Målet för digitaliseringspolitiken är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. Samtidigt som digitaliseringen leder till ökad effektivitet innebär den nya tekniken ökade risker för den personliga integriteten. I syfte att stärka skyddet för fysiska personer vid behandling av personuppgifter samt för att underlätta flödet av personuppgifter inom Europeiska unionen trädde EU:s dataskyddsförordning (GDPR) i kraft den 25 maj 2018. Dataskyddsförordningen anses ofta vara ett komplext och svårtillämpat regelverk, inte minst inom offentlig sektor där myndigheter även har att förhålla sig till andra regelverk vid behandling av personuppgifter. Syftet med denna bok är att ge en introduktion till de grundläggande reglerna i EU:s dataskyddsförordning och annan närliggande lagstiftning.
Boken riktar sig till studenter vid landets högskolor och universitet som vill få en introduktion till de regler som gäller vid behandling av personuppgifter samt till personer som arbetar med dataskyddsfrågor i offentlig sektor.
Under föredraget kommer Rikard Karlsson att fokusera på ett antal rättsliga frågor som det ökade distansarbetet har gett upphov till. Mer specifikt kommer han att redogöra för rättsliga förutsättningar för att använda digitala verktyg för intern kommunikation. Att kunna kommunicera digitalt är en viktig strategisk fråga för alla myndigheter. Användningen av digitala kommunikationsverktyg innebär att stora mängder personuppgifter och sekretessreglerade uppgifter kommer att behandlas i systemen. Innan nya digitala verktyg införs i verksamheten måste en rad rättsliga frågor beaktas.
Att den som är part i ett ärende hos en myndighet ska ha rätt att ta del av det material som myndigheten grundar sitt avgörande på är en grundläggande princip i förvaltningsförfarandet. Det är ett utflöde ur den allmänna rättsgrundsatsen att ingen ska dömas ohörd. Rätten till partsinsyn är inte helt oinskränkt utan gäller med de begränsningar som följer av 10 kap. 3 § offentlighets- och sekretesslagen (2009:400) (OSL). En regel som innebär att en handling eller annat material inte får lämnas ut till part, i den mån det av hänsyn till allmänt eller enskilt intresse är av synnerlig vikt att uppgift i materialet inte röjs. Bedömningen huruvida det är av synnerlig vikt att begränsa partsinsynen är en grannlaga uppgift för myndigheterna och något som inte sällan förknippas med svårigheter. Syftet med artikeln är att närmare undersöka rekvisitet synnerlig vikt i 10 kap. 3 § OSL, genom framför allt en analys av HFD:s tolkning av begreppet. En central fråga för artikeln är huruvida bestämmelsen i 10 kap. 3 § OSL tillåter att en intresseavvägning görs i det enskilda fallet mellan å ena sidan partens intresse att få insyn i ärendet och å andra sidan sekretessintresset.
Den ökade digitaliseringen av samhället påverkar även den offentliga förvaltningen. Syftet med digitaliseringen av offentlig sektor är inte sällan att göra den mer tillgänglig och effektiv, till exempel genom att öka graden av automation vid ärendehandläggning och beslutsfattande. I syfte att effektivisera en ärendeprocess kan en myndighet insamla uppgifter från andra myndigheter och enskilda och på grundval av dessa uppgifter fatta automatiserade beslut. Vid automatiserade beslut tar ingen enskild befattningshavare aktivt del i beslutsfattandet. Ett automatiserat beslut kan föregås av profilering. Profilering skulle kunna beskrivas som ett förfarande som bygger på en serie statistiska slutsatser. Profilering används ofta för att göra förutsägelser om personer, genom att med hjälp av uppgifter från olika källor sluta sig till något om en enskild person grundat på statistiskt likartade kvaliteter hos andra personer. Automatiserat beslutsfattande, med eller utan profilering, kommer med all sannolikhet att få en ökad betydelse inom den offentliga förvaltningen. Syftet med denna artikel är att utreda och analysera de rättsliga förutsättningarna för statliga förvaltningsmyndigheter att fatta automatiserade beslut som inbegriper profilering. En fråga som diskuteras i artikeln är huruvida förvaltningslagen (2017:900) lever upp till dataskyddsförordningens krav på lämpliga skyddsåtgärder.
Den som behöver hjälp med att bevaka sin rätt eller att förvalta sin egendom kan under vissa förutsättningar få en förvaltare förordnad av tingsrätten. Den som får en förvaltare förordnad för sig förlorar som regel rådighet över det som omfattas av förvaltaruppdraget. För att en förvaltare ska kunna fullgöra sitt uppdrag är det av betydelse att han eller hon har möjlighet att ta del av handlingar som rör huvudmannen och även uppgifter som omfattas av sekretess.
Högsta förvaltningsdomstolen har i dom HFD 2020 ref. 50, meddelad den 11 november 2020, klargjort vilken rätt en förvaltare har att för huvudmannens räkning ta del av uppgifter hos överförmyndaren som rör ställföreträdarskapet och som omfattas av sekretess.
I artikeln diskuteras och analysers den aktuella domen.
Coronasituationen har påskyndat digitaliseringen av samhället. Den ökade digitaliseringen påverkar även den offentliga förvaltningen. Syftet med digitaliseringen av offentlig sektor är inte sällan att göra den mer tillgänglig och effektiv, till exempel genom att öka graden av automation vid ärendehandläggning och beslutsfattande. I syfte att effektivisera en ärendeprocess kan en myndighet insamla uppgifter från andra myndigheter och enskilda och på grundval av dessa uppgifter fatta automatiserade beslut. Vid automatiserade beslut tar ingen enskild befattningshavare aktivt del i beslutsfattandet. Ett automatiserat beslut kan föregås av profilering. Profilering skulle kunna beskrivas som ett förfarande som bygger på en serie statistiska slutsatser. Profilering används ofta för att göra förutsägelser om personer, genom att med hjälp av uppgifter från olika källor sluta sig till något om en enskild person grundat på statistiskt likartade kvaliteter hos andra personer. Automatiserat beslutsfattande, med eller utan profilering, kommer med all sannolikhet att få en ökad betydelse inom den offentliga förvaltningen. Inte sällan sägs att juridiken utgör ett hinder för digitaliseringen av offentlig sektor. I offentliga utredningar påtalas ofta att det råder en osäkerhet kring vilka rättsliga förutsättningar som föreligger när det gäller en övergång till förfaranden där stora datamängder används i förening med AI och anknytande maskininlärda algoritmer. Syftet med detta föredrag är att belysa rättsliga problem och utmaningar som myndigheter står inför när de ska övergå till automatiserade beslutsprocesser som inbegriper profilering, det vill säga automatiserade beslut som helt utgår ifrån en automatiserad bedömning av personliga egenskaper.
Handlingsoffentlighet har präglat svensk förvaltning sedan lång tid tillbaka och utgör en viktig del av vårt demokratiska statsskick. Genom handlingsoffentlighet garanteras var och en insyn i de offentliga organens verksamhet, vilket i sin tur möjliggör för medborgare att kontrollera hur den offentliga makten utövas. I vissa fall har bestämmelserna om handlingsoffentlighet gjorts tillämpliga även på handlingar hos privaträttsliga organ, såsom kommunala aktiebolag och stiftelser där kommuner eller regioner utövar ett rättsligt bestämmande inflytande.
En under år 2020 meddelad dom från Högsta förvaltningsdomstolen, HFD 2020 ref. 38, väcker frågan huruvida handlingar som förvaras hos ett regionägt bolag med uppdrag att sköta regionens förvaltning av donationsstiftelser utgör allmänna handlingar. Rättsfallet aktualiserar frågan hur långt handlingsoffentligheten sträcker sig när ett kommunalt bolag har fått i uppdrag att sköta förvaltningen av en stiftelses egendom.
I artiklen diskuteras och analyseras den aktuella domen.
Det hör till polisens uppgift att upprätthålla allmän ordning och säkerhet. Sedan länge har det framförts att polisväsendet inte har möjlighet att tillhandahålla bevakning i den omfattning som svarar mot behovet i dagens samhälle. Det har medfört att bevakningsföretag har bildats med uppgift att tillhandahålla personal men även utrustning för bevakningsändamål. Under senare år har antalet bevakningsföretag kraftigt ökat. För att kontrollera att verksamheten bedrivs under betryggande former har myndigheterna fått ett visst ansvar att granska att standarden på de bevakningstjänster som erbjuds har en viss kvalité och att de som arbetar i ett bevakningsföretag uppfyller vissa krav på bland annat lämplighet för anställning i ett sådant företag. Syftet med denna artikel är att utreda och analysera de krav som uppställs för att en person ska godkännas för anställning som väktare i ett auktoriserat bevakningsföretag. Härtill avses att diskutera eventuella problem med dagens lagstiftning och tänkbara lösningar.
Cooperation between authorities is of great importance for effective crisis management. A new crisis management system was introduced in Sweden in 2002 to enhance the ability of public authorities to manage accidents and extraordinary events. It expects authorities to cooperate with each other both before and while dealing with such situations. An important aspect of this cooperation is the exchange of information, which is hampered when authorities are obliged to observe secrecy rules even if this limits their ability to manage accidents and extraordinary events. It may be said, therefore, that the legislation governing the exchange of information by authorities, chiefly the Public Access to Information and Secrecy Act (2009:400), is essentially at variance with the rules that require cooperation.
The thesis analyses legal requirements on authorities to cooperate and exchange information when dealing with accidents and extraordinary events and how these requirements relate to secrecy rules. The study does not merely examine the legal requirements placed on authorities to cooperate and exchange information and to observe secrecy rules when dealing with accidents and extraordinary events; it also undertakes a critical analysis of the current legislation, with the aim of identifying deficiencies and ambiguities, taking as its criteria that good legislation should be clear, coherent and well-balanced. Since the thesis shows that there are deficiencies in the legislation, it also suggests improvements and alternative forms of regulation.
Den 25 maj 2018 trädde EU:s dataskyddsförordning i kraft och ställer nya krav på den som behandlar personuppgifter. En nyhet med förordningen är skyldigheten att anmäla personuppgiftsincidenter till ansvarig tillsynsmyndighet. I Sverige är det Datainspektionen som är tillsynsmyndighet. Även om den incidentrapportering som ska ske enligt dataskyddsförordningen har goda intentioner finns också risker med anmälningsskyldigheten. En anmälan till tillsynsmyndigheten kan i vissa fall innebära en upplysning om att ingivarens it-system är sårbart för attacker. En anmälan om en personuppgiftsincident kan till exempel avslöja svagheter i skyddet av personuppgifter i aktuella system och i vissa fall även påvisa hur vidtagna skyddsåtgärder kan kringgås för att få obehörig tillgång till systemet. En förutsättning för att den personuppgiftsansvarige ska anmäla incidenter i den omfattning och med sådant innehåll som dataskyddsförordningen kräver är att uppgifter som är känsliga ur säkerhetssynpunkt har ett relevant sekretesskydd hos tillsynsmyndigheten. Frågan om sekretess för personuppgiftsincidenter har nyligen utretts i förarbetena till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Den bedömning som lagstiftaren gjorde var att ett förstärkt sekretesskydd för personuppgiftsincidenter inte behövs, utan att sekretessbestämmelsen i framför allt 18 kap. 8 § 3 offentlighets- och sekretesslagen (2009:400) (OSL) ger ett tillräckligt sekretesskydd på området. I senare underrättspraxis framträder dock en oklar syn angående vilket sekretesskydd uppgifter om säkerhetsåtgärder i personuppgiftsincidenter har hos tillsynsmyndigheten. Syftet med denna artikel är att undersöka sekretesskyddet för sådana personuppgiftsincidenter som i enlighet med dataskyddsförordningen ska anmälas till tillsynsmyndigheten i Sverige. En fråga som diskuteras i artikeln är huruvida nuvarande sekretessbestämmelser ger ett tillräckligt sekretesskydd för uppgifter i personuppgiftsincidenter eller om en förändring av sekretesskyddet är motiverat.
I den nationella inriktningen för artificiell intelligens (AI) anges att Sverige ska vara ledande i att ta tillvara möjligheterna som användning av denna teknik kan ge, med syftet att stärka både den svenska välfärden och den svenska konkurrenskraften. En undersökning från Myndigheten för digital förvaltning (DIGG) visar att det totala ekonomiska värdet av ett fullständigt införande av nuvarande AI teknik i svensk offentlig förvaltning beräknas uppgå till 140 miljarder kronor, varav minst 20 miljarder kronor på arbetsmarknadsområdet genom bättre matchning på arbetsmarknaden. Även om det finns stora möjligheter med AI bär den nya tekniken med sig rättsliga utmaningar. Denna artikel belyser hur s.k. registerförfattningar kan försvåra eller i vissa fall hindra införandet av AI i myndigheters verksamheter. I huvudsak ges exempel från Arbetsförmedlingens verksamhet men liknade utmaningar gäller även för andra myndigheter.
Artikeln behandlar frågan om hur röjandebegreppet i offentlighets- och sekretesslagen (2009:400) ska tolkas. Denna fråga ställs på sin spets när det gäller svenska myndigheters utlämnande av uppgifter till en molntjänstleverantör för teknisk bearbetning eller lagring. På grund av att det finns få rättskällor som klargör innebörden av röjandebegreppet har olika uppfattningar bildats i frågan, specifikt i förhållande till denna typ av utkontraktering. En tolkning som länge varit tongivande innebär att det krävs någon grad av sannolikhet för att mottagaren kommer att ta del av uppgifterna för att dessa ska anses röjda. I den s.k. It-driftsutredningen, vilken överlämnades till regeringen den 15 januari 2021, presenteras en tolkning som innebär att utlämnandet i sig utgör ett röjande. I artikeln analyseras denna tolkning av röjandebegreppet och vilka konsekvenser den kan få i praktiken. Vidare diskuteras författarnas egen bedömning av rättsläget.