Din varukorg är för närvarande tom!
IMY:s vägledning ska öka kvaliteten i lagförslag
Författare: Kave Noori
Integritetsskyddsmyndigheten (IMY) har gett ut en vägledning med titeln ”Vägledning för integritetsanalys i lagstiftningsarbete” i syfte att hjälpa dem som förbereder lagförslag som rör behandling av personuppgifter. Vägledningen ger också stöd till dem som skriver direktiv till statliga
utredningar.
– Det är viktigt att integritetsfrågorna identifieras i ett tidigt skede i lagstiftningsprocessen. Den här vägledningen hoppas vi kan bidra till ökad kvalitet i lagstiftningsarbetet, säger David Törngren som är rättschef på IMY, i ett pressmeddelande den 7 december 2022.
Vägledningen innehåller en metod för att göra en integritetsanalys och fastställa huruvida GDPR och i vissa fall om brottsdatalagen är tillämpliga. Den är organiserad i sju steg, inklusive ett steg för att bedöma om konsekvenserna för den personliga integriteten är ”nödvändiga och proportionella”. Vägledningen innehåller vägledande frågor och förslag till åtgärder som kan minska dataskyddsriskerna. Det finns också en checklista i bilagan till vägledningen.
Här kommer de sju stegen:
1. Kartlägg behandlingen av personuppgifter och analysera regelverken
Det första steget i en integritetsanalys är att identifiera och beskriva de behandlingar av personuppgifter som förslaget resulterar i. Det är viktigt att avgöra om denna behandling faller inom GDPR:s tillämpningsområde och kanske även andra regelverk. Som exempel kan det nämnas att en utlämning av uppgifter som behandlas av Försäkringskassan till Polismyndigheten omfattas av både GDPR och brottsdatalagen.
2. Identifiera och bedöm integritetsriskerna
Steg 2 enligt IMY är att identifiera och bedöma de potentiella integritetsriskerna med databehandlingen. Detta kan vara svårt eftersom riskerna kanske inte är uppenbara och flera små förslag tillsammans kan leda till en betydande kränkning av den personliga integriteten. Bedömningen bör omfatta alla aktörer och deras databehandlingar.
Frågor att tänka på är bland annat:
• Behandlas känsliga personuppgifter?
• Behandlas person- eller samordningsnummer?
• Behandlas uppgifter om fällande domar?
• Förekommer det andra uppgifter som medför integritetsrisker?
• Hur omfattande är databehandlingen?
• Vilket inflytande kommer de registrerade att ha över behandlingen och hur är deras förhållande till den personuppgiftsansvarige?
3. Kartlägg befintlig reglering
Steg 3 innebär enligt IMY att man identifierar befintliga bestämmelser som kan stödja behandlingen av personuppgifter, t.ex. hälso- och sjukvårdslagen och patientdatalagen. När man granskar förslaget bör man ta hänsyn till de rättsliga grunderna enligt artikel 6.1 i GDPR för alla inblandade aktörer samt befintliga verksamhets- och personuppgiftsföreskrifter för dessa. Informationsutbytet mellan de berörda parterna bör också bedömas.
4. Behovet av ny lagstiftning
Steg 4 enligt IMY innebär att man bedömer om de befintliga dataskyddsbestämmelserna är tillräckliga, utifrån proportionalitet och vad de registrerade rimligen kan förvänta sig. De integritetsrisker som identifieras i steg 2 beaktas och ytterligare skyddsåtgärder kan behöva införas, om integritetsintrånget är större än nödvändigt. Det är också nödvändigt att bedöma om känsliga personuppgifter eller personuppgifter om lagöverträdelser kommer att behandlas samt om det finns ett behov av att göra det lagligt att behandla uppgifterna vidare, t.ex. för statistiska ändamål.
5. Förenlighet med grundlagen
Steg 5 i IMY:s vägledning innebär en kontroll av förenligheten med grundlagen, vilket innebär att den föreslagna lagtexten ska bedömas i förhållande till 2 kap. 6 § andra stycket i den svenska regeringsformen.
Intensiteten eller omfattningen av en åtgärd och uppgifternas integritetskänsliga karaktär avgör om en åtgärd betraktas som övervakning eller kartläggning i regeringsformens mening. Det är bara sådant som innebär ett betydande intrång i den enskildes privata sfär som omfattas av grundlagsskyddet enligt vägledningen.
6. Utformning av en ny bestämmelse
Steg 6 i IMY:s vägledning rekommenderar att man bedömer hur reglerna ska utformas för att vara förenliga med GDPR och andra dataskyddslagar. Det kan röra sig om att utarbeta en ny registerförfattning eller att öka informationsutbytet mellan myndigheter, med beaktande av riskerna för den personliga integriteten.
IMY lyfter fram att regleringen bör utformas så att behandlingen av personuppgifter begränsas så mycket som möjligt, särskilt när det gäller känsliga personuppgifter och andra integritetskänsliga uppgifter. Man bör överväga alternativ med mindre integritetsrisker när det är möjligt.
7. En sista kontroll av proportionalitet och nödvändighet
IMY påpekar att den slutliga proportionalitetsbedömningen innefattar en bedömning av hur viktigt det önskade målet är, hur begränsningen påverkar de grundläggande rättigheterna till privatliv och personuppgiftsskydd och vilka kompensatoriska åtgärder som behövs för att minska de risker som åtgärden innebär för individuella rättigheter och friheter. Om åtgärden är oproportionerlig får den inte
föreslås eller så måste förslaget justeras.
Det är viktigt att de lagar som reglerar behandlingen av personuppgifter är väl genomtänkta för att säkerställa en lämplig balans mellan medborgarnas rätt till integritet och offentliga myndigheters förmåga att arbeta effektivt.
Om det saknas en tillfredsställande analys och bedömning av konsekvenserna för den personliga integriteten kan ett lagförslag förkastas eller fördröjas. Det har tidigare förekommit att IMY:s remissvar avstyrkt en statlig utrednings förslag och rekommenderat regeringen att göra om delar av utredningen (se exempelvis här och här).
Läs mer:
IMY:s pressmeddelande 7 december 2022
IMY:s rapport 7 december 2022, ”Vägledning för integritetsanalys i lagstiftningsarbete”