IMY:s vägledning ska öka kvaliteten i lagförslag

Författare: Kave Noori

Integritetsskyddsmyndigheten (IMY) har gett ut en vägledning med titeln “Vägledning för integritetsanalys i lagstiftningsarbete” i syfte att hjälpa dem som förbereder lagförslag som rör behandling av personuppgifter. Vägledningen ger också stöd till dem som skriver direktiv till statliga
utredningar.

– Det är viktigt att integritetsfrågorna identifieras i ett tidigt skede i lagstiftningsprocessen. Den här vägledningen hoppas vi kan bidra till ökad kvalitet i lagstiftningsarbetet, säger David Törngren som är rättschef på IMY, i ett pressmeddelande den 7 december 2022.

Vägledningen innehåller en metod för att göra en integritetsanalys och fastställa huruvida GDPR och i vissa fall om brottsdatalagen är tillämpliga. Den är organiserad i sju steg, inklusive ett steg för att bedöma om konsekvenserna för den personliga integriteten är “nödvändiga och proportionella”. Vägledningen innehåller vägledande frågor och förslag till åtgärder som kan minska dataskyddsriskerna. Det finns också en checklista i bilagan till vägledningen.

Här kommer de sju stegen:

1. Kartlägg behandlingen av personuppgifter och analysera regelverken
Det första steget i en integritetsanalys är att identifiera och beskriva de behandlingar av personuppgifter som förslaget resulterar i. Det är viktigt att avgöra om denna behandling faller inom GDPR:s tillämpningsområde och kanske även andra regelverk. Som exempel kan det nämnas att en utlämning av uppgifter som behandlas av Försäkringskassan till Polismyndigheten omfattas av både GDPR och brottsdatalagen.

2. Identifiera och bedöm integritetsriskerna
Steg 2 enligt IMY är att identifiera och bedöma de potentiella integritetsriskerna med databehandlingen. Detta kan vara svårt eftersom riskerna kanske inte är uppenbara och flera små förslag tillsammans kan leda till en betydande kränkning av den personliga integriteten. Bedömningen bör omfatta alla aktörer och deras databehandlingar.

Frågor att tänka på är bland annat:
• Behandlas känsliga personuppgifter?
• Behandlas person- eller samordningsnummer?
• Behandlas uppgifter om fällande domar?
• Förekommer det andra uppgifter som medför integritetsrisker?
• Hur omfattande är databehandlingen?
• Vilket inflytande kommer de registrerade att ha över behandlingen och hur är deras förhållande till den personuppgiftsansvarige?

3. Kartlägg befintlig reglering
Steg 3 innebär enligt IMY att man identifierar befintliga bestämmelser som kan stödja behandlingen av personuppgifter, t.ex. hälso- och sjukvårdslagen och patientdatalagen. När man granskar förslaget bör man ta hänsyn till de rättsliga grunderna enligt artikel 6.1 i GDPR för alla inblandade aktörer samt befintliga verksamhets- och personuppgiftsföreskrifter för dessa. Informationsutbytet mellan de berörda parterna bör också bedömas.

4. Behovet av ny lagstiftning
Steg 4 enligt IMY innebär att man bedömer om de befintliga dataskyddsbestämmelserna är tillräckliga, utifrån proportionalitet och vad de registrerade rimligen kan förvänta sig. De integritetsrisker som identifieras i steg 2 beaktas och ytterligare skyddsåtgärder kan behöva införas, om integritetsintrånget är större än nödvändigt. Det är också nödvändigt att bedöma om känsliga personuppgifter eller personuppgifter om lagöverträdelser kommer att behandlas samt om det finns ett behov av att göra det lagligt att behandla uppgifterna vidare, t.ex. för statistiska ändamål.

5. Förenlighet med grundlagen
Steg 5 i IMY:s vägledning innebär en kontroll av förenligheten med grundlagen, vilket innebär att den föreslagna lagtexten ska bedömas i förhållande till 2 kap. 6 § andra stycket i den svenska regeringsformen.

Intensiteten eller omfattningen av en åtgärd och uppgifternas integritetskänsliga karaktär avgör om en åtgärd betraktas som övervakning eller kartläggning i regeringsformens mening. Det är bara sådant som innebär ett betydande intrång i den enskildes privata sfär som omfattas av grundlagsskyddet enligt vägledningen.

6. Utformning av en ny bestämmelse
Steg 6 i IMY:s vägledning rekommenderar att man bedömer hur reglerna ska utformas för att vara förenliga med GDPR och andra dataskyddslagar. Det kan röra sig om att utarbeta en ny registerförfattning eller att öka informationsutbytet mellan myndigheter, med beaktande av riskerna för den personliga integriteten.

IMY lyfter fram att regleringen bör utformas så att behandlingen av personuppgifter begränsas så mycket som möjligt, särskilt när det gäller känsliga personuppgifter och andra integritetskänsliga uppgifter. Man bör överväga alternativ med mindre integritetsrisker när det är möjligt.

7. En sista kontroll av proportionalitet och nödvändighet
IMY påpekar att den slutliga proportionalitetsbedömningen innefattar en bedömning av hur viktigt det önskade målet är, hur begränsningen påverkar de grundläggande rättigheterna till privatliv och personuppgiftsskydd och vilka kompensatoriska åtgärder som behövs för att minska de risker som åtgärden innebär för individuella rättigheter och friheter. Om åtgärden är oproportionerlig får den inte
föreslås eller så måste förslaget justeras.

Det är viktigt att de lagar som reglerar behandlingen av personuppgifter är väl genomtänkta för att säkerställa en lämplig balans mellan medborgarnas rätt till integritet och offentliga myndigheters förmåga att arbeta effektivt.

Om det saknas en tillfredsställande analys och bedömning av konsekvenserna för den personliga integriteten kan ett lagförslag förkastas eller fördröjas. Det har tidigare förekommit att IMY:s remissvar avstyrkt en statlig utrednings förslag och rekommenderat regeringen att göra om delar av utredningen (se exempelvis här och här).

Läs mer:
IMY:s pressmeddelande 7 december 2022
IMY:s rapport 7 december 2022, ”Vägledning för integritetsanalys i lagstiftningsarbete”





Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem


    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.

    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.

    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).












    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart