalförsvars- pliktiga ska regleras och om fler kategorier av personer ska ingå i en sådan reglering, och i analysen ta hänsyn till verksamhetens särskilda art och förändringar som gjorts i verksamheten, reger- ingsformen och senare tillkommen lagstiftning,

•analysera vilket förhållande lagstiftningen ska ha till EU:s data- skyddsreglering och den kompletterande nationella lagstiftning som kommer att föreslås till följd av den, och

•lämna förslag till ny lag och förordning samt eventuella andra behövliga och lämpliga författningsändringar.

Uppdraget ska redovisas senast den 4 december 2017.

321

Bilaga

SOU 2017:97

Verksamheten vid Totalförsvarets rekryteringsmyndighet

Totalförsvarets rekryteringsmyndighet ansvarar för att myndighet- er och andra som har bemanningsansvar inom totalförsvaret får stöd och service i frågor om bemanning med totalförsvarspliktiga som skrivs in för värnplikt eller civilplikt. Stöd och service ska lämnas även till de bemanningsansvariga i fråga om totalförsvarspliktigas tjänstgöring och om redovisning av annan personal inom totalför- svaret. På uppdrag av Försvarsmakten ska Totalförsvarets rekry- teringsmyndighet tillhandahålla urvalstester av dem som ansökt till militär utbildning inom Försvarsmakten. Totalförsvarets rekryterings- myndighet ska vidare göra en utredning om de totalförsvarspliktigas personliga förhållanden, placera dem i befattningsgrupper och skriva in dem för värnplikt, civilplikt eller i en utbildningsreserv enligt lagen (1994:1809) om totalförsvarsplikt. Det är Totalförsvarets rekry- teringsmyndighet som beslutar och delger den enskilde besked om krigsplacering. Vidare svarar Totalförsvarets rekryteringsmyndighet, på uppdrag av Försvarsmakten, för att kalla in totalförsvarspliktig personal till utbildning. Totalförsvarets rekryteringsmyndighet svarar också för ärenden om uppskov. Det är Totalförsvarets rekryterings- myndighet som redovisar totalförsvarets personal och för register över alla svenskar som är krigsplacerade.

Våren 2010 beslutade riksdagen att försvarets personalförsörj- ning ska bygga på frivillighet och inte på plikt från och med den 1 juli 2010. Det innebär att Totalförsvarets rekryteringsmyndighet i dagsläget inte mönstrar, skriver in eller kallar totalförsvarspliktiga till grundutbildning. Genom ett webbaserat frågeformulär samlar myndigheten in uppgifter om alla svenska 18-åringars personliga för- hållanden. De uppgifterna används sedan för att bedöma om de ska mönstra och kanske tjänstgöra, om regeringen beslutar att total- försvarsplikten ska aktiveras av beredskapsskäl.

Totalförsvarets rekryteringsmyndighet får inom sakområdet åta sig att utföra uppdrag åt andra myndigheter samt åt kommuner, landsting och enskilda. Myndigheten utför uppdrag om exempelvis rekrytering åt polisen, personal till Kriminalvården, Tullverket och Myndigheten för samhällsskydd och beredskap. Vid behandlingen av personuppgifter för de uppdrag som inte avser totalförsvarsplik- tiga tillämpas personuppgiftslagen (1998:204). Myndighetens upp- drag i detta sammanhang är dock bara att tillhandahålla tekniskt stöd

322

SOU 2017:97

Bilaga

för rekryteringen och att genomföra medicinska och psykologiska undersökningar och tester. Uppdragsgivarna är ansvariga för han- teringen av ansökan, vilket sker enligt personuppgiftslagen, men Totalförsvarets rekryteringsmyndighet är personuppgiftsbiträde. När det gäller den medicinska och psykologiska verksamheten tillämpas patientdatalagen (2014:821).

Behandlingen och regleringen av personuppgifter

I sin verksamhet, såväl innan totalförsvarsplikten förklarades vilan- de som i dag, behandlar Totalförsvarets rekryteringsmyndighet så- ledes en mängd personuppgifter, ofta av mycket integritetskänslig karaktär.

Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med av- seende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter av- seende behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Dataskyddsdirektivet gäller dock inte för behandling av person- uppgifter på områden som faller utanför gemenskapsrätten, t.ex. all- män säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område (artikel 3.2).

Dataskyddsdirektivet har genomförts i svensk rätt huvudsaklig- en genom personuppgiftslagen. Bestämmelserna i personuppgifts- lagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.

Personuppgiftslagen är tillämplig även utanför EU-rättens område och gäller både för myndigheter och enskilda som behandlar per- sonuppgifter. Personuppgiftslagen är samtidigt subsidiär vilken inne- bär att lagens bestämmelser inte ska tillämpas om det finns avvik- ande bestämmelser i en annan lag eller förordning. Det finns en stor mängd sådana bestämmelser i s.k. särskilda registerförfattningar som främst reglerar hur olika myndigheter får behandla personuppgifter, t.ex. studiestödsdatalagen (2009:287) och polisdatalagen (2010:361).

323

Bilaga

SOU 2017:97

Personuppgiftslagen kompletteras också av bestämmelser i per- sonuppgiftsförordningen som bl.a. pekar ut Datainspektionen som tillsynsmyndighet enligt lagen.

I den verksamhet som Totalförsvarets rekryteringsmyndighet bedriver har man, på grund av verksamhetens särskilda karaktär och hantering av integritetskänsliga uppgifter, ansett det nödvändigt att reglera behandlingen av personuppgifter om totalförsvarspliktiga i en särskild lag: lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga (prop. 1997/98:80, s. 25 f.), som trädde i kraft den 24 oktober 1998, samma dag och år som personuppgiftslagen. Lagen gäller även i annan verksamhet om det särskilt anges. Med totalförsvarspliktiga jämställs personer som har en skyldighet att fullgöra en uppgift inom totalförsvaret vid höjd beredskap utan att skyldigheten grundar sig på totalförsvarsplikt. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om person- uppgifter ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen om behandling av personuppgifter om totalförsvarspliktiga kompletteras också av bestämmelser i förord- ningen (1998:1229) om behandling av personuppgifter om totalför- svarspliktiga.

Om inget annat följer av lagen om behandling av personupp- gifter om totalförsvarspliktiga eller av föreskrifter som meddelats med stöd av lagen, tillämpas personuppgiftslagen.

Uppdraget att göra en total översyn av regleringen

Lagen om behandling av personuppgifter om totalförsvarspliktiga kom till 1998 och har ändrats endast ett fåtal gånger sedan dess. Utredaren behöver därför göra en översyn av regleringen. Arbetet ska bedrivas med utgångspunkten att myndighetens verksamhet ska kunna utföras effektivt med rationellt datorstöd samtidigt som en- skildas rätt till personlig integritet tillgodoses.

324

SOU 2017:97

Bilaga

En modernisering av både lag och förordning

Efter det att lagen och förordningen trädde i kraft har betydande förändringar skett när det gäller totalförsvarsplikten. Alla totalför- svarspliktiga är skyldiga att medverka i en lämplighetsundersökning genom att i ett webbaserat frågeformulär lämna uppgifter om vissa av sina personliga förhållanden. Det är Totalförsvarets rekryterings- myndighets uppgift att informera alla 18-åringar om vad lagen om totalförsvarsplikt innebär och att regeringen kan återinföra skyl- digheten att mönstra. Därför måste ungdomarna lämna uppgifter om hälsa, utbildning och andra vissa personliga förhållanden i beredskaps- underlaget. En omständighet som gör verksamheten så särpräglad är att en totalförsvarspliktig är skyldig under straffansvar att med- verka i en utredning om sina personliga förhållanden. Det rör sig i dessa fall om behandling av mycket integritetskänslig information, uppgifter om hälsa, socialt liv, försörjning, personlighet, fysik och förekomst i belastningsregister.

Sedan den 1 juli 2010 gäller skyldigheten att fullgöra värnplikt och civilplikt med längre grundutbildning, när sådan tjänstgöring tillämpas, för både män och kvinnor. Regeringen kan bestämma att skyldigheterna att genomgå mönstring och fullgöra värnplikt eller civilplikt ska tillämpas igen, om det behövs för Sveriges försvars- beredskap. Ett sådant beslut fattade regeringen i december 2014 (dnr Fö2014/02039/MFI). Då beslutade regeringen att ge Försvars- makten rätt att kalla in värnpliktig personal till repetitionsutbild- ning. I och med beslutet aktiverades en del av den vilande totalför- svarsplikten.

Sedan 2010 finns en frivillig militär grundutbildning inom För- svarsmakten. Totalförsvarets rekryteringsmyndighet lämnar stöd åt Försvarsmakten vid rekrytering till utbildningen. Genom förord- ningen (2015:613) om militär grundutbildning infördes den 1 janu- ari 2016 en ny militär grundutbildning. Denna förlängda grundut- bildning, bestående av minst 120 utbildningsdagar och högst 365 ut- bildningsdagar, genomgås i sin helhet med rekrytförmåner. Den som genomgått utbildningen ska kunna krigsplaceras enligt lagen (1994:1809) om totalförsvarsplikt, anställas som kontinuerligt eller tidvis tjänstgörande gruppbefäl, soldat eller sjöman, påbörja utbild- ning som kan leda till anställning som yrkes- eller reservofficer eller teckna avtal som hemvärnsman.

325

Bilaga

SOU 2017:97

Det försämrade omvärldsläget har också föranlett en ny inriktning av det svenska försvaret. Riksdagens försvarspolitiska inriktning för perioden 2016 t.o.m. 2020 innebär att det enskilt viktigaste är att öka den operativa förmågan i Försvarsmaktens krigsförband och att säkerställa den samlade förmågan i totalförsvaret (prop. 2014/15:109, bet. 2014/15:FöU11, rskr. 2014/15:251). Vidare har regeringen kon- staterat att beroendet av krigsplacerad men inte anställd totalför- svarspliktig personal för att fullt kunna bemanna alla krigsförband kommer att kvarstå under överskådlig tid. Av den anledningen tillsatte regeringen en utredning som hade till uppgift att lämna förslag på en långsiktigt hållbar personalförsörjning av det militära försvaret där en utökad användning av totalförsvarsplikten komplet- terar frivilligheten när krigsorganisationens behov inte kan tryggas enbart genom frivillig rekrytering, utredningen om en långsiktigt hållbar personalförsörjning av det militära försvaret (dir. 2015:98). Utredningen, som redovisade sitt uppdrag i september 2016 (En robust försörjning av det militära försvaret, SOU 2016:63), kom bl.a. fram till att regeringen under första kvartalet 2017 bör besluta att totalförsvarspliktiga ska vara skyldiga att genomgå mönstring respektive fullgöra grundutbildning med värnplikt. Betänkandet har remitterats och bereds nu i Regeringskansliet. Sammantaget innebär detta att det även fortsättningsvis är nödvändigt att Total- försvarets rekryteringsmyndighet har möjlighet att hantera person- uppgifter för att kunna lösa alla de uppgifter som anges i lagen om totalförsvarsplikt. Förutsättningarna för att aktivera plikten, helt eller delvis, måste upprätthållas.

Regleringen av behandlingen av personuppgifter om totalför- svarspliktiga behöver därför ses över. Vid översynen ska hänsyn tas till lagen om totalförsvarsplikt och de möjligheter till tillämpning av totalförsvarsplikten som därmed ges, samt till hela personalför- sörjningssystemet, inklusive den frivilliga utbildningen. Den behand- ling av personuppgifter som sker hos Totalförsvarets rekryterings- myndighet behöver kartläggas och behovet av särskilda bestämmelser för totalförsvarspliktiga behöver identifieras. Samma sak gäller även för annan personuppgiftsbehandling som förekommer hos myndig- heten. Finns det skäl för att utsträcka den nuvarande lagens tillämp- ningsområde – eller ska tillämpningsområdet i huvudsak vara det- samma som i dag?

326

SOU 2017:97

Bilaga

Utredaren ska

•göra en översyn av regleringen,

•kartlägga den behandling av personuppgifter som sker hos Total- försvarets rekryteringsmyndighet,

•analysera om de förändringar som har skett inom totalförsvaret och den förändring som skett och fortfarande sker på försvars- området bör påverka lagstiftningen om behandlingen av person- uppgifter,

•analysera om fler kategorier än totalförsvarspliktiga bör ingå i en sådan reglering och

•föreslå en ny lag och förordning om behandling av personupp- gifter på området.

Kravet på lagreglering för viss personuppgiftsbehandling i regeringsformen

Sedan den 1 januari 2011 anges i 2 kap. 6 § andra stycket reger- ingsformen att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskil- des personliga förhållanden. Begränsningar av denna fri- och rättig- het får enligt 2 kap. 20 § första stycket regeringsformen under vissa förutsättningar göras genom lag.

De nya bestämmelserna i regeringsformen innebär att en viss behandling av personuppgifter måste regleras i lag. Lagstiftningen behöver därför granskas ur ett grundlagsperspektiv, bl.a. när det gäller bestämmelser om direktåtkomst för andra än Totalförsvarets rekryteringsmyndighet. Häri ingår uppgiften att utreda om de myn- digheter, kommuner, landsting och bolag som för närvarande finns upptagna i bilagan till förordningen även fortsättningsvis behöver ha sådan direktåtkomst och om andra behöver tillkomma.

Utredaren ska därför

•beakta den ändring som har skett genom införandet av 2 kap. 6 § andra stycket regeringsformen i sitt förslag till ny lagstiftning.

327

Bilaga

SOU 2017:97

Uppdraget att analysera vilket förhållande lagstiftningen ska ha till annan reglering på området

Med anledning av den nya EU-regleringen av personuppgifts- behandling och den kommande kompletterande nationella lagstift- ningen som kommer att föreslås till följd av EU-regleringen, be- höver det analyseras vilket förhållande lagstiftningen ska ha till denna reglering.

Den 27 april 2016 antogs Europaparlamentets och rådets förord- ning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning). Förordningen utgör en ny generell reglering för personuppgiftsbehandling inom EU och ersätter det nuvarande dataskyddsdirektivet. Förordningen ska tillämpas från och med den 25 maj 2018. Det huvudsakliga syftet med förordningen är att ytter- ligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Från dataskyddsförordningens tillämpningsområde undantas bl.a. behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unions- rätten, t.ex. allmän säkerhet och försvar.

Det finns också dataskyddsregler som har antagits inom ramen för Europarådet. Dessa finns i första hand i den europeiska kon- ventionen om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS 108), den s.k. dataskyddskonventionen och dess tilläggsprotokoll. Konventionen har ett generellt tillämpnings- område och kompletteras av ett antal rekommendationer antagna av ministerkommittén om hur personuppgifter bör behandlas inom olika områden. Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen. En översyn av konventionen pågår inom Europarådet.

Vilket förhållande ska regleringen ha till dataskyddsförordningen och den kommande nationella kompletterande regleringen?

Den nuvarande lagen om behandling av personuppgifter om total- försvarspliktiga innehåller bestämmelser om personuppgiftsbehand- ling som ligger utanför EU-rättens tillämpningsområde (artikel 3.2

328

SOU 2017:97

Bilaga

dataskyddsdirektivet och artikel 2.2 dataskyddsförordningen). Reger- ingen ansåg dock vid lagens tillkomst att regleringen av hanteringen av personuppgifter inom detta område borde följa personuppgifts- lagens bestämmelser utom i de fall avvikelser var befogade på grund av verksamhetens särskilda karaktär. En viss särskild reglering vid sidan av personuppgiftslagen ansågs således nödvändig (prop. 1997/98:80, s. 25 f.). Vidare uttalades att registret över totalförsvarspliktiga kom- mer att bli ett av landets mest omfattande personregister och att det kommer att innehålla många uppgifter av känslig karaktär. Per- sonuppgiftslagens tillkomst ansågs inte utgöra tillräckligt skäl att frångå den uppfattning som riksdagen gett uttryck för; att stora personregister med känsliga uppgifter ska lagregleras. I en lag om behandling av personuppgifter om totalförsvarspliktiga ansågs därför de yttre gränserna för verksamheten behöva dras upp i de fall dessa inte överensstämde med vad som redan gällde enligt personuppgifts- lagen. Även särskilda regler för behandlingen av känsliga uppgifter krävdes, bl.a. för att möjliggöra för Totalförsvarets pliktverk (numera Totalförsvarets rekryteringsmyndighet) att inhämta känsliga uppgifter från andra myndigheter (prop. 1997/98:801, s. 26 f. och s. 38).

Dataskyddsutredningen (dir. 2016:15) har i uppdrag att ta fram författningsbestämmelser som upphäver den nuvarande generella personuppgiftsregleringen och som på ett generellt plan komplet- terar dataskyddsförordningen. I uppdraget ingår också bl.a. att under- söka om det finns personuppgiftsbehandling utanför EU-rättens tillämpningsområde som inte omfattas av särreglering, överväga om det behöver införas generella bestämmelser för sådan personupp- giftsbehandling, och i så fall lämna sådana författningsförslag som är behövliga och lämpliga.

I den nu aktuella utredarens uppdrag ingår att analysera om fler personalkategorier än de totalförsvarspliktiga ska ingå i särlagstift- ningen. I uppdraget ingår också att överväga om annan person- uppgiftsbehandling som förekommer hos myndigheten bör omfattas av den nya regleringen. Detta innebär att förhållandet till den nya EU-regleringen liksom till de författningsförslag som Dataskydds- utredningen lämnar kan behöva beaktas.

329

Bilaga

SOU 2017:97

Utredaren ska därför

•analysera möjligheterna till en helt fristående lagstiftning om be- handlingen av personuppgifter om totalförsvarspliktiga och even- tuellt andra kategorier av personer inom försvaret och relationen till annan reglering på området, och

•lämna sådana författningsförslag som är behövliga och lämpliga.

Behövs kompletterande nationella bestämmelser?

Utredaren är oförhindrad att ta upp och belysa även andra frågeställ- ningar som är relevanta för uppdraget. Om utredaren kommer fram till att det – på grund av dataskyddförordningens ikraftträdande eller personuppgiftslagens och personuppgiftsförordningens upphävande

– krävs kompletterande nationella bestämmelser i andra delar än i dem som ska utredas särskilt ska sådana föreslås.

Konsekvensbeskrivningar

Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen för det allmänna och för enskilda. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna ska utredaren föreslå hur dessa ska finansieras. Utredaren ska också redovisa förslagens kon- sekvenser för den personliga integriteten.

Samråd och redovisning av uppdraget

Utredaren ska hålla sig väl informerad om och beakta relevant ar- bete som bedrivs inom Regeringskansliet, utredningsväsendet, in- om EU och inom Europarådet. Detta innebär bl.a. att utredaren ska följa och i möjligaste mån också samråda med övriga utredningar på totalförsvarets område eller som har i uppdrag att anpassa svensk rätt till reformen av EU:s dataskyddsregelverk. Till sådana utred- ningar hör bl.a. Dataskyddsutredningen (dir. 2016:15). Under genom- förandet av uppdraget ska utredaren, i den utsträckning som be- döms lämpligt, också ha en dialog med och inhämta upplysningar från Försvarsmakten och Totalförsvarets rekryteringsmyndighet samt

330

Statens offentliga utredningar 2017

Kronologisk förteckning

1.För Sveriges landsbygder

–en sammanhållen politik för arbete, hållbar tillväxt och välfärd. N.

2.Kraftsamling för framtidens energi. M.

3.Karens för statsråd och statssekreterare. Fi.

4.För en god och jämlik hälsa. En utveckling av det folkhälsopolitiska ramverket. S.

5.Svensk social trygghet i en globaliserad värld. Del 1 och 2. S.

6.Se barnet! Ju.

7.Straffprocessens ramar och domstolens beslutsunderlag

i brottmål – en bättre hantering av stora mål. Ju.

8.Kunskapsläget på kärnavfallsområdet 2017. Kärnavfallet – en fråga i ständig förändring. M.

9.Det handlar om oss.

–unga som varken arbetar eller studerar. U.

10.Ny ordning för att främja god sed och hantera oredlighet i forskning. U.

11.Vägskatt. Volym 1 och 2. Fi.

12.Att ta emot människor på flykt. Sverige hösten 2015. Ju.

13.Finansiering av infrastruktur med privat kapital? Fi.

14.Migrationsärenden

vid utlandsmyndigheterna. Ju.

15.Kvalitet och säkerhet

på apoteksmarknaden. S.

16.Sverige i Afghanistan 2002–2014. UD.

17.Om oskuldspresumtionen och rätten att närvara vid rättegången. Genomförande av EU:s oskuldspresumtionsdirektiv. Ju.

18.En nationell strategi för validering. U.

19.Uppdrag: Samverkan. Steg på vägen mot fördjupad lokal samverkan

för unga arbetslösa. A.

20.Tillträde för nybörjare – ett öppnare och enklare system för tillträde till högskoleutbildning. U.

21.Läs mig! Nationell kvalitetsplan för vård och omsorg om äldre personer. Del 1 och 2. S.

22.Från värdekedja till värdecykel – så får Sverige en mer cirkulär ekonomi. M.

23.digitalforvaltning.nu. Fi.

24.Ett arbetsliv i förändring – hur påverkas ansvaret för arbetsmiljön? A.

25.Samlad kunskap – stärkt handläggning. S.

26.Delningsekonomi. På användarnas villkor. Fi.

27.Vissa frågor inom fastighets- och stämpelskatteområdet. Fi.

28.Ett nationellt centrum för kunskap om och utvärdering av arbetsmiljö. A.

29.Brottsdatalag. Ju.

30.En omreglerad spelmarknad. Del 1 och 2. Fi.

31.Stärkt konsumentskydd

på bostadsrättsmarknaden. Ju.

32.Substitution i Centrum

–stärkt konkurrenskraft med kemikaliesmarta lösningar. M.

33.Stärkt ställning för hyresgäster. Ju.

34.Ekologisk kompensation – Åtgärder för att motverka nettoförluster av biologisk mångfald och ekosystem- tjänster, samtidigt som behovet av markexploatering tillgodoses. M.

35.Samling för skolan. Nationell strategi för kunskap och likvärdighet. U.

36.Informationssäkerhet för samhälls viktiga och digitala tjänster. Ju.

37.Kvalificerad välfärdsbrottslighet

–förebygga, förhindra, upptäcka och beivra. Ju.

38.Kvalitet i välfärden – bättre upphandling och uppföljning. Fi.

39.Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskydds förordning. Ju.

40.För dig och för alla. S.

41.Meddelarskyddslagen – fler verksam- heter med stärkt meddelarskydd. Ju.

42.Vem har ansvaret? M.

43.På lika villkor! Delaktighet, jämlikhet och effektivitet i hjälpmedelsförsörj- ningen. S.

44.Entreprenad, fjärrundervisning och distansundervisning. U.

45.Ny lag om företagshemligheter. Ju.

46.Stärkt ordning och säkerhet i domstol. Ju.

47.Nästa steg på vägen mot en mer jämlik hälsa. Förslag för ett långsiktigt arbete för en god och jämlik hälsa. S.

48.Kunskapsbaserad och jämlik vård. Förutsättningar för en lärande hälso- och sjukvård. S.

49.EU:s dataskyddsförordning och utbildningsområdet. U.

50.Personuppgiftsbehandling för forskningsändamål. U.

51.Utbildning, undervisning och ledning

– reformvård till stöd för en bättre skola. U.

52.Så stärker vi den personliga integriteten. Ju.

53.God och nära vård. En gemensam färdplan och målbild. S.

54.Fler nyanlända elever ska uppnå behörighet till gymnasiet. U.

55.En ny kamerabevakningslag. Ju.

56.Jakten på den perfekta ersättnings modellen. Vad händer med med arbetarnas handlingsutrymme? Fi.

57.Lag om flygpassageraruppgifter i brottsbekämpningen. Ju.

58.Amerikansk inresekontroll vid utresa från Sverige – så kan avtalen genom- föras. Ju.

59.Reglering av alkoglass m.fl. produkter. S.

60.Nästa steg? Förslag för en stärkt minoritetspolitik. Ku.

61.Villkorlig frigivning – förstärkta åtgärder mot återfall i brott. Ju.

62.Kärnavfallsrådets yttrande över SKB:s Fud-program 2016. M.

63.Miljötillsyn och sanktioner

–en tillsyn präglad av ansvar, respekt och enkelhet. M.

64.Detaljplanekravet. N.

65.Hyran vid nyproduktion

–en utvärdering och utveckling av modellen med presumtionshyra. Ju.

66.Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning. S.

67.Våldsbejakande extremism. En forskarantologi. Ku.

68.Barnets rättigheter i ett straffrättsligt förfarande m.m. Genomförande av EU:s barnrättsdirektiv och två andra straffprocessuella frågor. Ju.

69.Marknadskontrollmyndigheter

–befogenheter och sanktionsmöjligheter. UD.

70.Förstärkt skydd för uppgifter

av betydelse för ett internationellt samarbete för fred och säkerhet som Sverige deltar i. Ju.

71.Bostäder på statens mark

–en möjlighet? N.

72.Genomförande av vissa straffrättsliga åtaganden för att förhindra och bekämpa terrorism. Ju.

73.En gemensam bild av bostads‑ byggnadsbehovet. N.

74.Brottsdatalag – kompletterande lagstiftning. Ju.

75.Datalagring – brottsbekämpning och integritet. Ju.

76.Enhetliga priser på receptbelagda läkemedel. S.

77.En generell rätt till kommunal avtalssamverkan. Fi.

78.En sammanhållen budgetprocess. Fi.

79.Finansiering av public service – för ökad stabilitet, legitimitet och stärkt oberoende. Ku.

80.Stärkt integritet i Rättsmedicinal- verkets verksamhet. Ju.

81.Rättslig översyn

av skogsvårdslagstiftningen. N.

82.Vägledning för framtidens arbetsmarknad. A.

83.Brännheta skatter! Bör avfallsför- bränning och utsläpp av kväveoxider från energiproduktion beskattas? Fi.

84.Uppehållstillstånd på grund av praktiska verkställighetshinder och preskription. Ju.

85.Rekrytering av framtidens domare. Ju.

86.Hyresmarknad utan svarthandel och otillåten andrahandsuthyrning. Ju.

87.Finansiering, subvention och pris- sättning av läkemedel – en balansakt. S.

88.Nästa steg? Del 2. Förslag för en stärkt minoritetspolitik. Ku

89.Hemlig dataavläsning

–ett viktigt verktyg i kampen mot allvarlig brottslighet. Ju.

90.Makars, registrerade partners och sambors förmögenhetsförhållanden i internationella situationer. Ju.

91.Nationella minoritetsspråk i skolan

–förbättrade förutsättningar till undervisning och revitalisering. U.

92.Transpersoner i Sverige.

Förslag för stärkt ställning och bättre levnadsvillkor. Ku.

93.Klarlagd identitet.

Om utlänningars rätt att vistas

i Sverige, inre utlänningskontroller och missbruk av identitetshandlingar. Ju.

94.Beräkning av skattetillägg

–en översyn av reglerna. Fi.

95.Ett land att besöka.

En samlad politik för hållbar turism och växande besöksnäring. N.

96.Utvidgat hinder mot erkännande av utländska barnäktenskap. Ju.

97.Totalförsvarsdatalag

–Rekryteringsmyndighetens person uppgiftsbehandling. Fö.

Statens offentliga utredningar 2017

Systematisk förteckning

Arbetsmarknadsdepartementet

Uppdrag: Samverkan. Steg på vägen mot fördjupad lokal samverkan för unga arbetslösa. [19]

Ett arbetsliv i förändring – hur påverkas ansvaret för arbetsmiljön? [24]

Ett nationellt centrum för kunskap om och utvärdering av arbetsmiljö. [28]

Vägledning för framtidens arbetsmarknad. [82]

Finansdepartementet

Karens för statsråd och statssekreterare. [3] Vägskatt. Volym 1 och 2. [11]

Finansiering av infrastruktur med privat kapital? [13]

digitalforvaltning.nu. [23]

Delningsekonomi. På användarnas villkor. [26]

Vissa frågor inom fastighets- och stämpel- skatteområdet. [27]

En omreglerad spelmarknad. Del 1 och 2. [30]

Kvalitet i välfärden – bättre upphandling och uppföljning. [38]

Jakten på den perfekta ersättningsmodel- len. Vad händer med medarbetarnas handlingsutrymme? [56]

En generell rätt till kommunal avtalssamverkan. [77]

En sammanhållen budgetprocess. [78]

Brännheta skatter! Bör avfallsförbränning och utsläpp av kväveoxider från energi- produktion beskattas? [83]

Beräkning av skattetillägg – en översyn av reglerna. [94]

Försvarsdepartementet

Totalförsvarsdatalag

– Rekryteringsmyndighetens person

uppgiftsbehandling. [97]

Justitiedepartementet

Se barnet! [6]

Straffprocessens ramar och domstolens beslutsunderlag i brottmål

– en bättre hantering av stora mål. [7]

Att ta emot människor på flykt. Sverige hösten 2015. [12]

Migrationsärenden

vid utlandsmyndigheterna. [14]

Om oskuldspresumtionen och rätten att närvara vid rättegången. Genomförande av EU:s oskuldspresumtionsdirektiv. [17]

Brottsdatalag. [29]

Stärkt konsumentskydd

på bostadsrättsmarknaden. [31] Stärkt ställning för hyresgäster. [33]

Informationssäkerhet för samhällsviktiga och digitala tjänster. [36]

Kvalificerad välfärdsbrottslighet

– förebygga, förhindra, upptäcka och beivra. [37]

Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskydds förordning. [39]

Meddelarskyddslagen – fler verksam- heter med stärkt meddelarskydd. [41]

Ny lag om företagshemligheter. [45] Stärkt ordning och säkerhet i domstol. [46] Så stärker vi den personliga integriteten. [52] En ny kamerabevakningslag. [55]

Lag om flygpassageraruppgifter i brotts- bekämpningen. [57]

Amerikansk inresekontroll vid utresa från Sverige – så kan avtalen genomföras. [58]

Villkorlig frigivning – förstärkta åtgärder mot återfall i brott. [61]

Hyran vid nyproduktion

– en utvärdering och utveckling av modellen med presumtionshyra. [65]

Barnets rättigheter i ett straffrättsligt förfarande m.m. Genomförande av EU:s barnrättsdirektiv och två andra straffprocessuella frågor. [68]

Förstärkt skydd för uppgifter av betydelse för ett internationellt samarbete för fred och säkerhet som Sverige deltar i. [70]

Genomförande av vissa straffrättsliga åtaganden för att förhindra och bekämpa terrorism. [72]

Brottsdatalag – kompletterande lagstiftning. [74]

Datalagring – brottsbekämpning och integritet. [75]

Stärkt integritet i Rättsmedicinalverkets verksamhet. [80]

Uppehållstillstånd på grund av praktiska verkställighetshinder och preskription. [84]

Rekrytering av framtidens domare. [85]

Hyresmarknad utan svarthandel och otillåten andrahandsuthyrning. [86]

Hemlig dataavläsning

– ett viktigt verktyg i kampen mot allvarlig brottslighet. [89]

Makars, registrerade partners och sambors förmögenhetsförhållanden i inter nationella situationer. [90]

Klarlagd identitet.

Om utlänningars rätt att vistas

i Sverige, inre utlänningskontroller och missbruk av identitetshandlingar. [93]

Utvidgat hinder mot erkännande av utländska barnäktenskap. [96]

Kulturdepartementet

Nästa steg? Förslag för en stärkt minoritetspolitik. [60]

Våldsbejakande extremism. En forskarantologi. [67]

Finansiering av public service – för ökad stabilitet, legitimitet och stärkt oberoende. [79]

Nästa steg? Del 2. Förslag för

en stärkt minoritetspolitik. [88]

Transpersoner i Sverige.

Förslag för stärkt ställning och bättre levnadsvillkor. [92]

Miljö- och energidepartementet

Kraftsamling för framtidens energi. [2]

Kunskapsläget på kärnavfallsområdet 2017. Kärnavfallet – en fråga i ständig förändring. [8]

Från värdekedja till värdecykel – så får Sverige en mer cirkulär ekonomi. [22]

Substitution i Centrum

– stärkt konkurrenskraft med kemikaliesmarta lösningar. [32]

Ekologisk kompensation – Åtgärder för att motverka nettoförluster av biologisk mångfald och ekosystemtjänster, sam- tidigt som behovet av markexploatering tillgodoses. [34]

Vem har ansvaret? [42]

Kärnavfallsrådets yttrande över SKB:s Fud-program 2016. [62]

Miljötillsyn och sanktioner

– en tillsyn präglad av ansvar, respekt och enkelhet. [63]

Näringsdepartementet

För Sveriges landsbygder

– en sammanhållen politik för arbete, hållbar tillväxt och välfärd. [1]

Detaljplanekravet. [64]

Bostäder på statens mark

– en möjlighet? [71]

En gemensam bild av bostadsbyggnads‑ behovet. [73]

Rättslig översyn

av skogsvårdslagstiftningen. [81]

Ett land att besöka.

En samlad politik för hållbar turism och växande besöksnäring. [95]

Socialdepartementet

För en god och jämlik hälsa. En utveckling av det

folkhälsopolitiska ramverket. [4]

Svensk social trygghet i en globaliserad värld. Del 1 och 2. [5]

Kvalitet och säkerhet

på apoteksmarknaden. [15]

Läs mig! Nationell kvalitetsplan

för vård och omsorg om äldre personer. Del 1 och 2. [21]

Samlad kunskap – stärkt handläggning. [25] För dig och för alla. [40]

På lika villkor! Delaktighet, jämlikhet och effektivitet i hjälpmedelsförsörjningen. [43]

Nästa steg på vägen mot en mer jämlik hälsa. Förslag för ett långsiktigt arbete för en god och jämlik hälsa. [47]

Kunskapsbaserad och jämlik vård. Förutsättningar för en lärande hälso- och sjukvård. [48]

God och nära vård. En gemensam färdplan och målbild. [53]

Reglering av alkoglass m.fl. produkter. [59]

Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning. [66]

Enhetliga priser på receptbelagda läkemedel. [76]

Finansiering, subvention och prissättning av läkemedel – en balansakt.[87]

Utbildningsdepartementet

Det handlar om oss.

– unga som varken arbetar eller studerar. [9]

Ny ordning för att främja god sed

och hantera oredlighet i forskning. [10] En nationell strategi för validering [18]

Tillträde för nybörjare – ett öppnare och enklare system för tillträde till hög skoleutbildning. [20]

Samling för skolan.

Nationell strategi för kunskap och likvärdighet. [35]

Entreprenad, fjärrundervisning och distansundervisning. [44]

EU:s dataskyddsförordning och utbildningsområdet. [49]

Personuppgiftsbehandling

för forskningsändamål. [50]

Utbildning, undervisning och ledning

– reformvård till stöd för en bättre skola. [51]

Fler nyanlända elever ska uppnå behörighet till gymnasiet. [54]

Nationella minoritetsspråk i skolan

– förbättrade förutsättningar till undervisning och revitalisering. [91]

Utrikesdepartementet

Sverige i Afghanistan 2002–2014. [16]

Marknadskontrollmyndigheter

– befogenheter och

sanktionsmöjligheter. [69]

Lenberg m.fl.	Eva Lenberg, Ulrika Geijer,
	Anna Tansjö, Offentlighets- och
	sekretesslagen. En kommentar,
	1 januari 2017, Zeteo
Öman m.fl.	Sören Öman, Hans-Olof
	Lindblom, Personuppgiftslagen.
	En kommentar, uppl. 4, 2016,
	Zeteo

Förkortningar m.m. ............................................................		11
Sammanfattning ................................................................		15
1	Författningsförslag.....................................................	25
1.1	Förslag till totalförsvarsdatalag..............................................	25

	och sekretesslagen (2009:400)................................................	30
1.3	Förslag till totalförsvarsdataförordning ................................	32
2	Utredningens uppdrag och arbete................................	35
2.1	Uppdraget................................................................................	35
2.2	Utredningsarbetet...................................................................	36
2.3	Betänkandets disposition........................................................	37
3	Gällande regler om personuppgiftsbehandling
	och enskildas rätt till personlig integritet .....................	39

integriteten ..............................................................................		39
3.1.1	Regeringsformen .....................................................	39
3.1.2	Personuppgiftslagen ................................................	40
3.1.3	Särskilda registerförfattningar ................................	46
3.1.4	Offentlighets- och sekretesslagen ..........................	46

integriteten ..............................................................................		47
3.2.1	Dataskyddsdirektivet ..............................................	47

	av personuppgifter..................................................................		55
4	Allmänt om personalförsörjningen och verksamheten.....		61
4.1	Personalförsörjningen inom totalförsvaret...........................		61
	4.1.1	Totalförsvarsplikten och totalförsvarspliktiga......	62
	4.1.2	Totalförsvarspliktig personal..................................	64
	4.1.3	Annan personal inom totalförsvaret......................	65
	4.1.4	Övrig personal inom Försvarsmakten ...................	67

	förhållanden ............................................................................		68
	4.2.1	Beredskapsunderlaget .............................................	68
	4.2.2	Annan utredning .....................................................	69
	4.2.3	Möjligheten att själv initiera annan utredning.......	70
4.3	Totalförsvarets rekryteringsmyndighet ................................		71
	4.3.1	Rekryteringsmyndighetens organisation...............	71
	4.3.2	Allmänt om verksamheten .....................................	72
	4.3.3	Prövningsverksamheten..........................................	74
	4.3.4	Andra uppdrag för Försvarsmakten.......................	76
	4.3.5	Beredskapsunderlaget och mönstring....................	76
	4.3.6	Stöd och service till bemanningsansvariga
		inom totalförsvaret .................................................	77
5	Rekryteringsmyndighetens behandling
	av personuppgifter .....................................................		81
5.1	Uppdraget ...............................................................................		81

system	......................................................................................	81
5.2.1 ............................................................................	Plis	82
5.2.2 .................................................	Plis prov mönstring	85
5.2.3 ........................................................................	Syom	85
5.2.4 .......................................................	Plis prov extern	86
5.2.5 .........................................................................	Atlas	86

	5.2.6	Övriga informationssystem ....................................	87
	5.2.7	Centrala läkarhandlingsarkivet ...............................	87
5.3	Behandling av personuppgifter vid mönstring......................		87
	5.3.1	Aviseringar ...............................................................	88
	5.3.2	Beredskapsunderlaget..............................................	88
	5.3.3	Selektering................................................................	89
	5.3.4	Kallelse till mönstring .............................................	90
	5.3.5	Mönstring.................................................................	91
	5.3.6	Inskrivning...............................................................	91
	5.3.7	Tjänstgöring.............................................................	91
5.4	Behandling av personuppgifter vid annan utredning............		92
	5.4.1	Annan utredning......................................................	93
5.5	Resultatet av kartläggningen ..................................................		95
6	Allmänna utgångspunkter för den nya regleringen .........		97
6.1	En ny reglering införs.............................................................		97
	6.1.1	Uppdraget ................................................................	97
	6.1.2	Våra överväganden och förslag ...............................	97

	och förslaget till dataskyddslag ..............................................		99
	6.2.1	Uppdraget ................................................................	99
	6.2.2	Allmänt om EU:s dataskyddsreform ...................	100
	6.2.3	Dataskyddsförordningen ......................................	100
	6.2.4	Dataskyddsutredningen ........................................	106
	6.2.5	Dataskyddslagen....................................................	107
	6.2.6	Våra överväganden och förslag .............................	110
6.3	Behov av lagreglering............................................................		113
	6.3.1	Uppdraget ..............................................................	113
	6.3.2	Krav på lagform .....................................................	114
	6.3.3	Våra överväganden.................................................	118
7	Allmänna bestämmelser ...........................................		121
7.1	Lagens namn..........................................................................		121
7.2	Lagens syfte...........................................................................		122

7.3 Lagens tillämpningsområde .................................................		123
7.3.1	Gällande rätt ..........................................................	123

	och ändamål...........................................................	126
7.3.3	Lagens tillämpningsområde..................................	127

		omfattas av lagens tillämpningsområde? .............	131
	7.3.5	Vilken personuppgiftsbehandling faller
		utanför lagens tillämpningsområde?....................	134
7.4	Personuppgiftsansvar ...........................................................		137
	7.4.1	Gällande rätt ..........................................................	137
	7.4.2	Dataskyddsförordningen......................................	138
	7.4.3	Våra överväganden och förslag.............................	138
8	Rättslig grund och tillåtna ändamål ...........................		141
8.1	Rättslig grund för behandlingen av personuppgifter .........		141
	8.1.1	Dataskyddsförordningen......................................	141
	8.1.2	Våra överväganden ................................................	147
8.2	Tillåtna ändamål för behandlingen av personuppgifter......		149
	8.2.1	Allmänt om primära och sekundära ändamål ......	149
	8.2.2	Gällande rätt ..........................................................	150

		personuppgifter få behandlas?..............................	155
9	Den nya regleringen .................................................		157
9.1	Registret över totalförsvarspliktiga .....................................		157
	9.1.1	Allmänt om begreppen register, databaser
		och gemensamt tillgängliga uppgifter..................	157
	9.1.2	Våra överväganden ................................................	161
9.2	Personuppgifter som får behandlas.....................................		164
	9.2.1	Gällande rätt ..........................................................	164
	9.2.2	Våra överväganden och förslag.............................	165
9.3	Känsliga personuppgifter .....................................................		167
	9.3.1	Gällande rätt ..........................................................	167

	9.11.3	Våra överväganden ................................................	220
9.12	Personuppgiftsincidenter.....................................................		222
	9.12.1 Allmänt om begreppet personuppgiftsincident ..		222
	9.12.2	Gällande rätt ..........................................................	222
	9.12.3	Dataskyddsförordningen......................................	223
	9.12.4	Förslag till brottsdatalag.......................................	225
	9.12.5 Våra överväganden och förslag.............................		225
9.13	Tillsynsmyndighetens befogenheter ...................................		227
	9.13.1	Gällande rätt ..........................................................	227
	9.13.2	Dataskyddsförordningen och dataskyddslagen ..	229
	9.13.3 Våra överväganden och förslag.............................		232
10	Vissa andra frågor av särskild vikt för dataskyddet .......		235
10.1	Rättelse och annan korrigering............................................		236
	10.1.1	Gällande rätt ..........................................................	236
	10.1.2	Dataskyddsförordningen och dataskyddslagen ..	236
	10.1.3	Våra överväganden ................................................	238
10.2	Anmälningsskyldighet och dataskyddsombud...................		238
	10.2.1	Gällande rätt ..........................................................	238
	10.2.2	Dataskyddsförordningen......................................	239
	10.2.3	Våra överväganden ................................................	240
10.3	Information till den registrerade .........................................		241
	10.3.1	Gällande rätt ..........................................................	241
	10.3.2	Dataskyddsförordningen och dataskyddslagen ..	242
	10.3.3	Våra överväganden ................................................	244
10.4	Skadestånd.............................................................................		245
	10.4.1	Gällande rätt ..........................................................	245
	10.4.2	Dataskyddsförordningen och dataskyddslagen ..	245
	10.4.3	Våra överväganden ................................................	247
10.5	Administrativa sanktionsavgifter.........................................		247
	10.5.1	Gällande rätt ..........................................................	247
	10.5.2	Dataskyddsförordningen......................................	248
	10.5.3	Dataskyddslagen ...................................................	250
	10.5.4	Våra överväganden ................................................	252

11	Bevarande och gallring m.m. ....................................		253
11.1	Allmänt om bevarande och gallring.....................................		253
11.2	Bevarande och gallring i Rekryteringsmyndighetens
	verksamhet.............................................................................		255
	11.2.1	Gallring...................................................................	255
	11.2.2	Bevarande för arkivändamål..................................	259
	11.2.3 Våra överväganden och förslag .............................		263
11.3	Särskilt om bevarande av känsliga personuppgifter för
	arkivändamål..........................................................................		269
	11.3.1	Dataskyddsförordningen ......................................	269
	11.3.2	Dataskyddslagen....................................................	269
	11.3.3	Våra överväganden.................................................	271

12	Sekretess................................................................		273
12.1	Allmänt om offentlighet och sekretess ...............................		273
12.2	Gällande rätt..........................................................................		274
	12.2.1	Försvarssekretess...................................................	274
	12.2.2	Kunskapsprov m.m................................................	275
	12.2.3 Hälsotillstånd samt hälso- och sjukvård ..............		276
	12.2.4	Personuppgifter .....................................................	277
	12.2.5	Folkbokföringsuppgifter.......................................	278
	12.2.6	Totalförsvarsplikt m.m..........................................	280
12.3	Våra överväganden och förslag.............................................		285
	12.3.1	Ett förstärkt sekretesskydd...................................	285
	12.3.2 En ny sekretessbrytande bestämmelse.................		288

13	Ikraftträdande .........................................................	291
13.1	Ikraftträdande .......................................................................	291
14	Konsekvenser..........................................................	295
14.1	Vårt uppdrag..........................................................................	295
14.2	Vårt förslag till ny reglering .................................................	296
14.3	Konsekvenser för den personliga integriteten ....................	297

14.4	Ekonomiska konsekvenser...................................................	299
14.5	Konsekvenser i övrigt...........................................................	300
15	Författningskommentar ............................................	301
15.1	Förslaget till totalförsvarsdatalag ........................................	301
15.2	Förslaget till lag om ändring i offentlighets-
	och sekretesslagen (2009:400) .............................................	319
Bilaga
Bilaga 1 Kommittédirektiv 2016:103.........................................		321