Post 1604 av 7191 träffar
Utökat sekretesskydd i verksamhet för teknisk bearbetning och lagring Prop. 2016/17:198
Ansvarig myndighet: Finansdepartementet
Dokument: Prop. 198
Regeringens proposition
2016/17:198
Utökat sekretesskydd i verksamhet för teknisk bearbetning och lagring
Prop.
2016/17:198
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 29 juni 2017
Stefan Löfven
Magdalena Andersson
(Finansdepartementet)
Propositionens huvudsakliga innehåll
I propositionen föreslås ändringar i offentlighets- och sekretesslagen (2009:400) som syftar till att säkerställa skyddet för uppgifter om enskildas personliga eller ekonomiska förhållanden, liksom skyddet för allmänna intressen, vid användning av digitala tjänster och vid utkontraktering av it-drift mellan myndigheter.
Tystnadsplikten i verksamhet som enbart avser teknisk bearbetning eller teknisk lagring för någon annans räkning föreslås utvidgas, från att omfatta sådana personuppgifter som avses i personuppgiftslagen (1998:204) till att omfatta alla uppgifter om en enskilds personliga eller ekonomiska förhållanden i sådan verksamhet. Vidare föreslås att en reglering införs som innebär att om en myndighet, i verksamhet för enbart teknisk bearbetning eller teknisk lagring, för en annan myndighets räkning får en uppgift som hos den senare myndigheten är sekretessreglerad av hänsyn till ett allmänt intresse, ska sekretessbestämmelsen även tillämpas hos den mottagande myndigheten.
I propositionen behandlar regeringen även vissa andra förslag som lämnats av E-delegationen i betänkandet Så enkelt som möjligt för så många som möjligt - Bättre juridiska förutsättningar för samverkan och service (SOU 2014:39).
Lagändringarna föreslås träda i kraft den 1 januari 2018.
Innehållsförteckning
1 Förslag till riksdagsbeslut 3
2 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) 4
3 Ärendet och dess beredning 5
4 Utvecklingen inom e-förvaltning 5
4.1 E-förvaltning 5
4.2 Digitala tjänster 6
4.3 Samverkan kring it-drift och gemensamma lösningar 7
4.4 Hjälptjänster 8
4.5 Presentationstjänster 9
5 Befintlig reglering 10
5.1 Tryckfrihetsförordningen och offentlighetsprincipen 10
5.2 Sekretess 11
5.3 Sekretess vid teknisk bearbetning eller lagring hos myndighet 13
5.4 Rätten att meddela och offentliggöra uppgifter 14
5.5 Dataintrång 14
6 Utökat sekretesskydd vid teknisk bearbetning eller teknisk lagring 15
6.1 Utvidgning av tystnadsplikten i verksamhet för enbart teknisk bearbetning eller lagring 15
6.2 Överföring av sekretess vid utkontraktering till annan myndighet 21
6.3 Hjälptjänster 23
6.4 Presentationstjänster 25
7 Ikraftträdande 27
8 Konsekvenser 27
9 Författningskommentar 28
Bilaga 1 Sammanfattning av betänkandet Så enkelt som möjligt för så många som möjligt - Bättre juridiska förutsättningar för samverkan och service (SOU 2014:39) 30
Bilaga 2 Lagförslag i betänkandet 31
Bilaga 3 Förteckning över remissinstanserna 33
Bilaga 4 Lagrådsremissens lagförslag 34
Bilaga 5 Lagrådets yttrande 35
Utdrag ur protokoll vid regeringssammanträde den 29 juni 2017 36
1 Förslag till riksdagsbeslut
Regeringen föreslår att riksdagen antar regeringens förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400).
2 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att 40 kap. 5 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 11 kap. 4 a §, och närmast före 11 kap. 4 a § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
11 kap.
Teknisk bearbetning och lagring
4 a §
Får en myndighet i verksamhet för enbart teknisk bearbetning eller teknisk lagring för en annan myndighets räkning en uppgift som hos den senare myndigheten är sekretessreglerad av hänsyn till ett allmänt intresse, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten.
40 kap.
5 §
Sekretess gäller i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning av personuppgifter som avses i personuppgiftslagen (1998:204) för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Sekretess gäller i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Denna lag träder i kraft den 1 januari 2018.
3 Ärendet och dess beredning
Regeringen gav i april 2009 en delegation i uppdrag att samordna myndigheternas it-baserade utvecklingsprojekt och skapa goda möjligheter för myndighetsövergripande samordning (dir. 2009:19). Delegationen, som antog namnet E-delegationen, överlämnade i juni 2014 betänkandet Så enkelt som möjligt för så många som möjligt - Bättre juridiska förutsättningar för samverkan och service (SOU 2014:39) till regeringen. En sammanfattning av betänkandet finns i bilaga 1. Betänkandets förslag till ändringar i offentlighets- och sekretesslagen (2009:400), förkortad OSL, finns i bilaga 2.
Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissyttrandena och en sammanställning av remissvaren finns tillgängliga i Regeringskansliet (N2014/2822/ITP).
I denna lagrådsremiss behandlas förslagen i betänkandet.
Lagrådet
Regeringen beslutade den 18 maj 2017 att inhämta Lagrådets yttrande över det lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5. Lagrådet har lämnat förslaget utan erinran. I förhållande till lagrådsremissen har vissa språkliga och redaktionella ändringar gjorts.
4 Utvecklingen inom e-förvaltning
4.1 E-förvaltning
De samhällsutmaningar som det offentliga Sverige möter kräver att digitaliseringens möjligheter tillvaratas på bästa sätt. Digitala verktyg och tjänster möjliggör nya former och sätt att erbjuda service och välfärdstjänster, men kan också bidra till att effektivisera organisationen och förvaltningen av de offentliga verksamheterna. Verksamhetsutvecklingen i den offentliga sektorn handlar alltmer om att använda digitaliseringens möjligheter för att möta utvecklingen i omvärlden.
Efter att länge ha varit en av de ledande nationerna på e-förvaltningsområdet har Sverige de senaste åren tappat placeringar och uppvisat ett mer varierat resultat i internationella mätningar. En viktig orsak till detta är bristen på samordning mellan myndigheter och av de e-tjänster som dessa tillhandahåller. Den svenska förvaltningsmodellen bygger på att respektive myndighet i stor utsträckning själv väljer hur en uppgift ska utföras. Samtidigt kräver digitaliseringen allt oftare gemensamma lösningar och investeringar. Bristen på samordning mellan myndigheterna leder bl.a. till att privatpersoner och företag i vissa fall måste vända sig till flera olika aktörer för ett och samma ärende, och lämna samma uppgifter till flera olika myndigheter.
Regeringens mål för förvaltningspolitiken är en innovativ och samverkande statsförvaltning, som är rättssäker och effektiv, har väl utvecklad kvalitet, service och tillgänglighet, och som därigenom bidrar till Sveriges utveckling och ett effektivt EU-arbete (prop. 2009/10:175 s. 27). Regeringen har vidare beslutat om en strategi för en digitalt samverkande statsförvaltning, kallad Med medborgaren i centrum (N2012/6402/ITP). I strategin identifieras följande tre målområden:
- en enklare vardag för privatpersoner och företag,
- en smartare och öppnare förvaltning stödjer innovation och delaktighet, och
- en högre kvalitet och effektivitet i den offentliga verksamheten.
Regeringen har beslutat att digitala tjänster, så långt det är möjligt och där det är relevant, ska vara förstahandsval i den offentliga sektorns kontakter med medborgare, organisationer och företag (prop. 2015/16:1 utg.omr. 22 avsnitt 4.5.1). Regeringen har vidare i propositionen Offentlig förvaltning för demokrati, delaktighet och tillväxt gjort bedömningen att samverkan mellan myndigheterna måste utvecklas, dels av effektivitetsskäl, dels för att medborgare, företagare och andra förväntar sig att staten uppträder samordnat (prop. 2009/10:175). Behovet av samverkan mellan myndigheter har även uppmärksammats av riksdagen, som har tillkännagivit för regeringen att den bör dels se till att de statliga myndigheterna på ett bättre sätt samverkar över myndighetsgränserna med e-förvaltningsprojekt, dels säkerställa att myndigheterna lägger ett ökat fokus på att ta fram fler e-tjänster (bet. 2015/16:FiU25, rskr. 2015/16:208).
4.2 Digitala tjänster
Många myndigheter erbjuder ett stort antal digitala tjänster, även kallade e-tjänster. Som exempel kan nämnas att Skatteverket på sin webbplats erbjuder ett 20-tal olika digitala tjänster för privatpersoner och över 30 digitala tjänster för företag. Försäkringskassan erbjuder vidare över 50 olika digitala tjänster inom en rad olika områden.
Digitala tjänster kan utformas på många olika sätt. Det är den enskilda myndigheten som tar ställning till hur de tjänster som myndigheten erbjuder ska utformas och användas. Vid utformningen av dessa tjänster måste bl.a. behovet av integritet, rättssäkerhet och informationssäkerhet beaktas. I syfte att erbjuda service och uppnå målet om en enklare vardag för privatpersoner och företag finns det i många digitala tjänster möjlighet för användaren att skapa utkast för senare inlämning av uppgifter till myndigheten. Denna möjlighet kan vara en förutsättning för att tjänsterna ska kunna användas, särskilt i de fall där ett stort antal uppgifter ska lämnas in och användaren har behov av stöd och hjälp för att klargöra vilka uppgifter som efterfrågas.
Inom ramen för E-delegationens arbete har juridiska vägledningar tagits fram för myndigheternas utformning av dessa tjänster. Även inom e-samverkansprogrammet, som är ett samarbete för digital samverkan mellan ett antal myndigheter och Sveriges Kommuner och Landsting (SKL), har vägledningar tagits fram som syftar till att stödja myndigheterna vid utformningen av dessa tjänster. E-delegationen har i vägledningarna benämnt sådana lagringsutrymmen som myndigheterna tillhandahåller åt användarna som användarnas egna utrymmen. I det betänkande som behandlas i denna lagrådsremiss kallar delegationen sådana utrymmen för elektroniska förvar. I det följande används begreppet eget utrymme för dessa lagringsutrymmen.
4.3 Samverkan kring it-drift och gemensamma lösningar
För många myndigheter är gemensamma lösningar och samverkan kring it-drift en förutsättning för att verksamheten ska kunna bedrivas, eftersom it-baserade funktioner ofta kräver specialistkompetens och avancerade tekniska hjälpmedel som inte kan hanteras av varje myndighet för sig. Vissa myndigheter har också i uppdrag att tillhandahålla it-baserade funktioner och tjänster åt andra myndigheter. Exempel på sådana uppdrag finns i
- förordningen (2012:208) med instruktion för Statens servicecenter,
- förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte,
- förordningen (2010:1497) med instruktion för E-legitimationsnämnden, och
- förordningen (2009:1078) om tjänster på den inre marknaden.
Ett exempel på samverkan mellan myndigheter är verksamt.se, som är ett samarbete mellan Skatteverket, Bolagsverket och Tillväxtverket för att erbjuda samlad service och information till dem som driver eller vill starta företag. Ett annat exempel är SSBTEK, som är en bastjänst för utlämnande av uppgifter från arbetslöshetskassorna, Arbetsförmedlingen, Centrala studiestödsnämnden, Försäkringskassan, Pensionsmyndigheten och Skatteverket till socialtjänsten, som används vid handläggning av ärenden om ekonomiskt bistånd. Kommunernas socialnämnder behöver information från olika myndigheter och organisationer för att utreda och fatta beslut i ärenden om ekonomiskt bistånd. Tidigare utfördes detta arbete till stor del manuellt, trots att det fanns rättsliga förutsättningar för att inhämta uppgifterna elektroniskt. SSBTEK innebär en förenklad och säkrare hantering av informationen, och ger förutsättningar för att frigöra arbetstid i handläggningen hos både kommunala och statliga myndigheter. Försäkringskassan ansvarar för teknisk förvaltning och drift av tjänsten på uppdrag av SKL.
De ovan nämnda exemplen på myndighetssamverkan innebär i praktiken en form av utkontraktering, då en myndighet tillhandahåller it-baserade funktioner åt andra myndigheter och behandlar uppgifter för dessa myndigheters räkning. För att sådan samverkan ska kunna ske effektivt, och för att nya gemensamma digitala tjänster som stödjer användarna ska kunna utvecklas, krävs att uppgifterna kan skyddas mot obehörig spridning och obehörigt utnyttjande.
När en myndighet anlitar en privat driftleverantör upprättas i regel ett avtal med villkor om tystnadsplikt för leverantörens personal. För myndigheter gäller i stället de förbud mot att röja eller utnyttja en uppgift som föreskrivs i OSL eller de lagar eller förordningar som denna lag hänvisar till.
Myndighetssamverkan genom utkontraktering av it-drift utformas normalt så att driften enbart avser teknisk bearbetning eller lagring för den beställande myndighetens (beställarmyndigheten) räkning. Det kan emellertid av tekniska skäl krävas att uppgifterna blir tillgängliga för den myndighet som tillhandahåller it-driften (driftmyndigheten), utan att driftmyndigheten ska få ta del av själva informationsinnehållet. Det kan alltså inte uteslutas att en befattningshavare hos driftmyndigheten, för att upprätthålla funktionalitet i tjänsten, kan komma att få tillgång till uppgifter som enbart avses att tekniskt bearbetas eller lagras för beställarmyndighetens räkning.
Säkerhetsskyddslagen (1996:627) gäller för alla verksamhetsutövare som bedriver säkerhetskänslig verksamhet. Lagen innebär krav på att det ska finnas det säkerhetsskydd som behövs med hänsyn till verksamhetens art, omfattning och övriga omständigheter. Säkerhetsskyddet ska t.ex. förebygga att uppgifter som omfattas av sekretess och som rör rikets säkerhet obehörigen röjs, ändras eller förstörs. Vid utformningen av informationssäkerheten ska behovet av skydd vid automatisk informationsbehandling särskilt beaktas. Vidare är alla verksamhetsutövare skyldiga att genomföra en säkerhetsanalys som syftar till att undersöka vilka uppgifter i deras verksamhet som ska hållas hemliga med hänsyn till rikets säkerhet, och vilka anläggningar som kräver ett säkerhetsskydd med hänsyn till rikets säkerhet eller skyddet mot terrorism.
En risk vid samverkan om it-drift och gemensamma lösningar består i att flera myndigheters system och information samlas i samma lagringsmedium, t.ex. en molntjänst, vilket kan innebära en ökad riskexponering för känsliga uppgifter. Det innebär att driftmyndigheten riskerar att bli ett attraktivt mål för bl.a. andra länders underrättelseinhämtning. Beställarmyndigheten behöver därför överväga om samverkan om it-drift är lämplig med hänsyn till skyddsvärdet av den information som kommer att omfattas. Vid denna bedömning är myndighetens säkerhetsanalys av stor vikt. Beställarmyndigheten och driftmyndigheten behöver dessutom klargöra vilka skyddsåtgärder som behöver vidtas för att skydda den information som ska hanteras hos driftmyndigheten. Det är väsentligt att skyddet för informationen inte försämras på grund av sådan samverkan. Regeringen har nyligen gett en särskild utredare i uppdrag att bl.a. kartlägga behovet av att förebygga att känsliga uppgifter utsätts för risker i samband med utkontraktering och föreslå olika förebyggande åtgärder, t.ex. tillståndsprövning (dir. 2017:32). Uppdraget ska redovisas senast den 1 maj 2018.
4.4 Hjälptjänster
I takt med att enskilda i allt högre grad använder digitala tjänster i kontakterna med myndigheterna ställs högre krav på myndigheterna att, i enlighet med den allmänna serviceskyldigheten, erbjuda stöd och hjälp till företag och privatpersoner för att de ska kunna använda tjänsterna på ett effektivt sätt. Stödet kan tillhandahållas på olika sätt. Ett exempel är de svar på vanliga frågor som ges på myndigheters webbplatser. Ibland används också filmer för att förklara hur digitala tjänster ska användas. Andra funktioner för att ge hjälp och stöd till enskilda bygger på helt automatiserade tjänster, som utan legitimering av användaren interagerar med denne, t.ex. på så sätt att den enskilde fyller i vissa uppgifter och därigenom får ett automatiserat svar på en viss fråga eller hjälp med att beräkna ett belopp enligt ett visst regelverk. Som exempel kan nämnas en tjänst som Skatteverket tillhandahåller, som utan någon inloggning kan hjälpa enskilda med att beräkna reavinsten vid försäljning av en fastighet.
I många fall har dock användaren behov av ett mer anpassat stöd kopplat till användningen av en digital tjänst. E-delegationen har kallat sådana stöd för hjälptjänster. Den som exempelvis har problem med att fylla i uppgifter i en digital tjänst kan ringa till en myndighets hjälptjänst för att få hjälp med detta. Liknande kommunikation förekommer även i form av chattar mellan enskilda och personal vid myndigheterna. En hjälptjänst kan också innefatta att användaren lämnar uppgifter per e-post till befattningshavare på myndigheten. En annan företeelse som har blivit allt vanligare är att den hjälpsökande via internet, genom s.k. skärmdelning, delar de uppgifter som finns på den sökandens skärm med personal anställd vid en myndighets hjälptjänst.
4.5 Presentationstjänster
För att tillhandahålla service åt enskilda finns ett behov av att kunna sammanställa och presentera uppgifter eller handlingar. Det har därför utvecklats digitala tjänster som ger användaren tillgång till uppgifter eller handlingar från flera organ efter att uppgifterna eller handlingarna har kommit in till den som tillhandahåller tjänsten, utan att det som visas blir tillgängligt för någon annan. Syftet med dessa tjänster är att den enskilde på ett enkelt sätt ska kunna ta del av samlad information på ett ställe, i stället för att behöva vända sig till flera olika aktörer. E-delegationen har kallat dessa slags tjänster för presentationstjänster. Exempel på tjänster av dessa slag som har analyserats inom ramen för E-delegationens arbete är Mina fullmakter och Min ärendeöversikt.
En myndighet som tillhandahåller en presentationstjänst kan på olika sätt hämta in material som finns hos ett eller flera andra organ, efter en begäran från en användare av tjänsten. Insamlingen kan ske direkt från de organ som har det begärda underlaget eller på förhand, antingen till den myndighet som tillhandahåller presentationstjänsten eller till en annan myndighet som har i uppdrag att förvara dessa handlingar.
Ett exempel på en presentationstjänst är Min pension. På Min pensions webbplats kan alla som har tjänat in pension i Sverige logga in och se hela sin pension och göra pensionsprognoser. Uppgifter om vilken pension en pensionssparare kan förvänta sig finns hos olika aktörer och omfattar såväl den allmänna pensionen som tjänstepension och privat pension. Pensionssparare utgår från att utomstående inte får del av dessa uppgifter. Även för pensionsbolagen är medverkan beroende av att de uppgifter som bolagen lämnar ut inte blir tillgängliga för någon utomstående. Presentationstjänsten tillhandahålls av Min Pension i Sverige Aktiebolag (Min Pension AB). De olika pensionsbolagen lämnar således information till en aktör som inte omfattas av reglerna om handlingsoffentlighet. Min Pension AB har gett Pensionsmyndigheten i uppdrag att tillhandahålla bolagets kundservice. Inom ramen för denna funktion ges också Pensionsmyndigheten tillgång till uppgifter som Min Pension AB har hämtat in enligt avtal med pensionssparare och förvarar åt dem.
5 Befintlig reglering
5.1 Tryckfrihetsförordningen och offentlighetsprincipen
Enligt 2 kap. 1 § tryckfrihetsförordningen (TF) ska varje svensk medborgare ha rätt att ta del av allmänna handlingar. En handling är enligt 2 kap. 3 § TF allmän om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos myndigheten. En elektronisk handling anses i enlighet med 2 kap. 6 § TF inkommen till myndigheten när någon annan gjort upptagningen tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. En handling som förvaras hos en myndighet endast som led i teknisk bearbetning eller teknisk lagring för annans räkning anses emellertid enligt 2 kap. 10 § första stycket TF inte vara någon allmän handling. En sådan handling omfattas således inte av bestämmelserna om handlingsoffentlighet.
Undantagsbestämmelsen i 2 kap. 10 § första stycket TF har prövats i ett mål rörande utlämnande av uppgifter ur Riksrevisionsverkets centrala ekonomisystem Cosmos (RÅ 1994 ref. 64). Bakgrunden till rättsfallet var att flera andra myndigheter hade valt att lagra sina ekonomidata i detta system, som tekniskt förvaltades av en extern it-leverantör. Riksrevisionsverket disponerade inte över innehållet i de andra myndigheternas redovisning, utan tillhandahöll endast den tekniska lösningen och lagringsutrymmet. Regeringsrätten bedömde i det aktuella fallet, med hänvisning till 2 kap. 10 § första stycket TF, att handlingarna hos Riksrevisionsverket som innehöll de begärda uppgifterna inte var att anse som allmänna handlingar hos myndigheten.
I rättsfallet HFD 2011 ref. 52 prövade Högsta förvaltningsdomstolen huruvida ett webbaserat arbetsskadesystem omfattades av den aktuella undantagsbestämmelsen. Systemet var gemensamt för polismyndigheterna och administrerades av Rikspolisstyrelsen (RPS). Vissa befattningshavare vid RPS kunde ta del av handlingarna i systemet för att bl.a. utarbeta statistik och lämna rapporter till Arbetsmiljöverket. Domstolen ansåg att i vart fall den användningen av uppgifterna inte kunde anses hänförlig till sådan teknisk bearbetning eller teknisk lagring som avses i 2 kap. 10 § första stycket TF.
Det finns inte några vägledande avgöranden som ger tydligt besked om vilka av de egna utrymmen som myndigheter tillhandahåller användarna genom sina digitala tjänster som uppfyller kraven i 2 kap. 10 § första stycket TF, och som därmed inte leder till att allmänna handlingar skapas hos myndigheterna. Kammarrätten i Stockholm har dock i en dom den 26 oktober 2015 i mål nr 7369-15 bedömt att handlingar som förvarades i en CV-databas hos Arbetsförmedlingen, fick anses vara förvarade hos myndigheten endast som led i teknisk bearbetning eller teknisk lagring för annans räkning. CV-databasen bestod av konton för arbetssökande och arbetsgivare. De arbetssökande kunde lagra CV och annan information i ett eget utrymme och arbetsgivare söka bland profilerna, läsa dem och skicka förfrågningar.
5.2 Sekretess
Rätten att ta del av allmänna handlingar får enligt 2 kap. 2 § första stycket TF endast begränsas om det är nödvändigt med hänsyn till vissa intressen, bl.a. skyddet för enskilds personliga eller ekonomiska förhållanden eller det allmännas ekonomiska intresse.
Sekretess gäller som huvudregel inte bara i förhållande till enskilda, utan också mellan myndigheter och inom en myndighet, om det där finns olika verksamhetsgrenar som är att betrakta som självständiga i förhållande till varandra (8 kap. 1 och 2 §§ OSL). Sekretessen innebär inte bara en begränsning av rätten att ta del av allmänna handlingar, utan även ett förbud att röja en uppgift, genom utlämnande av allmän handling eller på något annat sätt (3 kap. 1 § OSL), dvs. även om det sker muntligen. Det är alltså fråga om både handlingssekretess och tystnadsplikt. Otillåtet röjande av en sekretessbelagd uppgift är straffsanktionerat som brott mot tystnadsplikt (20 kap. 3 § brottsbalken, förkortad BrB).
Till den del sekretessbestämmelserna innebär tystnadsplikt medför de även en begränsning av yttrandefriheten enligt regeringsformen (RF) och den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Enligt 2 kap. 21 § RF får begränsningar i yttrandefriheten endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. En begränsning får vidare aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den, och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Inte heller får en begränsning göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. Av 2 kap. 23 § RF följer vidare att yttrandefriheten får begränsas endast med hänsyn till rikets säkerhet, folkförsörjningen, allmän ordning och säkerhet, enskildas anseende, privatlivets helgd eller förebyggandet och beivrandet av brott. Fri- och rättigheter enligt RF får dessutom endast begränsas om särskilt viktiga skäl föranleder det. Regleringen i RF syftar till att nödvändiga begränsningar inte ska träffa yttrande- och informationsfriheternas kärna.
Sekretessbestämmelserna i OSL gäller inte bara för uppgifter i allmänna handlingar, utan även för uppgifter som hos en myndighet finns i sådana handlingar som ännu inte har blivit allmänna, t.ex. arbetsmaterial, utkast och andra handlingar som varken har expedierats eller på annat sätt kommit att bli upprättade i TF:s mening.
En grundläggande princip i OSL är att sekretess som huvudregel inte följer med en uppgift när den lämnas till en annan myndighet. Offentlighetsintresset kan kräva att de uppgifter som behandlas som hemliga hos en myndighet är offentliga hos en annan myndighet som har inhämtat dem hos den förstnämnda (prop. 1979/80:2 Del A s. 75 f.). Bestämmelser om överföring av sekretess har därför införts efter bedömning i varje enskilt fall. I samband med prövningar om huruvida uppgifter som lämnats från en myndighet till en annan är offentliga skiljer man mellan primära och sekundära sekretessbestämmelser. Dessa begrepp, och begreppet bestämmelse om överföring av sekretess, definieras i 3 kap. 1 § OSL.
En primär sekretessbestämmelse är en bestämmelse om sekretess som en myndighet ska tillämpa på grund av att bestämmelsen a) riktar sig direkt till myndigheten eller b) omfattar en viss verksamhetstyp eller en viss ärendetyp som hanteras hos myndigheten eller c) omfattar vissa uppgifter som finns hos myndigheten. Bestämmelserna i kategori c) är primära sekretessbestämmelser vars räckvidd inte har begränsats och som därför gäller inom hela den offentliga sektorn. Som exempel på sådana bestämmelser kan nämnas regleringen om utrikessekretess i 15 kap. 1 § OSL och minimiskyddsreglerna till skydd för enskildas personliga integritet i 21 kap. OSL.
En sekundär sekretessbestämmelse är en bestämmelse om sekretess som ska tillämpas på grund av en bestämmelse om överföring av sekretess. En bestämmelse om överföring av sekretess är en reglering som innebär att en primär sekretessbestämmelse som är tillämplig hos en myndighet ska tillämpas på uppgiften även av en myndighet som uppgiften lämnas till eller som har elektronisk tillgång till uppgiften hos den förstnämnda myndigheten (s.k. direktåtkomst).
Om en sekretessreglerad uppgift lämnas från en myndighet till en annan gäller således sekretess hos den mottagande myndigheten, antingen om sekretess följer av en primär sekretessbestämmelse, som är tillämplig hos den mottagande myndigheten, eller om sekretess följer av en bestämmelse om överföring av sekretess. Om ingen av dessa förutsättningar är uppfyllda blir uppgiften offentlig hos den mottagande myndigheten.
I 11 kap. 8 § OSL finns en reglering om konkurrens mellan primära och sekundära sekretessbestämmelser. De sekundära sekretessbestämmelser som avses är de som kan bli tillämpliga på grund av reglerna om överföring av sekretess i 11 kap. 1-7 §§ OSL. Av 11 kap. 8 § OSL följer att bestämmelserna om överföring av sekretess inte gäller om en primär sekretessbestämmelse till skydd för samma intresse redan är tillämplig på uppgifterna hos den mottagande myndigheten. Finns det en sådan primär sekretessbestämmelse som är tillämplig hos den mottagande myndigheten är det således den bestämmelsen som ska tillämpas i stället för den överförda sekretessen, oavsett om den primära sekretessen är starkare eller svagare än den sekundära sekretessen. De primära sekretessbestämmelserna i t.ex. 15 kap. 1 och 2 §§ OSL (utrikessekretess och försvarssekretess) har således företräde framför regler om sekretess som överförs med stöd av 11 kap. OSL, under förutsättning att bestämmelserna gäller till skydd för samma intresse.
I propositionen Några frågor om offentlighet och sekretess (prop. 2016/17:208) föreslås att definitionen av begreppet bestämmelse om överföring av sekretess i 3 kap. 1 § OSL justeras, så att det blir tydligt att överföring av sekretess kan ske i flera led.
5.3 Sekretess vid teknisk bearbetning eller lagring hos myndighet
Enligt 40 kap. 5 § OSL gäller sekretess i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning av sådana personuppgifter som avses i personuppgiftslagen (1998:204), förkortad PUL, för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Då handlingar som förvaras hos en myndighet för enbart teknisk bearbetning eller lagring enligt 2 kap. 10 § TF inte är allmänna, reglerar bestämmelsen i 40 kap. 5 § OSL i praktiken endast en tystnadsplikt i det allmännas verksamhet. Denna tystnadsplikt är absolut, vilket innebär att uppgifter som omfattas av sekretessen ska hemlighållas utan någon skadeprövning. Av bestämmelsen i 40 kap. 8 § OSL följer vidare att denna tystnadsplikt inskränker rätten att meddela och offentliggöra uppgifter som annars följer av TF och yttrandefrihetsgrundlagen, förkortad YGL (jfr avsnitt 5.4).
Bestämmelsen i 40 kap. 5 § OSL motsvarar den reglering som tidigare fanns i 9 kap. 7 § sekretesslagen (1980:100). När sekretesslagen infördes uttalades i förarbetena bl.a. att det inte var godtagbart att sekretess saknades inom en datacentral som drivs av en myndighet, för personuppgifter i ett sådant personregister som bearbetas eller lagras för en enskild kunds räkning. Det ansågs att behovet av särskild sekretess för bearbetning och förvaring av myndighets ADB-register inte var lika framträdande, eftersom en för det berörda förvaltningsområdet gällande sekretessbestämmelse ofta skulle bli tillämplig. Det ansågs dock inte finnas tillräcklig anledning att skilja mellan bearbetning m.m. för enskilds och för myndighets räkning. Vidare bedömdes att det inte var ändamålsenligt att personal som hade rent tekniska uppgifter skulle behöva tillämpa olika sekretessbestämmelser för skilda delar av sitt arbetsmaterial (prop. 1979/80:2 s 272).
När en myndighet överlämnar ansvaret för drift och underhåll av sitt it-system till en annan myndighet (utkontraktering av it-drift) gäller de förbud som föreskrivs i bl.a. OSL mot att röja eller utnyttja en uppgift. Den personkrets som omfattas av OSL:s tillämpningsområde är inte bara myndighetens anställda, utan även personer som har uppdrag där, t.ex. för it-drift, och som har en sådan anknytning till myndigheten att de kan sägas delta i dennas verksamhet (2 kap. 1 § OSL).
5.4 Rätten att meddela och offentliggöra uppgifter
Med rätten att meddela och offentliggöra uppgifter avses de rättigheter som följer av 1 kap. 1 § TF samt 1 kap. 1 och 2 §§ YGL. Enligt 1 kap. 1 § andra stycket TF står det varje svensk medborgare fritt att, med iakttagande av bestämmelserna i TF, i tryckt skrift yttra sina tankar och åsikter, offentliggöra allmänna handlingar samt meddela uppgifter och underrättelser i vilket ämne som helst. På motsvarande sätt har varje svensk medborgare enligt 1 kap. 1 § YGL rätt att i radio eller TV eller annat medium som omfattas av lagen offentligen uttrycka tankar, åsikter och känslor, och i övrigt lämna uppgifter i vilket ämne som helst. Enligt 1 kap. 1 § tredje stycket TF och 1 kap. 2 § YGL står det vidare envar fritt att lämna uppgifter i vilket ämne som helst till de personkategorier och organ som anges i de sistnämnda bestämmelserna för publicering i de medier som de båda grundlagarna omfattar (den s.k. meddelarfriheten). Rätten att meddela och offentliggöra uppgifter är således ett vidare begrepp än meddelarfrihet och innefattar, förutom rätten att lämna uppgifter till någon annan för publicering eller på något annat sätt medverka till någon annans publicering, också rätten att själv, som ansvarig enligt grundlagarnas bestämmelser om ensamansvar, offentliggöra uppgifter.
Den rätt att meddela och offentliggöra uppgifter som följer av TF och YGL har som huvudregel företräde framför tystnadsplikten. Nämnda rätt har dock aldrig företräde framför handlingssekretessen (7 kap. 3 § första stycket 2 och 5 § 1 TF samt 5 kap. 1 § första stycket och 3 § första stycket 2 YGL). Det kan således vara tillåtet att t.ex. muntligen lämna en sekretessbelagd uppgift till en journalist eller att själv publicera uppgiften, men det är aldrig tillåtet att med stöd av rätten att meddela och offentliggöra uppgifter lämna den allmänna handling i vilken den sekretessbelagda uppgiften framgår till en journalist eller att själv publicera denna handling.
I ett antal fall har emellertid tystnadsplikten företräde framför rätten att meddela och offentliggöra uppgifter. I dessa fall är alltså rätten att meddela och offentliggöra uppgifter helt inskränkt. Varje gång en ny sekretessbestämmelse införs måste lagstiftaren överväga om den tystnadsplikt som följer av den föreslagna bestämmelsen bör ha företräde framför rätten att meddela och offentliggöra uppgifter. Utgångspunkten är att stor återhållsamhet ska iakttas vid en sådan prövning.
5.5 Dataintrång
För att inte de uppgifter som en användare sparar i sitt egna utrymme hos en myndighet ska bli en allmän handling krävs att myndigheten begränsar den egna personalens tillgång till uppgifterna. Myndighetens personal ska alltså endast hantera den drifts- och säkerhetsrelaterade informationen. Myndigheterna tillämpar därför regler som förbjuder myndighetens personal att bereda sig tillgång till en användares egna utrymme i den digitala tjänst som myndigheten tillhandahåller eller annars ta del av information som finns där. Det blir därmed förbjudet för myndigheten och dess personal att bereda sig tillgång till en användares utrymme eller förvar, eller att annars ta del av information som finns där. I 4 kap. 9 och 9 c §§ BrB finns bestämmelser om intrång i förvar och dataintrång, som kan aktualiseras om myndighetens personal ändå bereder sig tillgång till utrymmet. Straffansvar för dataintrång gäller trots att samma uppgift eller handling finns tillgänglig för befattningshavaren någon annanstans, t.ex. i en myndighets system för ärendehandläggning.
6 Utökat sekretesskydd vid teknisk bearbetning eller teknisk lagring
6.1 Utvidgning av tystnadsplikten i verksamhet för enbart teknisk bearbetning eller lagring
Regeringens förslag: Den tystnadsplikt som i dag gäller i verksamhet för enbart teknisk bearbetning eller lagring för någon annans räkning av personuppgifter som avses i personuppgiftslagen (1998:204) utvidgas till att omfatta uppgifter om en enskilds personliga eller ekonomiska förhållanden i sådan verksamhet.
E-delegationens förslag: Överensstämmer med regeringens förslag. Delegationen har dessutom övervägt två alternativa förslag.
Remissinstanserna: Nästan samtliga av de remissinstanser som har yttrat sig tillstyrker förslaget. Flera remissinstanser, bl.a. Arbetsförmedlingen, Statens servicecenter och Malmö kommun, förordar dock det mer långtgående alternativ som delegationen övervägt, och som innebär att tystnadsplikt ska gälla för varje uppgift i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning (se vidare avsnitt 6.2). Bland de remissinstanser som tillstyrker förslaget anser bl.a. Pensionsmyndigheten och Skatteverket att de förslag som delegationen lämnat stärker förutsättningarna för en framtida utveckling av digitala tjänster. Centrala studiestödsnämnden (CSN) menar att förslagen åtgärdar brister i sekretesskyddet som i dag kan medföra att myndigheterna avstår från att tillhandahålla digitala tjänster och att enskilda avstår från att använda tjänsterna. Domstolsverket framhåller vikten av att integritetsskyddet för enskilda är gott och inte försvagas till följd av den tekniska eller administrativa utvecklingen. Riksarkivet anser att det är oklart hur många tjänster och användare som kommer omfattas av förslagen och om dessa motiverar ett införande av de föreslagna bestämmelserna. Myndigheten framhåller också att det är svårt att bedöma om bestämmelserna kan få andra och vidare konsekvenser än de som beskrivs i betänkandet, samt om det krävs ytterligare lagändringar om myndigheterna eller användarna vill att tjänsterna utvecklas. Myndigheten för samhällsskydd och beredskap (MSB) anser att delegationen i sina analyser inte i tillräcklig utsträckning har beaktat behovet av skyddet av den personliga integriteten och informationssäkerhetsaspekter samt att förslagen ger mycket lite ledning för hur bl.a. personuppgiftsansvaret ska kunna utövas. MSB har mot denna bakgrund tagit fram ett alternativt förslag, som enligt myndigheten syftar till att säkerställa behovet av sekretess utan att markant utvidga tillämpningsområdet för sekretessregleringen. Förslaget innebär att informationshanteringen i en digital tjänst tydligt kopplas till myndighetens ärendeprocess. MSB föreslår att begreppet eget förberedelseutrymme införs i OSL, samt att information i sådana utrymmen betraktas som allmänna handlingar, men skyddas mot utlämnande genom en ny sekretessregel. Vidare föreslår MSB en ny reglering i förvaltningslagen (1986:223) och arkivlagen (1990:782) för att tydliggöra gränsdragningen mellan användningen av det egna förberedelseutrymmet och ingivandet av en handling till myndigheten. Som andrahandsalternativ föreslår MSB att krypteringslösningar används för att säkerställa att information i en användares egna utrymme inte anses tillgänglig för myndigheten med tekniskt hjälpmedel, och därmed inte förvarad hos myndigheten.
Skälen för regeringens förslag
Allmänna utgångspunkter
Förslagen i delegationens betänkande bygger på antagandet att regleringen i 2 kap. 10 § första stycket TF är tillämplig på handlingar som förekommer i egna utrymmen som en myndighet tillhandahåller åt användare av en digital tjänst och vid utkontraktering av it-drift från en myndighet till en annan. Den övervägande majoriteten av remissinstanserna, bl.a. Pensionsmyndigheten och Skatteverket, uttrycker stöd för delegationens bedömning i denna fråga. Ett fåtal remissinstanser är dock tveksamma till delegationens tolkning av bestämmelsen. Enligt Datainspektionen är rättsläget i frågan oklart och MSB anser att delegationen inte redovisat något direkt stöd i förarbeten, rättspraxis eller doktrin för sin tolkning av regleringen.
Myndigheterna väljer som regel att utforma sådana digitala tjänster som tillhandahålls till enskilda så att utkast för senare inlämning av uppgifter till myndigheten enligt 2 kap. 10 § första stycket TF inte ska utgöra allmänna handlingar förrän användaren aktivt och medvetet väljer att färdigställa och skicka in handlingen till myndighetens elektroniska mottagningsställe. Digitala tjänster för enskilda och interaktion mellan myndigheter kan dock utformas på många olika sätt. Frågan om huruvida information i egna utrymmen och information som en myndighet hanterar åt en annan myndighet till följd av utkontraktering av it-drift omfattas av regleringen i 2 kap. 10 § första stycket TF, och därmed inte utgör allmänna handlingar, kan därför inte besvaras generellt och avgörs ytterst av rättstillämpningen. Regeringen anser därför att en ny sekretessreglering inte bör bygga på det antagande som delegationen har gjort om att vissa digitala tjänster i allmänhet omfattas av tillämpningsområdet för bestämmelsen i 2 kap. 10 § första stycket TF.
Som redogjorts för i avsnitt 5.1 finns det dock stöd i praxis för att myndigheterna tillhandahåller digitala tjänster som uppfyller kraven i den nu aktuella bestämmelsen. Myndigheternas möjlighet att själva besluta om utformningen av sina tjänster innebär att de kommer att kunna utveckla och anpassa sina tjänster efter eventuell ytterligare rättspraxis. För de digitala tjänster som tillhandahålls enskilda och vid utkontraktering av it-drift, som uppfyller kraven i 2 kap. 10 § första stycket TF, finns dock anledning att överväga om det finns behov av kompletterande sekretesskydd för att säkerställa att skyddet för den personliga integriteten upprätthålls vid användning av dessa tjänster.
Behovet av skydd vid enbart teknisk bearbetning eller lagring
Digitaliseringen innebär en möjlighet till utveckling av den offentliga förvaltningen och nya processer, former och sätt att erbjuda service till enskilda. Det är angeläget att utvecklingen sker så att skyddet för den personliga integriteten och enskildas förtroende för den offentliga förvaltningen upprätthålls. Enligt regeringens uppfattning är det rimligt att enskilda ska kunna förvänta sig att uppgifter som de lämnar på ett eget utrymme på en myndighets server via en digital tjänst skyddas såväl mot insyn från allmänheten som mot obehörigt utnyttjande från dem som har teknisk tillgång till uppgifterna. Detta bör myndigheterna beakta vid utformningen av sina digitala tjänster.
Det får alltså antas att det finns en berättigad förväntan hos privatpersoner och företag om att uppgifter som behandlas av en myndighet för enbart teknisk bearbetning eller teknisk lagring är skyddade från insyn eller utlämnande med stöd av offentlighetsprincipen. För att uppgifterna ska få ett tillräckligt effektivt skydd mot obehörigt röjande och utnyttjande anser regeringen att det finns behov av att skydda uppgifterna genom en bestämmelse om tystnadsplikt. Om en befattningshavare skulle ha råkat ta del av en uppgift i digital tjänst som tillhandahålls av en myndighet, t.ex. i samband med att han eller hon rättat ett fel i det tekniska systemet, eller vidtagit en åtgärd som är nödvändig från informationssäkerhetssynpunkt, behöver det därför finnas ett förbud mot att röja uppgiften. Det finns även ett behov av ett skydd mot att personal vid en driftmyndighet röjer uppgifter som behandlas för beställarmyndighetens räkning.
Behandlingen av uppgifterna i de nu aktuella fallen sker i verksamhet för enbart teknisk bearbetning eller teknisk lagring för annans räkning, dvs. enligt 2 kap. 10 § första stycket TF. Sådana uppgifter är inte allmänna handlingar och det finns därför endast behov av tystnadsplikt för den personal som har tillgång till uppgifterna.
Behovet av en ny reglering
OSL innehåller vissa sekretessbestämmelser som skulle kunna tänkas skydda uppgifter i de aktuella fallen.
Enligt 31 kap. 12 § första stycket OSL gäller sekretess för uppgift som avser provning, bestämning av egenskaper eller myckenhet, värdering, vetenskaplig, teknisk, ekonomisk eller statistisk undersökning eller annat sådant uppdrag som myndighet utför för en enskilds räkning, om det måste antas att uppdraget lämnats under förutsättning att uppgiften inte röjs. Sekretessen är absolut och meddelarfrihet gäller inte. Av förarbetena till bestämmelsen framgår att den avses omfatta situationer då sekretessen är närmast av förtroendekaraktär, där det i situationen ligger att enskilda knappast skulle anlita myndigheten, om de inte kunde vara säkra på att få samma skydd som hos ett privat företag (prop. 1979/80:2 s. 238). Bestämmelsen gäller dock endast s.k. uppdragsverksamhet som en myndighet bedriver för enskilds räkning. Ett uppdrag att utföra teknisk lagring och bearbetning av information torde oftast knappast kunna jämställas med en undersökning av vetenskaplig, teknisk eller statistisk karaktär. Högsta förvaltningsdomstolen har vidare i rättsfallet HFD 2011 not. 28 bedömt att det i begreppet uppdrag måste ligga att det är fråga om en uppgift som kräver vissa arbetsinsatser av inte alltför obetydligt slag. Domstolen uttalade vidare att resultatet av uppdraget borde redovisas i en rapport eller liknande och att fall där det bara är fråga om att svara på en enstaka faktafråga, eller att upplysa om innehållet i en rättsregel, inte omfattas av den aktuella bestämmelsens tillämpningsområde. Det kan visserligen inte uteslutas att bestämmelsen om uppdragssekretess i något fall skulle kunna bli tillämplig även på uppgifter som behandlas inom ramen för varaktiga tjänster för teknisk bearbetning eller lagring. I de allra flesta fall torde dock uppgifterna inte omfattas av den aktuella sekretessbestämmelsen.
Som anförts i avsnitt 5.3 finns det i 40 kap. 5 § OSL en bestämmelse om tystnadsplikt vars tillämpningsområde är detsamma som det undantag från allmän handling som föreskrivs i 2 kap. 10 § första stycket TF. Enligt bestämmelsen gäller sekretess i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning av sådana personuppgifter som avses i PUL för uppgift om en enskilds personliga eller ekonomiska förhållanden. Inskränkningen till sådana personuppgifter som avses i PUL var delvis en följd av att PUL ersatte datalagen (1973:289). Den närmare innebörden av bestämmelsen är inte helt klar. Utifrån bestämmelsens ordalydelse ligger det dock närmare till hands att anta att inskränkningen snarare avser bestämmelsens räckvidd än dess föremål. Det skulle i så fall innebära att sekretessen gäller i verksamhet som enbart avser teknisk bearbetning eller teknisk lagring av personuppgifter för någon annans räkning. Bestämmelsen skulle då inte vara tillämplig i alla typer av bearbetnings- eller lagringsverksamhet för annans räkning, utan bara i sådan verksamhet som omfattar bearbetning eller lagring av just personuppgifter. I praktiken skulle bestämmelsen då endast omfatta sådana situationer då en myndighet agerar personuppgiftsbiträde åt ett företag eller en annan myndighet, eller då myndigheten tillhandahåller tjänster för teknisk bearbetning eller lagring som innefattar personuppgifter.
Ett stort antal tjänster för teknisk bearbetning eller teknisk lagring omfattar redan i dagsläget handlingar som upprättats av juridiska personer och som kan innehålla uppgifter som inte utgör personuppgifter, men som inte bör komma till utomståendes kännedom, i vart fall inte innan handlingen har kommit in till en myndighet. De integritetsintressen som motiverade att sekretessen för uppgifter i personregister infördes i sekretesslagen finns enligt regeringen även i fråga om uppgifter som rör företag, ideella föreningar och andra juridiska personer. Tystnadsplikten i 40 kap. 5 § OSL framstår mot denna bakgrund, och med hänsyn till de behov som finns vid utveckling av och samverkan kring den offentliga sektorns digitala tjänster, som alltför snävt avgränsad. Regeringen anser således, till skillnad från Riksarkivet, att det är motiverat att stärka sekretesskyddet för denna information.
I likhet med Domstolsverket anser regeringen att det är mycket angeläget att integritetsskyddet för enskilda är betryggande och inte försvagas till följd av den tekniska eller administrativa utvecklingen. Förslaget innebär att sekretesskyddet utökas i de digitala tjänster som myndigheterna tillhandahåller enskilda inom ramen för den digitala förvaltningen. Regeringen bedömer, i likhet med Skatteverket, Pensionsmyndigheten och CSN, att förslaget kommer stärka förutsättningarna för utvecklingen av de digitala tjänster som myndigheterna tillhandahåller.
Det finns mot denna bakgrund starka skäl för att utvidga sekretessen till att omfatta alla sådana uppgifter om enskilds personliga eller ekonomiska förhållanden som behandlas i verksamhet enbart för teknisk bearbetning eller teknisk lagring för någon annans räkning. Enligt regeringen är en sådan utformning av regleringen mer ändamålsenlig än den som MSB föreslagit.
Intresseavvägning
Utgångspunkten vid utformningen av en ny sekretessbestämmelse är att det inte ska gälla mer sekretess än vad som är oundgängligen nödvändigt för att skydda det intresse som har föranlett bestämmelsen. Av detta skäl är de flesta sekretessbestämmelser försedda med skaderekvisit (prop. 1979/80:2 Del A s. 78 f.). En grundläggande princip vid bedömningen av om en ny sekretessreglering ska införas är att behovet av och styrkan i den inte kan bestämmas enbart med hänsyn till sekretessintresset. Behovet av sekretess måste i varje sammanhang vägas mot intresset av insyn i myndigheternas verksamhet.
Behovet av sekretess för en uppgift är oftast detsamma oavsett i vilket sammanhang uppgiften förekommer. Allmänintresset av insyn kan dock variera beroende på vilken verksamhet det är fråga om. I enlighet med vad som anförts i avsnitt 5.2 kan offentlighetsintresset kräva att uppgifter som behandlas som hemliga hos en myndighet är offentliga hos en annan myndighet som har inhämtat dem hos den förstnämnda. I samband med utkontraktering av it-drift aktualiseras den omvända situationen, att uppgifter kan vara offentliga hos en beställarmyndighet, medan samma uppgifter kan behöva omfattas av sekretess hos driftmyndigheten.
Dagens samverkan mellan myndigheter är av en helt annan karaktär än de begränsade, delvis manuella insatser, som var aktuella när bestämmelsen i 40 kap. 5 § OSL om sekretess vid teknisk lagring och bearbetning kom till. I det lagstiftningsärendet hänvisades till förarbetena till 2 kap. 6 § TF, där det som exempel på vad som utgör teknisk bearbetning och lagring nämns att sända maskinskrivet manuskript till en datacentral för överföring av texten till magnetband, att överlämna manuskript för tryckning eller kopiering samt redigering av ljudupptagningar på magnetband, överföringar av sådana upptagningar till grammofonskiva, framkallning av fotografiskt material och liknande (prop. 1979/80:2 Del A s. 272 och 1975/76:160 s. 137).
Vid verksamheten hos en driftmyndighet som utför behandlingar för en beställarmyndighets räkning förekommer inte någon handläggning av de ärenden som uppgifterna rör. Uppgifterna hanteras helt automatiserat i komplexa informationssystem och materialet är normalt direkt tillgängligt hos beställarmyndigheten. Hos den senare myndigheten finns kompetens och rutiner för att bedöma de frågor om offentlighet och sekretess som aktualiseras till följd av behandlingen. Insynsintresset får anses tillgodosett genom att uppgifterna finns åtkomliga hos beställarmyndigheten.
Vid teknisk bearbetning eller lagring i anslutning till digitala tjänster som tillhandahålls av myndigheter är det enskildas handlingar som berörs. När det gäller sådan privat information, som ofta sammanställs som ett led i framtagandet av handling som sedermera ska ges in till myndigheten, som hanteras av myndigheten uteslutande för den enskildes räkning, anser regeringen att det i stort helt saknas insynsintresse i de handlingar som lagras.
Vid bedömningen av behovet av sekretess i fråga om uppgifter som finns tillgängliga hos en myndighet enbart för teknisk bearbetning eller lagring för någon annans räkning ska mot denna bakgrund den enskildes intresse av att uppgifterna skyddas mot röjande och nyttjande från myndighetens personal främst vägas mot intresset av yttrandefrihet hos personalen. De offentliga tjänstemännens grundlagsskyddade intresse av yttrandefrihet när det gäller uppgifter av det aktuella slaget torde generellt sett vara förhållandevis begränsat.
För att enskilda ska känna sig trygga med att använda tjänster av det aktuella slaget krävs att sekretessen är absolut.
Vid en samlad bedömning får behovet av den aktuella sekretessbestämmelsen anses väga tyngre än motstående intressen, främst intresset av yttrandefrihet. Begränsningen av yttrande- och informationsfriheten är inte av sådan karaktär att den träffar kärnan i dessa rättigheter. För att säkerställa att digitala tjänster ska kunna tillhandahållas enskilda på ett sätt som tillgodoser berättigade intressen av skydd för personliga och ekonomiska förhållanden är en begränsning av yttrande- och informationsfriheten som följer av en absolut tystnadsplikt i dessa fall inte heller mer långtgående än vad som behövs med hänsyn till regleringens ändamål (jfr 2 kap. 21 § RF).
Mot denna bakgrund föreslås att tillämpningsområdet för regleringen i 40 kap. 5 § OSL utvidgas till att omfatta alla uppgifter om en enskilds personliga eller ekonomiska förhållanden som en myndighet behandlar endast som ett led i teknisk bearbetning eller teknisk lagring för annans räkning.
Rätten att meddela och offentliggöra uppgifter
Enligt 40 kap. 8 § OSL gäller redan i dag att den tystnadsplikt som följer av 5 § samma kapitel inskränker rätten enligt 1 kap. 1 § TF och 1 kap. 1 och 2 §§ YGL att meddela och offentliggöra uppgifter. Enligt förarbetena till sekretesslagen bör som grundprincip gälla att stor återhållsamhet alltid iakttas vid prövningen av om undantag från rätten att meddela och offentliggöra uppgifter ska göras i ett särskilt fall. Det anges vidare att den enskilda sekretessbestämmelsens konstruktion kan ge viss vägledning. När det är fråga om bestämmelser om absolut sekretess kan det finnas större anledning att överväga undantag från rätten att meddela och offentliggöra uppgifter än i andra fall. Det bör också beaktas om uppgiften har lämnats av en enskild i en förtroendesituation eller om uppgiften hänför sig till myndighetsutövning. I det förra fallet bör rätten att meddela och offentliggöra uppgifter normalt sett inskränkas, medan denna rätt normalt sett bör ha företräde när det är fråga om uppgifter som hänför sig till myndighetsutövning (prop. 1979/80:2 Del A s. 111 f.).
Som framgått ovan får insynsintresset i fråga om uppgifter om enskilds personliga eller ekonomiska förhållanden i verksamhet som avser teknisk lagring eller bearbetning för annans räkning anses vara i det närmaste obefintligt. Samtidigt framstår behovet av skydd för de uppgifter som en enskild har sparat i det egna utrymmet som stort. Vid en samlad bedömning bedömer regeringen att den föreslagna regleringen även bör inskränka rätten att meddela och offentliggöra uppgifter.
6.2 Överföring av sekretess vid utkontraktering till annan myndighet
Regeringens förslag: När en myndighet i sin verksamhet för enbart teknisk bearbetning eller teknisk lagring för en annan myndighets räkning får uppgifter som hos den senare myndigheten är sekretessreglerade av hänsyn till ett allmänt intresse, ska sekretessbestämmelsen även tillämpas hos den mottagande myndigheten.
E-delegationens förslag överensstämmer med regeringens förslag.
Remissinstanserna: Nästan samtliga remissinstanser som har yttrat sig tillstyrker förslaget. Sjöfartsverket och Centrala studiestödsnämnden anser att de förslag som delegationen lämnat skapar bättre förutsättningar för utkontraktering av it-drift till en annan myndighet. Enligt Örebro kommun framstår den föreslagna regleringen som nödvändig för att uppgifter som omfattas av sekretess av hänsyn till ett allmänt intresse ska skyddas när en myndighet utkontrakterar sin it-drift till en annan myndighet. Stockholms universitet anser att det möjligen ännu tydligare bör klargöras vilka konsekvenser den föreslagna regleringen får i förhållande till bestämmelserna om forskningssekretess i 24 kap. 1 och 2 §§ OSL. Flera remissinstanser, bl.a. Arbetsförmedlingen, Statens servicecenter och Malmö kommun, framhåller att en bestämmelse om överföring av sekretess i vissa fall kan ge ett otillräckligt skydd och förespråkar en bestämmelse med absolut sekretess för varje uppgift i verksamhet för enbart teknisk bearbetning eller teknisk lagring, i enlighet med det mer långtgående alternativ, som delegationen övervägt (se avsnitt 6.1). Pensionsmyndigheten anser att det, för att myndigheterna ska kunna utkontraktera sin it-drift, är viktigt att samma sekretess gäller hos driftmyndigheten som hos beställarmyndigheten. Enligt Pensionsmyndigheten framstår det dock som främmande att det vid driftmyndigheten ska göras komplexa bedömningar av om tystnadsplikt gäller för uppgifter som beställarmyndigheten har mer kompetens och rutiner att bedöma.
Skälen för regeringens förslag
Behovet av en ny reglering
Vid utkontraktering av it-drift omfattas ofta alla eller stora delar av myndighetens verksamhetssystem. System av detta slag kan innehålla uppgifter av mycket känslig beskaffenhet som hos beställarmyndigheten omfattas av sekretess till skydd för ett allmänt intresse.
Vissa sekretessbestämmelser till skydd för ett allmänt intresse är utformade så att de ska tillämpas oavsett hos vilken myndighet eller verksamhet uppgifterna förekommer. Sådana primära sekretessbestämmelser finns i t.ex. 15 kap. 1 och 2 §§ OSL (utrikessekretessen och försvarssekretessen). I andra bestämmelser av detta slag har sekretessens räckvidd begränsats till en viss myndighet eller en viss verksamhet. Som exempel kan nämnas att sekretess i det internationella samarbetet enligt 15 kap. 1 a § OSL bara gäller hos den myndighet som har fått eller inhämtat uppgiften från ett utländskt organ. Om uppgiften därefter lämnas till en annan myndighet gäller sekretessbestämmelsen inte hos den mottagande myndigheten. Att bestämmelsens räckvidd har begränsats på detta sätt beror enligt förarbetena på att det för närvarande, såvitt framkommit, inte finns något samarbete som förutsätter en vidarebefordran av uppgifter inom landet, där uppgifterna inte redan genom befintliga sekretessbestämmelser ges ett tillräckligt sekretesskydd hos mottagaren (prop. 2012/13:192 s. 30). Vid utkontraktering av it-drift kan det emellertid, som framgått ovan, förekomma att uppgifter blir tekniskt tillgängliga för driftmyndigheten. Det kan i samband med en utkontraktering vidare vara mycket svårt att särskilja och behålla de delar av verksamhetsstödet där känsliga uppgifter förekommer i egen regi.
Det saknas för närvarande bestämmelser som gör sekretessregleringen vid beställarmyndigheten tillämplig vid driftmyndigheten. Detta medför att det finns en risk för bristande sekretesskydd i de fall då sekretessbestämmelsen som tillämpas hos beställarmyndigheten endast gäller hos denna myndighet eller i viss verksamhet. Den ökade myndighetssamverkan inom it-driftområdet, både i fråga om drift av it-system och tjänster som elektroniska arkiv, innebär att det finns behov av en kompletterande bestämmelse om överföring av sekretess för uppgifter som är sekretessreglerade av hänsyn till ett allmänt intresse.
Vid tillkomsten av de allmänna bestämmelserna om överföring av sekretess i 11 kap. OSL torde man inte kunnat förutse att utvecklingen skulle kunna leda till den myndighetssamverkan på it-området som betraktas som närmast självklar i dag (jfr avsnitt 5.3). Utvecklingen av myndigheternas samverkan har redan föranlett en särskild bestämmelse i 11 kap. 4 § OSL, enligt vilken sekretess som gäller hos en myndighet överförs till en mottagande myndighet, om den mottagande myndigheten ges elektronisk tillgång till en upptagning för automatiserad behandling hos en utlämnande myndighet och denna upptagning är sekretessreglerad hos den utlämnande myndigheten. Genom denna bestämmelse om överföring av sekretess hindras att uppgifter i en upptagning som är sekretessreglerad hos värdmyndigheten (den myndighet vars uppgifter blir tillgängliga) blir offentliga hos den mottagande myndigheten (den myndighet som ges direktåtkomst).
En regel om absolut sekretess för uppgift i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning skulle, som bl.a. Arbetsförmedlingen, Statens servicecenter och Malmö kommun framhållit, bli enkel att tillämpa, eftersom varje uppgift som behandlas inom ramen för den typen av verksamhet skulle omfattas. En befattningshavare skulle därmed inte behöva göra någon bedömning av om uppgifterna i verksamheten var av sådan beskaffenhet att den var sekretessreglerad och om t.ex. ett skaderekvisit var uppfyllt i det enskilda fallet. Regeringen bedömer dock att konsekvenserna av en sådan bestämmelse skulle bli svåra att överblicka och anser, i likhet med delegationen, att det inte är klarlagt att regleringen är förenlig med bestämmelserna i RF om inskränkningar i yttrandefriheten.
Mot denna bakgrund bedömer regeringen, i likhet med bl.a. Örebro kommun, att det finns behov av en reglering, som när en myndighet i sin verksamhet för enbart teknisk bearbetning eller teknisk lagring för en annan myndighets räkning får uppgifter som hos den senare myndigheten är sekretessreglerade av hänsyn till ett allmänt intresse, gör sekretessbestämmelsen tillämplig hos den mottagande myndigheten.
Intresseavvägning
Den aktuella regleringen skulle endast innebära att samma sekretesskydd skulle gälla vid driftmyndigheten som hos den myndighet för vars räkning teknisk bearbetning eller lagring skett. Uppgifterna ska inte användas i den mottagande myndighetens förvaltningsverksamhet utan i princip endast vara tillgängliga för den myndighetens driftspersonal. Mot denna bakgrund får intresset av den aktuella sekretessbestämmelsen anses väga tyngre än insynsintresset.
Regeringen föreslår därför att det införs en ny bestämmelse om överföring av sekretess, som innebär att om en myndighet i verksamhet för enbart teknisk bearbetning eller teknisk lagring för en annan myndighets räkning får en uppgift som hos den senare myndigheten är sekretessreglerad av hänsyn till ett allmänt intresse, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten.
Den nya sekretessbestämmelsen kommer gälla uppgifter som är sekretessreglerade av hänsyn till ett allmänt intresse, medan forskningssekretessen i 24 kap. 1 och 2 §§ skyddar uppgifter om enskilds personliga och ekonomiska förhållanden. Förslaget bedöms därför inte komma att påverka tillämpningen av regleringen om forskningssekretess, vilket Stockholms universitet uttryckt oro för.
6.3 Hjälptjänster
Regeringens bedömning: Behovet av skydd för enskilda i samband med hjälptjänster motiverar i dagsläget inte ett införande av några särskilda bestämmelser om sekretess.
E-delegationens förslag: Delegationen har förslagit att det införs en bestämmelse om sekretess i en myndighets verksamhet för att tillhandahålla service genom en hjälptjänst för användarens egna utrymme, för uppgift om en enskilds personliga eller ekonomiska förhållanden. Den tystnadsplikt som följer av den föreslagna sekretessbestämmelsen föreslås ha företräde framför rätten att meddela och offentliggöra uppgifter.
Remissinstanserna: Nästan samtliga remissinstanser som har yttrat sig har tillstyrkt förslaget, bl.a. Pensionsmyndigheten, Statens servicecenter och Örebro kommun. Enligt Pensionsmyndigheten skulle myndighetens samverkan med Min Pension AB påtagligt förenklas om en sådan bestämmelse som delegationen föreslagit infördes. Enligt myndigheten skulle regleringen också innebära stora effektivitetsvinster för de aktörer som samverkar inom tjänsten Min pension. Justitiekanslern (JK) anser dock att det kan finnas behov av att förtydliga vilka uppgifter bestämmelsen är avsedd att tillämpas på.
Skälen för regeringens bedömning: En myndighets tillhandahållande av hjälptjänster till enskilda har en annan karaktär än den digitala tjänst som hjälptjänsten avser. De handlingar som kan uppstå i samband med tillhandahållandet av en hjälptjänst förvaras inte endast som led i teknisk bearbetning eller teknisk lagring för annans räkning. Även om tillhandahållandet av en hjälptjänst kan innefatta moment av teknisk bearbetning eller lagring kan det inte enbart anses utgöra sådan verksamhet.
Så länge muntliga samtal inte spelas in, och hjälptjänsten inte heller tillhandhålls genom en chatt, uppkommer inte några allmänna handlingar hos den myndighet som tillhandahåller hjälptjänsten. I samband med chattar och skärmdelning kan dock allmänna handlingar tänkas uppstå hos myndigheten.
Av 2 kap. 6 § RF följer att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. En hjälptjänst bör därför inte utformas så att den leder till kartläggning av enskildes personliga förhållanden eller andra oönskade intrång i enskildas personliga integritet. En myndighet får vidare enligt 7 § Riksarkivets föreskrifter och allmänna råd om gallring av handlingar av tillfällig eller ringa betydelse (RA-FS 1991:6; ändrad genom RA-FS 1997:6) gallra handlingar som är av tillfällig eller ringa betydelse för myndighetens verksamhet, under förutsättning att allmänhetens rätt till insyn inte åsidosätts och att handlingarna bedöms sakna värde för rättskipning, förvaltning och forskning. De uppgifter som tillgängliggörs för myndighetens befattningshavare i samband med en hjälptjänst torde normalt endast vara av betydelse för myndighetens verksamhet under tiden som samtalet eller sessionen pågår. De handlingar som kan uppstå i samband med detta bör därmed oftast kunna gallras. Sammantaget bedöms därför möjligheterna att, med åberopande av reglerna om handlingsoffentlighet, få tillgång till uppgifter som har getts in eller gjorts tillgängliga vid användningen av en hjälptjänst vara ytterst begränsade.
Någon allmän regel om tystnadsplikt finns inte för personal i en myndighets hjälptjänst. I många fall då myndigheter tillhandahåller hjälptjänster till enskilda torde dock någon form av sekretessreglering av uppgifterna redan vara tillämplig. Exempelvis gäller sekretess enligt 27 kap. 1 § OSL i verksamhet som avser bestämmande av skatt eller fastställande av underlag för bestämmande av skatt eller som avser fastighetstaxering för uppgift om en enskilds personliga eller ekonomiska förhållanden. De uppgifter som en enskild delar med sig av till Skatteverket vid användning av digitala tjänster inom skatteområdet torde åtminstone i de flesta fall omfattas av denna sekretess. I den utsträckning det finns hjälptjänster där uppgifter om enskilda som inte omfattas av sekretess behandlas bör en särskild reglering för dessa tjänster övervägas. Vidare skulle införandet av en sekretessbestämmelse vid tillhandahållande av en hjälptjänst kunna medföra svåra gränsdragningar gentemot den verksamhet som utövas till följd av myndighetens allmänna service- och informationsskyldighet. I verksamhet av det senare slaget skulle alltjämt som huvudregel inte någon sekretess gälla.
Som Integritetskommittén framhållit kan digitalisering av förvaltningen leda till ökade risker för den personliga integriteten och det är viktigt att myndigheter utformar sina digitala tjänster på ett sätt som minimerar dessa risker (SOU 2016:41). Myndigheter som tillhandahåller hjälptjänster bör därför vidta åtgärder som hindrar myndighetens personal och andra att missbruka information, t.ex. genom behörighetsstyrning, säkerhetsloggar och tekniska skyddsåtgärder. Därmed får uppgifterna ett skydd mot missbruk, även om ingen straffsanktionerad tystnadsplikt föreligger.
Mot denna bakgrund bedömer regeringen, till skillnad från bl.a. Pensionsmyndigheten, Statens servicecenter och Örebro kommun, att det inte har framkommit tillräckliga skäl för att införa en sekretessreglering av det slag som delegationen föreslagit.
6.4 Presentationstjänster
Regeringens bedömning: Behovet av skydd för enskilda i samband med presentationstjänster motiverar inte en generell bestämmelse om sekretess för sådana tjänster.
E-delegationens förslag: Delegationen har föreslagit att det införs en bestämmelse om sekretess för uppgift om en enskilds personliga eller ekonomiska förhållanden i verksamhet för att presentera en sammanställning för en enskild av uppgifter som helt eller delvis har hämtats in från annan, om det kan antas att den enskilde eller någon närstående till denne lider skada eller men om uppgiften röjs.
Remissinstanserna: Flertalet av remissinstanserna, bl.a. Sjöfartsverket och Örebro kommun, tillstyrker förslaget. Flera remissinstanser, bl.a. Datainspektionen och Kronofogdemyndigheten, ifrågasätter dock om delegationens förslag om en bestämmelse med ett rakt skaderekvisit medför ett tillräckligt skydd för de aktuella uppgifterna. JK anser att det saknas en närmare redogörelse för om den föreslagna bestämmelsen ger ett tillräckligt skydd i de fall presentationstjänsterna behandlar uppgifter som omfattas av absolut sekretess. Vidare efterfrågar JK en analys av vad en tillämpning av bestämmelsen innebär för de presentationstjänster som myndigheter redan nu tillhandahåller och hur regleringen förhåller sig till andra sekretessbestämmelser.
Skälen för regeringens bedömning: Syftet med en presentationstjänst är att den enskilde på ett enkelt sätt ska kunna ta del av samlad information på ett ställe i stället för att behöva vända sig till olika aktörer. Handlingar som uppstår i samband med tillhandahållandet av en sådan tjänst torde för närvarande sällan anses förvarade endast som led i teknisk bearbetning eller teknisk lagring för annans räkning. Uppgifter som samlas in och sammanställs av myndigheter i presentationstjänster kan därför utgöra del av allmänna handlingar.
Den kartläggning som framtagandet av en sammanställning, som sker inom ramen för en presentationstjänst, medför kan innebära risker för den personliga integriteten. Sannolikt skulle användare uppleva sig bli kartlagda på det område där en presentationstjänst används, om materialet inte skyddades av sekretess. En enskild, som i och för sig har behov av att enkelt få en överblick över sina ärenden, kan i en sådan situation antas avstå från att använda en presentationstjänst.
Även handlingar som uppstår i samband med tillhandahållandet av en presentationstjänst torde dock i enlighet med vad som anförts i avsnitt 6.3 kunna gallras efter att tjänsten tillhandahållits. Enligt delegationen kan det dock inte uteslutas att en presentationstjänst behöver vara utformad så att insamlade handlingar bevaras, för att kunna presenteras på nytt för samma användare av tjänsten och omedelbar gallring kan då inte ske om tjänsten ska fungera. Det kan inte heller uteslutas att situationer kan uppstå då handlingarna av andra skäl inte omedelbart kan eller bör gallras.
För att kunna ta ställning till behovet av en sekretessbestämmelse behöver det stå klart vilka uppgifter som bestämmelsen ska skydda. Som JK framhållit krävs det också en analys av vilka befintliga sekretessbestämmelser som skulle kunna aktualiseras och varför dessa inte ger ett tillräckligt skydd för uppgifterna.
En sekretessbestämmelse för presentationstjänster av det slag som delegationen föreslagit skulle omfatta alla uppgifter som hanteras inom ramen för en sådan tjänst. Den information som behandlas inom ramen för en presentationstjänst kan, i den verksamhet där den hämtats, omfattas av alltifrån absolut sekretess till ingen sekretess alls. I vissa fall kan det vara fråga om uppgifter som omfattas av sekretess i den verksamhet där de hämtas, men där det är oklart om sekretessen skulle gälla för uppgifterna även i en presentationstjänst. Som bl.a. Datainspektionen och Kronofogdemyndigheten anfört kan det även ifrågasättas om förslaget i tillräcklig mån skyddar känsliga uppgifter i en presentationstjänst, t.ex. sådana uppgifter som hos den myndighet från vilka de hämtats omfattas av absolut sekretess. Redan av detta skäl framstår en generell bestämmelse om sekretess för presentationstjänster som mindre lämplig.
Vidare bör presentationstjänster ofta kunna utformas så att myndighetens hantering av uppgifterna sker i form teknisk bearbetning eller lagring för användarens räkning. Användaren kan därmed få en sammanställning av information i en digital tjänst, utan att myndigheten kan ta del av den. I dessa fall skulle också uppgifterna i sammanställningen omfattas av den reglering som föreslagits i avsnitt 6.1.
Mot denna bakgrund bedömer regeringen, till skillnad från bl.a. Sjöfartsverket och Örebro kommun, att det inte finns tillräckligt starka skäl för att införa en generell sekretessbestämmelse av det slag som delegationen föreslagit.
7 Ikraftträdande
Regeringens förslag: De föreslagna ändringarna ska träda i kraft den 1 januari 2018.
Skälen för regeringens förslag: Det är angeläget att lagändringarna träder i kraft så snart som möjligt, vilket bedöms vara den 1 januari 2018.
8 Konsekvenser
Regeringens bedömning: Förslagen i denna lagrådsremiss bedöms öka de enskildas integritetsskydd, liksom deras möjlighet att få service av myndigheterna. Vidare underlättas myndighetssamverkan kring it-drift, vilket möjliggör en effektivare offentlig förvaltning.
Skälen för regeringens bedömning: Digitaliseringen möjliggör nya processer, former och sätt att erbjuda service och välfärdstjänster till privatpersoner och företag, men innebär också nya möjligheter till att organisera och förvalta de offentliga verksamheterna. Digitaliseringen medför dock även andra risker än den traditionella pappersförvaltningen, bl.a. till följd av de stora datamängder som behandlas.
Förslagen i denna lagrådsremiss stärker skyddet för den personliga integriteten i samband med användningen av digitala tjänster. Vidare bidrar förslagen till att skapa en enklare vardag för privatpersoner och företag samt en effektivare offentlig förvaltning, genom att myndigheterna får in ansökningar m.m. på ett strukturerat och effektivt sätt där uppgifterna i högre grad än annars blir korrekta.
Förslagen medför i sig inte några kostnadsökningar för staten, kommuner eller landsting. De förslag som möjliggör utkontraktering till en annan myndighet kan tvärtom förväntas föra med sig besparingar för det allmänna, eftersom dagens avancerade it-miljöer förutsätter komplexa it-system och i vissa delar behöver skötas av tekniker som har spetskompetens. Det är resurskrävande för myndigheter att själva ha sådan kompetens. Den potentiella nyttan av myndighetssamverkan för att kunna ta tillvara bl.a. expertkompetens på it-området är därför betydande. I det enskilda fallet behöver dock nyttan av att samverka kring t.ex. it-drift vägas mot de säkerhetsrisker som är förknippade med detta.
9 Författningskommentar
Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
11 kap. 4 a §
Paragrafen är ny och behandlas i avsnitt 6.2.
I paragrafen anges att när en myndighet i sin verksamhet för enbart teknisk bearbetning eller teknisk lagring för en annan myndighets räkning får en uppgift som hos den senare myndigheten är sekretessreglerad av hänsyn till ett allmänt intresse, ska sekretessbestämmelsen även tillämpas hos den mottagande myndigheten. Sekretessbestämmelser till skydd för allmänna intressen finns bl.a. i 15-20 kap OSL.
Det skydd som kan aktualiseras när sekretessen överförs med stöd av bestämmelsen är en tystnadsplikt, som ska gälla både i samband med digitala tjänster som en myndighet tillhandahåller åt en annan myndighet och vid en myndighets utkontraktering av it-drift till en annan myndighet. Bestämmelsen är även tillämplig på uppgifter som den mottagande myndigheten får av enskilda och andra myndigheter än beställarmyndigheten för den senare myndighetens räkning.
Tillämpningsområdet är detsamma som för det undantag från bestämmelserna om allmänna handlingar som föreskrivs i 2 kap. 10 § första stycket TF. Bestämmelsen kommer därför enbart att tillämpas på de digitala tjänster och utkontrakteringar som faktiskt har utformats på ett sådant sätt att de avser förvaring av handlingar endast som led i teknisk bearbetning eller lagring för annans räkning.
Av 11 kap. 8 § OSL följer att bestämmelsen inte gäller om en primär sekretessbestämmelse till skydd för samma intresse redan är tillämplig på uppgifterna hos den mottagande myndigheten. I sådant fall ska i stället den primära sekretessbestämmelsen tillämpas, oavsett om den primära sekretessen är starkare eller svagare än den sekundära sekretessen. Sådana primära sekretessbestämmelser, med generell räckvidd, till skydd för allmänna intressen finns i t.ex. 15 kap. 1 och 2 §§ OSL.
40 kap. 5 §
Paragrafen behandlas i avsnitt 6.1.
Ändringen innebär att sekretessen i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning utvidgas till att omfatta alla uppgifter om enskilds personliga eller ekonomiska förhållanden i sådan verksamhet.
Bestämmelsen innebär att tystnadsplikt ska gälla för uppgifter om en enskilds personliga eller ekonomiska förhållanden i verksamhet av det aktuella slaget. Om myndigheternas personal får del av en uppgift i denna verksamhet, t.ex. i samband med att han eller hon rättat ett fel i det tekniska systemet, eller vidtagit en åtgärd som är nödvändig från informationssäkerhetssynpunkt, skyddas uppgiften av sekretess. Tystnadsplikt gäller både i samband med tillhandahållande av digitala tjänster till enskilda och vid myndighets utkontraktering av it-drift till annan myndighet.
Tillämpningsområdet är detsamma som för det undantag från bestämmelserna om allmänna handlingar som föreskrivs i 2 kap. 10 § första stycket TF. Bestämmelsen kommer därför enbart att tillämpas på de digitala tjänster och utkontrakteringar som faktiskt har utformats på ett sådant sätt att de avser förvaring av handlingar endast som led i teknisk bearbetning eller lagring för annans räkning.
Av 40 kap. 8 § OSL framgår att den tystnadsplikt som följer av 5 § inskränker rätten att enligt 1 kap. 1 § TF och 1 kap. 1 och 2 §§ YGL meddela och offentliggöra uppgifter.
Ikraftträdandebestämmelse
Bestämmelsen behandlas i avsnitt 7.
Ikraftträdandebestämmelsen anger att lagen träder i kraft den 1 januari 2018.
Sammanfattning av betänkandet Så enkelt som möjligt för så många som möjligt - Bättre juridiska förutsättningar för samverkan och service (SOU 2014:39)
Betänkandet innehåller förslag till förändringar i offentlighets- och sekretesslagen (2009:400), förkortad OSL, när en myndighet utkontrakterar it-drift till en annan myndighet eller tillhandahåller s.k. elektroniskt förvar till enskilda.
I betänkandet gör E-delegationen bedömningen att det undantag från handlingsoffentlighet som föreskrivs i 2 kap. 10 § första stycket i TF är tillämpligt även på handling i ett elektroniskt förvar. En sekretessreglering för de uppgifter som behandlas i en myndighets verksamhet för teknisk bearbetning eller lagring för annans räkning behövs därför enligt E-delegationen endast i form av tystnadsplikt för myndighetens personal. Det föreslås en förändring i 40 kap. 5 § OSL så att tystnadspliktens föremål, i verksamhet för att tillhandahålla it-drift och elektroniska förvar, vidgas från personuppgifter som avses i personuppgiftslagen (1998:204) till att omfatta uppgifter om en enskilds personliga eller ekonomiska förhållanden i sådan verksamhet. Det föreslås även en ny bestämmelse om överföring av sekretess för uppgifter som tekniskt bearbetas eller lagras för en annan myndighets räkning och som är sekretessreglerade av hänsyn till ett allmänt intresse.
Vidare föreslås bestämmelser om sekretess i en myndighets verksamhet för att tillhandahålla en hjälptjänst för elektroniskt förvar samt i en myndighets verksamhet för att presentera en sammanställning för en enskild av uppgifter som hämtats in från annan, av E-delegationen kallat presentationstjänst.
E-delegationen har dessutom övervägt två alternativa förslag. Övervägandena avser dels införandet av en ny paragraf enligt vilken sekretess ska gälla för uppgift i ett elektroniskt förvar som en myndighet tillhandahåller åt en enskild som led i teknisk bearbetning eller teknisk lagring för dennes räkning, dels en ändring i 40 kap. 5 § OSL som innebär att sekretess ska gälla för varje uppgift i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning.
Lagförslag i betänkandet
Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att 40 kap. 5 § och 8 §§ ska ha följande lydelse,
dels att det ska införas tre nya paragrafer, 11 kap. 4 a § och 40 kap. 5 a och 5 b §§, och tre nya rubriker närmast före 11 kap. 4 a § samt 40 kap. 5 a och 5 b §§ av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
11 kap.
Teknisk bearbetning och lagring för annan
4 a §
Får en myndighet i sin verksamhet för enbart teknisk bearbetning eller teknisk lagring för en annan myndighets räkning en uppgift som av hänsyn till ett allmänt intresse är sekretessreglerad där, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten.
40 kap.
5 §
Sekretess gäller i verksamhet för enbart teknisk bearbetning eller lagring för någon annans räkning av personuppgifter som avses i personuppgiftslagen (1998:204) för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Sekretess gäller i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Hjälptjänst
5 a §
Sekretess gäller i myndighets verksamhet för att tillhandahålla service genom en hjälptjänst för elektroniskt förvar för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Presentationstjänst
5 b §
Sekretess gäller för uppgift om en enskilds personliga eller ekonomiska förhållanden i verksamhet för att presentera en sammanställning för en enskild av uppgifter som helt eller delvis har hämtats in från annan, om det kan antas att den enskilde eller någon närstående till denne lider skada eller men om uppgiften röjs.
8 §
Den tystnadsplikt som följer av 1, 2, 4, och 5 §§ inskränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 1 och 2 §§ yttrande- frihetsgrundlagen att meddela och offentliggöra uppgifter.
Den tystnadsplikt som följer av 1, 2, 4, 5, och 5 a §§ inskränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
Denna lag träder i kraft den 1 januari 2015.
Förteckning över remissinstanserna
Efter remiss har yttrande över betänkandet Så enkelt som möjligt för så många som möjligt - Bättre juridiska förutsättning för service och samverkan (SOU 2014:39) kommit in från Riksdagens ombudsmän, Göta hovrätt, Kammarrätten i Stockholm, Justitiekanslern, Domstolsverket, Åklagarmyndigheten, Rikspolisstyrelsen, Myndigheten för samhällsskydd och beredskap, Migrationsverket, Datainspektionen, Kommerskollegium, Försvarets materielverk, Försäkringskassan, Socialstyrelsen, Inspektionen för vård och omsorg, Läkemedelsverket, Folkhälsomyndigheten, Myndigheten för delaktighet, Tandvårds- och läkemedelsförmånsverket, Inspektionen för socialförsäkringen, Pensionsmyndigheten, E-hälsomyndigheten, Riksgäldskontoret, Tullverket, Finansinspektionen, Ekonomistyrningsverket, Skatteverket, Kronofogdemyndigheten, Kammarkollegiet, Arbetsgivarverket, Länsstyrelsen i Kronobergs län, Länsstyrelsen i Västernorrland, Länsstyrelsen i Västra Götalands län, Statskontoret, Statens tjänstepensionsverk, Statens servicecenter, E-legitimationsnämnden, Konsumentverket, Statens skolverk, Statens skolinspektion, Myndigheten för ungdoms- och civilsamhällesfrågor, Universitets- och högskolerådet, Linköpings universitet, Stockholms universitet, Umeå universitet, Centrala studiestödsnämnden, Naturvårdsverket, Havs- och vattenmyndigheten, Post- och telestyrelsen, Trafikverket, Sjöfartsverket, Transportstyrelsen, Konkurrensverket, Bolagsverket, Tillväxtverket, Regelrådet, Skogsstyrelsen, Statens jordbruksverk, Statens veterinärmedicinska anstalt, Livsmedelsverket, Boverket, Lantmäteriet, Statens kulturråd, Riksarkivet, Riksantikvarieämbetet, Myndigheten för tillgängliga medier, Arbetsförmedlingen, Falkenbergs kommun, Jönköpings kommun, Karlshamns kommun, Kiruna kommun, Linköpings kommun, Malmö kommun, Motala kommun, Skellefteå kommun, Trollhättans kommun, Täby kommun, Uppsala kommun, Åre kommun, Örebro kommun, Jämtlands läns landsting, Norrbottens läns landsting, Stockholms läns landsting, Dataföreningen i Sverige, Journalistförbundet, Min Pension i Sverige AB, Stockholms handelskammare, Styrelsen för ackreditering och teknisk kontroll (Swedac), Svenska Bankföreningen, Sveriges Kommuner och Landsting och Tidningsutgivarna.
Yttrande har dessutom inkommit från en privatperson.
Riksrevisionen, Länsstyrelsen i Örebro län, Verket för innovationssystem, Arvidsjaurs kommun, Borås kommun, Botkyrka kommun, Falu kommun, Gnosjö kommun, Gotlands kommun, Höganäs kommun, Karlstads kommun, Kramfors kommun, Norrköpings kommun, Smedjebackens kommun, Stockholm kommun, Södertälje kommun, Trosa kommun, Uddevalla kommun, Älmhults kommun, Östhammars kommun, Region Skåne, Västra Götalands läns landsting, Östergötlands läns landsting, Almega, Teknikföretagen, Stockholms Handelskammare, Företagarna, Inera, IT & Telekomföretagen, Näringslivets regelnämnd, Svensk Digital Handel, Svensk Handel, Sveriges standardiseringsförbund, Sveriges Radio och Teknikföretagen har inbjudits att lämna synpunkter, men avstått från att yttra sig eller inte avhörts.
Lagrådsremissens lagförslag
Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att 40 kap. 5 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 11 kap. 4 a §, och närmast före 11 kap. 4 a § en rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
11 kap.
Teknisk bearbetning och lagring
4 a §
Om en myndighet i verksamhet för enbart teknisk bearbetning eller teknisk lagring för en annan myndighets räkning får en uppgift som hos den senare myndigheten är sekretessreglerad av hänsyn till ett allmänt intresse, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten.
40 kap.
5 §
Sekretess gäller i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning av personuppgifter som avses i personuppgiftslagen (1998:204) för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Sekretess gäller i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Denna lag träder i kraft den 1 januari 2018.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2017-05-23
Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Ingemar Persson.
Utökat sekretesskydd i verksamhet för teknisk bearbetning och lagring
Enligt en lagrådsremiss den 18 maj 2017 har regeringen (Finansdepartementet) beslutat inhämta Lagrådets yttrande över förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400).
Förslaget har inför Lagrådet föredragits av rättssakkunniga Elin Widegren, biträdd av departementssekreteraren Veronica Eckerby.
Lagrådet lämnar förslaget utan erinran.
Finansdepartementet
Utdrag ur protokoll vid regeringssammanträde den 29 juni 2017
Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, Wallström, Y Johansson, Baylan, Bucht, Regnér, Andersson, Ygeman, A Johansson, Damberg, Strandhäll, Fridolin, Eriksson, Skog, Ekström
Föredragande: statsrådet Andersson
Regeringen beslutar proposition 2016/17:198 Utökat sekretesskydd i verksamhet för teknisk bearbetning och lagring