3 Rättslig analys
Den rättsliga analysen kan grovt delas upp i två olika delar – rättsliga frågor avseende Skatteverkets och andra aktörers möjlighet att realisera Mina ärenden samt vissa rättsliga frågor med utgångspunkt i den konceptuella lösningsarkitekturen som presenterats i föregående avsnitt.
3.1 Kompetens och styrning
Mina ärenden förväntas realiseras av offentliga och privata aktörer i egenskap av de roller som närmare beskrivits i avsnitt 1.6 ”Roller inom Mina ärenden”.
För myndigheter och kommuner som väljer att utveckla de förmågor som möjliggör en anslutning som producent krävs det att aktiviteten faller inom ramen för myndighetens uppdrag (legalitet). Exempel på sådant författningsstöd kan vara allmänna bestämmelser i lag eller detaljerade regler i speciallagstiftning. Stöd kan även finnas i allmänna eller särskilda bestämmelser i myndighetens instruktion, myndighetsförordningen eller i någon annan förordning.
En producent kommer enbart att generera kundhändelser för de producentprocesser som finns hos producenten, d.v.s. inom respektive producents kompetens. Kundhändelser innebär att producenten ökar sin servicenivå och sitt serviceutbud gentemot den enskilde. Kundhändelser ökar insynen och skapar möjlighet till att följa hur ärendet fortlöper – när och vart den enskilde vill och utan att behöva ta hänsyn till producentens ordinarie öppettider för att få prata med en handläggare. Kundhändelser ökar tillgängligheten genom att den enskilde ges fler och utökade möjligheter att följa sitt ärende även digitalt och med stöd av hjälpmedel som den enskilde förfogar över. Åtgärden bedöms också kunna leda till ökad effektivitet för producenten genom att färre användare och kunder hör av sig med anledning av missförstånd eller otydlig kommunikation kring ett ärende.
Beaktat att producenterna endast kommer generera kundhändelser inom sina respektive verksamhetsområden är åtgärden primärt i syfte att öka service, tillgänglighet och effektivisera verksamheten. Det bedöms finnas goda möjligheter för producenter i allmänhet att hitta stöd för en sådan åtgärd i befintliga författningar. Som exempel kan nämnas bl.a. 6 § myndighetsförordningen (2007:515) och 6 & 7 §§ förvaltningslagen (2017:900).
Skatteverket föreslås vara byggblocksansvarig för Mina ärenden. Som byggblocksansvarig behöver Skatteverket ha stöd för att samordna, utveckla, tillhandahålla, förvalta och avveckla olika lösningar inom ramen för Mina ärenden. Att tillhandahålla Mina ärenden med bl.a. utveckling och förvaltning av centraliserade komponenter i syfte att möjliggöra en standard och infrastruktur för ärendeåterkoppling med kundhändelser får bedömas falla utanför Skatteverkets nuvarande uppdrag. Om Skatteverket ska vara förvaltare av Mina ärenden krävs därför ett tydligt uppdrag för detta.
3.2 Informationshantering
Såsom tjänsten Mina ärenden är tänkt att användas kommer information att utbytas mellan privata och offentliga aktörer. Det kommer att innebära att frågor om offentlighet och sekretess samt arkiv och gallring aktualiseras. Några av dessa frågor analyseras närmare längre ned i detta kapitel. Andra frågor kommer behöva utredas närmare i takt med att lösningar inom Mina ärenden tar form. Ytterst kommer dessa frågor att behöva regleras i överenskommelse/avtal med tillhörande villkor som närmare reglerar informationsutbytet mellan producenter och konsumenter. Frågor som säkerställer en god informationssäkerhet måste beaktas under framtagandet av en arkitektur och tekniska lösningar för tjänsten Mina ärenden.
3.3 Dela och exponera kundhändelser
Nedan följer en översiktlig rättslig analys kring förutsättningarna för utlämnande av kundhändelser. Som utgångspunkt bör de lösningar som tas fram inom Mina ärenden vila på rättsliga förutsättningar som är tillämpliga hos alla, eller åtminstone de flesta, producenter som ansluter till Mina Ärenden. Det säkerställer att lösningen som tas fram inom Mina ärenden blir skalbar även utifrån ett legalt perspektiv samt säkerställer att trösklarna för en anslutning blir låga.
Lösningen som beskrivits i arkitekturkapitlet innebär att en användare får kundhändelser hämtade och exponerade för sig i en tjänst som konsumenten tillhandahåller. Konsumenten kan, men behöver inte vara, samma aktör som den producent som lämnar ut de aktuella kundhändelserna. För det fall det är en extern konsument kan denne vara en privat eller offentlig aktör. Detta innebär att förutsättningarna kan variera beroende på nyss nämnda parametrar. Alldeles oavsett innebär ovanstående att kundhändelser lämnas ut från en offentlig aktör till en tredje part eftersom själva utlämnandet sker till användaren.
Analysen har utgått från att de producenter som är aktuella att ansluta till Mina ärenden är offentliga organisationer som omfattas reglerna i 2 kap. tryckfrihetsförordningen (1949:105)(TF). Analysen tar sikte på utlämnande i förhållande till enskilda och inte myndigheters rätt att få ut uppgifter enligt t.ex. OSL. Anledningen är att Mina ärenden är avgränsat till att skapa förutsättningar för ärendeåterkoppling till användare, inte återkoppling producent till konsument (se kap. 1.5 Avgränsning).
3.3.1 Generella utgångspunkter
Offentlighetsprincipen definieras i 2 kap. TF och innebär en rätt för var och en att ta del av allmänna handlingar. Rätten att ta del av allmänna handlingar får bara begränsas med hänsyn till vissa specificerade intressen och begränsningarna ska framgå av en särskild lag (2 kap. 2 § TF).
I 2 kap. TF definieras bland annat vad som är en handling i TF:s mening och när en sådan är allmän (2 kap 3 & 4 §§ TF). En handling är en framställning i skrift eller bild eller en upptagning som endast med tekniska medel kan uppfattas på något sätt. En handling är allmän om den förvaras hos en myndighet och är inkommen dit eller upprättad där. En uppgift i en databas kan anses vara en handling. Frågan om det är en allmän handling får göras mot bakgrund av om den är förvarad och inkommen till eller upprättad hos myndigheten. En handling anses upprättad först då den föreligger i sitt slutliga skick och anses fram tills dess utgöra arbetsmaterial hos myndigheten. Huvudregeln är att en handling anses upprättad när den har expedierats. Kundhändelser innehåller information om ett ärende och skapas när något sker i ärendet som bedöms vara av intresse för kunden. Syftet med kundhändelsen är således att den ska gå att göra tillgänglig för kunden. Det finns inga hinder för en myndighet att lämna ut handlingar som inte bedöms vara allmänna förutsatt att utlämnandet inte hindras av sekretess. En kundhändelse kan således alltid lämnas ut om det är förenligt med ev. sekretessregler. Poängteras bör att kundhändelsen efter ett första utlämnande är expedierad och därefter är att betrakta som en allmän handling.
3.3.2 Begäran av kundhändelser
Utlämnande av handlingar kan ske först efter begäran av individen enligt TF. Utgångspunkten är att myndigheter ska lämna ut handlingar som i första hand är allmänna och först efter en begäran.
Ovanstående förutsättningar innebär att den tjänst konsumenten tillhandahåller måste vara utformad på ett sådant sätt att den begäran som skickas till en eller flera producenter sker på användarens initiativ – oavsett om konsumenten är en privat eller offentligt aktör. Exakt hur detta initiativ ska manifesteras av användaren kan diskuteras och kan vara svårt att i detalj reglera då konsumenternas tjänster och målgrupper kan variera. Principen är dock viktig och bör komma till uttryck och regleras inom Mina ärenden.
3.3.3 Kundhändelser och sekretess
Att lämna ut kundhändelser från en producent innebär att uppgifter tillgängliggörs och därmed röjs för den som uppgifterna avser och/eller för tredje part. Om den delade informationen innehåller uppgifter som är sekretessbelagda i förhållande till den som utlämnandet sker till, krävs därför ett tillämpligt undantag från sekretessen eller en tillämplig sekretessbrytande bestämmelse för att den utlämnande producenten ska kunna röja uppgifterna. Kundhändelser tar visserligen sikte på information om ett ärende och inte information i ett ärende. Detta utesluter dock inte möjligheten att informationen i en kundhändelse omfattas av sekretess, exempel på detta finns bl.a. på beskattningsområdet där information om att det finns ett beslut i ett visst ärende omfattas av sekretess enligt 27 kap. 1 § OSL.
Huvudregeln är dock att uppgifter som omfattas av sekretess till skydd för en enskild inte gäller i förhållande till den enskilde själv (jfr 12 kap. 1 § OSL). Kundhändelser definieras som information om att något hänt i producentens verksamhet som bedöms kunna ha ett tydligt värde för kunden att få veta. Det bör därför inte vara aktuellt för en producent att generera sådana kundhändelser som p.g.a. sekretess inte kan lämnas ut till den det berör - alltså kunden. Det ska dock nyanseras att det i ett ärende kan förekomma uppgifter om fler än en enskild, d.v.s. att uppgift om Enskild 2 förekommer i uppgifter om Enskild 1. Eftersom uppgifterna om Enskild 1 skyddar den personen, kan uppgifterna om Enskild 2 i det sammanhanget inte lämnas ut till Enskild 2. För kundhändelser bör detta potentiella hinder för ett utlämnande kunna hanteras genom eftertänksam utformning av kundhändelser i de ärendetyper där en sådan situation annars skulle riskera att uppstå.
Uppgifter kan också omfattas av sekretessbestämmelser som är avsedda att skydda det allmännas intresse, exempelvis i olika kontroller eller inom brottsbekämpningen. Som konstaterats i föregående stycke skulle dock kundhändelser med sådan information inte längre vara att definiera som en kundhändelse. Om inte kunden själv kan ta del av en kundhändelse är det per definition ingen kundhändelse.
3.3.4 Utlämnande av kundhändelser
Som konstaterats kan ett utlämnande av kundhändelser ske efter begäran av individen enligt TF. Utlämnandet av kundhändelser kan ske genom att producenten visar information för användaren, t.ex. när producenten också är konsument och visar kundhändelser på Mina sidor (i syfte att ge användaren insyn). När konsumenten är en offentlig aktör som hämtar kundhändelser från olika verksamhetsområden eller producenter är det viktigt att den tjänst där användaren tar del av kundhändelserna är utformat som ett s.k. ”eget utrymme”. Detta för att de kundhändelser som hämtats av användaren inte ska anses vara inkomna och således allmänna handlingar hos den konsument som tillhandahåller tjänsten.
Utlämnandet kan också ske genom att producenten lämnar ut kundhändelser med möjlighet för användaren att använda uppgifterna för olika syften, som när användaren nyttjar en extern konsument (i syfte att ge användaren kontroll). Användaren kan därefter välja att dela uppgifterna till den externa konsumenten. Eftersom det även i den här situationen blir tal om att den enskilda begär ut uppgifterna till sig själv, om än i ett första steg, för att sedan dela uppgifterna med annan part, blir det samma konsekvenser som tidigare redogjorts för enligt offentlighetsprincipen och sekretessregleringen. Bedömningen av huruvida handlingar eller uppgifter kan lämnas ut utgår från att det är den enskilda som begär till sig själv.
3.3.5 Elektroniskt utlämnande och direktåtkomst
Det förfarande som beskrivs i Mina ärenden innebär att kundhändelser lämnas ut elektroniskt från producenterna. Elektroniskt utlämnande kan ske antingen via medium för automatiserad behandling eller via direktåtkomst. Den tjänstebeskrivning och de avtal med tillhörande villkor som avser reglera informationsutbytet inom Mina ärenden behöver utformas för att det inte ska bli tal om s.k. direktåtkomst. Skälen till detta är många men kan kort sammanfattas till följande:
- Gränserna mellan myndigheter bör i rättslig mening vara tydliga och upprätthållas av rättssäkerhetsskäl. Vid direktåtkomst tas gränsen mellan de uppgiftsutbytande myndigheterna till viss del bort,
- Genom direktåtkomst uppstår överskottsinformation, vilket ökar risken för integritetsintrång och annan spridning av känsliga uppgifter, och
- Det framgår vidare av ingresspunkt 31 i EU:s dataskyddsförordning att varje begäran från en myndighet ska vara skriftlig, motiverad, läggas fram i det enskilda fallet och inte gälla ett helt register eller leda till att register kopplas samman.
Ett mer utförligt resonemang kring skälen emot en lösning som innebär direktåtkomst finns att läsa i eSams vägledning för Direktåtkomst och utlämnande på medium för automatiserad behandling.
Någon legaldefinition av begreppen direktåtkomst eller utlämnande på medium för automatiserad behandling finns inte. Syftet med de olika reglerna om utlämnande av uppgifter är i regel att med hänsyn till medborgarnas integritet inskränka möjligheterna för utomstående att genom överföring av uppgifter i personregister kunna upprätta egna personregister. Den tekniska metoden för överföring av uppgifter är i det sammanhanget ointressant. Även överföring av uppgifter via internet till en persondator - som i regel innebär att uppgifterna på något sätt lagras i persondatorn trots att huvudsyftet är att innehavaren ska ta del av dem på skärmen - bör ofta vara att anse som utlämnande av uppgifter på medium för automatiserad behandling (prop.2002/03:135 s. 88 f.).
Informationshanteringsutredningen anser i ett betänkande (SOU 2015:39 s. 389 ff.) att direktåtkomst föreligger om en myndighet hos en annan myndighet har en sådan teknisk tillgång till upptagningar som avses i 2 kap. 6 § tryckfrihetsförordningen (1949:105)(i forts. TF). Detta kommer även till uttryck i Högsta Förvaltningsdomstolens dom (HFD 2015 ref 61 "LEFI Online") där domstolen konstaterade att begreppet direktåtkomst ska bestämmas med utgångspunkt i bestämmelserna i 2 kap. 6 § TF.
Förenklat man beskriva det som att om handlingarna (kundhändelserna) är att betrakta som förvarade enligt 2 kap. 6 § TF hos konsumenten så är det fråga om direktåtkomst. Om konsumenten inte har tillgång till kundhändelserna förrän producenten agerat på en begäran så talar det för att det inte är fråga om någon direktåtkomst utan istället utlämnande på medium för automatiserad behandling. Inom Mina ärenden bör lösningen som tas fram innebära att användaren initierar en begäran som konsumenten formulerar och skickar till producenten. Frågan innehåller bl.a. vad som efterfrågas, vem som framför frågan och vem som frågar. Därefter sker en rad prövningar hos producenten innan ett utlämnande av hela eller delar av de efterfrågade kundhändelserna sker. Prövningen består av att t.ex. kontrollera huruvida konsumenten anslutit sig till Mina ärenden och har tecknat avtal/överenskommelse med producenten. Syftet är att säkerställa att konsumenten agerar efter uppsatta villkor och i enlighet med den tekniska tjänstebeskrivning som tas fram inom Mina ärenden. Därefter sker en behörighetsprövning om användaren är behörighet att ta del av de efterfrågade kundhändelserna. För det fallet svaret är ja så lämnas kundhändelserna ut, annars skickas av producenten ett av Mina ärenden definierade felmeddelande tillbaka till konsumenten- t.ex. att användare inte är behörig att ta del av kundhändelserna. Dessa prövningar sker därefter vid varje ny fråga som konsumenten skickar in på initiativ av användaren.
Det informationsutbyte som då sker inom ramen för Mina ärenden skulle inte bedömas som direktåtkomst. Att konsumenten endast får tillgång till kundhändelser efter att producenten prövat behörigheten hos dels konsumenten men även den som initierar begäran, d.v.s. användaren, innebär att kundhändelserna inte kan anses vara förvarade hos konsumenten enligt 2 kap. 6 § TF. För att säkerställa att producentens utlämnande sker på medium för automatiserad behandling och inte via direktåtkomst bör detta regleras genom de villkor som tas fram inom ramen för Mina ärenden.
Ditt svar hjälper oss att förbättra sidan
Senast uppdaterad: