9 Rättslig analys

Att tillåta att data skickas digitalt innebär utmaningar enligt det nuvarande rättsliga ramverket. Enligt uppdraget att utveckla en datainfrastruktur för kompetensförsörjning och livslångt lärande (Regeringsuppdrag N2021/01915), se kapitel 1, bör Arbetsförmedlingens utvecklingsteam ta itu med dessa utmaningar och föreslå en väg framåt som gör det möjligt för individer att ta emot och dela sin information digitalt framöver.

Arbetsförmedlingen har anlitat en extern juridisk konsultbyrå för att hjälpa utvecklingsteamet att uppfylla kraven. Rapporten är endast delvis utarbetad, se bilaga 2 till detta dokument, eftersom den slutliga versionen förväntas vara färdig i december 2022. Dokumentet analyserar i detta skede endast de problem som hindrar digitalt utbyte av information och erbjuder inga lösningar. Vi kan sammanfatta det huvudsakliga preliminära utlåtandet enligt följande:

  1. Handlingar kan inte hämtas av den enskilde från en myndighet i digitalt format utan att det finns en laglig grund eller en lagbestämmelse som möjliggör digital överföring. För närvarande finns det inte en rättslig grund som kan användas konsekvent av alla myndigheter under alla omständigheter för att tillåta överföring av data. Digitalt utbyte av uppgifter som finns hos myndigheter är i allmänhet inte tillåtet och kräver ett resonemang innan det "godkänns". Statliga myndigheter regleras av olika registerförfattningar som reglerar behandling och utbyte av digital information. Detta innebär att en lösning för specifika fall, för specifika myndigheter, inte är tillämplig på alla ärenden och myndigheter, eftersom begränsningarna (eller möjligheterna) att överföra data digitalt skiljer sig åt mellan olika myndigheter. En generell lösning för utbyte av digital information behöver därför sannolikt utökat juridiskt stöd.
  2. När det väl har fastställts att information kan flyttas digitalt, får uppgifter som inte omfattas av sekretess i princip överföras digitalt av en myndighet. Det är dock oklart vilken information som kan flyttas och under vilka omständigheter, i det enskilda fallet. Myndigheter kommer därför att behöva riktlinjer för att avgöra vilken information som kan anförtros den enskilde och under vilka omständigheter samma information inte kan lämnas digitalt. Helst bör alla dokument som tillhandahålls i pappersformat tillhandahållas digitalt till individen. Vi vet dock inte om det finns annan information som för närvarande inte tillhandahålls (t ex anteckningar från en handläggare) som skulle kunna delas digitalt, och inte heller under vilka omständigheter information som kan lämnas inte bör delas (t ex från skyddade individer).
  3. För närvarande kan ingen enskild myndighet få ansvaret att hantera en individcentrerad datainfrastruktur och vara förvaltande myndighet för de verktyg som används av individen för att kontrollera sin data. Myndigheter får endast behandla information (i.a. lagring och delning) som hänför sig till deras eget syfte och med rättslig grund. Detta leder till utmaningen att finna en myndighet som har rätten att hantera alla typer av data från alla andra myndigheter, enligt instruktioner från den enskilde individen som önskar dela data. Det bör noteras att lagen kan förbjuda utvidgning av en befintlig myndighets syfte och uppdrag, eller inrättandet av en myndighet vars enda syfte är att fungera som en lagrings- eller delningspunkt för data för att skapa ett juridiskt fungerande ramverk.

Som diskuteras djupare i utkastet till juridisk rapport i bilagan 2, finns det andra hinder. Särskilt gällande om "samtycke" kan vara en rättslig grund som gör det möjligt för myndigheter att befrias från ansvaret för en individs data som finns i deras system. Offentliga myndigheter får dock generellt sett inte använda samtycke som rättslig grund i enlighet med GDPR i förhållande till en individ (på grund av maktbalansen mellan myndigheten och individen). Överlåtelse av handlingar från en myndighet bör i stället grundas på den enskildes egen begäran att lämna ut en allmän handling, vilket skulle utgöra en rättslig grund för myndigheten att dela handlingen enligt lagbestämmelsen i 2 kap. 15 § tryckfrihetsförordningen (1949:105).

Eftersom individen är avsedd att stå i centrum för utbyte av digital information bör dock individen godkänna digitala överföringar så att individen kan anses ha kontroll över uppgifterna.

För att undvika de begräsningar till effektivitet genom att behöva individens godkännande vid varje digital överföring, undersöker de juridiska konsulterna just nu möjligheten att få en individ att ingå ett avtal med datainnehavaren och datahanteraren. Om detta visar sig vara möjligt så ersätts behovet för individen att godkänna varje gång data flyttas med ett engångsgodkännande under registreringen till infrastrukturen, t ex att godkänna användarvillkor.

Skulle samtycket användas som en rättslig grund för digitala överföringar, även om den rättsliga ställningen är otydlig, måste det noteras att grunden för samtycke, så som det regleras i GDPR, ställer vissa begränsningar på infrastrukturens funktioner. Specifikt anger GDPR att ett samtycke måste vara kontextuellt, informativ och explicit. På grund av detta verkar det inte vara möjligt att uppfylla:

  1. Once-only principle (OOP): tillåter individer att uppdatera information med en part och dela den automatiskt med andra (många och ibland okända) parter(56).
  2. Datagruppering och kontinuerlig delning: tillåter individer att dela informationsgrupper efter att de har uppdaterats, utan att ge ett samtycke igen (t ex arbetslöshetsstatus, visumstatus etc.) c)
  3. Förhandsgodkännanden: tillåta individen att samtycka till framtida händelser (t ex anställningsstatus med en arbetslöshetsförsäkring, så snart den övergår till status arbetslös)



56) Det har påpekats av vårt juridiska team att engångsprincipen (OOP eller TOOP som den ibland förkortas) endast bör gälla gränsöverskridande inom EU. I skäl 42 i SDG-förordningen (https://eur-lex.europa.eu/legalcontent/
SV/TXT/PDF/?uri=CELEX:32018R1724&from=EN) anges att engångsprincipen måste tillämpas i enlighet med med alla tillämpliga dataskyddsregler. Avsikten är inte att bara använda engångsprincipen som grund för att bygga centrala datasamlingar.

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: