Krav på säkerhet och skydd av personuppgifter

Tillgängliggörande av data får bara ske när informationssäkerhet och skydd av personuppgifter kan upprätthållas samt att det inte finns några risker för Sveriges säkerhet.

Den grundläggande förutsättningen för att data ska kunna göras tillgängliga för vidareutnyttjande är att de skyddsintressen som räknas upp i 2 kap. 1 § öppna datalagen kan upprätthållas. Data får alltså inte göras tillgängliga, varken efter begäran eller på eget initiativ, om inte skyddet för de olika skyddsintressena kan upprätthållas.

De skyddsintressen som ska beaktas inför tillgängliggörande är:

  1. Krav på informationssäkerhet ska upprätthållas.
  2. Skydd av personuppgifter ska upprätthållas.
  3. Tillgängliggörandet inte ska innebära risker för Sveriges säkerhet.

Den aktör som ska göra data tillgänglig för vidareutnyttjande måste göra en allsidig riskbedömning av de risker som är förenade med tillgängliggörandet (prop. 2021/22:225 s. 37). Det är dock inte tillräckligt att göra en sammantagen bedömning där riskerna vägs samman: varje skyddsintresse ska beaktas och kunna upprätthållas var för sig.

Det kan finnas särskilda risker med att ge tillgång till data, det vill säga information i digitalt format, jämfört med att exempelvis ge tillgång till uppgifter i fysiska handlingar. Inför ett tillgängliggörande av data måste du också bedöma huruvida det format som data görs tillgängliga i innebär några risker för de olika skyddsintressen som nämns i öppna datalagen (prop. 2021/22:225 s. 40). Som offentlig aktör bör du också tänka på att även om sekretess enligt offentlighets- och sekretesslagen inte gäller för en uppgift, kan det vara olämpligt att ge tillgång till uppgiften i digitalt format i enlighet med öppna datalagen.

Krav på informationssäkerhet ska upprätthållas

Enligt det första kravet i 2 kap. 1 § öppna datalagen ska informationssäkerhet upprätthållas när data tillgängliggörs för vidareutnyttjande. När du som offentlig aktör ska tillgängliggöra data för vidareutnyttjande måste du beakta vilka risker som finns för informationens konfidentialitet, riktighet och tillgänglighet. Om du anser att riskerna ur ett informationssäkerhetsperspektiv överstiger nyttan med att tillgängliggöra data ska du avstå från att tillgängliggöra dem. På så sätt har skyddsintresset företräde framför öppna datalagens krav på tillgängliggörande (2021/22:225 s. 36). Det är upp till varje aktör att göra en sådan riskbedömning.

Arbete med informationssäkerhet handlar i stor utsträckning om att minska risken för skadlig inverkan genom att vidta förebyggande åtgärder för att bevara informationens och informationssystemens konfidentialitet, riktighet och tillgänglighet. Som offentlig aktör måste du arbeta på ett systematiskt och riskbaserat sätt med informationssäkerhet när du klassar information, identifierar och hanterar risker eller inför och följer upp säkerhetsåtgärder.

När du ska tillgängliggöra data för vidareutnyttjande behöver du utgå från det informationssäkerhetsarbete som redan har gjorts kring datamängderna som ska tillgängliggöras, för att bedöma vilka risker som kan finnas för informationssäkerheten när du tillgängliggör dem för vidareutnyttjande. Andra aspekter att ta hänsyn till vid bedömningen av informationssäkerhetsrisker är målgruppen som ska ta del av datamängderna och i vilken kontext datamängderna tillgängliggörs.

Du behöver också bedöma risken för att tillgängliggörandet får en skadlig inverkan på det informationen handlar om eller på de informationssystem där data behandlas. Följande kan innebära risker ur ett informationssäkerhetsperspektiv:

  • Datamängden innehåller dolda data: Du måste ta hänsyn till om datamängderna som tillgängliggörs för vidareutnyttjande innehåller dolda data som avslöjar information om datamängden eller om det system där datamängden behandlas som är av känslig karaktär.
  • Datamängden kan förvanskas hos källan: Det är centralt att du försäkrar dig om att den data du tillgängliggör är skyddad på ett sådant sätt att den inte kan förvanskas eller på annat sätt förändras. Du behöver säkerställa att andra kan lita på dig som källa.
  • Datamängdens aktualitet och riktighet: du behöver ta hänsyn till om datamängden kommer att användas på ett sådant sätt att den som vidareutnyttjar informationen behöver kunna lita på att du som lämnat ut data kan garantera datamängdens aktualitet och riktighet över tid. Fundera över hur du har möjlighet att tillgodose detta.
  • Datamängden kan användas för ackumulering eller aggregering som kan innebära risker: du behöver ta hänsyn till att de data som tillgängliggörs kan sammanställas med andra data som finns tillgängliggjorda och på så vis skapa nya informationsmängder som har ett högre skyddsvärde än den initiala datamängden eller datamängderna var för sig (prop. 2021/22:225 s. 36-37).

Skydd av personuppgifter ska upprätthållas

Enligt det andra kravet i 2 kap. 1 § öppna datalagen ska skyddet för personuppgifter upprätthållas vid ett tillgängliggörande av data för vidareutnyttjande.

Öppna datalagen innehåller inte något förbud mot att tillgängliggöra personuppgifter för vidareutnyttjande. Däremot krävs enligt 2 kap. 1 § öppna datalagen att skyddet för personuppgifter kan upprätthållas när data tillgängliggörs. Samtidigt har dataskyddsregleringen, det vill säga dataskyddsförordningen och anslutande nationell reglering, företräde framför öppna datalagen, enligt 1 kap. 2 §.

Bestämmelser som reglerar skydd för personuppgifter i dataskyddsförordningen eller anslutande nationell reglering kan vara av sådan art att den inte utgör ett absolut hinder mot tillgång, men kan påverka på annat sätt. Det kan exempelvis finnas hinder mot att tillgängliggöra en personuppgift digitalt om det saknas lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda uppgiften (prop. 2021/22:225 s. 72).

För att bedöma om data som innehåller personuppgifter kan tillgängliggöras för vidareutnyttjande behöver hänsyn tas till två delar:

  1. Att tillgängliggöra personuppgifter för vidareutnyttjande utgör en behandling av personuppgifter enligt dataskyddsförordningen och ska ske enligt kraven i dataskyddsförordningen.
  2. Skyddet för personuppgifter ska upprätthållas när data har tillgängliggjorts för vidareutnyttjande.
Sekretess för personuppgifter enligt 21 kap. 7 § OSL

I offentlighets- och sekretesslagen (OSL) finns särskild reglering om personuppgifter. Sekretess enligt 21 kap. 7 § OSL gäller för personuppgifter, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller anslutande reglering om behandling av personuppgifter.

  • Öppna datalagen påverkar inte tillämpningen av bestämmelser i någon annan lag eller förordning som ger någon rätt att få tillgång till data eller som begränsar en sådan rätt (1 kap. 2 § öppna datalagen), som exempelvis sekretess för uppgifter.
  • Om sekretess gäller för uppgifter enligt OSL får tillgängliggörande av data för vidareutnyttjande inte ske.
Innehåller datamängden personuppgifter?

Med personuppgift avses varje upplysning som direkt eller indirekt kan identifiera en fysisk person, enligt artikel 4.1 dataskyddsförordningen.

Även indirekta uppgifter som kan identifiera en fysisk person utgör alltså personuppgifter. I datamängder kan det förekomma uppgifter som vid en första anblick inte framstår som personuppgift men som ändå utgör en indirekt personuppgift.

Så kallade dolda data kan innehålla personuppgifter, direkta eller indirekta. Valet av format för tillgängliggörande kan därför få betydelse för vilka personuppgifter som en datamängd kan innehålla. Exempelvis kan vissa filformat innehålla information om vem som har skapat filen.

Om syftet med att tillgängliggöra en datamängd kan uppnås utan datamängden innehåller personuppgifter, kan en onödig personuppgiftsbehandling undvikas genom att ta bort personuppgifterna ur datamängden. Om en aktör på eget initiativ ska tillgängliggöra data för vidareutnyttjande kan myndigheten själv bestämma om datamängden ska innehålla personuppgifter eller inte.

När det är fråga om att ge tillgång till data för vidareutnyttjande efter en begäran behöver myndigheten dock pröva tillgängliggörandet enligt öppna datalagen av den datamängd som den sökande har begärt att få tillgängliggjord.

Personuppgifter kan tillgängliggöras som skyddade data

Om det finns hinder mot att tillgängliggöra data för vidareutnyttjande på grund av att datamängden innehåller personuppgifter, kan datamängden i stället tillgängliggöras som skyddade data. Det innebär att datamängden tillgängliggörs under särskilda villkor. Läs mer i vår vägledning om skyddade data.

Kraven i dataskyddsförordningen ska uppfyllas om du behandlar personuppgifter

Öppna datalagen påverkar inte bestämmelser om skydd för personuppgifter, enligt 1 kap. 2 § öppna datalagen. Det innebär att tillgängliggörandet av personuppgifter i sig ska vara förenligt med dataskyddsförordningen, anslutande nationell reglering och eventuella registerförfattningar som reglerar behandlingen av personuppgifter.

Att tillgängliggöra personuppgifter för vidareutnyttjande utgör i sig en behandling av personuppgifter. Den som ttillgängliggör personuppgifter för vidareutnyttjande är ansvarig för den personuppgiftsbehandling som detta innebär. Det betyder att du som tillgängliggör personuppgifterna också är skyldig att följa dataskyddsförordningen.

Om någon enligt lag eller förordning har rätt att få tillgång till en datamängd med personuppgifter, måste du tillgängliggöra den. I sådana fall ger öppna datalagen en laglig grund för behandlingen, enligt artikel 6 i dataskyddsförordningen. Men det räcker inte med att det finns en laglig grund. Behandlingen måste också följa alla andra regler i dataskyddsförordningen, särskilt principerna för personuppgiftsbehandling i artikel 5.

Skyddet för personuppgifter ska upprätthållas även efter tillgängliggörande

Det räcker inte att du konstaterar att din organisations behandling av personuppgifter vid tillgängliggörande av data för vidareutnyttjande är förenlig med dataskyddsförordningen. När du står inför att tillgängliggöra data som innehåller personuppgifter behöver du även beakta vilka integritetsrisker som finns förenade med att data görs tillgängliga för vidareutnyttjande.

När data som innehåller personuppgifter har tillgängliggjorts för vidareutnyttjande och den som tagit emot dem bearbetar dem för egna ändamål har personuppgiftsansvaret övergått till den som tagit emot datamängden. Trots det behöver den aktör som tillgängliggör data för vidareutnyttjande beakta samtliga potentiella integritetsrisker med tillgängliggörandet (prop. 2021/22:225 s. 81-82). Utgångspunkten är att stor försiktighet bör iakttas även om regler om dataskydd inte i och för sig hindrar ett tillgängliggörande (prop. 2021/22:225 s. 37).

Tillgängliggörandet ska inte innebära risker för Sveriges säkerhet

Enligt det tredje kravet i 2 kap. 1 § öppna datalagen måste du ta hänsyn till vilka risker för Sveriges säkerhet som kan uppstå vid ett tillgängliggörande. Om du anser att det finns risker ska tillgängliggörandet av data inte ske.

Med Sveriges säkerhet avses förhållanden som är av grundläggande betydelse för Sverige, och kan avse både militär och civil verksamhet, enligt säkerhetsskyddslagen (2018:585). Säkerhetsskyddsklassificerade uppgifter är uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (OSL) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig (vilket gäller för aktörer som inte omfattas av OSL). Om uppgifter omfattas av sekretess enligt OSL är data undantagna från öppna datalagens tillämpningsområde och ska inte tillgängliggöras för vidareutnyttjande, se 1 kap. 2 § öppna datalagen.

Även om en datamängd inte omfattas av sekretess kan det innebära risker för Sveriges säkerhet att tillgängliggöra datamängden för vidareutnyttjande. En datamängd som består av uppgifter från olika öppna källor kan exempelvis ha ett skyddsvärde i sig, vilket kan ske när data från olika källor sammanställs och skapar nya informationsmängder (prop. 2021/22:225 s. 37).

Lär dig mer

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad:

Kontakta oss

info@digg.se

Tel: 0771-11 44 00

Peppol-ID: 0007:2021006883

Fler kontaktuppgifter

Digg - Myndigheten för digital förvaltning