Bättre förutsättningar inom djurens hälso- och sjukvård
Integritetsskyddsmyndigheten (IMY) har granskat förslaget huvudsakligen utifrån myndighetens uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter.
IMY lämnar följande synpunkter på förslaget till 5 kap. 4 § förordning om ändring i förordningen (2009:1386) om verksamhet inom djurens hälso- och sjukvård.
IMY ser positivt på att utredningen valt att reglera uppgifter om verksamheter inom djurens hälso- och sjukvård i förslaget till 5 kap. 4 §. Det behöver dock inte uttryckligen regleras att Jordbruksverket ska ha ett ”it-system” för dessa uppgifter. Att myndigheter behöver tekniska lösningar för att utföra sin uppgift är självklart. Det är dessutom inte fördelaktigt att skriva in tekniska begrepp i författning då dessa oftast inte har legaldefinitioner och kan förändras över tid.
Av bestämmelsen framgår vidare att uppgifter som anmäls får användas för vissa ändamål. Det framgår dock inte av bestämmelsen vilka aktörer som får använda uppgifterna för dessa ändamål, är det både Jordbruksverket och länsstyrelserna eller bara Jordbruksverket? Detta skulle kunna tydliggöras i bestämmelsen.
Vidare framgår att ”Jordbruksverket har personuppgiftsansvar för behandling av de personuppgifter som lämnas till it-systemen.” Utifrån hur bestämmelsen är formulerad ställer sig IMY frågande till om Jordbruksverket är tänkt att vara personuppgiftsansvarig för all behandling av personuppgifter som anmälts. Bestämmelsen kan också tolkas som att Jordbruksverket endast ska ha personuppgiftsansvar för de personuppgifter som ”lämnas till” it-systemet och inte andra personuppgifter som kan förekomma i it-systemet. Om tanken är att Jordbruksverket ska vara ensamt personuppgiftsansvarig för all behandling av personuppgifter som kan aktualiseras, exempelvis även behandling av Jordbruksverkets och länsstyrelsens personals personuppgifter som kan förekomma i it-systemet vid exempelvis behörighetstilldelning m.m. behöver det tydliggöras.
Det behöver också tydliggöras om, och i så fall när, länsstyrelserna är personuppgiftsansvariga och för vilken behandling av personuppgifter. För mer vägledning i dessa frågor, se s. 9 ff. i IMY:s Vägledning för integritetsanalys i lagstiftningsarbetet. (pdf, 532 kB) (1)
Vidare föreslås att länsstyrelserna ska ha direktåtkomst till it-systemet. IMY konstaterar att sådan åtkomst kan anses medföra särskilda integritetsrisker. (2) Utredningen har emellertid inte kartlagt dessa integritetsrisker och vägt dem mot nödvändigheten för länsstyrelsen att få direktåtkomst till personuppgifter. Den grundläggande principen om uppgiftsminimering i dataskyddsförordningen innebär att personuppgifter inte får vara för omfattande i förhållande till de ändamål för vilka de behandlas (artikel 5.1 c i dataskyddsförordningen). Utgångspunkten bör därför vara att utforma reglering på ett sådant sätt att personuppgiftsbehandlingen blir så begränsad som möjligt för respektive aktör med hänsyn till ändamålet för behandlingen, till exempel vad gäller antalet personer och antal uppgifter om varje person. (3) Om det finns alternativa sätt att uppnå ändamålet med behandlingen som innebär mindre integritetsrisker, men som på ett fullgott sätt kan bidra till att uppfylla det aktuella ändamålet, behöver det övervägas. (4) Sådana överväganden saknas i utredningen.
Att istället reglera en uppgiftsskyldighet i form av elektroniskt utlämnande mellan Jordbruksverket till länsstyrelserna skulle kunna vara en alternativ lösning som inte skulle innebära att länsstyrelsen får tillgång till överskottsinformation och därmed inte får tillgång till fler personuppgifter än vad länsstyrelserna behöver för ändamålet med deras behandling av personuppgifter.
Avslutningsvis noterar IMY att utredningen använder namnen ”Statens jordbruksverk” och ”Jordbruksverket” för samma myndighet i författningsförslagen. Förslagsvis kan ett av dessa namn användas för att skapa mer tydlighet.
Fotnoter
(1) IMY:s Vägledning för integritetsanalys i lagstiftningsarbete (pdf, 532 kB)
(2) IMY:s Vägledning för integritetsanalys i lagstiftningsarbete, s. 12.
(3) IMY:s Vägledning för integritetsanalys i lagstiftningsarbete, s. 20 f.
(4) IMY:s Vägledning för integritetsanalys i lagstiftningsarbete, s. 20 f. Page 2 of 2
Detta yttrande har beslutats av den seniora juristen Linn Sandmark.
Linn Sandmark, 2023-03-28 (Det här är en elektronisk signatur)