Sekretess och dataskydd i det tekniska systemet enligt EU:s förordning om en gemensam digital ingång (Fi 2023:C)
Myndigheten för digital förvaltning (Digg), som har i uppdrag att samordna och stödja den förvaltningsgemensamma digitaliseringen i syfte att göra den offentliga förvaltningen mer effektiv och ändamålsenlig, lämnar följande synpunkter.
Diarienummer: Fi2024/01525
Sammanfattning
Digg är i huvudsak positiv till regeringens förslag i promemorian, men delar inte utredarens beskrivningar och bedömningar kring utformningen av det tekniska systemet och dess funktion. Digg har i rapport Förslag för den svenska anslutningen till EU:s tekniska system för gränsöverskridande utbyte av bevis (Dnr. 2024–2183–0031), här kallad Anslutningsrapporten, beskrivit hur myndigheten anser att det tekniska systemet bör utformas och anser att den gärna kan tjäna som grund för den fortsatta beredningen. Därutöver lämnar vi följande synpunkter:
- Digg är positiv till regeringens förslag om att förtydliga Diggs roll som ansvarig för förvaltning av det tekniska systemet och att Digg får ett tydligt rättsligt stöd för sin personuppgiftsbehandling. Däremot har vi synpunkter gällande utformningen av författningsförslagen.
- Digg avstyrker förslagen till nuvarande formulering av 2 § i förslag om ändring i förordningen (2022:127) med kompletterande bestämmelser till EU:s förordning om en gemensam digital ingång. Detta med anledning av att vi inte anser att samtliga krav på behöriga myndigheter i SDG-förordningen och genomförandeförordningen har tagits om hand i förslaget. Digg anser att det är viktigt att de ansvarsområden som framkommer i genomförandeförordningen fördelas mellan behöriga myndigheter och Digg. Digg har i Anslutningsrapporten utvecklat detta resonemang och hänvisar därför dit.
- Digg delar regeringens uppfattning att det saknas behov av att ändra i offentlighets- och sekretesslagen för att uppfylla Sveriges skyldigheter enligt SDG-förordningen eller för att skydda känsliga uppgifter som utbyts i systemet. Vi ser dock behov av att förtydliga beskrivningen av hur det tekniska systemet fungerar och vilken roll vi har i detta.
- Digg delar regeringens uppfattning att någon ändring av nationell lagstiftning inte är nödvändig för att de behöriga myndigheterna ska ha rättsligt stöd för den personuppgiftsbehandling som krävs vid bevisutbyte genom det tekniska systemet. Vi instämmer också i att det är nödvändigt att reglera Diggs roll i författning för att säkerställa att det finns en rättslig grund för den personuppgiftsbehandling som kommer att utföras av myndigheten. Vi hänvisar dock till våra egna förslag som getts i Anslutningsrapporten.
1.1 Förslag till förordning om ändring i förordningen (2022:127) med kompletterande bestämmelser till EU:s förordning om en gemensam digital ingång
Digg är positiv till regeringens förslag om att förtydliga Diggs roll som ansvarig för drift och förvaltning av det tekniska systemet och att vi får ett tydligt rättsligt stöd för vår personuppgiftsbehandling.
Däremot anser Digg att den föreslagna lydelsen till 2 a § förordning om ändring i förordningen (2022:127) med kompletterande bestämmelser till EU:s förordning om en gemensam digital ingång, kan tolkas som att vi är ansvariga för alla svenska behöriga myndigheters första uppkoppling mot det tekniska systemet, snarare än myndighetens varaktiga ansvar för att de förvaltningsgemensamma komponenterna erbjuder gränsöverskridande funktionalitet. I förslaget anges också att Digg ska ansvara för den del av det tekniska systemet som krävs för Sveriges anslutning till det EU-gemensamma tekniska systemet samt se till att systemet uppfyller de krav som ställs i artikel 14.11 SDG-förordningen och i genomförandeförordningen. Dessa stadganden kan tolkas som att Digg ska ta ansvar för sådana komponenter som kommer att ligga under behöriga myndigheters kontroll, vilket inte är möjligt. Vi vill därför se en mer omfattande reglering som tydligare definierar vilket ansvar som faller på Digg och vilket som faller på behöriga myndigheter.
Digg gör också bedömningen att ett utpekande av Diggs ansvar är nödvändigt för att det ska föreligga en tydlig rättslig grund för Diggs personuppgiftsbehandling. Vi anser att ett sådant utpekande också skulle ge myndigheten den normmässiga förankring som krävs för denna verksamhet. Digg instämmer även i att regleringen av vår roll kan ske genom en ändring i förordningen (2022:127) med kompletterande bestämmelser till EU:s förordning om en gemensam digital ingång, här kallad kompletteringsförordningen, men anser också att behovet av författningsändringar är större än så, vilket utvecklas nedan. Vi avstyrker därför regeringens förslag till ändring i kompletteringsförordningen och hänvisar till de författningsförslag som Digg har gjort i Anslutningsrapporten.
Många av artiklarna i SDG-förordningen och genomförandeförordningen anger respektive medlemsstat som ansvarig för olika aspekter av det tekniska systemet. På detta vis har man skapat möjlighet för varje medlemsstat att själv närmare definiera vilka nationella aktörer som ska ha vilket ansvar. Digg har i Anslutningsrapporten gett detaljerade förslag på hur de olika ansvarsområdena ska fördelas i Sverige, huvudsakligen mellan Digg och de behöriga myndigheterna. För att i korthet återge dessa förslag kan sägas att Digg bör ha i uppdrag att ansvara för den nationella utformningen av det tekniska systemet och att det uppfyller de krav som förordningarna ställer. Digg föreslås även få ansvar för utveckling, tillgänglighet, övervakning, uppdatering, underhåll och säkerhet för de förvaltningsgemensamma komponenter som Digg ska tillhandahålla. Digg föreslås också att, på uppdrag av behöriga myndigheter, tillhandahålla och utföra de tjänster i den förvaltningsgemensamma infrastrukturen som är nödvändiga för att behöriga myndigheter ska kunna uppfylla sina skyldigheter. Utöver att fördela ansvaret mellan Digg och behöriga myndigheter ger den föreslagna paragrafen Digg en normmässig förankring för de uppgifter myndigheten behöver utföra och en rättslig grund för myndighetens personuppgiftsbehandling.
De behöriga myndigheterna föreslås i en ny paragraf i lag (2022:126) med kompletterande bestämmelser till EU:s förordning om en gemensam digital ingång, här kallad kompletteringslagen, ha motsvarande ansvar för de förfarandeportaler och förmedlingsplattformar som de ansluter till infrastrukturen.
För en mer utförlig förklaring av fördelningen av det nationella ansvaret hänvisas till Anslutningsrapporten.
1.2 Förslag till förordning om ändring i förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning
Digg anser att ansvaret för den svenska anslutningen till det tekniska systemet inte behöver föras in i myndighetens instruktion under förutsättning att vårt förändrade uppdrag återges i kompletteringsförordningen. Att Diggs uppdrag återges på två olika ställen skulle innebära en dubbelreglering av vårt ansvar. Det bör vara tillräckligt att Diggs uppgifter framgår av kompletteringslagen och kompletteringsförordningen.
4 Sekretess
Digg delar regeringens uppfattning att det saknas behov av att ändra i offentlighets- och sekretesslagen för att uppfylla Sveriges skyldigheter enligt SDG-förordningen eller för att skydda känsliga uppgifter som utbyts i systemet. Vi anser dock att texten i vissa avseenden inte stämmer överens med hur hanteringen av handlingar kommer att ske i det tekniska systemet. Den grundläggande invändningen är att de handlingar som utbyts i systemet inte är inkomna till Digg, sett ur ett offentlighetsperspektiv. Detta innebär att vi inte kan sekretesspröva handlingarna. Vi gör alltså bedömningen att den omständigheten att en handling lämnas till det tekniska systemet inte innebär att den lämnas till Digg. De behöriga myndigheterna lämnar handlingarna till Diggs system och den automatiska hantering som sker där utgör endast teknisk bearbetning eller teknisk lagring för de behöriga myndigheternas räkning. För att säkerställa denna verksamhet har vi infört tekniska och administrativa begränsningar som begränsar den egna personalen från att ta del av bevisens information i läsbart skick. Vi kommer också att upprätta förvaltningsöverenskommelser, alternativt avtal, med de anslutande behöriga myndigheterna som definierar de villkor under vilka transaktionerna sker. Ansvaret för att uppfylla de krav som följer av offentlighetsprincipen för dessa handlingar ligger istället hos de behöriga myndigheter som har gett oss i uppdrag att hantera handlingarna. En eventuell sekretessprövning av en handling som utbyts i det tekniska systemet måste därför hanteras av den behöriga myndighet som ansvarar för handlingen i fråga.
Digg bedömer att det är de behöriga myndigheterna själva som har kunskapen om de olika handlingar som de kommer att utbyta via det tekniska systemet. De är därför bättre lämpade att yttra sig om möjligheten att sekretesspröva handlingar som utbyts i ett automatiserat system.
För en mer utförlig beskrivning och analys av Diggs ansvar ur ett offentlighetsperspektiv hänvisas till Anslutningsrapporten.
5 Dataskydd och personuppgiftsbehandling
Digg delar regeringens uppfattning att någon ändring av nationell lagstiftning inte är nödvändig för att de behöriga myndigheterna ska ha rättsligt stöd för den personuppgiftsbehandling som krävs vid bevisutbyte genom det tekniska systemet. Detta eftersom art. 14 i SDG-förordningen ålägger de behöriga myndigheterna en skyldighet att utbyta bevis. Digg gör också bedömningen att det är de behöriga myndigheterna själva som har kunskapen om de olika handlingar som de avser att utbyta via det tekniska systemet. De är därför bättre lämpade att i övrigt yttra sig om den personuppgiftsbehandling som kan bli aktuell inom det tekniska systemet.
Vi instämmer också i att det är nödvändigt att reglera Diggs roll i författning för att säkerställa att det finns en rättslig grund för den personuppgiftsbehandling som kommer att utföras av myndigheten. Digg kommer att vara personuppgiftsansvarig för den behandling av personuppgifter som vi behöver utföra för att säkerställa funktionaliteten i det tekniska systemet. Det kan till exempel röra sig om administration av användaruppgifter för de behöriga myndigheternas kontaktpersoner och loggning av användningen av det tekniska systemet. Vi kommer också att agera som personuppgiftsbiträde åt de personuppgiftsansvariga behöriga myndigheter som genomför bevisutbyte. Villkoren för denna verksamhet kommer att regleras i de förvaltningsöverenskommelser alternativt avtal som träffas mellan oss och respektive behörig myndighet i samband med att myndigheten ansluts till det tekniska systemet.
Vi anser att för att den legala grunden för myndighetens personuppgiftsbehandling i och omkring det tekniska systemet, både som ansvarig och som biträde, ska vara tydlig krävs ett mer detaljerat uppdrag till Digg än det som framkommer i promemorian. Som nämnts ovan har vi i Anslutningsrapporten lämnat ett förslag på en ny 5 § i kompletteringsförordningen som på ett mer utförligt vis reglerar våra ansvarsområden jämfört med det förslag som getts i promemorian. Genom den av oss föreslagna regleringen kommer det att bli tydligt att vi har en legal grund för åtgärderna i fråga eftersom de därmed kommer att ingå i vår myndighetsutövning. Och eftersom åtgärderna är nödvändiga för att bevisutbytet ska kunna genomföras finns också ett sådant nödvändigt ändamål som krävs för att personuppgiftbehandlingen ska vara laglig i enlighet med art. 6.1e EU:s dataskyddsförordning[1].
7 Ikraftträdande- och övergångsbestämmelser
Digg anser att tiden för ikraftträdande bör vara så snart som möjligt. Kraven enligt SDG-förordningen trädde i kraft den 12 december 2023 och Sverige är därmed försenad med sin implementering.
8 Konsekvenser av förslagen
Digg har i denna promemoria gjort tydligt att vi avstyrker de författningsförslag som utredaren har lämnat. Istället har vi hänvisat till Anslutningsrapporten där vi har gett egna förslag. Vi har i nämnda rapport även kommenterat förväntade konsekvenser av våra förslag samt gjort en redovisning av kostnader.
Detta yttrande har beslutats av generaldirektör Anna Eriksson. I den slutliga handläggningen har också, specialisten Karolin Kühn, rättschef Linn Kempe och avdelningschef tillika ställföreträdande generaldirektör Chanett Edlund deltagit. Föredragande har varit jurist Magnus Ivarsson.
Anna Eriksson
Generaldirektör
[1] Jämför resonemang i prop. 2017/18:105 s. 61
Ditt svar hjälper oss att förbättra sidan
Publicerad: