Krav på säkerhet och skydd av personuppgifter
Tillgängliggörande av data får bara ske när informationssäkerhet och skydd av personuppgifter kan upprätthållas samt att det inte finns några risker för Sveriges säkerhet.
Den grundläggande förutsättningen för att data ska kunna göras tillgängliga för vidareutnyttjande är att de skyddsintressen som räknas upp i 2 kap. 1 § öppna datalagen kan upprätthållas när du tillgängliggör data. Innebörden av kraven i 2 kap. 1 öppna datalagen är att data inte får göras tillgänglig, varken efter begäran eller på eget initiativ enligt 1 kap. 8 § öppna datalagen, om inte skyddet för de olika skyddsintressena kan upprätthållas.
De skyddsintressen som ska beaktas inför tillgängliggörande är att
- krav på informationssäkerhet ska upprätthållas
- krav på skydd av personuppgifter ska upprätthållas
- tillgängliggörandet inte ska innebära risker för Sveriges säkerhet.
Den aktör som ska göra data tillgänglig för vidareutnyttjande måste göra en allsidig riskbedömning av de risker som är förenade med tillgängliggörandet (prop. 2021/22:225 s. 37). Det är dock inte tillräckligt att göra en sammantagen bedömning där riskerna vägs samman: varje skyddsintresse ska beaktas och kunna upprätthållas var för sig.
Det kan finnas särskilda risker med att ge tillgång till data i digitala format, jämfört med att exempelvis ge tillgång till uppgifter i fysiska handlingar. Inför ett tillgängliggörande av data i vissa format måste du också bedömma huruvida formatet som data görs tillgänglig i innebär några risker för de olika skyddsintressen som ställs upp i öppna datalagen (prop. 2022/23:225 s. 40). Som offentlig aktör bör du också vara medveten om att även om sekretess enligt offentlighets- och sekretesslagen inte gäller för en uppgift, kan det vara olämpligt att ge tillgång till data i digitala format i enlighet med öppna datalagen.
Informationssäkerhet
I det första kravet i 2 kap. 1 § öppna datalagen finns krav på att informationssäkerhet ska upprätthållas när data tillgängliggörs för vidareutnyttjande. När du som offentlig aktör ska tillgängliggöra data för vidareutnyttjande måste du beakta vilka risker som finns för informationens konfidentialitet, riktighet och tillgänglighet. Om du anser att riskerna ur ett informationssäkerhetsperspektiv överstiger nyttan med att tillgängliggöra data ska du avstå från att tillgängliggöra den. På så sätt har skyddsintresset företräde framför öppna datalagens krav på tillgängliggörande (2021/22:225 s. 36). Det är upp till varje aktör att göra en sådan riskbedömning.
Arbete med informationssäkerhet handlar i stor utsträckning om att minska risken för skadlig inverkan genom att vidta förebyggande åtgärder för att bevara informationens och informationssystemens konfidentialitet, riktighet och tillgänglighet. Som offentlig aktör måste du arbeta på ett systematiskt och riskbaserat sätt med informationssäkerhet där du klassar information, identifierar och hanterar risker och inför och följer upp säkerhetsåtgärder.
När du ska tillgängliggöra data för vidareutnyttjande behöver du utgå från det informationssäkerhetsarbete som redan har gjorts av datamängderna som ska tillgängliggöras, för att bedöma vilka risker som kan finnas för informationssäkerheten när du tillgängliggör den för vidareutnyttjande. Andra aspekter att ta hänsyn till vid bedömningen av informationssäkerhetsrisker är målgruppen som ska ta del av datamängderna och i vilken kontext datamängderna tillgängliggörs.
Alla aktörer som omfattas av öppna datalagen omfattas även av författningsreglerade krav på informationssäkerhet. På sidan Lagar & Reglverk finns mer information om de rättsakter som styr arbetet med informationssäkerhet.
Lagar & Regelverk (informationssakerhet.se) Länk till annan webbplats.
När du ska tillgängliggöra data för vidareutnyttjande måste du bland annat bedöma risken om tillgängliggörandet kan få en skadlig inverkan på det informationen i sig handlar om eller på de informationssystem där data behandlas. Risker som kan uppstå ur ett informationssäkerhetsperspektiv är exempelvis om:
- Datamängden innehåller metadata: Du måste ta hänsyn till om datamängderna som tillgängliggörs för vidareutnyttjande innehåller data som avslöjar information om datamängden eller om det system där datamängden behandlas som är av känslig karaktär.
- Datamängden kan förvanskas hos källan: Det är centralt att du försäkrar dig om att den data du tillgängliggör är skyddad på ett sådant sätt att den inte kan förvanskas eller på annat sätt förändras. Du behöver säkerställa att andra kan lita på dig som källa.
- Datamängdens aktualitet och riktighet: du behöver ta hänsyn till om datamängden kommer att användas på ett sådant sätt att den som vidareutnyttjar informationen behöver kunna lita på att du som lämnat ut data kan garantera datamängdens aktualitet och riktighet över tid. Fundera över hur du har möjlighet att tillgodose detta.
- Datamängden kan användas för ackumulering eller aggregering som kan innebära risker: du behöver ta hänsyn till att den data som tillgängliggörs kan sammanställas med annan data som finns tillgängliggjord och på så vis skapa nya informationsmängder som har ett högre skyddsvärde än den initiala datamängden eller datamängderna var för sig (prop. 2022/23:225 s. 36–37).
Här kan du läsa mer om arbetet med informationssäkerhet:
- Stöd för systematiskt arbete med informationssäkerhet i organisationer (informationssakerhet.se) Länk till annan webbplats.
- Vägledning för att tillgängliggöra information
Skydd av personuppgifter
Det andra kravet i 2 kap. 1 § öppna datalagen är att skyddet för personuppgifter ska upprätthållas vid ett tillgängliggörande av data för vidareutnyttjande.
Öppna datalagen innehåller inte något förbud mot att tillgängliggöra personuppgifter för vidareutnyttjande. Däremot krävs enligt 2 kap. 1 § öppna datalagen att skyddet för personuppgifter kan upprätthållas när data vid tillgängliggörs. Samtidigt gäller också att dataskyddsregleringen, dvs. dataskyddsförordningen och anslutande nationell reglering, har företräde framför öppna datalagen, enligt 1 kap. 2 § öppna datalagen.
Bestämmelser som reglerar skydd för personuppgifter i dataskyddsförordningen eller anslutande nationell reglering kan vara av sådan art att den inte utgör ett absolut hinder mot tillgång, men kan påverka på annat sätt. Det kan exempelvis finnas hinder mot att tillgängliggöra en personuppgift digitalt om det saknas lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda uppgiften (prop. 2021/22:225 s. 72).
Frågan om behandling av personuppgifter i data som tillgängliggörs för vidareutnyttjande har därför två delar som i viss mån är överlappande i bedömningen:
- Att tillgängliggöra personuppgifter för vidareutnyttjande utgör en behandling av personuppgifter enligt dataskyddsförordningen och ska uppfylla kraven i dataskyddsförordningen.
- Skyddet för personuppgifter ska upprätthållas när data har tillgängliggjorts för vidareutnyttjande.
I offentlighets- och sekretesslagen (2009:400) (OSL) finns särskild reglering om personuppgifter. Sekretess enligt 21 kap. 7 § OSL gäller för personuppgifter, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller anslutande reglering om behandling av personuppgifter.
- Öppna datalagen påverkar inte tillämpningen av bestämmelser i någon annan lag eller förordning som ger någon rätt att få tillgång till data eller som begränsar en sådan rätt (1 kap. 3 § öppna datalagen), som exempelvis sekretess för uppgifter.
- Om sekretess gäller för uppgifter enligt OSL får tillgängliggörande av data för vidareutnyttjande inte ske.
En förutsättning för att kravet på skydd av personuppgifter ska aktualiseras är att en datamängd som ska tillgängliggöras för vidareutnyttjande faktiskt innehåller personuppgifter. Om en datamängd inte innehåller personuppgifter behöver kravet inte beaktas.
- Med personuppgift avses varje upplysning som direkt eller indirekt kan identifiera en fysisk person, enligt artikel 4.1 dataskyddsförordningen.
- Även indirekta uppgifter som kan identifiera en fysisk person utgör en personuppgift. I datamängder kan det förekomma uppgifter som vid en första anblick inte framstår som personuppgift men som ändå utgör en indirekt personuppgift.
I fråga om information i digitalt format, dvs. datamängder, bör särskilt beaktas att metadata eller så kallade dolda data kan innehålla personuppgifter, direkta eller indirekta. Valet av format för tillgängliggörande har därmed betydelse för vilka personuppgifter som en datamängd kan innehålla.
Ett sätt att säkerställa skydd av personuppgifter är att ta bort personuppgifter ur en datamängd inför ett tillgängliggörande av datamängden, så att inga personuppgifter behandlas. Om syftet med att tillgängliggöra en datamängd kan uppnås utan personuppgifter bör personuppgifter inte tillgängliggöras, eftersom det då utgör en icke nödvändig behandling av personuppgifter. Om en aktör på eget initiativ ska tillgängliggöra data för vidareutnyttjande kan myndigheten själv bestämma om datamängden ska innehålla personuppgifter eller inte.
När det är fråga om att ge tillgång till data för vidareutnyttjande efter en begäran behöver myndigheten dock pröva tillgängliggörandet enligt öppna datalagen av den datamängd som den sökande har begärt att få tillgängliggjord.
Kraven i dataskyddsförordningen ska uppfyllas om du behandlar personuppgifter
Att tillgängliggöra personuppgifter för vidareutnyttjande utgör en behandling av personuppgifter enligt dataskyddsförordningen och ska uppfylla kraven i dataskyddsförordningen.
Att tillgängliggöra personuppgifter för vidareutnyttjande utgör i sig en behandling av personuppgifter. Öppna datalagen påverkar inte bestämmelser om skydd för personuppgifter, enligt 1 kap. 2 § öppna datalagen. Detta innebär att tillgängliggörandet av personuppgifter i sig ska vara förenligt med dataskyddsförordningen, anslutande nationell reglering och eventuella registerförfattningar som reglerar behandlingen av personuppgifter och ska tillämpas utan påverkan av öppna datalagen. Om det finns ett förbud mot elektroniskt utlämnande i en registerförfattning får tillgängliggörande i digitala format enligt öppna datalagen inte ske.
Utgångspunkten är att den som tillgängliggör personuppgifter för vidareutnyttjande också är personuppgiftsansvarig för behandlingen av personuppgifter. Det innebär att den som tillgängliggör personuppgifter är skyldig att säkerställa att behandlingen av personuppgifter sker i förenlighet med dataskyddsförordningen (artikel 24 dataskyddsförordningen).
Personuppgiftsansvaret att säkerställa att behandlingen sker i förenlighet med dataskyddsförordningen omfattar all behandling av personuppgifter, hela ”behandlingskedjan”. Att ge tillgång till personuppgifter ska därför ses som en del av behandlingen som den personuppgiftsansvarige är ansvarig för. För hela personuppgiftsbehandlingen ska principerna för behandling av personuppgifter enligt artikel 5 dataskyddsförordningen vara uppfyllda.
Om den personuppgiftsansvariga anser att ett tillgängliggörande för vidareutnyttjande inte kan ske i förenlighet med dataskyddsförordningen så ska tillgängliggörande inte ske.
I fråga om laglig grund och ändamål för tillgängliggörande av personuppgifter gäller följande. Vid tillgängliggörande av data som innehåller personuppgifter vid en begäran om tillgängliggörande för vidareutnyttjande är huvudregeln att tillgängliggörande ska ske om skyddet för personuppgifter kan upprätthållas (samt övriga skyddsintressen) (prop. 2021/22:225 s. 35). Detta innebär i korthet att myndigheten har en skyldighet att göra data tillgänglig för vidareutnyttjande vid en begäran om tillgängliggörande av data för vidareutnyttjande om den sökande har rätt att få tillgång till data enligt annan lag eller förordning. Öppna datalagen kan därmed anses utgöra laglig grund och ändamål för behandling av personuppgifter, vilket krävs enligt artikel 5 och 6 dataskyddsförordningen.
För att tillgängliggörande ska ske i förenlighet med dataskyddsförordningen räcker emellertid inte att det finns en laglig grund och ändamål med behandlingen enligt GDPR. Samtliga principer för behandling av personuppgifter som följer av artikel 5 dataskyddsförordningen ska vara uppfyllda, och också övriga delar av dataskyddsförordningen.
Skyddet för personuppgifter ska upprätthållas även efter tillgängliggörande
Det räcker inte att du konstaterar att din organisations behandling av personuppgifter vid tillgängliggörande av data för vidareutnyttjande är förenlig med dataskyddsförordningen. När du har tillgängliggjort data med personuppgifter är du även ansvarig för att beakta vilka integritetsrisker som finns förenade med att göra data tillgänglig för vidareutnyttjande. Det vill säga vilka risker som finns med att data som innehåller personuppgifter ska kunna vidareutnyttjas.
När data som innehåller personuppgifter har tillgängliggjorts för vidareutnyttjande och den som tagit emot data bearbetar den för egna ändamål har personuppgiftsansvaret övergått till den som tagit emot data. Eftersom den aktör som tillgängliggör data för vidareutnyttjande inte har kontroll över behandlingen av personuppgifterna efter att data har tillgängliggjorts måste samtliga potentiella integritetsrisker med tillgängliggörandet beaktas (prop. 2021/22:225 s. 81–82). Utgångspunkten är att stor försiktighet bör iakttas även om regler om dataskydd inte i och för sig hindrar ett tillgängliggörande (prop. 2021/22:225 s. 37).
Skyddet av Sveriges säkerhet
Det tredje kravet i 2 kap. 1 § öppna datalagen rör skyddet av Sveriges säkerhet. När du tillgängliggör data för vidareutnyttjande måste du ta hänsyn till vilka risker för Sveriges säkerhet som finns med ett tillgängliggörande. Om du anser att det finns risker ska tillgängliggörandet av data inte ske.
Med Sveriges säkerhet avses förhållanden som är av grundläggande betydelse för Sverige, och kan avse både militär och civil verksamhet, enligt säkerhetsskyddslagen (2018:585). Säkerhetsskyddsklassificerade uppgifter är uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig (vilket gäller för aktörer som inte omfattas av OSL). Om uppgifter omfattas av sekretess enligt OSL är data undantagen från öppna datalagens tillämpningsområde och ska inte tillgängliggöras för vidareutnyttjande, se 1 kap. 2 § öppna datalagen.
Även om en datamängd inte omfattas av sekretess kan det innebära risker för Sveriges säkerhet att tillgängliggöra datamängden för vidareutnyttjande. En datamängd som består av uppgifter från olika öppna källor kan exempelvis ha ett skyddsvärde i sig, vilket kan ske när data från olika källor sammanställs och skapar nya informationsmängder (prop. 20212/223:225 s. 37).
Ditt svar hjälper oss att förbättra sidan
Senast uppdaterad: