Behandling av personuppgifter för forskningsändamål

Regeringens proposition 2017/18:298

Behandling av personuppgifter för

Prop.

forskningsändamål

2017/18:298

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 6 september 2018

Stefan Löfven

Helene Hellmark Knutsson

(Utbildningsdepartementet)

Propositionens huvudsakliga innehåll

I propositionen föreslås vissa ändringar i svensk rätt med anledning av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av per- sonuppgifter och om det fria flödet av sådana uppgifter och om upphä- vande av direktiv 95/46/EG (allmän dataskyddsförordning). Det föreslås ändringar i

lagen (1999:353) om rättspsykiatriskt forskningsregister,

lagen (2003:460) om etikprövning av forskning som avser människor,

offentlighets- och sekretesslagen (2009:400),

lagen (2013:794) om vissa register för forskning om vad arv och miljö

betyder för människors hälsa, och

lagen (2018:218) med kompletterande bestämmelser till EU:s data- skyddsförordning.

Anpassningarna i dessa lagar syftar till att möjliggöra en fortsatt behand- ling av personuppgifter för forskningsändamål som är ändamålsenlig sam- tidigt som den enskildes fri- och rättigheter skyddas, oavsett om behand- lingen utförs av offentliga eller privata forskningsutförare.

Lagändringarna föreslås träda i kraft den 1 januari 2019.

1

Prop. 2017/18:298

2

Innehållsförteckning

1

Förslag till riksdagsbeslut .................................................................

8

2

Lagtext

..............................................................................................

9

 

2.1

Förslag till lag om ändring i lagen (1999:353) om

 

 

 

rättspsykiatriskt forskningsregister.....................................

9

2.2Förslag till lag om ändring i lagen (2003:460) om

etikprövning av forskning som avser människor..............

11

2.3Förslag till lag om ändring i offentlighets- och

sekretesslagen (2009:400) ................................................

13

2.4Förslag till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö

betyder för människors hälsa............................................

14

2.5Förslag till lag om ändring i lagen (2018:218) med

 

 

kompletterande bestämmelser till EU:s

 

 

 

dataskyddsförordning .......................................................

16

3

Ärendet och dess beredning ............................................................

17

4

Ändringar i EU-rätten medför behov av ändringar i den

 

 

svenska regleringen av behandling av personuppgifter ..................

18

 

4.1

Dataskyddsdirektivet har ersatts av en

 

 

 

dataskyddsförordning .......................................................

18

4.2Dataskyddsförordningen är direkt tillämplig men

kan kompletteras i nationell rätt .......................................

20

4.3Dataskyddsförordningen kompletteras av en ny svensk övergripande lag och förordning om

dataskydd..........................................................................

21

4.4Dataskyddsförordningen behöver även kompletteras

med svenska bestämmelser på forskningsområdet ...........

21

4.5Vad har gällt hittills enligt dataskyddsdirektivet och

 

personuppgiftslagen?........................................................

22

4.6

Likheter och skillnader mellan

 

 

dataskyddsförordningen och dataskyddsdirektivet...........

24

4.7Regeringsformen avgör om en kompletterande

 

 

svensk reglering ska införas på lag- eller

 

 

 

förordningsnivå ................................................................

27

5

Vilka är forskningsutförare? ...........................................................

28

6

I dataskyddsförordningen används begreppet

 

 

forskningsändamål

..........................................................................

29

7

De rättsliga grunderna för behandling av personuppgifter för

 

 

forskningsändamål

..........................................................................

29

 

7.1

Tre rättsliga grunder är främst aktuella ............................

30

 

 

7.1.1

Samtycke .........................................................

30

 

 

7.1.2

Uppgift av allmänt intresse..............................

32

 

 

7.1.3

Intresseavvägning............................................

38

7.2Möjligheterna för olika forskningsutförare att

åberopa olika rättsliga grunder .........................................

39

7.2.1

Samtycke .........................................................

39

7.2.2

Uppgift av allmänt intresse.............................

43

7.2.3

Intresseavvägning ...........................................

56

7.3Det behövs inte någon upplysningsbestämmelse i

 

 

nationell rätt om artikel 6.1 .............................................

58

8

Principer som måste följas vid behandling av personuppgifter

 

 

för forskningsändamål....................................................................

59

 

8.1

Grundläggande principer för

 

 

 

personuppgiftsbehandling................................................

59

 

8.2

När och hur kan redan insamlade uppgifter

 

 

 

behandlas ytterligare för forskningsändamål? .................

60

9Det behövs kompletterande nationella bestämmelser om skyddsåtgärder som ska gälla vid all behandling av

personuppgifter för forskningsändamål..........................................

62

9.1Vilka krav på skyddsåtgärder ställs i

 

dataskyddsförordningen?.................................................

62

9.2

Skyddsåtgärder bör föreskrivas i svensk rätt ...................

65

9.3Uppgifter ska inte få användas för att vidta åtgärder i

fråga om den registrerade ................................................

65

9.4Det följer direkt av dataskyddsförordningen att

personuppgifter bör pseudonymiseras eller omfattas

 

av andra lämpliga skyddsåtgärder ...................................

70

9.5Det följer direkt av dataskyddsförordningen att den

registrerade kan invända mot behandling ........................

74

9.6All personuppgiftsbehandling för forskningsändamål

 

ska inte etikprövas ...........................................................

78

 

9.6.1

Etikprövning är en skyddsåtgärd vid

 

 

 

behandling av känsliga personuppgifter

 

 

 

och personuppgifter om lagöverträdelser .......

78

 

9.6.2

Tillämpningsområdet för kravet på

 

 

 

etikprövning bör inte utvidgas ........................

80

10 Det behövs kompletterande nationella bestämmelser för

 

behandling av känsliga personuppgifter.........................................

83

10.1

Förbudet mot behandling av känsliga

 

 

personuppgifter utvidgas .................................................

83

10.2Dataskyddsförordningen möjliggör behandling av

 

känsliga personuppgifter för forskningsändamål.............

83

10.3

Etikprövning ska vara en skyddsåtgärd vid

 

 

behandling av känsliga personuppgifter för

 

 

forskningsändamål...........................................................

84

10.4Etisk granskning ska vara en skyddsåtgärd vid

 

behandling av känsliga personuppgifter vid

 

 

forskning inom ramen för kliniska

 

 

läkemedelsprövningar......................................................

91

11 Det behövs kompletterande nationella bestämmelser om

 

skyddsåtgärder för behandling av personuppgifter om

 

lagöverträdelser..............................................................................

96

11.1

Dataskyddsförordningen möjliggör en

 

 

kompletterande nationell reglering för

 

 

personuppgifter om lagöverträdelser ...............................

96

Prop. 2017/18:298

3

Prop. 2017/18:298

11.2

Etikprövning ska vara en skyddsåtgärd vid

 

 

 

behandling av personuppgifter om lagöverträdelser

 

 

 

för forskningsändamål......................................................

97

 

12 Det krävs följdändringar i bestämmelserna om

 

 

etikprövningslagens tillämpningsområde......................................

101

 

13 Bör det föreskrivas undantag från vissa av de rättigheter som

 

 

den registrerade har? .....................................................................

103

 

13.1

Dataskyddsförordningen möjliggör undantag från

 

 

 

vissa rättigheter ..............................................................

103

 

13.2

Undantaget från informationsskyldigheten när

 

 

 

personuppgifter lämnas ut för forskningsändamål

 

 

 

följer direkt av dataskyddsförordningen och svensk

 

 

 

rätt ..................................................................................

105

 

13.3

Bör det föreskrivas undantag från rätten till tillgång? ....

115

 

 

13.3.1

Om innehållet i rättigheten ............................

115

 

 

13.3.2

Det bör inte föreskrivas undantag från

 

 

 

 

rätten till tillgång ...........................................

116

13.4Bör det föreskrivas undantag från rätten till rättelse?.....119

13.4.1

Om innehållet i rättigheten ............................

119

13.4.2Det bör inte föreskrivas undantag från

rätten till rättelse............................................

120

13.5Bör det föreskrivas undantag från rätten till

begränsning av behandling? ...........................................

123

13.5.1

Om innehållet i rättigheten ............................

123

13.5.2Det bör inte föreskrivas undantag från

rätten till begränsning av behandling.............

124

13.6Bör det föreskrivas undantag från rätten att göra

invändningar? .................................................................

127

13.6.1

Om innehållet i rättigheten ............................

127

13.6.2Det bör inte föreskrivas undantag från

rätten att göra invändningar...........................

128

14Behöver ytterligare anpassningar göras i etikprövningslagen? .....131 14.1 Inga ytterligare anpassningar behöver göras i

etikprövningslagen .........................................................

131

14.2Rättsligt stöd för personuppgiftsbehandling i

 

etikprövningsnämndernas verksamhet ...........................

134

15 Vilka behov finns det av sektorslagstiftning på

 

forskningsområdet?.......................................................................

135

15.1

Det behövs för närvarande inte någon

 

 

forskningsdatalag ...........................................................

135

15.2Sekretess ska gälla för uppgifter som behandlas i

strid med personuppgiftsregleringen ..............................

140

16 Anpassningar av vissa registerförfattningar..................................

144

16.1Lagen om rättspsykiatriskt forskningsregister ska

anpassas till dataskyddsförordningen .............................

144

16.1.1

Innehållet i lagen och

 

 

Forskningsdatautredningens uppdrag............

144

4

16.1.2

Lagen är en tillåten nationell

Prop. 2017/18:298

 

kompletterande reglering till

 

 

dataskyddsförordningen................................

145

16.1.3Lagens inledande bestämmelser bör

behållas.........................................................

147

16.1.4Hänvisningar till personuppgiftslagen ska

tas bort ..........................................................

148

16.1.5Det ska tas in hänvisningar till

 

dataskyddsförordningen och

 

 

dataskyddslagen............................................

149

16.1.6

Ändamålsbestämmelserna bör behållas........

151

16.1.7Det bör även fortsättningsvis anges vilka

 

personuppgifter som får finnas i registret .....

153

16.1.8

Andra myndigheters uppgiftsskyldighet

 

 

bör behållas...................................................

156

16.1.9Bestämmelsen om direktåtkomst bör

behållas.........................................................

156

16.1.10Bestämmelsen om vilken information som

 

ska lämnas ska anpassas ...............................

157

16.1.11

Bestämmelsen om utlämnande av

 

 

uppgifter bör behållas ...................................

159

16.1.12

Upplysningen om sekretess bör behållas ......

160

16.1.13Bestämmelsen om rättelse och skadestånd

ska upphävas.................................................

160

16.1.14Bestämmelsen om överklagande ska

upphävas.......................................................

161

16.2Lagen om vissa register för forskning om vad arv

och miljö betyder för människors hälsa ska anpassas

 

till dataskyddsförordningen ...........................................

162

16.2.1

Innehållet i lagen ..........................................

162

16.2.2Lagen är en tillåten nationell kompletterande reglering till

dataskyddsförordningen................................

163

16.2.3Bestämmelsen om lagens syfte bör

 

behållas.........................................................

166

16.2.4

Bestämmelsen om lagens

 

 

tillämpningsområde bör behållas..................

166

16.2.5Hänvisningarna till personuppgiftslagen

ska tas bort....................................................

168

16.2.6Det ska tas in hänvisningar till

dataskyddsförordningen och

 

dataskyddslagen............................................

168

16.2.7Bestämmelsen om vilka som är

 

personuppgiftsansvariga bör behållas...........

171

16.2.8

Ändamålsbestämmelserna bör behållas........

172

16.2.9Det bör även fortsättningsvis anges vilka

 

personuppgifter som får finnas i registret .....

174

 

16.2.10 Begränsningen av intern elektronisk

 

 

 

åtkomst bör behållas .....................................

175

 

16.2.11

Förbudet mot direktåtkomst bör behållas .....

176

 

16.2.12

Bestämmelsen om gallring ska anpassas ......

177

5

Prop. 2017/18:298

6

 

 

16.2.13 Bestämmelsen om rättelse ska upphävas.......

178

 

 

16.2.14 Bestämmelsen om samtycke och

 

 

 

information ska anpassas...............................

179

 

 

16.2.15 Bestämmelsen om information om

 

 

 

utlämnande till forskning bör behållas ..........

181

 

 

16.2.16 Bestämmelsen om utplåning ska upphävas ...

182

 

 

16.2.17 Bestämmelsen om skadestånd ska

 

 

 

upphävas........................................................

183

17

Ikraftträdande- och övergångsbestämmelser.................................

184

 

17.1

Lagändringarna ska träda i kraft den 1 januari 2019 ......

184

 

17.2

Övergångsbestämmelser behövs inte .............................

186

18

Konsekvenser................................................................................

187

 

18.1

Övergripande konsekvenser ...........................................

187

 

18.2

Konsekvenser för den personliga integriteten ................

188

 

18.3

Ekonomiska konsekvenser och konsekvenser i övrigt ...

188

19

Författningskommentar.................................................................

189

19.1Förslaget till lag om ändring i lagen (1999:353) om

rättspsykiatriskt forskningsregister.................................

189

19.2Förslaget till lag om ändring i lagen (2003:460) om

etikprövning av forskning som avser människor............

190

19.3Förslaget till lag om ändring i offentlighets- och

sekretesslagen (2009:400) ..............................................

191

19.4Förslaget till lag om ändring i lagen (2013:794) om

vissa register för forskning om vad arv och miljö

 

betyder för människors hälsa..........................................

192

19.5Förslaget till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s

 

dataskyddsförordning .....................................................

194

Bilaga 1

Europaparlamentets och rådets förordning (EU)

 

 

2016/679 om skydd för fysiska personer med

 

 

avseende på behandling av personuppgifter och om

 

 

det fria flödet av sådana uppgifter och om

 

 

upphävande av direktiv 95/46/EG (allmän

 

 

dataskyddsförordning)....................................................

196

Bilaga 2

Rättelse till Europaparlamentets och rådets

 

 

förordning (EU) 2016/679 om skydd för fysiska

 

 

personer med avseende på behandling av

 

 

personuppgifter och om det fria flödet av sådana

 

 

uppgifter och om upphävande av direktiv 95/46/EG

 

 

(allmän dataskyddsförordning).......................................

284

Bilaga 3

Sammanfattning av betänkandet

 

 

Personuppgiftsbehandling för forskningsändamål

 

 

(SOU 2017:50) ...............................................................

298

Bilaga 4

Betänkandets lagförslag .................................................

307

Bilaga 5

Förteckning över remissinstanserna ...............................

318

Bilaga 6

Lagförslagen i utkastet till lagrådsremiss Behandling

 

 

av personuppgifter för forskningsändamål .....................

320

Prop. 2017/18:298 1

Förslag till riksdagsbeslut

Regeringen föreslår att riksdagen antar regeringens förslag till

1.lag om ändring i lagen (1999:353) om rättspsykiatriskt forsknings- register,

2.lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor,

3.lag om ändring i offentlighets- och sekretesslagen (2009:400),

4.lag om ändring i lagen (2013:794 om vissa register för forskning om vad arv och miljö betyder för människors hälsa,

5.lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

8

2

Lagtext

Prop. 2017/18:298

Regeringen har följande förslag till lagtext.

2.1Förslag till lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister

Härigenom föreskrivs i fråga om lagen (1999:353) om rättspsykiatriskt forskningsregister

dels att 15 och 16 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 15 och 16 §§ ska utgå,

dels att 2 och 12 §§ och rubriken närmast före 2 § ska ha följande lydelse, dels att det ska införas en ny paragraf, 2 a §, av följande lydelse.

Nuvarande lydelse

Förhållandet till person- uppgiftslagen

Om inget annat följer av denna lag tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter för det rättspsy- kiatriska forskningsregistret.

Föreslagen lydelse

Förhållandet till annan data- skyddsreglering

2 §

Denna lag kompletterar Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskydds- förordning.

2 a §

Vid behandling av personupp- gifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s data- skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.

12 §

 

När personuppgifter i ett mål

När personuppgifter i ett mål

första gången registreras i det

första gången registreras i det

rättspsykiatriska forskningsregist-

rättspsykiatriska

forskningsregist-

ret skall Rättsmedicinalverket läm-

ret ska Rättsmedicinalverket lämna

na den registrerade information om

information om

behandlingen till

behandlingen.

den registrerade.

9

 

 

Prop. 2017/18:298

Informationen

skall

innehålla

Utöver vad som framgår av ar-

 

upplysningar om

 

 

 

tikel 14 i EU:s dataskyddsförord-

 

1. att

Rättsmedicinalverket

är

ning ska informationen

innehålla

 

personuppgiftsansvarigt

för

be-

upplysningar om

 

 

 

handlingen,

 

 

 

 

 

 

 

 

2. ändamålen med behandlingen,

 

 

 

 

 

3. vilken typ av uppgifter behand-

 

 

 

 

 

lingen avser,

 

 

 

 

 

 

 

 

4. mottagarna av uppgifterna,

 

 

och säkerhets-

 

5. de

sekretess-

och

säkerhets-

1. de sekretess-

 

bestämmelser som gäller för be-

bestämmelser som gäller för be-

 

handlingen,

 

 

 

handlingen,

 

 

 

 

6. bestämmelserna i personupp-

2. bestämmelserna i EU:s data-

 

giftslagen (1998:204) om informa-

skyddsförordning

och

lagen

 

tion som skall lämnas efter ansökan

(2018:218)

med

kompletterande

 

samt om rättelse och skadestånd,

bestämmelser till EU:s data-

 

samt

 

 

 

 

skyddsförordning om den registre-

 

 

 

 

 

 

rades rätt till skadestånd, och

 

7. de begränsningar i fråga om

3. de begränsningar i fråga om

 

tillgång

till uppgifter, utlämnande

tillgång till

uppgifter, utlämnande

 

av uppgifter på medium för auto-

av uppgifter på medium för auto-

 

matiserad behandling och bevaran-

matiserad behandling och bevaran-

 

de av uppgifter som gäller för be-

de av uppgifter som gäller för be-

 

handlingen.

 

 

 

handlingen.

 

 

 

Denna lag träder i kraft den 1 januari 2019.

10

2.2 Förslag till lag om ändring i lagen (2003:460) Prop. 2017/18:298 om etikprövning av forskning som avser män-

niskor

Härigenom föreskrivs i fråga om lagen (2003:460) om etikprövning av forskning som avser människor

dels att 12 § ska upphöra att gälla,

dels att rubriken närmast före 12 § ska utgå, dels att 2 och 3 §§ ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2 §1

I denna lag avses med

forskning: vetenskapligt experimentellt eller teoretiskt arbete för att in- hämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå,

forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs,

forskningsperson: en levande människa som forskningen avser, och

behandling av personuppgifter: sådan behandling som anges i 3 § personuppgiftslagen (1998:204).

behandling av personuppgifter: sådan behandling som anges i ar- tikel 4.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), här benämnd EU:s dataskyddsförordning.

3 §2

Denna lag ska tillämpas på forskning som innefattar behandling av

1.känsliga personuppgifter en- ligt 13 § personuppgiftslagen (1998:204), eller

1.personuppgifter som avses i artikel 9.1 i EU:s dataskyddsför- ordning (känsliga personuppgif- ter), eller

1

Senaste lydelse 2008:192.

11

2

Senaste lydelse 2008:192.

Prop. 2017/18:298 2. personuppgifter om lagöver- trädelser som innefattar brott, do- mar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § per- sonuppgiftslagen.

2.personuppgifter om lagöver- trädelser som innefattar brott, do- mar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Denna lag träder i kraft den 1 januari 2019.

12

2.3

Förslag till lag om ändring i offentlighets- och

Prop. 2017/18:298

 

sekretesslagen (2009:400)

 

Härigenom föreskrivs att 21 kap. 7 § offentlighets- och sekretesslagen

 

(2009:400) ska ha följande lydelse.

 

 

Nuvarande lydelse

Föreslagen lydelse

 

21kap.

7 §1

Sekretess gäller för personupp- gift, om det kan antas att uppgiften efter ett utlämnande kommer att be- handlas i strid med Europaparla- mentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med av- seende på behandling av person- uppgifter och om det fria flödet av sådana uppgifter och om upphä- vande av direktiv 95/46/EG (all- män dataskyddsförordning), i den ursprungliga lydelsen, eller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning.

Sekretess gäller för personupp- gift, om det kan antas att uppgiften efter ett utlämnande kommer att be- handlas i strid med

1.Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behand- ling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsför- ordning), i den ursprungliga lydel- sen,

2.lagen (2018:218) med komp- letterande bestämmelser till EU:s dataskyddsförordning, eller

3.6 § lagen (2003:460) om etik- prövning av forskning som avser människor.

Denna lag träder i kraft den 1 januari 2019.

1 Senaste lydelse 2018:220.

13

Prop. 2017/18:298 2.4

Förslag till lag om ändring i lagen (2013:794)

 

om vissa register för forskning om vad arv och

 

miljö betyder för människors hälsa

Härigenom föreskrivs i fråga om lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

dels att 13, 16 och 17 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 13, 16 och 17 §§ ska utgå,

dels att 3, 12 och 14 §§ och rubriken närmast före 3 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 3 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Förhållandet till personupp-

Förhållandet till annan data-

giftslagen

skyddsreglering

 

3 §

Personuppgiftslagen (1998:204) gäller vid behandling av perso- nuppgifter, om inte annat följer av denna lag.

Denna lag kompletterar Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskydds- förordning.

Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.

3 a §

Vid behandling av personupp- gifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

 

12 §

 

Personuppgifter som inte längre

Personuppgifter som inte längre

behövs för de ändamål som avses i

behövs för de ändamål som avses i

5 § 1 och 2 ska gallras, om inte

5 § 1 och 2 ska gallras, om inte

regeringen eller

den myndighet

regeringen eller

den myndighet

som regeringen

bestämmer har

som regeringen

bestämmer har

14

meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

meddelat föreskrifter om eller i ett

Prop. 2017/18:298

enskilt fall beslutat att uppgifter får

 

bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

14 §

Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska re- gistreras i ett register som förs enligt denna lag utan att den som uppgif- terna avser uttryckligen har samtyckt till att personuppgifter behandlas en- ligt denna lag.

Innan en person lämnar sitt

Utöver vad som framgår av ar-

samtycke enligt första stycket ska

tiklarna 13 och 14 i EU:s data-

han eller hon ha informerats om

skyddsförordning ska en person,

 

innan han eller hon lämnar sitt

 

samtycke enligt första stycket, ha

 

informerats om

1.att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis,

2. för vilka ändamål behandling

2. vilka uppgifter som får re-

kan ske enligt 5–7 §§ och vilka

gistreras enligt 9 §,

uppgifter som får registreras enligt

 

9§,

3.de sekretess- och säkerhetsbestämmelser som gäller för registret,

4.vem som är personuppgifts-

ansvarig,

5.hur länge uppgifterna sparas,

6.rätten till rättelse av uppgif- terna,

7. rätten till information enligt

4. rätten till information enligt

15 § denna lag och 26 § person-

15 § denna lag,

uppgiftslagen (1998:204),

5. vilken myndighet som har

8. vilken myndighet som har

tillsyn över att denna lag följs,

tillsyn över att denna lag följs, och

9. rätten till skadestånd, och

6. rätten till skadestånd.

10.rätten att få uppgifter utplå-

nade.

Denna lag träder i kraft den 1 januari 2019.

15

Prop. 2017/18:298 2.5

Förslag till lag om ändring i lagen (2018:218)

 

med kompletterande bestämmelser till EU:s

 

dataskyddsförordning

Härigenom föreskrivs att det i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska införas en ny paragraf, 4 kap. 3 §, och närmast före 4 kap. 3 § en ny rubrik av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

4 kap.

Forskning 3 §

Personuppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Denna lag träder i kraft den 1 januari 2019.

16

3 Ärendet och dess beredningProp. 2017/18:298

I april 2016 antogs Europaparlamentets och rådets förordning (EU)

 

2016/679 om skydd för fysiska personer med avseende på behandling av

 

personuppgifter och om det fria flödet av sådana uppgifter och om upphä-

 

vande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad

 

dataskyddsförordningen. Dataskyddsförordningen, som har börjat tilläm-

 

pas den 25 maj 2018, finns i svensk lydelse i bilaga 1 med beslutade rät-

 

telser i bilaga 2.

 

Regeringen beslutade den 7 juli 2016 att tillkalla en särskild utredare,

 

som bl.a. fick i uppdrag att analysera vilken reglering av personuppgifts-

 

behandling för forskningsändamål som är möjlig och kan behövas utöver

 

dels regleringen i dataskyddsförordningen, dels den generella reglering

 

som den redan tillsatta Dataskyddsutredningen (Ju 2016:04) hade i upp-

 

drag att föreslå med anledning av dataskyddsförordningen. I den nya ut-

 

redningens uppdrag ingick också att föreslå nödvändiga anpassningar till

 

dataskyddsförordningen av vissa registerspecifika författningar på forsk-

 

ningsområdet (dir. 2016:65). Utredningen, som antog namnet Forsknings-

 

datautredningen, presenterade i juni 2017 delbetänkandet Personuppgifts-

 

behandling för forskningsändamål (SOU 2017:50). En sammanfattning av

 

betänkandet finns i bilaga 3. Utredningens lagförslag finns i bilaga 4. Ut-

 

redningens betänkande har remissbehandlats. En förteckning över remiss-

 

instanserna finns i bilaga 5. Remissvaren och en sammanställning av dessa

 

finns tillgängliga i Utbildningsdepartementet (dnr U2017/02644/F).

 

Regeringskansliet (Utbildningsdepartementet) tog därefter fram en pro-

 

memoria som kompletterar delbetänkandet. I promemorian lämnas förslag

 

avseende tillämpningsområdet för den forskningsdatalag som Forsknings-

 

datautredningen har föreslagit. Promemorian har remitterats. Promemo-

 

rian och remissvaren finns tillgängliga i Utbildningsdepartementet (dnr

 

U2017/04494/F).

 

Ett utkast till lagrådsremiss togs därefter fram inom Regeringskansliet

 

(Utbildningsdepartementet). I utkastet gjordes bedömningen att den av

 

Forskningsdatautredningen föreslagna forskningsdatalagen inte ska ge-

 

nomföras utan att endast nödvändiga anpassningar av befintliga lagar till

 

dataskyddsförordningen ska genomföras för närvarande. De lagändringar

 

som föreslogs i utkastet baserades med ett undantag och med små juste-

 

ringar på Forskningsdatautredningens förslag i delbetänkandet. Ett förslag

 

till ändring i offentlighets- och sekretesslagen (2009:400) fanns inte med i

 

delbetänkandet. Detta förslag är en nödvändig följdändring för att ingen

 

ändring i sak ska uppstå till följd av att personuppgiftslagen (1998:204)

 

upphört att gälla i samband med att dataskyddsförordningen börjat

 

tillämpas. Utkastet till lagrådsremiss remitterades den 4 april till den 4 maj

 

2018. Utkastets lagförslag finns i bilaga 6 och en förteckning över remiss-

 

instanserna finns i bilaga 7. Remissvaren finns tillgängliga i Utbildnings-

 

departementet (dnr U2018/01639/F).

 

De förslag som regeringen lagt fram i lagrådsremissen överensstämmer

 

i sak med utkastet till lagrådsremiss. Regeringens avsikt är alltjämt att

 

föreslå nödvändiga anpassningar till dataskyddsförordningen. Fortsatt

 

arbete med de aktuella författningarna kommer bl.a. att ske i samband med

 

beredningen av förslagen i betänkandet Etikprövning – en översyn av

17

 

Prop. 2017/18:298 reglerna om forskning och hälso- och sjukvård (SOU 2017:104) och Forskningsdatautredningens slutbetänkande Rätt att forska – Långsiktig reglering av forskningsdatabaser (SOU 2018:36).

Lagrådet

Regeringen beslutade den 28 juni 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 8. Lagrådets yttrande finns i bilaga 9.

Lagrådet har lämnat förslagen utan erinran. I förhållande till lagråds- remissens lagförslag har en hänvisning i 14 § lagen (2013:794) om vissa register om vad arv och miljö betyder för människors hälsa till dataskydds- förordningen tagits bort.

4Ändringar i EU-rätten medför behov av ändringar i den svenska regleringen av behandling av personuppgifter

4.1Dataskyddsdirektivet har ersatts av en data- skyddsförordning

Fram till den 25 maj 2018 har offentliga och privata forskningsutförare behandlat personuppgifter i huvudsak med stöd av personuppgiftslagen (1998:204), förkortad PUL. Från och med denna dag gäller i stället Euro- paparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personupp- gifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), som är direkt tillämplig i EU:s medlemsstater.

Dataskyddsförordningen föregicks av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, det s.k. dataskyddsdirektivet. Det direktivet hade i Sve- rige genomförts genom PUL. Sedan dataskyddsdirektivet beslutades har den ekonomiska och sociala integrationen på EU:s inre marknad lett till en betydande ökning av gränsöverskridande flöden av personuppgifter. Vi- dare har den snabba tekniska utvecklingen och globaliseringen skapat nya utmaningar i fråga om skyddet av personuppgifter. Dataskyddsdirektivet har inte förhindrat bristande enhetlighet i genomförandet och tillämp- ningen av dataskyddet i olika delar av EU. Skillnader i nivån på skyddet av personuppgifter har ansetts förhindra det fria flödet av personuppgifter och utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, snedvrida konkurrensen och hindra myndigheterna från att fullgöra sina skyldigheter enligt unionsrätten.

18

Dataskyddsförordningen syftar till att säkerställa en enhetlig skyddsnivå över hela unionen så att avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden undviks. Förordningen syftar även till att skapa rättslig säkerhet och öppenhet för ekonomiska aktörer,

ge fysiska personer i alla medlemsstater samma rättigheter och skyldig- heter och ålägga dem som ansvarar för personuppgifterna samma ansvar, så att övervakningen av behandling av personuppgifter blir enhetlig, sank- tionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsyns- myndigheterna i olika medlemsstater effektivt (skäl 10 och 13 till data- skyddsförordningen).

Som framgått upphörde dataskyddsdirektivet att gälla från och med den 25 maj 2018 (artiklarna 99.2 och 94.1 i dataskyddsförordningen). Samma datum upphävdes PUL och en ny lag som innehåller bestämmelser som kompletterar dataskyddsförordningen och är av generell karaktär trädde i kraft, lagen (2018:218) med kompletterande bestämmelser till EU:s data- skyddsförordning. Den nya lagen benämns i det följande dataskyddslagen.

Det förekommer hänvisningar till PUL i ett stort antal författningar som reglerar personuppgiftsbehandling inom olika områden. I propositionen Ny dataskyddslag 2017/18:105, har regeringen konstaterat att arbetet med att anpassa svensk lagstiftning till den nya EU-regleringen är mycket omfattande och delvis mycket komplicerat och att allt detta arbete inte kommer att vara helt avslutat den 25 maj 2018. Eftersom det således kommer att finnas ett antal författningar med hänvisningar till PUL som ännu inte har hunnit ändras när PUL upphör att gälla har det införts en övergångsbestämmelse till dataskyddslagen som anger att den upphävda lagen, PUL, fortfarande ska gälla i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den lagen. På forskningsområdet finns sådana hänvisningar i lagen (1999:353) om rättspsykiatriskt forskningsregister, lagen (2003:460) om etikprövning av forskning som avser människor och lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa. I fall som omfattas av dessa lagar fortsätter alltså PUL att gälla i den utsträckning lagarna hänvisar till PUL fram till dess att en ändring i lagarna träder i kraft.

Det numera upphävda dataskyddsdirektivet grundade sig på Europarå- dets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS 108), den s.k. dataskyddskonventionen, och dess tilläggsprotokoll. Konventionen kompletteras av ett antal rekommenda- tioner som har antagits av ministerkommittén om hur personuppgifter bör behandlas inom olika områden. Sverige har, i likhet med övriga medlems- stater i EU, anslutit sig till dataskyddskonventionen. Under 2010 inledde Europarådet en översyn av dataskyddskonventionen. Förhandlingarna om en modernisering av dataskyddskonventionen har nyligen avslutats. Änd- ringsprotokollet till konventionen som förhandlingarna resulterat i har ännu inte trätt i kraft. Ändringarna har skett med beaktande av regleringen i den nya dataskyddsförordningen, som antogs under tiden förhandling- arna om dataskyddskonventionen pågick.

Dataskyddsdirektivet hade ett begränsat tillämpningsområde. Det var inte tillämpligt på t.ex. behandling som gäller allmän säkerhet, statens sä- kerhet eller statens verksamhet på straffrättens område. PUL gjordes dock, till skillnad från direktivet, generellt tillämplig och var därför tillämplig även utanför EU-rättens område. Skälet för detta var att den svenska data- skyddsreglering som gällde före införandet av PUL i princip var generellt tillämplig på all automatisk behandling av personregister, med vissa un- dantag. När den dåvarande datalagen (1973:289) skulle ersättas av PUL,

Prop. 2017/18:298

19

Prop. 2017/18:298 ansågs det lämpligt att även den nya lagen skulle omfatta sådan verksam- het som faller utanför EU-rätten (prop. 1997/98:44 s. 40 f). PUL skulle dock inte tillämpas om avvikande bestämmelser fanns i annan lag eller förordning, dvs. PUL var subsidiär i förhållande till annan författ- ningsreglering.

Dataskyddsförordningen har i likhet med dataskyddsdirektivet ett be- gränsat tillämpningsområde. Vid sidan av dataskyddsförordningen gäller Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndig- heters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

4.2Dataskyddsförordningen är direkt tillämplig men kan kompletteras i nationell rätt

Dataskyddsförordningen är till alla delar bindande och direkt tillämplig i medlemsstaterna (artikel 99.2). Att en EU-förordning ska ha allmän giltig- het och vara till alla delar bindande och direkt tillämplig i varje medlems- stat framgår också av Fördraget om Europeiska unionens funktionssätt (ar- tikel 288 andra stycket). Till skillnad från EU-direktiv ska alltså EU-för- ordningar inte implementeras i nationell rätt. I stället ska förordnings- bestämmelser tillämpas av enskilda, myndigheter och domstolar precis som om de vore nationella författningsbestämmelser.

Även om dataskyddsförordningen är direkt tillämplig i medlemssta- terna, innehåller den många bestämmelser som förutsätter eller ger ut- rymme för kompletterande nationella bestämmelser av olika slag. Möjlig- heten till kompletterande nationella bestämmelser gäller framför allt be- handling av personuppgifter inom den offentliga sektorn i respektive med- lemsstat. Medlemsstaterna får behålla eller införa mer specifika bestäm- melser för att anpassa tillämpningen av bestämmelserna i dataskyddsför- ordningen bl.a. när det handlar om behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse eller som ett led i myndighets- utövning (artikel 6.2). När det gäller behandling av personuppgifter för forskningsändamål både förutsätter och möjliggör förordningen en komp- letterande nationell reglering (artiklarna 9.2 j och 89). Förordningen har därmed i vissa delar en direktivliknande karaktär. Om förordningen före- skriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt (skäl 8).

20

4.3

Dataskyddsförordningen kompletteras av en ny Prop. 2017/18:298

 

svensk övergripande lag och förordning om

 

dataskydd

Som nämnts i avsnitt 4.1 trädde den nya övergripande lagen om dataskydd, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning (dataskyddslagen), i kraft den 25 maj 2018. Genom lagen upphävdes PUL men det finns som nämnts övergångsbestämmelser för vissa fall då PUL fortfarande ska gälla. Genom namnet på lagen betonas att lagen inte är heltäckande, utan endast utgör komplement till dataskyddsförordningen.

På motsvarande sätt som PUL hade ett vidare tillämpningsområde än dataskyddsdirektivet, finns det en bestämmelse i dataskyddslagen som ut- sträcker dataskyddsförordningens tillämpningsområde (1 kap. 2 §). Data- skyddslagen innehåller bl.a. bestämmelser som förtydligar innehållet i dataskyddsförordningens bestämmelser och kompletterar dataskyddsför- ordningen i vissa delar. Bestämmelser i annan lag eller förordning som rör behandling av personuppgifter och som avviker från dataskyddslagen ska ha företräde framför dataskyddslagen (1 kap. 6 §), dvs. dataskyddslagen är subsidiär till andra författningar. Det innebär att dataskyddslagen, på mot- svarande sätt som PUL, kan kompletteras av s.k. registerförfattningar, dvs. författningar som reglerar behandling av personuppgifter på ett avgränsat område.

4.4Dataskyddsförordningen behöver även komp- letteras med svenska bestämmelser på forsk- ningsområdet

För att möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål behöver dataskyddsförordningen och dataskyddslagen kompletteras. De frågor som regeringen ser behov av att reglera, eller i vilka riksdagen bör informeras om regeringens bedömning, är främst fö- rekomsten av rättslig grund för att olika forskningsaktörer ska kunna be- handla personuppgifter för forskningsändamål (avsnitt 7), skyddsåtgärder vid all behandling av personuppgifter för forskningsändamål (avsnitt 9), behandling av s.k. känsliga personuppgifter för forskningsändamål (av- snitt 10), behandling av personuppgifter som rör lagöverträdelser för forskningsändamål (avsnitt 11) och undantag från artiklar i dataskyddsför- ordningen som reglerar den registrerades rättigheter (avsnitt 13). Vidare behöver anpassningar göras i lagen (2003:460) om etikprövning av forsk- ning som avser människor, vissa registerförfattningar på forsknings- området och i offentlighets- och sekretesslagen (2009:400), se avsnitt 14– 16.

Då den nya dataskyddsförordningen till stor del baseras på dataskydds- direktivets struktur och innehåll ges nedan först en kortfattad redogörelse för vad som gällt hittills enligt dataskyddsdirektivet och PUL (avsnitt 4.5). Därefter ges en kort beskrivning av vilka nyheter dataskyddsförordningens reglering innebär (avsnitt 4.6).

21

Prop. 2017/18:298

22

4.5Vad har gällt hittills enligt dataskyddsdirektivet och personuppgiftslagen?

Dataskyddsdirektivet

Dataskyddsdirektivet syftade till att garantera en hög och i alla medlems- stater likvärdig skyddsnivå när det gäller enskilda personers fri- och rät- tigheter med avseende på behandling av personuppgifter. Det syftade även till att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Medlemsstaterna fick inom den ram som gavs i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma.

Huvuddragen i direktivet var följande. Direktivet gällde för sådan be- handling av personuppgifter som helt eller delvis sker på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Med behandling av personuppgifter avsågs varje åtgärd eller serie av åtgärder som vidtas beträffande person- uppgifter, vare sig det sker på automatisk väg eller inte, till exempel in- samling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring (artiklarna 2 b och 3.1 i dataskyddsdirektivet).

Direktivet var inte tillämpligt på sådan behandling av personuppgifter som faller utanför gemenskapsrätten, t.ex. behandling som gäller allmän säkerhet, statens säkerhet eller statens verksamhet på straffrättens område. Direktivet var inte heller tillämpligt på behandling av personuppgifter som utförs av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Behandling av per- sonuppgifter för journalistiska, konstnärliga och litterära ändamål undan- togs från direktivets materiella bestämmelser (artiklarna 3.2 och 9).

Medlemsstaterna skulle enligt direktivet föreskriva vissa principer för uppgifternas kvalitet. Dessa innebar bl.a. följande. Personuppgifter skulle behandlas på ett korrekt och lagligt sätt. Uppgifterna fick samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och de fick inte senare användas på ett sätt som var oförenligt med ursprungsändamålet. Senare behandling av uppgifter för historiska, statistiska eller vetenskap- liga ändamål skulle dock inte anses oförenligt med det ursprungliga ända- målet, förutsatt att medlemsstaterna beslutat om lämpliga skyddsåtgärder. Medlemsstaterna skulle vidare föreskriva att personuppgifter endast fick behandlas i bl.a. följande fall: när samtycke lämnats, när det var nödvän- digt för att fullgöra ett avtal i vilket den registrerade var part, när det fanns en i författning reglerad förpliktelse att behandling av uppgifterna skulle göras, när det var nödvändigt för att skydda den enskildes grundläggande intressen, när det var nödvändigt att utföra en arbetsuppgift i det allmännas intresse eller som ett led i myndighetsutövning eller efter en avvägning mellan de berättigade intressen som fanns för behandlingen och den re- gistrerades rättigheter och intressen (artiklarna 6 och 7).

Uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, reli- giös eller filosofisk övertygelse, medlemskap i fackförening, samt uppgif- ter som rör hälsa och sexualliv (s.k. känsliga personuppgifter) fick som huvudregel inte behandlas. Det fanns dock vissa undantag, bl.a. om den

enskilde uttryckligen samtyckt, för ideella föreningars medlemsregister, för hälso- och sjukvårdens administration och vid författningsreglerade skyldigheter. Medlemsstaterna fick i sin nationella lagstiftning eller ge- nom ett beslut av tillsynsmyndigheten besluta om andra undantag från för- budet än dem som angavs i direktivet, dock endast under förutsättning att det skedde av hänsyn till ett viktigt allmänt intresse och att lämpliga skyddsåtgärder vidtogs. Medlemsstaterna skulle vidare bestämma på vilka villkor nationella identifikationsnummer fick behandlas. Vidare fick upp- gifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder bara behandlas i vissa angivna fall (artikel 8).

Med registeransvarig avsågs den fysiska eller juridiska person, den myn- dighet, den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av person- uppgifter. Med registerförare avsågs den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som behandlar personupp- gifter för den registeransvariges räkning (artikel 2 d och 2 e).

Enligt direktivet skulle, när personuppgifter samlades in, den registre- rade informeras bl.a. om vem som var registeransvarig och vad uppgifterna skulle användas till. All behandling av personuppgifter skulle enligt hu- vudregeln anmälas till en tillsynsmyndighet. Behandling av personuppgif- ter som innebar särskilda integritetsrisker fick inte förekomma utan att till- synsmyndigheten först gett tillstånd till detta. Den registrerade hade rätt att få sina rättigheter enligt den nationella lagen prövad av tillsynsmyndig- heten och domstol. Överföring av personuppgifter till ett tredje land fick i princip endast ske om det mottagande landet hade en acceptabel skyddsnivå (se bl.a. artiklarna 10, 18–20, 22 och 25).

Personuppgiftslagen

Dataskyddsdirektivet genomfördes, som angetts ovan, i svensk rätt huvud- sakligen genom PUL. Bestämmelserna i PUL hade till syfte att skydda människor mot att deras personliga integritet kränktes genom behandling av personuppgifter. PUL följde i princip dataskyddsdirektivets struktur. Liksom direktivet innehöll PUL bestämmelser om behandling av person- uppgifter som var helt eller delvis automatiserad, men även annan behand- ling av personuppgifter om uppgifterna ingick i eller var avsedda att ingå i en strukturerad samling av personuppgifter som var tillgängliga för sök- ning eller sammanställning enligt särskilda kriterier. PUL gällde både myndigheter och enskilda som behandlade personuppgifter på detta sätt. Lagen gällde dock inte för sådan behandling av personuppgifter som en fysisk person utförde som ett led i en verksamhet av rent privat natur (5 och 6 §§ PUL).

Liksom direktivet innehöll PUL bl.a. grundläggande krav på behandling av personuppgifter, när behandling av personuppgifter var tillåten, förbud mot behandling av känsliga personuppgifter och undantag från detta för- bud, begränsningar i fråga om behandling av personuppgifter om lagöver- trädelser m.m., skyldighet att lämna information till den registrerade och att på begäran av den registrerade rätta, blockera eller utplåna personupp- gifter som inte hade behandlats i enlighet med lagen (t.ex. 9, 10, 13, 16, 21 och 23–28 §§.) De som i direktivet benämndes som registeransvarig

Prop. 2017/18:298

23

Prop. 2017/18:298 och registerförare motsvarades i PUL av personuppgiftsansvarig och personuppgiftsbiträde (3 §).

4.6Likheter och skillnader mellan dataskydds- förordningen och dataskyddsdirektivet

Som nämnts baseras dataskyddsförordningen till stor del på dataskyddsdi- rektivets struktur och innehåll. Precis som dataskyddsdirektivet, ska data- skyddsförordningen tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg och på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1).

Definitionerna av begreppen personuppgifter och behandling i data- skyddsförordningen har, jämfört med dataskyddsdirektivets definitioner, endast justerats något redaktionellt och kompletterats med något ytterli- gare exempel på vad som utgör personuppgifter respektive behandling (ar- tikel 4.1 och 4.2).

Definitionerna av personuppgiftsansvarig och personuppgiftsbiträde i dataskyddsförordningen motsvarar definitionerna av registeransvarig och registerförare i dataskyddsdirektivet (artikel 4.7 och 4.8).

I likhet med dataskyddsdirektivet innehåller dataskyddsförordningen grundläggande principer för behandling av personuppgifter som i stort sett är oförändrade, en reglering av när behandling av personuppgifter är tillå- ten, förbud mot behandling av känsliga personuppgifter och undantag från detta förbud i vissa fall, begränsningar i fråga om behandling av person- uppgifter om lagöverträdelser m.m. och bestämmelser om information till den registrerade (t.ex. artiklarna 5, 6, 9, 10 och 12–15.)

Jämfört med dataskyddsdirektivet medför dock dataskyddsförordningen bl.a. de förändringar som beskrivs nedan.

Tillämpningsområdet har utvidgats

Dataskyddsförordningen ska tillämpas på behandling av personuppgifter som görs inom ramen för den verksamhet som bedrivs på personuppgifts- ansvarigas eller personuppgiftsbiträdens verksamhetsställen inom unionen (artikel 3.1). Vidare ska dataskyddsförordningen, i likhet med dataskydds- direktivet, också tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten (artikel 3.3).

En skillnad jämfört med dataskyddsdirektivets ordalydelse är dock att förordningen under vissa omständigheter även ska tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig eller ett per- sonuppgiftsbiträde som inte är etablerad i unionen. Detta gäller om be- handlingen avser registrerade som befinner sig i unionen, under förutsätt- ning att behandlingen har anknytning till antingen utbjudande av varor el- ler tjänster till sådana registrerade i unionen eller övervakning av deras beteende, så länge beteendet sker inom unionen (artikel 3.2).

24

Den registrerades rättigheter har förstärkts

Den registrerades rättigheter har förstärkts i dataskyddsförordningen i syfte att ge den registrerade ökad kontroll över sina personuppgifter. I för- hållande till dataskyddsdirektivet har den information som ska tillhanda- hållas den registrerade preciserats och utvidgats och det anges bl.a. uttryckligen att den personuppgiftsansvarige ska tillhandahålla informa- tionen i en begriplig och lättillgänglig form. Det finns liksom i dataskydds- direktivet en rätt till s.k. registerutdrag och en rätt till rättelse av felaktiga uppgifter. Rätten till radering (utplåning) av uppgifter har förtydligats. En rätt till begränsning av behandling har vidare ersatt rätten till blockering av uppgifter. Det finns också, liksom enligt dataskyddsdirektivet, en rätt för den registrerade att invända mot behandling av personuppgifter som rör honom eller henne (artiklarna 12–23).

Förordningen innebär även en förstärkning av rätten att få åtkomst till sina personuppgifter i syfte att föra över dem till en annan leverantör av elektroniska tjänster, s.k. dataportabilitet (artikel 20).

Ett krav på samtycke har införts för situationer när informationssam- hällets tjänster erbjuds barn

När det gäller barn införs ett krav på att samtycke ges eller behandlingen godkänns av barnets vårdnadshavare när informationssamhällets tjänster erbjuds direkt till ett barn under 16 år. Medlemsstaterna får dock föreskriva en lägre ålder, men inte under 13 år (artikel 8). Enligt dataskyddslagen gäller en åldersgräns på 13 år (2 kap. 4 § dataskyddslagen). Barns särställ- ning och särskilda utsatthet poängteras också på flera ställen i dataskydds- förordningen.

En skyldighet att anmäla personuppgiftsincidenter har införts

Genom dataskyddsförordningen införs en skyldighet för den personupp- giftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en så kallad personuppgiftsincident, dvs. en säkerhetsincident som oavsiktligt påverkar behandlingen av personuppgifter. Även den registrerade ska in- formeras om incidenten om den sannolikt leder till en hög risk för enskil- das rättigheter och friheter, såvida inte vissa villkor är uppfyllda (artikel 33).

Ett krav på konsekvensanalyser har ersatt en allmän anmälningsskyldig- het

Genom dataskyddsförordningen införs även ett krav på konsekvensana- lyser om en viss behandling sannolikt kommer att leda till hög risk för enskildas rättigheter eller skyldigheter (artikel 35). Den allmänna anmäl- ningsskyldigheten till tillsynsmyndigheten har däremot tagits bort.

Det finns ingen missbruksregel och vissa förändringar har gjorts av de rättsliga grunderna för personuppgiftsbehandling

Genom att dataskyddsförordningen börjat tillämpas finns den så kallade missbruksregeln i 5 a § PUL inte längre kvar. Såväl dataskyddsdirektivet som PUL innebar att behandling av personuppgifter förutsatte tillämpning av ett antal s.k. hanteringsregler. Missbruksregeln innebar att vissa av

Prop. 2017/18:298

25

Prop. 2017/18:298 dessa hanteringsregler inte behövde tillämpas på behandling av person- uppgifter som inte ingick i eller var avsedda att ingå i en samling av per- sonuppgifter som strukturerats för att påtagligt underlätta sökning efter el- ler sammanställning av personuppgifter. Detta gällde dock endast under förutsättning att behandlingen inte innebar en kränkning av den registrera- des personliga integritet. Bestämmelsen tillkom för att förenkla regle- ringen av personuppgiftsbehandling och bestämmelsen hade ett relativt vitt tillämpningsområde (jfr HFD 2015 ref. 3). Någon motsvarighet till missbruksregeln finns dock inte i dataskyddsförordningen.

Enligt dataskyddsförordningen är det vidare inte tillåtet för myndigheter att behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan de berättigade intressen som finns för behand- lingen och den registrerades rättigheter och intressen (artikel 6.1). I skäl 43 till dataskyddsförordningen förtydligas också att utrymmet för att myn- digheter ska kunna basera en behandling av personuppgifter på den rätts- liga grunden samtycke är begränsat.

Ett nytt krav är vidare att den rättsliga grund som personuppgiftsbehand- lingen stödjer sig på i vissa fall ska vara fastställd i enlighet med unions- rätten eller i nationell rätt. Detta gäller om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Hur rättsliga förpliktelser, uppgif- ter av allmänt intresse och myndighetsutövning fastställs i enlighet med svensk rätt förtydligas i 2 kap. 1 och 2 §§ i dataskyddslagen. Frågan om rättsliga grunder för behandling av personuppgifter för forskningsändamål behandlas i avsnitt 7.

Förändringar när det gäller känsliga personuppgifter och lagöverträdel- ser

Det har också skett vissa ändringar i fråga om vilka uppgifter som omfattas av förbudet mot behandling av känsliga personuppgifter och i fråga om vilka uppgifter om lagöverträdelser som får behandlas. Det redogörs närmare för dessa förändringar i avsnitt 10 och 11.

Kompletterande nationella bestämmelser om behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser samt personnummer och samordningsnummer finns i 3 kap. dataskyddslagen. Frågan om behandling av känsliga personuppgifter och uppgifter om lag- överträdelser för forskningsändamål behandlas i avsnitt 10 och 11.

Förhållandet till offentlighetsprincipen har blivit tydligare

Utrymmet för att ge offentlighetsprincipen företräde framför personupp- giftsregleringen har blivit tydligare i dataskyddsförordningen. Detta har skett genom en uttrycklig och direkt tillämplig bestämmelse om att per- sonuppgifter i allmänna handlingar får lämnas ut i enlighet med nationell rätt, för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd för personuppgifter i enlighet med förordningen (ar- tikel 86). Härigenom möjliggörs alltså en tillämpning av tryckfrihetsför- ordningens reglering om allmänhetens tillgång till handlingar när det gäl- ler allmänna handlingar som innehåller personuppgifter. Ett tydliggörande av bl.a. detta finns i 1 kap. 7 § dataskyddslagen.

26

Administrativa sanktionsavgifter och andra åtgärder som syftar till en

Prop. 2017/18:298

enhetlig tillämpning har införts

 

Genom förordningen införs ett nytt gemensamt system med administrativa sanktionsavgifter som ska tas ut vid vissa typer av överträdelser av förord- ningen. Kompletterande nationella bestämmelser om sanktionsavgifter finns i 6 kap. 2–7 §§ dataskyddslagen. Även på andra sätt innebär förord- ningen ett ökat fokus på en enhetlig tillämpning av dataskyddsreglerna inom EU, till exempel genom åtgärder som godkännande av uppförande- koder och certifiering. Det införs även en skyldighet för de nationella till- synsmyndigheterna att samarbeta med varandra. Det införs också en ny princip om en enda kontaktpunkt, som ska underlätta för personuppgifts- ansvariga som är verksamma i flera medlemsstater genom att de endast ska behöva vara i kontakt med en av de behöriga tillsynsmyndigheterna. Det införs även ett nytt unionsorgan, Europeiska dataskyddsstyrelsen, som får långtgående befogenheter att uttala sig om tolkningen av förordningen även i enskilda fall (t.ex. artiklarna 40, 43, 57, 68–76 och 83).

Särskilda bestämmelser med villkor för behandling av personuppgifter för vetenskapliga och historiska forskningsändamål har införts

I dataskyddsförordningen finns det några bestämmelser som särskilt reg- lerar villkor för behandling av personuppgifter för vetenskapliga och historiska forskningsändamål. Behandling av personuppgifter för sådana ändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rät- tigheter och friheter. Om personuppgifter behandlas för sådana ändamål får det under vissa förutsättningar i unionsrätten eller medlemsstaternas nationella rätt föreskrivas undantag från vissa av de artiklar i förordningen som reglerar de rättigheter den registrerade har för att ha kontroll över sina uppgifter (artikel 89). Ett särskilt undantag från förbudet att behandla känsliga personuppgifter finns också om behandlingen är nödvändig för vetenskapliga eller historiska forskningsändamål (artikel 9.2 j).

4.7Regeringsformen avgör om en kompletterande svensk reglering ska införas på lag- eller förordningsnivå

När det gäller införande av svensk reglering som kompletterar dataskydds- förordningen behöver regeringsformens (RF) grundläggande bestämmel- ser till skydd för den personliga integriteten beaktas.

Tidigare gällde att varje medborgare, i den utsträckning som närmare anges i lag, skulle skyddas mot att hans personliga integritet kränks genom att uppgifter om denne registreras med hjälp av automatisk databehandling (tidigare 2 kap. 3 § andra stycket RF). Bestämmelsen gav dock inte något individuellt rättighetsskydd för enskilda, utan innebar enbart att lag- stiftaren var skyldig att i lag upprätthålla någon form av skydd för den personliga integriteten i fråga om automatiserad behandling av personupp- gifter.

27

Prop. 2017/18:298 Till följd av en grundlagsändring som trädde i kraft den 1 januari 2011 gäller numera att var och en är gentemot det allmänna skyddad mot bety- dande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhål- landen. Detta skydd kan dock begränsas genom lag (2 kap. 6 § andra stycket och 20 § första stycket 2 RF).

Vid införandet av nya bestämmelser som avser behandling av person- uppgifter behöver därmed bedömas om regleringen utgör ett sådant bety- dande intrång som kräver lagform, eller om regleringen kan införas på för- ordningsnivå. Förarbetena till grundlagsbestämmelsen ger ledning vid en sådan bedömning (prop. 2009/10:80 s. 171 f).

5 Vilka är forskningsutförare?

Forskningsutförare inom det offentligrättsliga området

En stor del av den forskning i Sverige som bedrivs av offentligrättsliga forskningsutförare bedrivs vid universitet och högskolor, men det bedrivs omfattande forskningsverksamhet också vid många andra offentliga or- gan. Enligt 2 kap. 18 § andra stycket RF är forskningens frihet skyddad enligt bestämmelser som meddelas i lag.

För universitet och högskolor med staten som huvudman framgår det av högskolelagen (1992:1434) att de ska bedriva forskning. Där anges det att staten som huvudman ska anordna högskolor för utbildning som vilar på vetenskaplig eller konstnärlig grund samt på beprövad erfarenhet, och forskning och konstnärlig forskning samt utvecklingsarbete (1 kap. 2 §). Av högskolelagen framgår också forskningens frihet. Som allmänna prin- ciper för forskning som bedrivs av dessa utförare gäller att forsknings- problem får fritt väljas, forskningsmetoder får fritt utvecklas och forsk- ningsresultat får fritt publiceras (1 kap. 6 §). I högskolornas uppgift ska det ingå att samverka med det omgivande samhället och informera om sin verksamhet samt verka för att forskningsresultat tillkomna vid högskolan kommer till nytta.

Flera andra statliga myndigheter har forskningsuppgifter inom ramen för sin ordinarie verksamhet och i såväl kommuner som landsting pågår forsk- ning där personuppgifter används. Förvaltningsmyndigheters uppgifter framgår i huvudsak av författningar och författningsenliga beslut, till exempel myndighetsinstruktioner i förordningsform och regleringsbrev. Verksamheten vid kommuner och landsting är reglerad i RF, kommunallagen (2017:725) och speciallagstiftning inom till exempel skola, miljö och vård- och omsorg. Kommuner och landsting har även viss rätt att meddela egna lokala föreskrifter.

Forskningsutförare inom det privaträttsliga området

Bland privaträttsliga aktörer som utför forskning ska först enskilda utbild- ningsanordnare nämnas. Enskilda utbildningsanordnare är lärosäten som drivs av andra huvudmän än staten, till exempel av företag, stiftelser eller

28

föreningar. Vissa enskilda utbildningsanordnare har rätt att utfärda exa- Prop. 2017/18:298 mina enligt lagen (1993:729) om tillstånd att utfärda vissa examina, och

bedriver sin verksamhet på samma sätt som högskolor med staten som hu- vudman. Enskilda utbildningsanordnare som bedriver forskning är till exempel Chalmers Tekniska Högskola, Handelshögskolan i Stockholm och Jönköping University. Dessa är alla privaträttsliga forskningsutförare. För de enskilda utbildningsanordnarna anges det emellertid inte i lagen om tillstånd att utfärda vissa examina att de har en uppgift att bedriva forsk- ning.

Forskning bedrivs även i betydande omfattning hos privata företag och stiftelser. Läkemedelsföretag är ett exempel på forskningsutförare som bedriver forskning med omfattande användning av personuppgifter.

6I dataskyddsförordningen används begreppet forskningsändamål

När villkoren för personuppgiftsbehandling inom forskning regleras sär- skilt i dataskyddsförordningen används i stort sett genomgående termen vetenskapliga eller historiska forskningsändamål. I vissa fall talas det en- bart om forskningsändamål. Till ledning för tolkningen av detta begrepp anges det att begreppet vetenskapliga forskningsändamål bör i förord- ningen ges en vid tolkning och omfatta t.ex. teknisk utveckling och de- monstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Även studier som utförs av ett allmänt intresse inom folkhälso- området bör omfattas av begreppet (skäl 159). Historiska forskningsända- mål omfattar historiska och genealogiska ändamål (skäl 160). Termen vetenskapliga och historiska forskningsändamål är alltså ett unionsrättsligt begrepp.

7De rättsliga grunderna för behandling av personuppgifter för forskningsändamål

Som framgått av avsnitt 4.6 får behandling av personuppgifter som faller under dataskyddsförordningens tillämpningsområde bara göras om det finns en tillämplig rättslig grund. De rättsliga grunder som är relevanta när det gäller behandling av personuppgifter för forskningsändamål är främst att

1.den registrerade har lämnat sitt samtycke till att dennes person- uppgifter behandlas för ett eller flera specifika ändamål (samtycke, artikel 6.1 a),

2.behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (uppgift av allmänt intresse, artikel 6.1 e), och

29

Prop. 2017/18:298 3. behandlingen är nödvändig för ändamål som rör den personuppgifts- ansvariges eller en tredje parts berättigade intressen, om inte den regi- strerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (intresseavvägning, artikel 6.1 f).

I något fall kan också den rättsliga grunden att behandlingen är nödvän- dig för att fullgöra en rättslig förpliktelse som åvilar den personuppgifts- ansvarige (rättslig förpliktelse, artikel 6.1 c) vara aktuell.

Uppräkningen av rättsliga grunder i artikel 6.1 är uttömmande. Om ingen av de rättsliga grunderna i artikeln är uppfyllda är behandlingen inte laglig och får därmed inte utföras. De olika villkoren är i viss mån över- lappande. Flera rättsliga grunder kan därför vara tillämpliga på en och samma behandling.

Som framgått av avsnitt 4.6 är skillnaderna mot vad som gällde enligt dataskyddsdirektivet och PUL bl.a. att utrymmet för att myndigheter ska kunna basera en behandling av personuppgifter på den rättsliga grunden samtycke är mer begränsat enligt dataskyddsförordningen, att det enligt dataskyddsförordningen inte är tillåtet för myndigheter att behandla per- sonuppgifter med stöd av den rättsliga grunden intresseavvägning, och att bl.a. den rättsliga grunden uppgift av allmänt intresse och myndighetsut- övning ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Enligt skäl 41 i dataskyddsförordningen bör den rättsliga grunden vara tydlig och pre- cis och dess tillämpning bör vara förutsägbar för de personer som omfattas av den.

Nedan ges en närmare redogörelse för de rättsliga grunderna samtycke, uppgift av allmänt intresse och intresseavvägning (avsnitt 7.1). Därefter behandlas vilka förutsättningar offentligrättsliga respektive privaträttsliga forskningsutförare har att stödja sin behandling av personuppgifter på dessa grunder (avsnitt 7.2). I avsnitt 10.4 behandlas forskning i form av klinisk läkemedelsprövning och användandet av den rättsliga grunden rättslig förpliktelse i samband med sådan forskning.

 

7.1

Tre rättsliga grunder är främst aktuella

 

7.1.1

Samtycke

 

Om en behandling grundar sig på samtycke ska den personuppgiftsans-

 

varige kunna visa att den registrerade har samtyckt till att dennes person-

 

uppgifter behandlas för ett eller flera specifika ändamål (artiklarna 6.1 a

 

och 7.1).

 

 

Med samtycke avses varje slag av frivillig, specifik, informerad och

 

otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett

 

uttalande eller genom en entydig bekräftande handling, godtar behandling

 

av personuppgifter som rör honom eller henne (artikel 4.11). Samtycke

 

kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förkla-

 

ring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida,

 

genom val av inställningsalternativ för tjänster på informationssamhällets

30

område eller genom någon annan förklaring eller något annat beteende

som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (skäl 32).

En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör tillhandahållas i en begriplig och lättillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke (skäl 42).

Samtycke bör inte utgöra giltig rättslig grund för behandling av person- uppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personupp- giftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar (skäl 43).

För forskningens del är också vad som anges i skäl 33 i dataskydds- förordningen av betydelse. Där konstateras det att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträck- ning det avsedda syftet medger detta.

Artikel 29-gruppen, som är EU:s oberoende rådgivande instans för data- skydd och skydd för privatlivet och som består av en företrädare för varje nationell tillsynsmyndighet i EU-medlemsstaterna, en företrädare för EU- kommissionen och den europeiske datatillsynsmannen, har yttrat att sam- tycke i undantagsfall kan vara en giltig grund för stater när de behandlar personuppgifter. Det bör göras en noggrann kontroll för att se om sam- tycket faktiskt är tillräckligt frivilligt. När den registeransvarige är en offentlig myndighet kommer den rättsliga grunden för att legitimera be- handlingen av personuppgifter att vara fullgörandet av en rättslig förplik- telse eller utförandet av en uppgift av allmänt intresse snarare än samtycke (Yttrande 15/2011 om definitionen av begreppet samtycke Artikel 29- gruppen s. 13–14 och 16–17). Artikel 29-gruppen har också antagit riktlinjer om samtycke enligt dataskyddsförordningen, som kompletterar tidigare yttranden gällande samtycke (Guidelines on Consent under Regu- lation 2016/679, wp259rev.01, antagna den 10 april 2018). Europeiska dataskyddsstyrelsen, som har i uppgift att se till att dataskyddsförord- ningen tillämpas enhetligt, har den 25 maj 2018 beslutat att stödja dessa riktlinjer. Av riktlinjerna framgår att existerande yttranden fortfarande har relevans då de grundläggande förutsättningarna för personuppgifts- behandling enligt dataskyddsdirektivet är desamma som enligt dataskyddsförordningen. Generellt framhåller arbetsgruppen i riktlinjerna att ett samtycke är giltigt endast om den registrerade har en reell valmöjlighet och det inte finns någon risk för att den registrerade blir bedragen, utsätts för hot eller tvång eller andra negativa konsekvenser om han eller hon inte samtycker.

Prop. 2017/18:298

31

Prop. 2017/18:298 Möjligheten att använda samtycke som rättslig grund är därmed begrän- sad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade. I propositionen Ny dataskyddslag (prop. 2017/18:105) gör regeringen bedömningen att när det är tveksamt om den verksamhet som en privaträttslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att inhämta den registrerades samtycke. Detsamma gäller om verksamheten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten (a. prop., s. 57).

7.1.2Uppgift av allmänt intresse

Enligt artikel 6.1 e får en personuppgift behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Grunden för be- handlingen ska enligt artikel 6.3 fastställas i unionsrätten eller en med- lemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Av artikel 6.3 sista meningen framgår att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportio- nell mot det legitima mål som eftersträvas.

 

Vilka uppgifter är av allmänt intresse?

 

Begreppet allmänt intresse är ett unionsrättsligt begrepp som inte har de-

 

finierats vare sig i dataskyddsdirektivet eller i dataskyddsförordningen och

 

innebörden har heller inte ännu utvecklats av EU-domstolen.

 

Rent språkligt kan begreppet uppgift av allmänt intresse antas avse något

 

som är av intresse för eller berör många människor på ett bredare plan, i

 

motsats till ett särintresse eller ett enskilt intresse. Av skäl 45 till data-

 

skyddsförordningen följer att allmänintresset inbegriper hälso- och sjuk-

 

vårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjuk-

 

vårdstjänster. Det kan konstateras att begreppet också finns i motsvarande

 

bestämmelser i det upphävda dataskyddsdirektivet (artikel 7 e) och i den

 

upphävda PUL (10 § d) och att ledning kan hämtas från hur begreppet

 

tolkats enligt dessa bestämmelser.

 

Som anförts i propositionen Ny dataskyddslag gör regeringen bedöm-

 

ningen att alla uppgifter som riksdag eller regering gett i uppdrag åt statliga

 

myndigheter att utföra är av allmänt intresse. Om uppgifterna inte vore av

 

allmänt intresse skulle myndigheterna inte ha ålagts att utföra dem. På

 

motsvarande sätt är de obligatoriska uppgifter som ålagts kommuner och

 

landsting att utföra av allmänt intresse. Detta måste enligt regeringens me-

 

ning gälla även i dataskyddsförordningens mening, eftersom det är upp till

 

varje medlemsstat att fastställa de uppgifter som är av allmänt intresse.

 

Begreppet uppgift av allmänt intresse omfattar dock inte bara sådant

 

som utförs som en följd av ett offentligrättsligt och uttryckligt åliggande

 

eller uppdrag. Till skillnad från vad som gäller enligt artikel 6.1 c i data-

 

skyddsförordningen (den rättsliga grunden rättslig förpliktelse) behöver

 

den personuppgiftsansvarige inte vara skyldig att utföra uppgiften för att

 

den rättsliga grunden uppgift av allmänt intresse ska vara tillämplig. Som

 

en följd av det kommunala självstyret har kommuner och landsting en vid-

 

sträckt möjlighet att göra frivilliga åtaganden. Befogenheten är emellertid

32

enligt kommunallagen (2017:725) begränsad till angelägenheter av just

allmänt intresse. Kommuner och landsting får driva näringsverksamhet, men bara om den drivs utan vinstsyfte och syftar till att tillhandahålla all- männyttiga anläggningar eller tjänster åt medlemmarna. Som exempel på sådana uppgifter av allmänt intresse som kommunerna utför på frivillig grund kan nämnas tillhandahållande av bostäder och fritids- och idrottsan- läggningar, åtgärder för att främja ortens näringsliv och annan kulturell verksamhet än bibliotek (som i stället är en obligatorisk uppgift).

Vissa myndigheter, t.ex. Lantmäteriet, har av riksdagen eller regeringen getts befogenhet att bedriva viss uppdragsverksamhet. Även denna typ av verksamhet måste enligt regeringens mening anses vara motiverad av ett allmänt intresse.

Den verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är således av allmänt intresse. Det är där- med den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheter, även utanför området för myndig- hetsutövning. Detta utesluter dock inte att också andra rättsliga grunder samtidigt kan vara tillämpliga i vissa situationer.

Vid tillämpningen av artikel 6.1 e spelar det ingen roll om den person- uppgiftsansvarige är en offentlig eller en privat aktör.

När det gäller frågan om forskning ska anses vara en uppgift av allmänt intresse kan konstateras att vetenskaplig forskning i dataskyddsdirektivets skäl 34 framhålls som ett exempel på viktigt allmänt intresse som kan motivera undantag från förbudet att behandla känsliga personuppgifter.

I förarbetena till PUL exemplifieras arbetsuppgifter som kan vara av all- mänt intresse med till exempel arkivering, forskning och framställning av statistik. Något utförligare resonemang när det gäller just forskning som en uppgift av allmänt intresse ges inte. Det konstateras vidare att arbets- uppgiften kan utföras av såväl en myndighet som ett enskilt subjekt och att det inte är något hinder för bedömningen av om en arbetsuppgift är av allmänt intresse att någon kan tjäna pengar på att utföra den (SOU 1997:39

s.364).

I propositionen Ny dataskyddslag anser regeringen att begreppet uppgift

av allmänt intresse måste ges en vid betydelse (s. 56). Detta för att myn- digheternas verksamhet ska kunna fungera även i fortsättningen mot bak- grund av dataskyddsförordningens begränsningar för myndigheter att til- lämpa såväl samtycke som intresseavvägning som rättsliga grunder för att behandla personuppgifter inom ramen för sin verksamhet (se närmare om detta i avsnitt 7.2.1 och 7.2.3).

Sammanfattningsvis bör presumtionen vara att uppgiften att forska är en uppgift av allmänt intresse även i dataskyddsförordningens mening. Detta innebär att sådan behandling av personuppgifter för forskningsändamål som har tillåtits med stöd av 10 § d PUL, dvs. på den grunden att den har ansetts nödvändig för att utföra en arbetsuppgift av allmänt intresse, också får anses som nödvändig behandling för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. En väsentlig föränd- ring i förhållande till vad som gäller enligt PUL är emellertid att det inte räcker med att behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse – uppgiften måste också vara fastställd i en- lighet med gällande rätt.

Prop. 2017/18:298

33

Prop. 2017/18:298

34

Vad avses med att den rättsliga grunden ska vara fastställd i nationell rätt?

I propositionen Ny dataskyddslag framhålls att kraven i artikel 6.3 på att grunden för behandlingen ska fastställas i unionsrätten eller en medlems- stats nationella rätt som den personuppgiftsansvarige omfattas av, inte innebär att det krävs en reglering i den nationella rätten av den personupp- giftsbehandling som ska ske med stöd av artikel 6.1.e utan det som måste ha stöd i rättsordningen är i stället uppgiften av allmänt intresse, dvs. i nu aktuellt fall uppgiften att forska. Något motsvarande krav på att grunden för behandlingen ska vara fastställd i unionsrätt eller nationell rätt när det är fråga om bl.a. uppgift av allmänt intresse finns inte i dataskyddsdirekti- vet. Det har därför t.ex. ansetts möjligt att med stöd av 10 § d PUL utföra behandling av personuppgifter som är nödvändig för att utföra en arbets- uppgift av allmänt intresse, även om uppgiften inte är fastställd i författ- ning eller liknande. Detta har bl.a. inneburit att grunden uppgift av allmänt intresse har kunnat åberopas av enskilda som utför sådana uppgifter utan författningsstöd, t.ex. privata forskningsutförare. I detta avseende innebär dataskyddsförordningen en väsentlig förändring i förhållande till vad som gäller idag.

Att grunden för en behandling ska vara fastställd i nationell rätt är vis- serligen en nyhet i förhållande till dataskyddsdirektivet, men i nämnda proposition konstateras att det inte är någon nyhet när det gäller svenska myndigheters behandling av personuppgifter, då legalitetsprincipen är en av de principer som kännetecknar Sverige som rättsstat (s. 49 f.). Legali- tetsprincipen är grundlagsfäst genom 1 kap. 1 § RF, som anger att den offentliga makten utövas under lagarna. Med uttrycket lagarna avses inte bara sådana föreskrifter som riksdagen har beslutat, utan även andra för- fattningar och t.ex. sedvanerätt (prop. 1973:90 s. 397 och KU 1973:26 s. 59). Legalitetsprincipen innebär alltså att myndigheternas maktutövning i vidsträckt mening, även i den mån denna förutsätter behandling av person- uppgifter, måste ha stöd i någon av de källor som tillsammans bildar rätts- ordningen.

När det gäller den bestämmelse i artikel 6.3 som anger att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas kons- tateras i nämnda proposition att bestämmelsen motsvarar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Genom lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna har Europakon- ventionen inkorporerats i svensk rätt. Vidare gäller enligt 2 kap. 19 § RF att lagar och andra föreskrifter inte får meddelas i strid med Sveriges åta- ganden enligt Europakonventionen. Det bör därför vara mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav. Mot denna bak- grund bör utgångspunkten vara att dataskyddsförordningens krav i art. 6.3 är uppfyllt i fråga om bl.a. de uppgifter av allmänt intresse som fastställs i enlighet med svensk rätt.

Myndigheternas uppdrag och åligganden framgår av författningar, rege- ringsbeslut och kommunala reglementen, antagna i enlighet med RF:s bestämmelser om normgivningskompetens och kommunalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller

uppfylla dessa åligganden har därmed i sig en legal grund, som har offent- liggjorts genom tydliga, precisa och förutsebara regler. Statliga myndig- heter får sina uppdrag och befogenheter av riksdag och regering – i myn- dighetsinstruktioner, regleringsbrev och andra regeringsbeslut. På motsva- rande sätt följer de kommunala myndigheternas obligatoriska uppgifter av åligganden som fastställts i lag eller förordning. Även sådana frivilliga åta- ganden som en kommun gör inom ramen för sin allmänna befogenhet ska framgå av gällande rätt, nämligen av det reglemente som fullmäktige ut- färdar för den ansvariga nämnden.

En behandling av personuppgifter måste dock i det enskilda fallet vara nödvändig i förhållande till uppgiften av allmänt intresse och följa de grundläggande principer som gäller för personuppgiftsbehandling i artikel 5 (se mer om nödvändighetsrekvisitet nedan och om nämnda principer i avsnitt 8). Dessutom ankommer det på varje svensk myndighet att i all verksamhet iaktta proportionalitetskravet. Detta krav kommer numera även till uttryck i 5 § i den nya förvaltningslagen (2017:900), där det anges att en åtgärd aldrig får vara mer långtgående än vad som behövs och att den får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot.

Såväl offentliga som privata aktörer kan tillämpa den rättsliga grunden uppgift av allmänt intresse

Vid tillämpningen av artikel 6.1 e spelar det ingen roll om den personupp- giftsansvarige är en offentlig eller en privat aktör. Om den uppgift som den personuppgiftsansvarige utför är av allmänt intresse och denna uppgift är fastställd i enlighet med unionsrätten eller den nationella rätten finns en rättslig grund för nödvändig behandling enligt artikel 6.1 e. Det saknar då betydelse om en privat aktör utför verksamheten på direkt uppdrag av en myndighet eller på eget initiativ.

Avmonopolisering och konkurrensutsättning av offentlig verksamhet i Sverige har inneburit att privaträttsliga organ numera utför en inte obetyd- lig del av de uppgifter som sannolikt skulle anses vara av allmänt intresse, även i begreppets mest snäva bemärkelse. Detta gäller inom den kommu- nala sektorn exempelvis avseende förskoleverksamhet och skola, hälso- och sjukvård samt stöd och service till funktionshindrade. Inom den tradi- tionellt statliga sektorn kan nämnas rikstäckande infrastruktur, kommuni- kation och energiförsörjning. Ibland bedrivs verksamheten alltjämt under kommunal eller statlig styrning, i form av kommunala eller statliga bolag, men på andra områden förekommer också eller enbart privata subjekt som är associationsrättsligt helt fristående från den offentliga sektorn. I flera av dessa fall är verksamheten av kommersiell karaktär och bygger i viss utsträckning på avtal med den registrerade. I den mån behandling av per- sonuppgifter är nödvändig kan den i sådana fall ske med stöd av artikel 6.1 b i dataskyddsförordningen (den rättsliga grunden avtal), även om uppgif- ten inte skulle vara fastställd i lagstiftningen. När det gäller hälso- och sjukvårdsverksamhet, i både offentlig och privat regi, fastställs dock upp- giften i bl.a. hälso- och sjukvårdslagen (2017:30). På motsvarande sätt regleras uppgiften att tillhandahålla stöd och service till funktionshindrade av lagen (1993:387) om stöd och service till vissa funktionshindrade och

Prop. 2017/18:298

35

Prop. 2017/18:298 uppgiften att tillhandahålla insatser inom socialtjänsten av socialtjänstla- gen (2001:453). Skolväsendets uppgifter fastställs i skollagen (2010:800), som gäller för både offentliga och enskilda anordnare av sådan utbildning som regleras i den lagen.

De uppgifter av allmänt intresse som utförs i syfte att utföra ett uttryck- ligt uppdrag eller till följd av ett åliggande måste anses vara av denna ka- raktär oavsett om de faktiskt utförs i myndighetens egen regi eller om de genom utkontraktering eller entreprenad utförs av någon annan. När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig myn- dighet, utför en förvaltningsuppgift som åligger kommunen eller myndig- heten, bör alltså även den privata utföraren, entreprenören eller det kom- munala bolaget anses utföra en uppgift av allmänt intresse. Ett privaträtts- ligt organ som fullgör ett uppdrag från en myndighet som avser en sådan uppgift som är fastställd i författning, regeringsbeslut eller kommunalt beslut i fullmäktige kan därför vidta nödvändiga behandlingsåtgärder på samma rättsliga grund som om myndigheten själv utfört uppgiften, dvs. med stöd av artikel 6.1 e i dataskyddsförordningen.

Det bör noteras att en uppdragstagare som är personuppgiftsbiträde åt myndigheten i stället behandlar personuppgifter med stöd av artikel 28 i dataskyddsförordningen. När det är tveksamt om den verksamhet som en privaträttslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att grunda nödvändig behandling av personuppgifter på en intresseavvägning i enlighet med artikel 6.1 f i dataskyddsförordningen eller genom att in- hämta den registrerades samtycke. Detsamma gäller om verksamheten vis- serligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten.

Reglering i dataskyddslagen

Av skäl 41 i dataskyddsförordningen kan man dra slutsatsen att den rättsliga grunden inte måste fastställas i en av riksdagen beslutad lag men däremot att grunden måste vara fastställd i laga ordning, dvs. på ett kons- titutionellt korrekt sätt. Vad detta konkret innebär i svensk rätt när det gäl- ler uppgift av allmänt intresse har preciserats 2 kap. 2 § 1 dataskyddslagen. Enligt den bestämmelsen får personuppgifter behandlas med stöd av arti- kel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författ- ning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Av skäl 41 i dataskyddsförordningen framgår också att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unio- nens domstol och Europeiska domstolen för de mänskliga rättigheterna. Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nöd- vändig måste bedömas från fall till fall, utifrån behandlingens karaktär. En behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten kan ske med stöd av en rättslig grund som är

36

allmänt hållen medan ett mer kännbart intrång kräver att den rättsliga grun- den är mer preciserad och därmed gör intrånget förutsebart (propositionen Ny dataskyddslag, s. 51).

På forskningsområdet innebär detta att uppgiften att forska måste vara reglerad i den nationella rätten på det sätt som framgår av 2 kap. 2 § 1 dataskyddslagen för att den rättsliga grunden i artikel 6.1 e ska vara til- lämplig och kunna åberopas. Det ställs däremot inte något krav enligt data- skyddsförordningen på att uppgiften att forska ska vara fastställd för respektive forskningsutförare i separata författningar.

Nödvändighetsrekvisitet

Som nämnts ovan får personuppgifter behandlas om behandlingen är nöd- vändig för att utföra en uppgift av allmänt intresse (artikel 6 1 e). Syftet med behandlingen ska vara nödvändigt för att utföra en uppgift av allmänt intresse (artikel 6.3).

Nödvändighetsrekvisitet har även gällt enligt artiklarna 6 och 7 i data- skyddsdirektivet och 10 § PUL. Enligt Svenska Akademiens Ordbok be- tyder det svenska ordet nödvändig att någonting absolut fordras eller inte kan underlåtas. Det unionsrättsliga begreppet har dock inte denna strikta innebörd. Nödvändighetsrekvisitet i dataskyddsdirektivet har t.ex. inte an- setts utgöra ett krav på att det ska vara omöjligt att utföra en uppgift av allmänt intresse utan att behandlingsåtgärden vidtas. Detta synsätt kommer till uttryck i EU-domstolens dom i målet Huber mot Tyskland, som rörde tolkningen av motsvarande nödvändighetsrekvisit i artikel 7 e i direktivet (C-524/06, EU:C:2008:724). EU-domstolen uttalade att en myndighets fö- rande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmelser. Domen bör kunna utgöra stöd även vid tolkningen av dataskyddsförordningen. På motsvarande sätt bör det i dagsläget mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, ef- tersom en manuell informationshantering inte utgör ett realistiskt alterna- tiv för vare sig myndigheter eller företag. Att det ska vara nödvändigt att behandla en uppgift ska enligt regeringens bedömning således inte tolkas som att uppgiften av allmänt intresse måste vara avgränsad så att den bara kan utföras på ett sätt. Den metod som den personuppgiftsansvarige väljer för att utföra sin uppgift måste dock – som all offentlig förvaltning – vara ändamålsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv. Ju mer detaljerat en viss uppgift har reglerats, desto mindre utrymme torde det finnas för den personupp- giftsansvarige att välja olika tillvägagångssätt. Detta medför i sin tur en större förutsebarhet i fråga om vilken personuppgiftsbehandling som kan aktualiseras. Om ett uppdrag i stället har reglerats på en mer övergripande och resultatinriktad nivå kan det sannolikt utföras på många olika sätt, vilka i förhållande till varandra kan vara mer eller mindre nödvändiga i dataskyddsförordningens mening. Kravet på att ändamålet ska vara nöd- vändigt för att utföra en uppgift av allmänt intresse innebär alltså i sig en spärr mot helt onödig behandling av personuppgifter eller sådan behand- ling som utgör ett oproportionerligt intrång i privatlivet som inte kunnat förutses (propositionen Ny dataskyddslag s. 46 f. och 60).

Prop. 2017/18:298

37

Prop. 2017/18:298 För forskningens del innebär nödvändighetsrekvisitet i artikel 6.1 i data- skyddsförordningen att personuppgiftsbehandlingen måste vara nödvän- dig för att forskningen ska kunna utföras, men utifrån en rimlighetsbedöm- ning av vilka alternativa sätt att utföra forskningsuppgiften som är möjliga. I forskningssammanhang bör den rimlighetsbedömningen även kunna om- fatta bedömningen av huruvida användandet av personuppgifter kan med- föra högre kvalitet och tillförlitlighet i forskningsresultatet.

7.1.3 Intresseavvägning

 

Behandling av personuppgifter är enligt dataskyddsförordningen även lag-

 

lig om den är nödvändig för ändamål som rör den personuppgiftsansvari-

 

ges eller en tredje parts berättigade intressen, om inte den registrerades

 

intressen eller grundläggande rättigheter och friheter väger tyngre och krä-

 

ver skydd av personuppgifter, särskilt när den registrerade är ett barn (ar-

 

tikel 6.1 f första stycket). Motsvarande grund har enligt dataskyddsdirek-

 

tivet och PUL även kunnat tillämpas av myndigheter. I artikel 6.1 andra

 

stycket i dataskyddsförordningen klargörs dock att den rättsliga grunden

 

intresseavvägning inte gäller för behandling som utförs av offentliga

 

myndigheter när de fullgör sina uppgifter.

 

Vid den rättsliga grunden intresseavvägning ska behandlingen av per-

 

sonuppgifter vara nödvändig för ett ändamål som rör ett berättigat intresse.

 

Nödvändighetsrekvisitet har behandlats i avsnitt 7.1.2.

 

Av skäl 47 till dataskyddsförordningen framgår att vid bedömningen av

 

om den rättsliga grunden intresseavvägning kan tillämpas ska den registre-

 

rades rimliga förväntningar till följd av förhållandet till den personupp-

 

giftsansvarige beaktas. Som exempel på när en personuppgiftsansvarig

 

kan ha ett berättigat intresse nämns att det föreligger ett relevant och lämp-

 

ligt förhållande mellan den registrerade och den personuppgiftsansvarige,

 

t.ex. att den registrerade är kund hos eller arbetar för den personuppgifts-

 

ansvarige. Ett berättigat intresse kräver under alla omständigheter en nog-

 

grann bedömning som inbegriper huruvida den registrerade vid tidpunkten

 

för inhämtandet av personuppgifter och i samband med detta rimligen kan

 

förvänta sig att en behandling kan komma att ske. Den registrerades

 

intressen och grundläggande rättigheter skulle i synnerhet kunna väga

 

tyngre om personuppgifter behandlas under omständigheter där den regi-

 

strerade inte rimligen kan förvänta sig någon ytterligare behandling. Sådan

 

behandling av personuppgifter som är absolut nödvändig för att förhindra

 

bedrägerier utgör också ett berättigat intresse för berörd personuppgifts-

 

ansvarig. Behandling av personuppgifter för direkt marknadsföring kan

 

betraktas som ett berättigat intresse (skäl 47 till dataskyddsförordningen).

 

Som nämnts tidigare framhålls vetenskaplig forskning i dataskyddsdi-

 

rektivets skäl 34 som ett exempel på viktigt allmänt intresse som kan mo-

 

tivera undantag från förbudet att behandla känsliga personuppgifter. I

 

förarbetena till personuppgiftslagen exemplifieras vidare arbetsuppgifter

 

som kan vara av allmänt intresse med till exempel arkivering, forskning

 

och framställning av statistik. Det konstateras vidare att arbetsuppgiften

 

kan utföras av såväl en myndighet som ett enskilt subjekt och att det inte

 

är något hinder för bedömningen av om en arbetsuppgift är av allmänt

38

intresse att någon kan tjäna pengar på att utföra den (SOU 1997:39 s. 364).

 

Enligt regeringens uppfattning bör en uppgift, som bedöms vara av all- Prop. 2017/18:298 mänt intresse men som inte har fastställts i unionsrätten eller nationell rätt,

i många fall kunna anses vara ett berättigat intresse enligt artikel 6.1 f. Artikel 29-gruppen har när det gäller dataskyddsdirektivet uttalat att

intresset måste vara tillräckligt tydligt angett för att kunna vägas mot den registrerades intressen och grundläggande rättigheter. Intressets art kan va- riera. Vissa intressen kan vara tvingande och gynna samhället i stort, t.ex. intresset av att genomföra vetenskaplig forskning. Andra intressen kan vara mindre akuta för samhället som helhet eller åtminstone kan samhälls- effekterna av dessa vara blandade. Begreppet berättigat intresse kan om- fatta ett brett spektrum av intressen. Bland de vanligaste sammanhang där frågan om berättigat intresse i den mening som avses i artikel 7 i data- skyddsdirektivet kan uppstå nämner Artikel 29-gruppen behandling för historiska, vetenskapliga eller statistiska ändamål och behandling för forskningsändamål (Yttrande 6/2014 om begreppet den registeransvariges berättigade intressen i artikel 7 i direktiv 95/46/EG). Eftersom artikel 6.1 f i dataskyddsförordningen motsvarar artikel 7 f i dataskyddsdirektivet bör vägledning kunna sökas i detta yttrande även när det gäller tillämpningen av artikel 6.1 f. Som nämnts ovan följer det dock av artikel 6.1 andra stycket dataskyddsförordningen att myndigheter, bl.a. universitet och hög- skolor med statlig huvudman, inte längre får åberopa denna grund för per- sonuppgiftsbehandling när de fullgör sina uppgifter.

7.2Möjligheterna för olika forskningsutförare att åberopa olika rättsliga grunder

7.2.1

Samtycke

 

 

 

Regeringens bedömning: Dataskyddsförordningen bör normalt inte

 

innebära något hinder för forskningsutförare att använda samtycke som

 

rättslig grund för sin personuppgiftsbehandling. Det måste dock beaktas

 

om det föreligger en sådan ojämlik situation att det inte kan sägas att

 

inhämtade samtycken lämnas frivilligt, särskilt när den personuppgifts-

 

ansvarige är en offentligrättslig forskningsutförare.

 

 

 

Utredningens bedömning överensstämmer i sak med regeringens

 

bedömning. Utredningen gjorde fler bedömningar med inriktning på olika

 

aspekter av ett giltigt samtycke.

 

Remissinstanserna: Ingen remissinstans yttrar sig i frågan om utred-

 

ningens bedömning av olika forskningsutförares möjlighet att använda den

 

rättsliga grunden samtycke. De flesta remissinstanser som yttrar sig delar

 

i huvudsak utredningens bedömning av innebörden av samtycke.

 

Några remissinstanser, bl.a. Mittuniversitetet och Skåne läns landsting,

 

problematiserar kring samtyckens giltighet vid ett ojämlikt förhållande

 

mellan den personuppgiftsansvarige och den registrerade.

 

Umeå universitet anser att en diskussion borde ha förts kring hur äldre

 

samtycken som inhämtats innan dataskyddsdirektivet infördes ska hante-

 

ras.

 

 

Flera remissinstanser, Verket för innovationssystem (Vinnova), Institutet

 

för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU),

39

Prop. 2017/18:298

40

Läkemedelsindustriföreningen och Cancerfonden, tar upp frågan om tolkningen av skäl 33 i dataskyddsförordningen och vikten av att kunna använda s.k. breda samtycken i forskningen.

Några remissinstanser kommenterar också utredningens bedömning när det gäller ytterligare behandling av personuppgifter som inhämtats med stöd av samtycke. Vinnova och IFAU anser att möjligheten att ytterligare behandla personuppgifter som inhämtats med samtycke bör regleras.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Datainspektionen konstaterar att samtycke kan an- vändas som rättslig grund så länge det inte är fråga om ett ojämlikt förhål- lande. Inspektionen anser att man bör iaktta försiktighet när man gör en bedömning av om samtycke kan utgöra en rättslig grund och framhåller att det inte enbart är i de situationer där det råder ett direkt maktförhållande mellan den personuppgiftsansvarige och den registrerade som möjligheten att använda samtycke är begränsad. Lunds universitet framhåller att sam- tycke kan vara problematiskt när den registrerade upplever sig beroende av den personuppgiftsansvarige. Universitet anser att det krävs en mer in- gående analys av när ett betydande ojämlikhetsförhållande föreligger.

Skälen för regeringens bedömning

Offentligrättsliga forskningsutförare

Alla personuppgiftsansvariga som vill använda den rättsliga grunden sam- tycke för sin personuppgiftsbehandling har att beakta förutsättningarna som angivits i avsnitt 7.1.1 för att ett giltigt samtycke ska föreligga.

Kravet på frivillighet som gäller för att ett samtycke ska vara giltigt är formulerat på samma sätt i dataskyddsförordningen som i PUL. Det fak- tum att det kan råda en betydande ojämlikhet i förhållandet mellan den personuppgiftsansvarige och den som har att lämna samtycke har föranlett införandet av skäl 43 i dataskyddsförordningen. Där anges det att för att säkerställa att samtycket lämnas frivilligt bör samtycket inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personupp- giftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke antas inte vara frivilligt om det inte medger att separata sam- tycken lämnas för olika behandlingar av personuppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbe- gripet tillhandahållandet av en tjänst – är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant genomförande.

I ett yttrande om samtycke har Artikel 29-gruppen uttalat att inom den offentliga sektorn är behandlingen av uppgifter normalt knuten till fullgö- randet av en rättslig förpliktelse eller utförandet av en arbetsuppgift av all- mänt intresse och att då använda samtycke från den berörda individen för att legitimera behandlingen av uppgifterna är inte en lämplig rättslig grund (Yttrande 15/2011 om definitionen av begreppet samtycke). Artikel 29- gruppen pekar på att detta är särskilt tydligt när det gäller hur personupp- gifter behandlas av offentliga myndigheter som har officiella maktbefo- genheter, till exempel rättsvårdande myndigheter som agerar inom ramen

för sina uppdrag i samband med polisiära och rättsliga aktiviteter. Polis- myndigheterna kan inte utgå från att enskilda personer ska samtycka till åtgärder som inte anges i eller inte skulle tillåtas enligt gällande lag. Som nämnts i avsnitt 7.1.1 har Artikel 29-gruppen antagit Guidelines on Consent under Regulation 2016/679, som kompletterar tidigare yttranden. Artikel 29-gruppen uttalar i vägledningen att det generellt är osannolikt att offentliga myndigheter kan förlita sig på den rättsliga grunden samtycke eftersom det ofta föreligger ett sådant ojämlikt maktförhållande mellan myndigheten som är personuppgiftsansvarig och den registrerade. I många fall har inte den registrerade något alternativ förutom att acceptera myndighetens villkor för behandling av personuppgifter. Arbetsgruppen anser därför att andra rättsliga grunder i princip är lämpligare att använda än samtycke för offentliga myndigheter. Arbetsgruppen anger emellertid i vägledningen att det inte är helt uteslutet att offentliga myndigheter kan använda samtycke enligt dataskyddsförordningen, utan att det kan vara lämpligt under vissa omständigheter (Guidelines on Consent under Regulation 2016/679, s. 6).

När det gäller offentliga forskningsutförare kan det enligt regeringens bedömning förhålla sig så att den som lämnar samtycke inte befinner sig i någon beroendeställning i förhållande till den personuppgiftsansvarige. För statliga forskningsutförare med enbart forskning som uppgift torde ett direkt beroendeförhållande normalt inte finnas för andra än de som är anställda vid en sådan inrättning. En myndighet kan således inte anses utöva påtryckning gentemot en individ enbart därför att det är fråga om en myndighet, om den inte har några verktyg för att direkt eller indirekt utöva påtryckningar. En undersökning där ett representativt urval av personer ur totalbefolkningen tillfrågas om de vill delta som en del av ett forsknings- projekt bör t.ex. kunna utföras med samtycke som rättslig grund även av ett universitet eller högskola med statlig huvudman. En sådan situation som avses i skäl 43 kan dock föreligga exempelvis om lärosätet avser att forska med hjälp av personuppgifter som gäller studenter eller anställda vid universitetet. I en sådan situation kan det ifrågasättas om ett giltigt, frivilligt, samtycke kan inhämtas och om forskningsutföraren kan använda sig av denna rättsliga grund.

Kommuner och landsting har myndighetsuppgifter gentemot sina invå- nare. De driver bland annat utbildningsverksamhet, hälso- och sjukvård, meddelar bygglov och andra tillstånd, samt har beskattningsrätt. Här finns åtskilliga situationer där en ojämlik relation kan föreligga. När det gäller behandling av personuppgifter för forskningsändamål har hälso- och sjuk- vårdens regionala och nationella kvalitetsregister, som handhas av lands- tingen, en särskilt stor och ökande betydelse. Behandling av personuppgif- ter i sådana register regleras i 7 kap. patientdatalagen (2008:355). Enligt 7 kap. 2 § får personuppgifter inte behandlas i ett nationellt eller regionalt kvalitetsregister, om den enskilde motsätter sig det. Om den enskilde mot- sätter sig personuppgiftsbehandlingen sedan den påbörjats, ska uppgif- terna utplånas ur registret så snart som möjligt. Det finns vidare en särskild reglering i 7 kap. 2 a § för en enskild som inte endast tillfälligt saknar förmåga att ta ställning i denna fråga.

Sammanfattningsvis anser regeringen att formuleringen i skäl 43 inne- bär en begränsning av offentliga forskningsutförares möjlighet att använda sig av samtycke som rättslig grund, men det föreligger inte alltid ett hinder

Prop. 2017/18:298

41

Prop. 2017/18:298

42

för sådana forskningsutförare att använda samtycke som rättslig grund. När de tar ställning till frågan med stöd av vilken rättslig grund person- uppgiftsbehandling i ett forskningsprojekt ska ske behöver de särskilt be- akta om det föreligger en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt och det därmed inte är möjligt att använda samtycke som rättslig grund utan en annan rättslig grund bör väl- jas. Det ankommer på den personuppgiftsansvarige att för varje forsk- ningsprojekt göra denna prövning som en del av bedömningen av om ett giltigt samtycke kan inhämtas.

Privaträttsliga forskningsutförare

Även privaträttsliga forskningsutförare måste beakta att förutsättningarna för ett giltigt samtycke är uppfyllda när de tar ställning till vilken rättslig grund personuppgiftsbehandling i ett projekt ska grundas på och om det är lämpligt att använda sig av samtycke.

Regeringens bedömning är att utgångspunkten när det gäller privaträtts- liga forskningsutförare är att det normalt inte råder betydande ojämlikhet mellan dem som personuppgiftsansvariga och registrerade när personupp- gifter behandlas för forskningsändamål. För enskilda utbildningsanord- nare bör väsentligen samma resonemang om fall där en betydande ojäm- likhet skulle kunna föreligga kunna föras som för universiteten och hög- skolorna med offentlig huvudman. Företag, stiftelser och andra medlems- organisationer som utför forskning bör kunna använda samtycke för alla som inte har någon anknytning till organisationen, genom att vara exem- pelvis anställda, intressenter och/eller medlemmar. En sådan särskild situation enligt skäl 43 då samtycke inte kan anses ha lämnats frivilligt kan vara när den personuppgiftsansvarige vill använda ett anställningsregister för andra ändamål än det ursprungligen avsedda.

Sammanfattningsvis bör formuleringen i skäl 43 normalt inte innebära hinder för privaträttsliga forskningsutförare att använda samtycke för per- sonuppgiftsbehandling för forskningsändamål. Även privaträttsliga forsk- ningsutförare behöver emellertid beakta om det kan föreligga en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt och det därmed inte är möjligt att använda samtycke som rättslig grund för personuppgiftsbehandlingen i ett forskningsprojekt. Det ankom- mer på den personuppgiftsansvarige att för varje forskningsprojekt göra denna prövning som en del av bedömningen av om ett giltigt samtycke kan inhämtas.

Äldre samtycken

När det gäller redan inhämtade samtycken och frågan om giltigheten av sådana samtycken framgår det av skäl 171 i dataskyddsförordningen att om en personuppgiftsbehandling grundar sig på samtycke enligt data- skyddsdirektivet är det inte nödvändigt att den registrerade på nytt ger sitt samtycke för att den personuppgiftsansvarige ska kunna fortsätta med behandlingen ifråga efter det att förordningen börjat tillämpas, om det sätt på vilket samtycket gavs överensstämmer med villkoren i förordningen. Det behöver alltså ske en kontroll av att lämnade samtycken skett på ett sätt som krävs för att ett giltigt samtycke ska föreligga enligt dataskydds- förordningen för att avgöra om behandlingen kan fortsätta med stöd av

samtycket eller om ett nytt samtycke behöver inhämtas. När det gäller Prop. 2017/18:298 ännu äldre samtycken framgår det av övergångsbestämmelserna till PUL

att ett samtycke som hade lämnats för en behandling innan PUL trädde i kraft skulle gälla även efter ikraftträdandet om samtycket uppfyllde kraven

iPUL (p. 6 i ikraftträdande- och övergångsbestämmelserna). PUL är baserad på dataskyddsdirektivet. Det får enligt regeringens uppfattning förutsättas att en bedömning gjorts av om ett sådant samtycke är förenligt med PUL och därmed dataskyddsdirektivet och att ett nytt samtycke inhämtats om samtycket inte bedömts uppfylla kraven i PUL. Enligt rege- ringens uppfattning bör dessa samtycken därför kunna hanteras på samma sätt som samtycken enligt dataskyddsdirektivet, dvs. att en kontroll görs av om det sätt på vilket samtycket gavs överensstämmer med villkoren i dataskyddsförordningen.

7.2.2Uppgift av allmänt intresse

Regeringens bedömning: För universitet och högskolor med staten som huvudman är uppgiften att forska fastställd i svensk rätt genom bestämmelser i högskolelagen. För andra statliga myndigheter som har en tydligt författningsreglerad uppgift att bedriva forskning, är också forskningsuppgiften fastställd i svensk rätt. Dessa forskningsutförare kan därmed tillämpa den rättsliga grunden uppgift av allmänt intresse i dataskyddsförordningen vid behandling av personuppgifter som är nöd- vändig för att utföra forskningen.

När det gäller kommuner och landsting kan forskningsuppgiften vara fastställd genom beslut om verksamheten i kommunen som fattats i en- lighet med bestämmelserna i kommunallagen. Om så är fallet kan de tillämpa den rättsliga grunden uppgift av allmänt intresse vid behand- ling av personuppgifter som är nödvändig för att utföra forskningen.

En privaträttslig forskningsutförares forskningsuppgift är fastställd i enlighet med nationell rätt om det krävs tillstånd för forskningsprojektet enligt t.ex. etikprövningslagen och forskningsutföraren har fått de till- stånd som krävs. I övrigt är privata forskningsutförares uppgift att forska inte fastställd i svensk rätt.

Det bör inte införas en bestämmelse i lag där det anges att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare.

Utredningens förslag överensstämmer inte med regeringens bedöm- ning. Utredningen berör inte frågan om tillstånd från myndigheter för att bedriva forskning. Utredningen har föreslagit att det ska införas en bestäm- melse i lag som anger att personuppgifter med stöd av artikel 6.1 e i data- skyddsförordningen ska få behandlas för forskningsändamål om behand- lingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse samt att forskning av allmänt intresse får utföras av statliga myn- digheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare.

Remissinstanserna: I stort sett alla remissinstanser som yttrar sig till- styrker, ställer sig positiva till eller har ingen invändning mot att en be-

43

Prop. 2017/18:298 stämmelse som reglerar forskning som uppgift av allmänt intresse för så- väl offentligrättsliga som privaträttsliga forskningsutförare införs i lag. Detta gäller bl.a. Institutet för arbetsmarknads- och utbildningspolitisk ut- värdering (IFAU), Forskningsrådet för hälsa, arbetsliv och välfärd (Forte), Sveriges Kommuner och Landsting (SKL) och flertalet landsting.

Uppsala universitet tillstyrker förslaget och konstaterar att själva upp- giften att bedriva forskning måste vara fastställd enligt gällande rätt och att så redan är fallet för universitet och högskolor. För andra offentliga forskningsutförare, enskilda näringsidkare såsom läkemedelsföretag och andra juridiska personer saknas en reglering som står i överensstämmelse med dataskyddsförordningen. Genom de föreslagna bestämmelserna ges nu en sådan precisering vilket gör det möjligt också för dessa forsknings- utförare att åberopa allmänt intresse som rättslig grund. Dessa forsknings- utförare bedriver redan idag ett viktigt vetenskapligt arbete eller utveck- lingsarbete på vetenskaplig grund och bör när det gäller behandling av per- sonuppgifter för forskningsändamål behandlas lika som statliga universitet och högskolor.

Kalmar läns landsting delar utredningens uppfattning att kommunalla- gens bestämmelser om att kommuner och landsting själva får ha hand om angelägenheter av allmänt intresse som har anknytning till kommunens eller landstingets område eller deras medlemmar, inte är tillräckligt tydlig, preciserad och förutsägbar för att uppfylla dataskyddsförordningens krav vid fastställande av rättslig grund. Landstinget anser därför att det i nationell rätt bör förtydligas att offentliga forskningsutförare som lands- ting/regioner ska kunna tillämpa den rättsliga grunden uppgift av allmänt intresse.

Vetenskapsrådet anser att forskning oavsett om den utförs av en offent- lig eller privat forskningsutförare är en uppgift av allmänt intresse. Mot bakgrund av myndighetens uppgift att förbättra förutsättningarna för re- gisterforskning i Sverige anser myndigheten att det är av avgörande bety- delse att även privata forskningsutförare kan behandla personuppgifter utan samtycke. Vetenskapsrådet betonar därför vikten av att det i nationell lagstiftning slås fast att även privata forskningsutförare kan använda sig av den rättsliga grunden allmänt intresse.

Verket för innovationssystem (Vinnova) anser att det i lag bör möjliggö- ras att offentligrättsliga och privaträttsliga forskningsutförare likställs när det gäller möjligheten att åberopa artikel 6.1 e som rättslig grund för per- sonuppgiftsbehandling för forskningsändamål. Skälen är att det i dagens forskningssamhälle saknas en skarp gräns mellan offentliga och privata forskningsutförare, att samverkan mellan olika forskningsutförare är en viktig del av nuvarande forskningslandskap och att privaträttsliga forsk- ningsutförare utför en betydande del forskning som kan anses vara uppgift av allmänt intresse.

Mittuniversitetet vill lyfta fram det absolut nödvändiga i att genomföra den del av förslaget som innebär att även privata forskningsutförare ges möjlighet till att använda den rättsliga grunden ”uppgift av allmänt intresse” vid forskning som innebär personuppgiftshantering. Om försla- get inte genomförs kommer för allmänheten betydelsefull forskning som sker inom den privata sektorn, exempelvis inom läkemedelsindustrin, an- nars försvåras eller i värsta fall omöjliggöras. Detta oavsett om denna

44

forskning sker enbart inom den privaträttsliga sfären eller om den sker i samarbete med någon högskola eller något universitet.

Enligt Pensionsmyndigheten är det uppenbart att den forskning som bedrivs enligt bestämmelserna i högskolelagen (1992:1434) är exempel på en sådan uppgift av allmänt intresse som avses i dataskyddsförordningen. Enligt myndigheten skulle det dock kunna anses vara mer tveksamt om privat oreglerad forskningsverksamhet kan anses underkastad en sådan reglering. Enligt Pensionsmyndighetens uppfattning är det därför av stor vikt att det i det fortsatta beredningsarbetet säkerställs att även sådan forsk- ningsverksamhet är reglerad på ett sådant sätt att den anses fastställd i en- lighet med dataskyddsförordningens krav.

Malmö högskola påpekar att utredningens förslag tillåter en mycket vid grupp att utföra forskning av allmänt intresse och forskningsutföraren ska själv avgöra vad som är allmänt intresse, vilket lämnar möjlighet till fel och direkt missbruk. Att tillåta allt från enskilda näringsidkare och uppåt att bedriva forskning och samtidigt överlåta avgörandet av vad som är av allmänt intresse kan vara en risk.

Chalmers tekniska högskola efterlyser en tydligare vägledning rörande vilken forskning som är av allmänt intresse.

Datainspektionen avstyrker utredningens förslag avseende 6 § i den fö- reslagna forskningsdatalagen. Inspektionen anför att 6 § i den föreslagna forskningsdatalagen synes reglera vem som får utföra forskning av allmänt intresse och utgör enligt vad utredningen anfört, den i nationell rätt fast- ställda grunden för att utföra en uppgift av allmänt intresse. Datainspekt- ionen anser inte att den föreslagna bestämmelsen är en i nationell rätt fast- ställd uppgift, utan bestämmelsen återger i första meningen en del av data- skyddsförordningens krav och i sista meningen anges olika subjekt som får bedriva forskning av allmänt intresse. Datainspektionen konstaterar att friheten att forska inte är en fråga som rör dataskydd och att någon uppgift att forska inte ges i den aktuella bestämmelsen. Inspektionen kan därmed inte se att denna reglering tillför något materiellt. Mot denna bakgrund ifrågasätter Datainspektionen om 6 § forskningsdatalagen egentligen inte endast kan anses utgöra enbart ett återgivande av de regler som gäller di- rekt enligt artikel 6.1 e i förordningen. Eftersom bestämmelsen inte utgör ett förtydligande i enlighet med skäl 8 i förordningen anser Datainspek- tionen att bestämmelsen saknar stöd i dataskyddsförordningen.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Flertalet remissinstanser tillstyrker, har inga syn- punkter på eller erinran mot bedömningarna som görs och förslagen som lämnas i utkastet till lagrådsremiss. Detta gäller bl.a. Kammarrätten i Stockholm, Förvaltningsrätten i Göteborg, Justitiekanslern, Regionala etikprövningsnämnden i Göteborg, Regionala etikprövningsnämnden i Linköping, Centrala etikprövningsnämnden, Brottsförebyggande rådet, Totalförsvarets forskningsinstitut, Socialstyrelsen, Folkhälsomyndig- heten, Tandvårds- och läkemedelsförmånsverket, Inspektionen för social- försäkringen, Arbetsgivarverket, Jönköping University, Örebro universi- tet, Kungl. Biblioteket och Riksarkivet. Bland de som ställer sig positiva till förslagen och bedömningarna finns Högskolan i Borås, Karlstads uni- versitet, Karolinska institutet och Malmö universitet. Göteborgs universi-

Prop. 2017/18:298

45

Prop. 2017/18:298 tet ställer sig helt och fullt bakom bedömningarna i utkastet till lagrådsre- miss. Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) anser som

 

helhet att förslagen i lagrådsremissen väl tillgodoser forskningens intres-

 

sen av att kunna använda personuppgifter och att den typ av forskning som

 

Forte bidrar till kommer att kunna fortsätta bedrivas utan hinder om väl

 

forskningsutföraren följer de krav på hantering och skyddsåtgärder som

 

det nya regelverket föreskriver.

 

När det gäller bedömningarna av olika forskningsutförares möjligheter

 

att använda sig av olika rättsliga grunder framhåller ett antal remissinstan-

 

ser, Mittuniversitetet, Umeå universitet, Vetenskapsrådet, Forskningsrå-

 

det för miljö, areella näringar och samhällsbyggande (Formas) och Insti-

 

tutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU),

 

vikten av att privaträttsliga forskningsutförare kan använda sig av den

 

rättsliga grunden uppgift av allmänt intresse och att det är problematiskt

 

att offentligrättsliga och privaträttsliga forskningsutförare får olika förut-

 

sättningar, vilket de bl.a. anser försvårar samarbete mellan olika forsk-

 

ningsutförare och ger privaträttsliga forskningsutförare sämre konkurrens-

 

förutsättningar. Stockholms universitet anser att det är olyckligt att privata

 

forskningsutförares behandling av personuppgifter ska fördelas på skilda

 

rättsliga grunder beroende på om känsliga personuppgifter behandlas eller

 

inte. Kommerskollegium ställer sig frågande till bedömningen att inte in-

 

föra någon rättslig grund i form av uppgift av allmänt intresse för privata

 

forskningsutförare som bedriver forskningsprojekt som inte involverar

 

känsliga personuppgifter eller uppgifter om lagöverträdelser. Verket för

 

innovationssystem (Vinnova) framhåller att det är av yttersta vikt att ingen

 

åtskillnad görs i lagstiftning mellan offentligrättsliga och privata forsk-

 

ningshuvudmän.

 

Flera remissinstanser, Datainspektionen, Lunds universitet, Stockholms

 

universitet, Regionala etikprövningsnämnden i Lund, Regionala etikpröv-

 

ningsnämnden i Uppsala och Regionala etikprövningsnämnden i Umeå

 

ifrågasätter bedömningen att ett beslut enligt etikprövningslagen och even-

 

tuellt andra tillämpliga författningar ger en sådan grund för behandlingen

 

som är fastställd i enlighet med nationell rätt enligt artikel 6.3 i data-

 

skyddsförordningen. Läkemedelsindustriföreningen framför att detta är

 

potentiellt en väl fungerande ordning för forskning som förutsätter beslut

 

av en etikprövningsnämnd men påpekar att det inte fungerar för all forsk-

 

ning. Föreningen anser att för sådan forskning som består i klinisk läke-

 

medelsprövning behövs en annan lösning vad gäller rättslig grund och

 

anger att ett sätt att lösa frågan vore att tydliggöra från lagstiftarens sida

 

att klinisk läkemedelsforskning kan åberopa uppgift av allmänt intresse

 

som rättslig grund i den mån denna forskning kräver myndighetstillstånd

 

enligt annan lagstiftning, som tillstånd enligt läkemedelslagen eller det

 

framtida, särskilda regelverket som ska gälla för etisk granskning av kli-

 

niska läkemedelsprövningar.

 

Flera remissinstanser tar också upp bedömningen att kommuner och

 

landsting kan tillämpa den rättsliga grunden uppgift av allmänt intresse i

 

de fall forskningsuppgiften är fastställd genom beslut om verksamheten i

 

kommunen som fattats i enlighet med bestämmelserna i kommunallagen

 

och bedömningen att bestämmelsen i 18 kap. 2 § hälso- och sjukvårdsla-

 

gen på hälso- och sjukvårdsområdet och folkhälsoområdet uppfyller data-

46

skyddsförordningens krav på att en reglering ska vara tydlig, precis och

förutsägbar för att en uppgift av allmänt intresse ska vara fastställd i

Prop. 2017/18:298

nationell rätt. Sveriges Kommuner och Landsting (SKL) delar bedöm-

 

ningen när det gäller bestämmelsen i hälso- och sjukvårdslagen och forsk-

 

ning inom det området, men anser att kommuner och landsting bör kunna

 

samverka med varandra och med berörda universitet och högskolor på

 

motsvarande sätt som inom hälso- och sjukvården på andra områden och

 

att det därför finns skäl för att införa särskilt författningsstöd om att

 

forskning är en uppgift för kommuner och landsting även på andra

 

områden än inom hälso- och sjukvården. Även Stockholms läns landsting

 

anför att i vissa fall är forskningsuppgiften inte fastställd i nationell rätt på

 

sådant sätt att den utan vidare kan hänföras till den rättsliga grunden

 

uppgift av allmänt intresse. Det handlar om fakultativa forsknings-

 

uppgifter, där landstingets engagemang i forskningen stöds på den all-

 

männa kommunal kompetensen snarare än på lagstöd i positiv bemärkelse.

 

Med beaktande av landstingets roll vid medicinsk och annan forskning

 

finns det enligt landstinget ett kvarvarande behov av att mer utförligt

 

utreda och förklara förslagens konsekvenser. En särskild fråga är enligt

 

landstinget behovet och räckvidden av sådana särskilda beslut av

 

landstingsfullmäktige som kan bli nödvändiga för att den rättsliga grunden

 

uppgift av allmänt intresse ska kunna tillämpas. Kalmar läns landsting och

 

Västra Götalands läns landsting anser att det finns en risk för osäkerhet

 

kring vilken typ av beslut som krävs och för att bestämmelserna i data-

 

skyddsförordningen inte uppfylls med avseende på kravet om tydlighet,

 

precision och förutsägbarhet för att den rättsliga grunden ska anses vara

 

fastställd. Kalmar läns landsting anser därför att det i nationell rätt bör

 

förtydligas att offentliga forskningsutförare som landsting/regioner ska

 

kunna tillämpa den rättsliga grunden uppgift av allmänt intresse och Västra

 

Götalands läns landsting anser att regeringen bör föreslå en ny forsk-

 

ningsdatalag där det klart framgår att forskning av allmänt intresse får

 

utföras. Datainspektionen anser mot bakgrund av att bestämmelsen i 18

 

kap. 2 § hälso- och sjukvårdslagen aktualiserar en stor mängd känsliga

 

samt integritetskänsliga personuppgifter är den ett exempel på bestäm-

 

melse där det kan ifrågasättas om den uppfyller kraven på precision.

 

Chalmers tekniska högskola anser inte att det tillfredsställande kommer

 

till uttryck att högskolans forskningsuppgift är fastställd i enlighet med

 

rättsordningen och att förslaget således inte med önskvärd tydlighet säker-

 

ställer högskolans förutsättningar att behandla personuppgifter inom

 

forskningsverksamheten. Högskolan framhåller också att det är väsentligt

 

att högskolans forskning ges förutsättningar att utföras på jämställda vill-

 

kor med statliga högskolor.

 

Skälen för regeringens bedömning

 

Offentligrättsliga forskningsutförare

 

Som framgått av avsnitt 7.1.2 är det regeringens bedömning att presum-

 

tionen är att uppgiften att forska är en uppgift av allmänt intresse även i

 

dataskyddsförordningens mening. För att den rättsliga grunden i artikel 6.1

 

e, uppgift av allmänt intresse, ska vara tillämplig och kunna åberopas krävs

 

emellertid enligt artikel 6.3 att uppgiften är fastställd i enlighet med

 

unionsrätten eller den nationella rätten. Vad detta innebär har behandlats i

 

avsnitt 7.1.2.

47

Prop. 2017/18:298

I 2 kap. 18 § andra stycket RF fastslås att forskningens frihet är skyddad

 

enligt bestämmelser som meddelas i lag. Högskolelagen (1992:1434)

 

reglerar verksamhet vid universitet och högskolor under statligt huvud-

 

mannaskap och innehåller bestämmelser som tar avstamp i grundlags-

 

regleringen. I 1 kap. 2 § högskolelagen anges forskning som en huvud-

 

uppgift. I 1 kap. 3 a § samma lag ställs det krav på att vetenskapens tro-

 

värdighet och god forskningssed värnas i verksamheten och 1 kap. 6 §

 

reglerar just forskningens frihet genom att det anges allmänna principer

 

för den delen av högskolornas verksamhet. För forskningen ska gälla att

 

forskningsproblem får fritt väljas, forskningsmetoder får fritt utvecklas

 

och forskningsresultat får fritt publiceras. Regeringens bedömning är där-

 

för att för universitet och högskolor med staten som huvudman är forsk-

 

ningsuppgiften fastställd i svensk lag och de kan därför behandla person-

 

uppgifter som är nödvändiga för att utföra forskningen med stöd av artikel

 

6.1 e.

 

Utöver universitet och högskolor behandlar många statliga myndigheter

 

personuppgifter för forskningsändamål. Dessa myndigheters möjligheter

 

att behandla personuppgifter för forskningsändamål med stöd av artikel

 

6.1 e är beroende av vilket uppdrag och vilka uppgifter som har ålagts

 

respektive myndighet i gällande rätt. Flera myndigheter har en förord-

 

ningsreglerad uppgift som omfattar forskning, se t.ex. 2 § förordningen

 

(2007:1170) med instruktion för Brottsförebyggande rådet eller 4 § för-

 

ordningen (2013:1020) med instruktion för Folkhälsomyndigheten. Upp-

 

giften att forska kan även regleras på annat sätt, t.ex. direkt i lag eller ge-

 

nom särskilda regeringsbeslut. Om uppgiften att forska är tydligt fastställd

 

på detta sätt för en myndighet har myndigheten möjlighet att grunda be-

 

handling av personuppgifter som är nödvändig för att utföra forskningen

 

på att det är en uppgift av allmänt intresse enligt artikel 6.1 e.

 

Statliga forskningsinstitut drivs ofta i myndighetsform, vilket medför att

 

samma resonemang kan föras för dem som för myndigheter i allmänhet.

 

Exempel på sådana forskningsinstitut är Institutet för rymdfysik och Total-

 

försvarets forskningsinstitut. Det finns dock även forskningsinstitut som

 

drivs i aktiebolagsform med staten som delägare helt eller delvis. RISE

 

(Research Institutes of Sweden) är ett exempel på nätverk av teknikinrik-

 

tade forskningsinstitut som samverkar med akademi, näringsliv och sam-

 

hälle. För sådana organ är det bedömningarna beträffande privaträttsliga

 

forskningsutförare som är relevanta (se nedan).

 

Verksamheten vid kommuner och landsting är reglerad i RF, kommu-

 

nallagen (2017:725) och speciallagstiftning för t.ex. skola, miljö och vård-

 

och omsorg. Kommuner och landsting har även viss rätt att meddela egna

 

lokala föreskrifter. När det gäller kommunernas verksamhet anges det i

 

14 kap. 2 § RF att kommunerna sköter lokala och regionala angelägenheter

 

av allmänt intresse på den kommunala självstyrelsens grund. Närmare

 

bestämmelser om detta finns i lag. På samma grund sköter kommunerna

 

även de övriga angelägenheter som bestäms i lag. Kommunallagen regle-

 

rar såväl kommuner som landsting på en övergripande nivå. Där anges att

 

kommuner och landsting får själva ha hand om angelägenheter av allmänt

 

intresse som har anknytning till kommunens eller landstingets område

 

eller deras medlemmar. Kommuner och landsting får inte ha hand om

 

sådana angelägenheter som enbart staten, en annan kommun, ett annat

48

landsting eller någon annan ska ha hand om.

Forskning och innovation är en viktig del av många landstings och kom- muners utvecklingsarbete. Nämnas kan att enligt hälso- och sjukvårdsla- gen (2017:30) ska landsting och kommuner medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete. Landsting och kommuner ska i dessa frågor, i den omfattning som behövs, samverka med varandra och med berörda universitet och högskolor (18 kap. 2 § hälso- och sjukvårdslagen).

Enligt 2 kap. 2 § 1 dataskyddslagen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nöd- vändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Formuleringen omfattar även uppgifter som med stöd av kommunallagen har getts till kommunala myndigheter och kommunala bolag genom beslut i fullmäktige. På hälso- och sjuk- vårdsområdet och folkhälsoområdet bedömer regeringen till skillnad från Datainspektionen att ovan nämnda bestämmelser i hälso- och sjukvårdsla- gen uppfyller dataskyddsförordningens krav på att en reglering ska vara tydlig, precis och förutsägbar för att en uppgift av allmänt intresse ska vara fastställd i nationell rätt. Forskning hör i övrigt till området där landsting och kommuner kan göra frivilliga åtaganden inom ramen för sin befogen- het. Att som bl.a. SKL föreslår i författning fastställa att forskning är en uppgift för kommuner och landsting inom andra områden skulle innebära att nya uppgifter läggs på kommunerna, vilket med hänsyn till den kom- munala självstyrelsen kräver särskilda överväganden som det saknas un- derlag för i detta lagstiftningsärende. För att kommuner och landsting i övrigt ska kunna använda sig av den rättsliga grunden uppgift av allmänt intresse när de bedriver forskning är det enligt regeringens uppfattning av vikt att de beaktar att forskningsuppgiften anges tydligt i de beslut om verksamheten som fattas av fullmäktige så att forskningsuppgiften därige- nom kan anses vara fastställd i nationell rätt. Det är varje personuppgifts- ansvarigs ansvar att se till att det finns en laglig grund för den behandling av personuppgifter som den personuppgiftsansvarige avser att göra och därmed kommunernas ansvar att se till att de kommunala beslut som kan behövas för att forskningsuppgiften ska anses vara fastställd och den rätts- liga grunden uppgift av allmänt intresse kunna användas får en tillräckligt tydlig och precis utformning.

Privaträttsliga forskningsutförare

Forskning bedrivs även av privata forskningsutförare. Forskningsuppgif- ten är emellertid inte fastställd i nationell rätt för dessa aktörer på motsva- rande sätt som för de flesta offentligrättsliga forskningsutförare.

Forskningsdatautredningen har i sitt delbetänkande föreslagit att det ska införas kompletterande nationella bestämmelser för behandling av person- uppgifter för forskningsändamål i en forskningsdatalag. Utredningen har bl.a. föreslagit att det i den lagen ska införas bestämmelser som bl.a. anger att personuppgifter får med stöd av artikel 6.1 e i dataskyddsförordningen behandlas för forskningsändamål om behandlingen är nödvändig och pro- portionerlig för att utföra forskning av allmänt intresse och att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och

Prop. 2017/18:298

49

Prop. 2017/18:298 landsting, andra juridiska personer och enskilda näringsidkare. När det gäller den av utredningen föreslagna bestämmelsen om att offentliga och

 

privata forskningsutförare får utföra forskning av allmänt intresse gör re-

 

geringen följande bedömning.

 

Som framgått innebär regleringen i dataskyddsförordningen en påtaglig

 

skillnad i förhållande till dataskyddsdirektivet på så vis att enligt direktivet

 

kan behandling av personuppgifter utföras på den rättliga grunden allmänt

 

intresse, även om den uppgift som föranleder personuppgiftsbehandlingen,

 

i nu aktuellt fall uppgiften att forska, inte är fastställd i nationell rätt eller

 

unionsrätt. Det innebär att det hittills inte har spelat någon roll om forsk-

 

ningsutföraren har varit en myndighet eller en enskild fysisk eller juridisk

 

person. Utgångpunkten har ändå varit att uppgiften att forska är en uppgift

 

av allmänt intresse. Som framgår av avsnitt 7.1.2 räcker det dock enligt

 

dataskyddsförordningen inte att uppgiften är av allmänt intresse. Den

 

måste också vara fastställd i nationell rätt eller unionsrätt. Som framgår av

 

avsnitt 7.1.2 är myndigheters uppgifter fastställda i nationell eller

 

unionsrätten eftersom legalitetsprincipen är en av de principer som känne-

 

tecknar Sverige som rättsstat. Legalitetsprincipen är grundlagsfäst genom

 

1 kap. 1 § RF, som anger att den offentliga makten utövas under lagarna.

 

För enskilda är inte utgångpunkten att de behöver rättsligt stöd för sina

 

handlingar utan för dem gäller att allt som inte är förbjudet eller på annat

 

sätt reglerat är tillåtet. För privata forskningsutförare innebär det att de har

 

rätt att forska fritt så länge staten inte har uppställt krav på tillstånd för viss

 

forskning eller forskningen innefattar brottslig verksamhet etc. Vad data-

 

skyddsförordningens krav på att en uppgift ska vara fastställd i nationell

 

rätt eller i unionsrätten för att den ska anses vara en uppgift av allmänt

 

intresse i den mening som avses i artikel 6.1.e innebär framgår av 2 kap. 2

 

§ 1 dataskyddslagen. Enligt den bestämmelsen får personuppgifter be-

 

handlas med stöd av artikel 6.1 e i dataskyddsförordningen om behand-

 

lingen är nödvändig för att utföra en uppgift av allmänt intresse som följer

 

av lag eller annan författning, av kollektivavtal eller av beslut som har

 

meddelats med stöd av lag eller annan författning.

 

Flera skäl talar för att det skulle finnas ett behov av en reglering där

 

forskningsuppgiften fastställs för privaträttsliga forskningsutförare för att

 

göra det möjligt för dem att använda sig av den rättsliga grunden uppgift

 

av allmänt intresse. Även forskning som bedrivs av privata utförare kan

 

anses vara en uppgift av allmänt intresse. Som exempel kan nämnas att

 

högskolor kan bedrivas i både offentlig och privat form. Forskningsupp-

 

giften är i praktiken likvärdig vid de båda verksamheterna. Forskning be-

 

drivs vidare ofta i samverkan mellan offentliga och privata forskningsut-

 

förare. Det är också av vikt att såväl offentliga som privata forskningsut-

 

förare har möjlighet att behandla personuppgifter för att genomföra stor-

 

skaliga registerbaserade studier inom exempelvis hälsoområdet. Sådana

 

studier är av stor betydelse för ökad kunskap om t.ex. sjukdomsorsaker

 

och behandlingsmetoder. Det är inte alltid möjligt eller ens lämpligt att

 

inhämta samtycke för behandling av personuppgifter för forskningsända-

 

mål i studier som omfattar flera hundra tusen personer. Detta innebär att

 

såväl offentliga som privata forskningsutförare behöver ha möjligheter att

 

behandla personuppgifter även utan samtycke.

 

Av det som anförts ovan kan slutsatsen dras att frågan om att reglera

50

forskning som en uppgift av allmänt intresse har störst betydelse för de

privaträttsliga forskningsutförarna. För offentligrättsliga forskningsutfö- rare, som universitet och högskolor med staten som huvudman och statliga myndigheter som har i uppgift att forska, är forskningsuppgiften i de flesta fall redan reglerad i författning eller kan regleras i författning.

Kommunerna sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund. Kommuner och lands- ting får själva ha hand om angelägenheter av allmänt intresse som har an- knytning till kommunens eller landstingets område eller deras medlem- mar. De har möjlighet att genom beslut om reglementen för verksamheten se till att forskningsuppgiften blir fastställd i enlighet med rättsordningen i Sverige och de kan då basera personuppgiftsbehandling som är nödvän- dig för att utföra forskningsuppgiften på den rättsliga grunden uppgift av allmänt intresse. För privaträttsliga forskningsutförare är däremot uppgif- ten att forska som huvudregel inte reglerad.

Forskningsdatautredningens förslag innebär att det ska införas bestäm- melser av vilka det framgår dels under vilka förutsättningar personuppgif- ter får behandlas för forskningsändamål (om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse), dels att forskning av allmänt intresse får utföras av statliga myndigheter, kommu- ner och landsting, andra juridiska personer och enskilda näringsidkare. Detta innebär att forskningsutföraren själv även fortsatt skulle ha att be- döma om den forskning som utförs är av allmänt intresse, och om person- uppgiftsbehandlingen är nödvändig för att utföra forskningen. Av skäl 41 i dataskyddsförordningen framgår att en rättslig grund bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den. Forskningsdatautredningen lyfter i detta sammanhang fram att det av skäl 33 framgår att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsända- mål i samband med insamlingen av uppgifter. Av skäl 159 framgår dessu- tom att behandling av personuppgifter för vetenskapliga forskningsända- mål bör ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinan- sierad forskning. Behandlingen av personuppgifter bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i EUF-fördraget angående åstadkom- mandet av ett europeiskt forskningsområde. Vetenskapliga forskningsän- damål bör också omfatta studier som utförs av ett allmänt intresse inom folkhälsoområdet. För att tillgodose de särskilda kraven i samband med behandling av personuppgifter för vetenskapliga forskningsändamål bör särskilda villkor gälla, särskilt vad avser offentliggörande eller annat ut- lämnande av personuppgifter inom ramen för vetenskapliga forskningsän- damål. Om resultatet av vetenskaplig forskning, särskilt för hälso- och sjukvårdsändamål, ger anledning till ytterligare åtgärder i den registrera- des intresse, bör de allmänna reglerna i dataskyddsförordningen tillämpas på dessa åtgärder. Mot denna bakgrund är det Forskningsdatautredningens bedömning att det är förenligt med dataskyddsförordningens vidsträckta syn på personuppgiftsbehandling för forskningsändamål att fastställa den rättsliga grunden forskning som en uppgift av allmänt intresse i en forsk- ningsdatalag som är tillämplig för alla slags forskningsutförare som bedri- ver sådan forskning. Forskningsdatautredningen framhåller också att det av skäl 45 i dataskyddsförordningen framgår att det bör regleras huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse ska

Prop. 2017/18:298

51

Prop. 2017/18:298 vara en myndighet, eller annan som omfattas av offentligrättslig lagstift- ning, eller om denne kan vara en fysisk eller juridisk person som lyder

 

under civilrättslig lagstiftning.

 

Majoriteten av remissinstanserna är positiva till utredningens förslag.

 

Malmö högskola är dock kritisk till att forskningsutföraren själv ska få av-

 

göra vad som är allmänt intresse och Chalmers tekniska högskola efterly-

 

ser en tydligare vägledning rörande vilken forskning som är av allmänt

 

intresse. Datainspektionen avstyrker förslaget. Inspektionen anser att den

 

första meningen i den föreslagna lagtexten enbart innebär ett återgivande

 

av vad som redan framgår av dataskyddsförordningen. När det gäller den

 

föreslagna andra meningen anför Datainspektionen att friheten att forska

 

inte är en fråga som rör dataskydd samt att någon uppgift att forska inte

 

ges i den aktuella bestämmelsen. Inspektionen kan därmed inte se att den

 

föreslagna regleringen tillför något materiellt.

 

Regeringen delar Datainspektionens uppfattning att den första meningen

 

i den föreslagna paragrafen endast innebär ett återgivande av vad som re-

 

dan framgår av dataskyddsförordningen.

 

När det gäller den föreslagna andra meningen i lagtexten att forskning

 

av allmänt intresse får utföras av statliga myndigheter, kommuner och

 

landsting, andra juridiska personer och enskilda näringsidkare anför Data-

 

inspektionen att denna bestämmelse inte innebär att en uppgift att forska

 

ges. När det gäller denna bestämmelse anser regeringen att en jämförelse

 

kan, såvitt gäller privata forskningsutförare, göras med regleringen av per-

 

sonuppgiftsbehandling i enskilda arkiv i dataskyddslagen (2 kap. 3 § första

 

stycket). Den regleringen innebär bl.a. att regeringen eller den myndighet

 

som regeringen bestämmer ska få meddela föreskrifter om att personupp-

 

giftsansvariga som inte omfattas av föreskrifter om arkiv får behandla per-

 

sonuppgifter för arkivändamål av allmänt intresse. Regeringen har i förar-

 

betena till den bestämmelsen tagit ställning för att en föreskrift som tillåter

 

en personuppgiftsansvarig att behandla personuppgifter för arkivändamål

 

av allmänt intresse ger det stöd i den svenska rättsordningen som krävs

 

enligt artikel 6.3 (prop. 2017/18:105 s. 113). Regleringen avseende en-

 

skilda arkiv har dock en helt annan detaljeringsgrad än det förslag som

 

Forskningsdatautredningen har lämnat beträffande privata forskningsutfö-

 

rare. I propositionen Ny dataskyddslag anges att en föreskrift som tillåter

 

att t.ex. en förening behandlar personuppgifter för arkivändamål av all-

 

mänt intresse i sig innebär att föreningen erkänns ha befogenhet att bedriva

 

arkivverksamhet av allmänt intresse. Det anges vidare att regeringen har

 

för avsikt att delegera föreskriftsrätten i dataskyddslagen till Riksarkivet,

 

eftersom det är den myndighet som har bäst förutsättningar att bedöma

 

vilka kriterier som ska vara uppfyllda för att en arkivverksamhet ska anses

 

vara av allmänt intresse i dataskyddsförordningens mening. Riksarkivet

 

bör enligt regeringen dock ha en skyldighet att höra Datainspektionen

 

innan föreskrifter meddelas. Vidare bör Riksarkivet vid behov inhämta

 

synpunkter från den enskilda arkivsektorn i allmänhet och de berörda

 

personuppgiftsansvariga i synnerhet. Med anledning av Riksarkivets

 

önskemål om förtydligande av vad föreskrifterna i praktiken ska reglera

 

har regeringen angett att föreskrifterna skulle kunna innehålla generella

 

bestämmelser som bör gälla för all arkivverksamhet av allmänt intresse

 

som inte omfattas av arkivlagstiftningen, i linje med vad som anges i skäl

52

158, samt att de berörda personuppgiftsansvariga skulle kunna anges i en

bilaga till föreskrifterna, med angivande av den verksamhet som bedöms vara av allmänt intresse. I förekommande fall kan begränsningar avseende de generella bestämmelserna eller särskilda villkor för tillämpningen anges. I propositionen anges vidare att det är tänkbart att det kan uppstå enstaka situationer där föreskriftsformen inte är lämplig, men där det ändå finns skäl att tillåta behandling av personuppgifter för arkivändamål av allmänt intresse. Det har därför införts bestämmelser i dataskyddslagen som innebär dels att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla personuppgifter för arkivändamål av allmänt intresse, dels att den myndighet som regeringen bestämmer även i enskilda fall får besluta att sådana personuppgifts- ansvariga får behandla personuppgifter för arkivändamål av allmänt intresse. Ett sådant beslut får förenas med villkor (2 kap. 3 § dataskydds- lagen). Regeringen konstaterar vidare att en översyn av arkivväsendet inletts. En särskild utredare har fått i uppdrag att bl.a. analysera om regleringen för de enskilda arkiven bör förändras för att kunna tillgodose behov inom rättsskipning, förvaltning, forskning och skydd för kulturarvet. Utredaren ska även utreda om de enskilda arkivens hantering av personuppgifter kräver ytterligare författningsstöd samt analysera Riks- arkivets och övriga arkivmyndigheters roll och uppgifter i relation till de enskilda arkiven och vid behov lämna förslag på hur dessa kan förändras (dir. 2017:106). Regeringen framhåller därför i propositionen Ny data- skyddslag att den ordning som föreslås i det lagstiftningsärendet avseende enskildas behandling av personuppgifter för arkivändamål av allmänt in- tresse kan komma att bli en övergångslösning.

För att uppgiften att forska ska anses fastställd för privata forskningsut- förare på motsvarande sätt som för enskilda arkiv krävs alltså att det på något av de sätt som anges i 2 kap. 2 § dataskyddslagen, dvs. i lag eller annan författning, i kollektivavtal eller i beslut som har meddelats med stöd av lag eller annan författning, fastställs vilka privata forsknings- utförare som har i uppgift att forska. Först då kan de utföra sådan personuppgiftsbehandling som är nödvändig för den i den nationella rätten fastställda forskningsuppgiften med stöd av artikel 6.1 e i dataskydds- förordningen.

Vid en jämförelse mellan den detaljerade reglering som föreslås för en- skilda arkiv och den reglering som Forskningsdatautredningen föreslår för bl.a. privata forskningsutförare anser regeringen att Forskningsdatautred- ningens förslag inte uppfyller de krav som anges i EU-förordningen för att det ska vara fråga om en i nationell rätt fastställd uppgift. Vid övervägan- den om privata forskningsutförares forskningsuppgift ska fastställas i t.ex. föreskrifter eller beslut anser regeringen vidare att hänsyn måste tas till att även privat finansierad forskning måste omfattas av forskningens frihet. Regeringen anser vidare att en uppdelning i ”forskning” och ”forskning av allmänt intresse” är olycklig utifrån principerna om forskningens frihet och att en sådan uppdelning skapar en mängd frågor. Som nämnts i avsnitt

7.1.2är enligt regeringen presumtionen att forskning är av allmänt intresse. Detta är centralt utifrån principerna om forskningens frihet. En presumtion kan dock brytas. De fall då staten har ansett sig behöva reglera forskning är då frågan uppstår om forskningen är etiskt försvarbar eller inte. Det är en fråga som har ansetts vara så viktigt att den både är föremål

Prop. 2017/18:298

53

Prop. 2017/18:298 för internationella överenskommelser och lagstiftning. Enligt gällande rätt får vissa typer av forskning som avser människor inte utföras om tillstånd

 

inte har meddelats enligt lagen (2003:460) om etikprövning av forskning

 

som avser människor (etikprövningslagen). Detta gäller bl.a. om forsk-

 

ningen innefattar behandling av känsliga personuppgifter eller person-

 

uppgifter om lagöverträdelser m.m. (se vidare avsnitt 10 och 11) och

 

oavsett om forskningsutföraren är en statlig myndighet eller en fysisk eller

 

juridisk person (3 och 6 §§ etikprövningslagen). Av sista stycket i 6 § etik-

 

prövningslagen framgår även att ett godkännande enligt den lagen inte

 

medför att forskningen får utföras om den strider mot någon annan författ-

 

ning. Det kan alltså vara så att det för ett forskningsprojekt inte alltid är

 

tillräckligt med ett beslut om godkännande enligt etikprövningslagen utan

 

det kan även krävas tillstånd av myndigheter enligt andra författningar,

 

exempelvis krävs tillstånd av Läkemedelsverket vid kliniska läkemedels-

 

prövningar.

 

I förarbetena till etikprövningslagen har regeringen som utgångspunkt

 

för den prövning som ska ske vid en etikprövning av forskning bl.a. angivit

 

att som ett allmänt krav på forskning där människor ska ingå, bör gälla att

 

forskningen ska kunna innebära teoretisk och/eller praktisk nytta för sam-

 

hället och mänskligheten i stort, se propositionen Etikprövning av forsk-

 

ning (prop. 2002/03:50 s. 98.). I etikprövningslagen anges bl.a. att

 

mänskliga rättigheter och grundläggande friheter alltid ska beaktas vid

 

etikprövningen samtidigt som hänsyn skall tas till intresset av att ny

 

kunskap kan utvecklas genom forskning samt att människors välfärd ska

 

ges företräde framför samhällets och vetenskapens behov (8 §). I 9 § anges

 

att forskning får godkännas bara om de risker som den kan medföra för

 

forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av

 

dess vetenskapliga värde. Ett beslut om godkännande av ett forsknings-

 

projekt enligt etikprövningslagen innebär således att forskningen bedömts

 

kunna vara till nytta för samhället. Ett forskningsprojekt som godkänts

 

enligt etikprövningslagen får därmed anses vara en uppgift av allmänt

 

intresse. Till skillnad från Datainspektionen, Lunds universitet, Stock-

 

holms universitet och Regionala etikprövningsnämnderna i Lund, Uppsala

 

och Umeå anser därför regeringen att ett beslut enligt etikprövningslagen

 

och eventuellt andra tillämpliga författningar ger en sådan grund för

 

behandlingen som är fastställd i enlighet med nationell rätt enligt artikel

 

6.3 i dataskyddsförordningen. Enligt den artikeln ska unionsrätten eller

 

medlemsstaternas nationella rätt uppfylla ett mål av allmänt intresse och

 

vara proportionell mot det legitima mål som eftersträvas. Som nämnts

 

tidigare får enligt 2 kap. 2 § 1 dataskyddslagen personuppgifter behandlas

 

med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är

 

nödvändig för att utföra en uppgift av allmänt intresse som följer av lag

 

eller annan författning, av kollektivavtal eller av beslut som har meddelats

 

med stöd av lag eller annan författning. Detta innebär att en privat forsk-

 

ningsutförare som avser att bedriva forskning som kräver tillstånd av en

 

eller flera myndigheter och som har fått de tillstånd som krävs för ett

 

forskningsprojekt kan åberopa den rättsliga grunden uppgift av allmänt

 

intresse för den personuppgiftsbehandling som är nödvändig för projektet.

 

Detta gäller på motsvarande sätt även för offentliga forskningsutförare,

 

men som redovisats ovan har dessa i regel möjlighet att åberopa den

54

rättsliga grunden uppgift av allmänt intresse mot bakgrund av en i nationell

rätt fastställd uppgift att forska. Som framgått av avsnitt 7.1.2 kan en behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten ske med stöd av en rättslig grund som är allmänt hållen medan ett mer kännbart intrång kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart. Enligt regeringen innebär detta att forskning som inte innefattar känsliga personuppgifter eller personuppgifter som avser lagöverträdelser m.m. kan baseras på en mer allmänt hållen rättslig grund, t.ex. den rättsliga grund som anges i högskolelagen.

Flera remissinstanser påtalar med anledning av bedömningarna i det re- mitterade utkastet till lagrådsremiss att de ställt sig positiva till utredning- ens förslag och framhåller vikten av att även privata forskningsutförare kan använda den rättsliga grunden uppgift av allmänt intresse liksom att samarbete mellan olika forskningsaktörer kan hämmas om de inte kan an- vända samma rättsliga grund. Regeringen anser också att det vore en fördel om även privata forskningsutförare skulle kunna åberopa den rättsliga grunden utförande av en allmän uppgift i de fall det är fråga om behandling av andra personuppgifter än känsliga personuppgifter och uppgifter om lagöverträdelser m.m. Det skulle dock beträffande andra privata forsk- ningsutförare än Chalmers och Högskolan i Jönköping (se nedan) kräva en omfattande reglering av privata forskningsutförare som det för närvarande saknas beredningsunderlag för. Privata forskningsutförare har vidare, som framgått av avsnitt 7.2.1, stora möjligheter att bedriva forskning med sam- tycke. De har även stora möjligheter att bedriva forskning efter en intresse- avvägning, vilket utvecklas i nästa avsnitt. Regeringen delar därför Forsk- ningsrådets för hälsa, arbetsliv och välfärd (Forte) uppfattning att för- slagen i propositionen väl tillgodoser forskningens intressen av att kunna använda personuppgifter, och att den typ av forskning som Forte bidrar till kommer att kunna fortsätta bedrivas utan hinder om forskningsutföraren följer de krav på hantering och skyddsåtgärder som det nya regelverket föreskriver. Regeringen bedömer att detsamma gäller även annan forsk- ning än sådan som Forte ger bidrag till.

När det gäller Chalmers Tekniska Högskola och även Högskolan i Jön- köping kan konstateras att dessa tidigare var statliga högskolor. De drivs dock numera i stiftelseform. I propositionen om högskolor i stiftelseform

mångfald för kvalitet (prop. 1992/93:231) föreslog regeringen att dessa två statliga högskolor skulle överföras i stiftelseform. Regeringen föreslog att riksdagen skulle bemyndiga regeringen att genomföra en sådan över- föring och tillskjuta nödvändigt kapital. Det föreslogs att ombildningen skulle gå till så att en stiftelse skulle bildas för var och en av högskolorna. Stiftelsen skulle bli huvudman för den förändrade högskolan och ytterst ansvarig för dess verksamhet. Med respektive stiftelse som ensam ägare skulle dessutom inrättas dels ett högskolebolag i vilket verksamheten vid högskolan skulle bedrivas, dels ett fastighetsbolag för förvaltning av högskolans fastigheter. I stiftelseförordnandet skulle ändamålet med stif- telsen anges och ett led i det var därvid att stiftelsen såsom ensam ägare till det särskilda högskolebolaget skulle verka för att det vid högskolan i fråga bedrivs utbildning och forskning på en hög internationell nivå. Riksdagen godkände förslaget och godkände därvid också principer som angavs i propositionen för ett ramavtal som skulle träffas mellan staten och

Prop. 2017/18:298

55

Prop. 2017/18:298 respektive stiftelse och högskolebolag för att reglera de långsiktiga rela- tionerna mellan parterna (prop. 1992/93:231, bet. 1992/93:UbU18, rskr. 1992/93:405). I september 1993 beslutade regeringen därefter att överföra Chalmers Tekniska Högskola och Högskolan i Jönköping till stiftelseform. När stiftelser och högskolebolag bildats träffades sådana ramavtal om ombildning avseende Chalmers Tekniska högskola och Högskolan i Jön- köping den 1 juli 1994. Som bilaga till dessa avtal finns ett långsiktigt ramavtal mellan parterna om utbildning och forskning med en underbilaga där statens utbildnings- och forskningsuppdrag till respektive högskola närmare preciseras. I underavtalet anges den ersättning staten ska betala högskolan för den utbildning och forskning som högskolan ska bedriva. Underavtalen om utbildnings- och forskningsuppdrag sluts för de plane- ringsperioder som gäller för de statliga universiteten och högskolorna. Det förnyas årligen efter godkännande av regeringen. De två stiftelsehög- skolorna ska också genom en reglering i offentlighets- och sekretesslagen (2009:400), förkortad OSL, tillämpa vad som föreskrivs i tryck- frihetsförordningen om rätt att ta del av handlingar hos myndighet och stiftelserna ska också vid tillämpningen av OSL jämställas med myn- digheter (2 kap. 4 § OSL och bilagan till lagen). I propositionen Ny dataskyddslag framhåller regeringen att gemensamt för de privata organ som enligt OSL omfattas av offentlighetsprincipen är att de antingen anförtrotts förvaltningsuppgifter som rör myndighetsutövning eller att or- ganets verksamhet helt eller delvis finansieras med allmänna medel och att detta enligt regeringens mening innebär att t.ex. Stiftelsen Svenska Filminstitutet och andra organ, vars handlingar omfattas av handlingsof- fentlighet, i motsvarande utsträckning måste anses utföra uppgifter av all- mänt intresse i den mening som avses i dataskyddsförordningen (prop. 2017/18:105 s. 59). Detta gäller enligt regeringens uppfattning även för Chalmers Tekniska Högskola och Högskolan i Jönköping. De beslut om godkännande av avtalen varigenom statens utbildnings- och forsknings- uppdrag till Chalmers Tekniska Högskola och Högskolan i Jönköping pre- ciseras har fattats av regeringen efter bemyndigande av riksdagen med stöd i regeringsformen. Enligt regeringens uppfattning utgör därmed Chalmers Tekniska Högskolas och Högskolans i Jönköping forskningsverksamhet en uppgift av allmänt intresse som är fastställd i enlighet med nationell rätt.

7.2.3Intresseavvägning

Regeringens bedömning: Offentliga forskningsutförare kan inte till- lämpa den rättsliga grunden intresseavvägning i artikel 6.1 f i data- skyddsförordningen som grund för sin personuppgiftsbehandling.

Privaträttsliga forskningsutförare kan tillämpa intresseavvägning som grund för nödvändig personuppgiftsbehandling i forskningen. Det ska i varje enskilt fall göras en avvägning mellan den personuppgifts- ansvariges eller en tredje mans berättigade intresse av att utföra person- uppgiftsbehandlingen och den registrerades intressen och grundläg- gande rättigheter och friheter.

56

Utredningens bedömning överensstämmer i sak med regeringens be- Prop. 2017/18:298 dömning. Utredningen redogjorde i text för sina bedömningar när det

gäller offentligrättsliga respektive privaträttsliga forskningsutförares möjlighet att åberopa den rättsliga grunden intresseavvägning men formulerade inte detta i en särskild bedömningsruta.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt om den rätts- liga grunden intresseavvägning.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt om den rättsliga grunden intresseavvägning.

Skälen för regeringens bedömning

Offentligrättsliga forskningsutförare

Som nämnts gäller enligt artikel 6.1 andra stycket i dataskyddsförord- ningen inte den rättsliga grunden intresseavvägning för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Detta moti- veras i skäl 47 med att då det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas be- handling av personuppgifter bör denna rättsliga grund inte gälla för den behandling som de utför som ett led i fullgörandet av dessa uppgifter. När det i bestämmelsen talas om att den inte ska gälla när offentliga myndig- heter fullgör sina uppgifter gäller det enligt regeringens uppfattning vid fullgörandet av alla uppgifter en myndighet har, såväl sådana som innefat- tar myndighetsutövning som övriga uppgifter av t.ex. mer förvaltningska- raktär. Den rättsliga grunden intresseavvägning är alltså inte tillämplig när offentligrättsliga forskningsutförare fullgör en uppgift att bedriva forsk- ning.

Privaträttsliga forskningsutförare

Till skillnad från vad som gäller för de offentligrättsliga forskningsutfö- rarna är det möjligt för privaträttsliga forskningsutförare att stödja sin per- sonuppgiftsbehandling på den rättsliga grunden intresseavvägning. Som nämnts tidigare har Artikel 29-gruppen, när det gäller dataskyddsdirekti- vet, uttalat att intresset måste vara tillräckligt tydligt angett för att kunna vägas mot den registrerades intressen och grundläggande rättigheter. Intressets art kan variera. Vissa intressen kan vara tvingande och gynna samhället i stort, t.ex. intresset av att genomföra vetenskaplig forskning. Bland de vanligaste sammanhang där frågan om berättigat intresse i den mening som avses i artikel 7 i dataskyddsdirektivet kan uppstå nämner Artikel 29-gruppen behandling för historiska, vetenskapliga eller statis- tiska ändamål och behandling för forskningsändamål (Yttrande 6/2014 om begreppet den registeransvariges berättigade intressen i artikel 7 i direktiv 95/46/EG). Eftersom artikel 6.1 f i dataskyddsförordningen motsvarar ar- tikel 7 f i dataskyddsdirektivet bör vägledning kunna sökas i detta yttrande även när det gäller tillämpningen av artikel 6.1 f. Som nämnts i föregående avsnitt bedömer också regeringen att presumtionen är att forskning är en uppgift av allmänt intresse och att presumtionen därmed är att det är fråga om ett berättigat intresse.

57

Prop. 2017/18:298 I föregående avsnitt gör regeringen bedömningen att en privaträttslig forskningsutförares forskningsuppgift är fastställd i enlighet med nationell rätt, om det krävs tillstånd för forskningsprojektet av en eller flera myn- digheter och forskningsutföraren har fått de tillstånd som krävs, och att den rättsliga grunden uppgift av allmänt intresse är tillämplig i ett sådant fall. Det är således bara när det är fråga om forskningsprojekt som inte involverar känsliga personuppgifter eller personuppgifter som avser lag- överträdelser m.m. som en privat forskningsutförare behöver åberopa andra rättsliga grunder, t.ex. samtycke eller intresseavvägning.

Då presumtionen är att forskning är ett berättigat intresse bedömer rege- ringen att det finns stora möjligheter att behandla personuppgifter för forskningsändamål efter en intresseavvägning, särskilt då en sådan avväg- ning normalt bara blir aktuell för mindre känsliga uppgifter. En presumtion kan dock brytas och omständigheterna i ett enskilt fall kan vara sådana att en intresseavvägning enligt 6.1 f inte utfaller till den planerade forsk- ningens förmån.

7.3Det behövs inte någon upplysningsbestäm- melse i nationell rätt om artikel 6.1

Regeringens bedömning: Det behövs inte någon bestämmelse i natio- nell rätt som upplyser om att personuppgifter bara får behandlas om minst ett av de villkor som anges i artikel 6.1 är uppfyllt.

Utredningens bedömning överensstämmer inte med regeringens be- dömning. Utredningen har föreslagit att en ny lag, forskningsdatalagen, ska innehålla en bestämmelse som upplyser om att det av dataskydds- förordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i dataskyddsförordningen är upp- fyllt.

Remissinstanserna: Majoriteten av remissinstanserna har tillstyrkt eller inte haft något att invända mot förslaget. Uppsala universitet anför att hän- visningen till artikel 6.1, där villkoren för att personuppgiftsbehandling ska vara laglig anges, ger intrycket av att det finns annan personuppgifts- behandling för forskningsändamål än de som omfattas av artikel 6.1. Av- sikten förefaller dock enligt universitetet inte vara att avgränsa personupp- giftbehandlingen för forskningsändamål enligt 6.1 i förhållande till annan behandling, på en annan rättslig grund, utan avgränsningen synes istället ligga i begreppet ”för forskningsändamål”, sådan behandling som omfattas av undantagen i artikel 89 dataskyddsförordningen. Hänvisningen till arti- kel 6.1 verkar därför enligt universitetet vara överflödig och bör utgå.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt om be- dömningen.

Skälen för regeringens bedömning: Utredningen har föreslagit att en ny lag, forskningsdatalagen, bl.a. ska innehålla en bestämmelse som upp- lyser om att det av dataskyddsförordningen framgår att personuppgifter får

58

behandlas endast om minst ett av de villkor som anges i artikel 6.1 i för- Prop. 2017/18:298 ordningen är uppfyllt. Utredningen har ansett att en sådan inledande upp- lysningsbestämmelse behövs för förståelsen av den av utredningen före-

slagna bestämmelsen om att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare (6 § förslaget till forskningsdatalag).

Som närmare har utvecklats i avsnitt 7.2.2 anser regeringen att den av utredningen föreslagna 6 § inte bör genomföras. Något behov av en upp- lysningsbestämmelse för förståelse av en sådan bestämmelse om faststäl- lande av den rättsliga grunden finns då inte heller. En sådan bestämmelse bör därför inte införas.

8Principer som måste följas vid behandling av personuppgifter för forskningsändamål

8.1Grundläggande principer för personuppgiftsbehandling

Förutom att minst en rättslig grund måste vara tillämplig för att en behand- ling av personuppgifter ska vara laglig, finns det ett antal principer som ska tillämpas vid all behandling av personuppgifter. Dessa principer är i stort sett desamma enligt dataskyddsförordningen som enligt dataskydds- direktivet. Det är den personuppgiftsansvarige som ansvarar för och ska kunna visa att principerna efterlevs. Principerna framgår av artikel 5 i data- skyddsförordningen.

Dessa principer innebär för det första att uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglig- het, korrekthet och öppenhet, artikel 5.1 a).

Uppgifterna ska vidare samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska emellertid inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning, artikel 5.1 b).

Uppgifterna ska också vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering, artikel 5.1 c).

Uppgifterna ska dessutom vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet, artikel 5.1 d).

Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för ar-

59

Prop. 2017/18:298 kivändamål av allmänt intresse, vetenskapliga eller historiska forsknings- ändamål eller statistiska ändamål i enlighet med artikel 89.1, under förut- sättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registre- rades rättigheter och friheter (lagringsminimering, artikel 5.1 e).

Slutligen ska uppgifterna behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otil- låten behandling och mot förlust, förstöring eller skada genom olyckshän- delse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet, artikel 5.1 f).

När det gäller behandling som avser särskilda kategorier av personupp- gifter (känsliga personuppgifter) eller personuppgifter som rör lagöverträ- delser anges ytterligare villkor i artiklarna 9 och 10. Detta utvecklas när- mare avsnitt 10 och 11.

8.2När och hur kan redan insamlade uppgifter behandlas ytterligare för forskningsändamål?

Det är vanligt att personuppgifter som behandlas för forskningsändamål ursprungligen har samlats in för ett annat ändamål än forskning.

Huvudregeln är som nämnts att personuppgifter ska samlas in för sär- skilda, uttryckligt angivna och berättigade ändamål och inte senare be- handlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare be- handling för bl.a. vetenskapliga eller historiska forskningsändamål i enlig- het med artikel 89.1 ska dock inte anses vara oförenlig med de ursprung- liga ändamålen (artikel 5.1 b i dataskyddsförordningen, forskningsundan- taget). I artikel 89.1 anges att behandling för bl.a. vetenskapliga eller historiska forskningsändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med dataskyddsförordningen för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminime- ring iakttas. Dessa åtgärder får inbegripa pseudonymisering (se vidare avsnitt 9), under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidarebehandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet. Bestämmelserna i artikel 5.1 b och artikel 89.1 hade en motsvarighet i artikel 6.1 b och c i dataskyddsdi- rektivet och 9 § första stycket c–f och andra stycket PUL, även om bestäm- melserna i artikel 89.1 är lite mer detaljerade. I dataskyddsförordningen används begreppet ”ytterligare behandling”, i stället för begreppet ”vida- rebehandling” som ofta använts i sammanhanget. Ytterligare behandling av personuppgifter för forskningsändamål är alltså särskilt gynnad såväl i dataskyddsförordningen som enligt dataskyddsdirektivet och PUL.

60

Tidigare gällde emellertid att även om det nya ändamålet var förenligt med det ursprungliga måste den nya behandlingen alltid vara tillåten enligt någon av de rättsliga grunderna i 10 § PUL. Av dataskyddsförordningen framgår däremot att det inte krävs någon ny rättslig grund för tillåten ytter- ligare behandling av personuppgifter av samma personuppgiftsansvarig. I skäl 50 till förordningen förtydligas detta på så sätt att det anges att

behandling av personuppgifter för andra ändamål än de för vilka de Prop. 2017/18:298 ursprungligen samlades in endast bör vara tillåten när detta är förenligt

med de ändamål för vilka personuppgifterna ursprungligen samlades in samt att det i dessa fall inte krävs någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om be- handlingen är nödvändig för att fullgöra bl.a. en uppgift av allmänt intresse kan unionsrätten eller medlemsstaternas nationella rätt fastställa och när- mare ange för vilka uppgifter och syften ytterligare behandling bör betrak- tas som förenlig och laglig. Ytterligare behandling för bl.a. vetenskapliga eller historiska forskningsändamål bör betraktas som förenlig och laglig behandling av uppgifter.

Dataskyddsförordningens bestämmelser innebär alltså att en personupp- giftsansvarig får utföra ytterligare behandling av personuppgifter för forskningsändamål utan att någon ny rättslig grund måste åberopas. Det räcker att den ursprungliga insamlingen utfördes med åberopande av en rättslig grund enligt artikel 6.1. Detta innebär att en forskningsutförare får behandla personuppgifter som denne redan samlat in vid ett tillfälle och för ett visst ändamål för ytterligare forskningsändamål utan krav på ny rättslig grund. När uppgifter samlats in för forskningsändamål med stöd av den rättsliga grunden samtycke har dock även omfattningen av det sam- tycke den registrerade har lämnat betydelse för att avgöra vilken ytterligare behandling som kan vara möjlig.

Även i samband med utlämnande av personuppgifter till annan person- uppgiftsansvarig för behandling för forskningsändamål är den nya behand- lingen, dvs. utlämnandet, att anse som förenlig med ändamålet för den ursprungliga behandlingen. Att ta emot personuppgifter utgör däremot inte en ytterligare behandling utan en insamling av personuppgifter. Den per- sonuppgiftsansvarige som tar emot uppgifterna måste således, för att in- samlingen av personuppgifter ska vara laglig, ha en rättslig grund för sin behandling för forskningsändamål. Detta innebär att forskningsutförare som samlar in personuppgifter för forskningsändamål alltid, oavsett för vilka ändamål uppgifterna tidigare har behandlats av andra personuppgift- sansvariga, måste kunna åberopa en rättslig grund enligt artikel 6.1 för sin behandling.

Vinnova och IFAU anser att möjligheten att ytterligare behandla person- uppgifter som inhämtats med samtycke bör regleras. Dataskyddsförord- ningen är direkt tillämplig i medlemsstaterna. Förordningen ger inte något utrymme för att i nationell rätt reglera ytterligare behandling av per- sonuppgifter som samlats in med samtycke. Det är därför inte möjligt att särskilt reglera denna fråga.

Vid ytterligare behandling av personuppgifter för forskningsändamål måste de allmänna principerna enligt artikel 5.1 också alltid följas för att behandlingen ska vara tillåten. Om det är aktuellt att behandla känsliga personuppgifter eller personuppgifter om lagöverträdelser måste de sär- skilda krav som förordningen ställer avseende sådan behandling alltid vara uppfyllda (se avsnitt 10 och 11). Vid all behandling av personuppgifter för forskningsändamål aktualiseras också artikel 89, där villkoren avseende lämpliga skyddsåtgärder för behandlingen i artikel 89.1 är särskilt centrala i sammanhanget. Detta behandlas i avsnitt 9.

61

Prop. 2017/18:298 9

Det behövs kompletterande nationella

 

bestämmelser om skyddsåtgärder som

 

ska gälla vid all behandling av

 

personuppgifter för forskningsändamål

9.1Vilka krav på skyddsåtgärder ställs i data- skyddsförordningen?

Bestämmelser som uttryckligen föreskriver vissa åtgärder till skydd för den registrerade i samband med personuppgiftsbehandling för forsknings- ändamål har tidigare införts i svensk rätt med stöd av dataskyddsdirektivet. Vid en jämförelse ställer dataskyddsförordningen mer detaljerade krav på vilka åtgärder som ska beaktas och hur riskbedömningen ska göras. Utöver detta ställer dataskyddsförordningen specifika krav på skyddsåtgärder för all personuppgiftsbehandling för forskningsändamål. Dessa krav har inte haft någon direkt motsvarighet i dataskyddsdirektivet eller PUL.

En av dataskyddsförordningens grundläggande principer för personupp- giftsbehandling, principen om integritet och konfidentialitet, anger att den personuppgiftsansvarige ansvarar för att personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med använd- ning av lämpliga tekniska eller organisatoriska åtgärder (artikel 5.1 f). Till den allmänna regleringen hör även skyldigheter för den personuppgifts- ansvarige att genomföra lämpliga tekniska och organisatoriska åtgärder för att kunna säkerställa och visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24). Artikel 25 (inbyggt dataskydd och dataskydd som standard) ålägger den personuppgiftsansvarige bl.a. att in- tegrera nödvändiga skyddsåtgärder i behandlingen. Av artikel 32, som in- nehåller krav på den personuppgiftsansvarige och personuppgiftsbiträdet, framgår att dessa ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken i samband med personuppgiftsbehandlingen. Artikeln anger särskilt ett an- tal åtgärder och utgångspunkter för bedömningen av lämplig säkerhets- nivå. Godkända uppförandekoder eller godkända certifieringsmekanismer kan enligt artiklarna 24 och 32 användas för att visa att den personupp- giftsansvarige fullgör sina skyldigheter. På motsvarande sätt kan enligt ar- tikel 25 godkända certifieringsmekanismer användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter.

På en mer specifik nivå ställer dataskyddsförordningen krav på att all personuppgiftsbehandling för forskningsändamål ska omfattas av lämp- liga skyddsåtgärder. Dessa åtgärder ska skydda den registrerades rättig- heter och friheter, särskilt principen om uppgiftsminimering (artikel 89.1). Dataskyddsförordningen anger i sammanhanget även att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för forskningsändamål (skäl 156).

62

Begreppen skyddsåtgärder respektive tekniska och organisatoriska åt- gärder är vanligt förekommande i dataskyddsförordningen, såväl bland skälen som bland artiklarna. Varianter, såsom ”åtgärder för att säker- ställa”, ”tekniska och organisatoriska skyddsåtgärder” eller ”tekniska och

organisatoriska säkerhetsåtgärder” förekommer också, men mer sällan. Varken ”skyddsåtgärder” eller ”tekniska och organisatoriska åtgärder” de- finieras närmare i dataskyddsförordningen.

Vad ska skyddas?

Ofta anges vad själva skyddsintresset är, dvs vad åtgärderna är avsedda att skydda, i anslutning till kravet på skyddsåtgärd. Exempelvis anger arti- kel 10 i dataskyddsförordningen att skyddsåtgärderna ska vara ägnade att bevaka de registrerades rättigheter och friheter, medan artikel 35 talar om skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av själva personuppgifterna. I skäl 42 nämns, i samband med inhämtande av samtycke, skyddsåtgärder som säkerställer att de registrerade förstår att samtycke ges. Det vanligaste skyddsintresset torde dock vara just den registrerades rättigheter och friheter så som de framgår av dataskydds- förordningen.

Av artikel 89.1, som är central vid all personuppgiftsbehandling för forskningsändamål, framgår att lämpliga skyddsåtgärder ska skydda den registrerades rättigheter och friheter, särskilt avseende principen om upp- giftsminimering (artikel 5.1 c).

Vilka exempel på skyddsåtgärder anges i dataskyddsförordningen?

Dataskyddsförordningen anger sällan att vissa specifika skyddsåtgärder ska vidtas. I några sammanhang används termerna ”skyddsåtgärder”, ”tek- niska och organisatoriska åtgärder” eller liknande tillsammans med en exemplifierande uppräkning. För behandling av känsliga personuppgifter för bl.a. hälso- och sjukvårdsändamål anges tystnadsplikt uttryckligen som en skyddsåtgärd (artikel 9.2 h och 9.3).

I samband med fastställande av om behandling för andra ändamål är förenlig med ursprungsändamålet anges att förekomster av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering, ska beaktas (artikel 6.4 e).

Förordningen lyfter i flera fall särskilt fram pseudonymisering som en skyddsåtgärd. I artikel 32 anges att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säker- hetsnivå som är lämplig i förhållande till risken och anger bl.a. pseudony- misering och kryptering som sådana slags åtgärder i de fall det är lämpligt. Av artikel 89.1 framgår att lämpliga skyddsåtgärder får inbegripa pseudo- nymisering under förutsättning att forskningsändamålet kan uppfyllas på det sättet. Även skäl 28, 29 och 156 lyfter fram pseudonymisering som exempel på skyddsåtgärd.

I skäl 78 anges ett antal övriga skyddsåtgärder som främst är organisa- toriska till sin natur. Sådana åtgärder kan bland annat bestå av att uppgifts- behandlingen minimeras, att öppenhet om personuppgifternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgifts- behandlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhetsanordningar.

Utöver sådana skyddsåtgärder som nämns direkt i förordningen finns i svensk rätt andra former av skyddsåtgärder, exempelvis sökbegränsningar och sekretessbestämmelser.

Prop. 2017/18:298

63

Prop. 2017/18:298

64

Vad innebär pseudonymisering?

Som nämnts ovan återkommer pseudonymisering på flera ställen i data- skyddsförordningen som exempel på en skyddsåtgärd. I artikel 4.5 defi- nieras pseudonymisering enligt följande:

Behandling av personuppgifter på ett sätt som innebär att personuppgif- terna inte längre kan tillskrivas en specifik registrerad utan att komplet- terande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisato- riska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.

För att en åtgärd ska utgöra pseudonymisering krävs alltså kompletterande uppgifter som förvaras separat. Dataskyddsförordningens definition anger dock inte hur pseudonymisering ska utformas. Detta kan göras på i huvud- sak två sätt, antingen baserat på identifierande uppgifter eller utifrån helt fristående värden i form av ett kodnyckelförfarande.

I många fall, särskilt vid forskningsstudier som pågår under många år där det finns ett behov av att komplettera uppgifterna vid senare tillfällen, är det önskvärt att pseudonymen kan härledas från de ursprungliga uppgif- terna. Ett enkelt exempel kan vara att skapa en pseudonym från ett person- nummer genom att med en s.k. säker hashfunktion beräkna en hashsumma på personnumret. En säker (eller kryptografisk) hashfunktion är en algoritm som används för att deterministiskt transformera godtyckligt invärde till ett utvärde (hashsumma) på så sätt att det är mycket svårt att finna vilket invärde som gett upphov till hashsumman. Från hashsumman kan man inte direkt återskapa personnumret, men när man behöver tillföra nya personnummersatta data till det pseudonymiserade datasetet är det lätt att återupprepa pseudonymiseringsprocessen och erhålla samma pseudonymer från samma personuppgifter, under förutsättning att personnumret inte ändrats för en enskild individ.

Kodnyckelförfaranden är en form av pseudonymisering där det inte finns något samband mellan de identifierande uppgifterna och pseudony- men. I stället väljs varje pseudonym som ett slumpvärde eller liknande. Kopplingen mellan de identifierande uppgifterna och pseudonymen sparas i en förteckning (kodnyckel). För att översätta mellan identifierande upp- gifter och pseudonymer behövs denna kodnyckel. Ett dataset där sådan kodning har tillämpats kommer att utgöra personuppgifter.

Kodnyckelförfaranden kräver att en betrodd part hanterar den kodnyckel som kopplar samman de tilldelade pseudonymerna till de direkt identifie- rande uppgifterna. Vid exempelvis forskningsstudier som pågår under lång tid kan det medföra svårigheter att bevara kodnycklar på så sätt att nya uppgifter från primärkällor kan tillföras forskningsdatan med bibehållande av samma pseudonymer.

Skillnaden mellan pseudonymer baserade på identifierande uppgifter och pseudonymer i form av kodnycklar kan beskrivas så att i det första fallet utgörs kopplingen av en funktion (algoritm), i det andra fallet av en förteckning (kodnyckel). Funktionen är inte hemlig, men förteckningen måste vara det.

9.2Skyddsåtgärder bör föreskrivas i svensk rätt

Regeringens bedömning: Bestämmelser om skyddsåtgärder vid per- sonuppgiftsbehandling för forskningsändamål kan och bör ges i författ- ningsform.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: De remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: De remissinstanser som har yttrat sig tillstyrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning: Dataskyddsförordningens krav på lämpliga skyddsåtgärder för personuppgiftsbehandling för forsknings- ändamål i artikel 89.1 är direkt tillämpliga. Utifrån dessa krav är det dock inte självklart att lämpliga skyddsåtgärder ska föreskrivas i nationell rätt. Av skäl 156 framgår dock att medlemsstaterna bör införa lämpliga skydds- åtgärder för behandlingen av personuppgifter för bl.a. forskningsändamål.

Alternativ till författningsreglering av skyddsåtgärder kan vara att be- myndiga en tillsynsmyndighet att utfärda föreskrifter eller i enskilda fall fatta beslut om villkor. Även självreglering i form av uppförandekoder, enligt artikel 40, kan vara ett sätt att se till att lämpliga skyddsåtgärder vidtas. En författningsreglering kan dock ge större tydlighet vid tillämp- ningen och säkerställa att lämpliga åtgärder vidtas i sådana situationer där det bedöms särskilt viktigt.

Det är i sammanhanget värt att understryka att vid all personuppgiftsbe- handling för forskningsändamål kräver dataskyddsförordningen att be- handlingen omfattas av lämpliga skyddsåtgärder. Det är den personupp- giftsansvariges ansvar att se till att sådana lämpliga skyddsåtgärder före- ligger. Det är därför inte tillräckligt att endast tillämpa bestämmelser i nationell rätt utan att samtidigt ta ställning till om kraven i förordningen är uppfyllda vid varje enskild behandling.

Med beaktande av dataskyddsförordningens möjligheter att i nationell rätt reglera skyddsåtgärder när personuppgifter behandlas för forsknings- ändamål är det regeringens bedömning att viss sådan reglering ska införas i författningsform. Frågan om vilken reglering som ska införas avseende all behandling av personuppgifter för forskningsändamål behandlas i avsnitt 9.3–9.7. Frågor om skyddsåtgärder som särskilt tar sikte på behand- ling av känsliga personuppgifter eller personuppgifter om lagöverträdelser för forskningsändamål behandlas i avsnitt 10 och 11.

9.3Uppgifter ska inte få användas för att vidta åtgärder i fråga om den registrerade

Regeringens förslag: Personuppgifter som enbart behandlas för forsk- ningsändamål ska få användas för att vidta åtgärder i fråga om den re-

Prop. 2017/18:298

65

Prop. 2017/18:298

66

gistrerade endast om det finns synnerliga skäl med hänsyn till den re- gistrerades vitala intressen. Något undantag för myndigheters använd- ning av personuppgifter i allmänna handlingar ska inte gälla.

Utredningens förslag överensstämmer delvis med regeringens förslag. Utredningen föreslår att personuppgifter som behandlas för forskningsän- damål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Detta ska dock inte gälla för en myndighets användning av per- sonuppgifter i allmänna handlingar.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Ett flertal lands- ting, däribland landstingen i Uppsala län, Södermanlands län, Skåne län, Västra Götalands län, Värmlands län, Örebro län, Västmanlands län, Dalarnas län och Gävleborgs län anser att förslaget är lämpligt.

Brottsförebyggande rådet (Brå) anser att formuleringen är svårläst. Svå- righeterna gäller främst att förstå hur sista meningen ska tolkas i förhål- lande till föregående mening och alltså vad ordet ”detta” syftar på. Brå anser att det är lämpligare att använda samma konstruktion som den man använder i förslaget till dataskyddslag. Sveriges lantbruksuniversitet (SLU), som påpekar att de insamlade uppgifterna vid ett lärosäte som regel är allmänna handlingar, undrar vad ordet ”detta” i den andra mening syftar på. Menas att personuppgifter från allmänna handlingar inte alls får använ- das för att vidta åtgärder i fråga om den registrerade, ens om det finns vi- tala intressen, eller är avsikten med formuleringen någon annan? Veten- skapsrådet anser att sista meningen i den föreslagna bestämmelsen, om myndigheters användning av uppgifter i allmänna handlingar, inte behövs eftersom den föreslagna lagen endast ska gälla när personuppgifter be- handlas för forskningsändamål. Utredningens förslag ska motsvara bestämmelsen i PUL. Bakgrunden till regleringen i PUL om undantaget för myndigheters användning av uppgifter i allmänna handlingar torde vara behovet av information för rättskipningen och förvaltningen dvs. möj- ligheten att använda uppgifterna för andra ändamål än forskning. Det är enligt Vetenskapsrådet uppfattning också olämpligt att ha kvar sista me- ningen i den föreslagna bestämmelsen. Detta eftersom en konsekvens som uppmärksammats av samma skrivning i PUL är att den ger forskare vid myndigheter formell möjlighet att utan hinder av användningsbegräns- ningen i PUL använda personuppgifter i forskningsmaterial som utgör all- männa handlingar för att vidta åtgärder i fråga om de registrerade. Data- inspektionen kan inte tillstyrka förslaget i den föreslagna forskningsdata- lagen, eftersom utredningen inte gjort en egen bedömning utan endast ut- gått från en bedömning som gjorts långt tidigare.

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag.

Remissinstanserna: Samtliga remissinstanser som yttrat sig tillstyrker eller har inga synpunkter på förslaget. Sveriges Kommuner och Landsting (SKL) framför särskilt att SKL delar uppfattningen att det finns vissa un- dantagssituationer på exempelvis hälso- och sjukvårdens område då upp- gifter som annars bara behandlas för forskningsändamål måste kunna an- vändas även för att vidta sådana åtgärder, t.ex. då forskningspersonens liv eller egna vitala intressen står på spel.

Skälen för regeringens förslag

Användningsbegränsning är en befintlig skyddsåtgärd vid behandling av personuppgifter för forskningsändamål

I PUL fanns en skyddsåtgärd i form av en bestämmelse som angav att per- sonuppgifter som behandlades för historiska, statistiska eller veten- skapliga ändamål bara fick användas för att vidta åtgärder i fråga om den registrerade om den registrerade hade lämnat sitt samtycke eller det fanns synnerliga skäl med hänsyn till den registrerades vitala intressen (9 § fjärde stycket PUL). Denna begränsning gällde dock inte för en myndig- hets användning av personuppgifter i allmänna handlingar (8 § andra stycket PUL).

Personuppgifter som har samlats in för forskningsändamål får inte an- vändas för andra ändamål som är oförenliga med det ursprungliga forsk- ningsändamålet. Denna ändamålsbegränsning framgår av såväl artikel 5.1 b i dataskyddsförordningen som tidigare av 9 § d PUL. Att behandla personuppgifter som insamlats för forskningsändamål för att vidta åtgärder beträffande de registrerade är som huvudregel att behandla personuppgifterna för ett nytt ändamål.

Av förarbetena till PUL framgår att ett exempel på en situation då det finns behov av att kunna använda personuppgifter för att vidta åtgärder mot de registrerade är när personuppgifter som behandlas för forsknings- ändamål behöver användas för att varna de registrerade. Det kan före- komma t.ex. när en forskare, som undersöker ett misstänkt samband mel- lan intag av en medicin och någon allvarlig sjukdom, upptäcker att det faktiskt finns ett sådant samband och därför använder registeruppgifter för att varna de registrerade som har fått sådan medicin så att de kan låta un- dersöka sig och få behandling. En sådan personuppgiftsbehandling har inte bedömts vara oförenlig med det ursprungliga forskningsändamålet. I vissa fall kan personuppgifter som behandlas för forskningsändamål även an- vändas för att vidta åtgärder beträffande de registrerade för att forsknings- projektet är upplagt så att personuppgifterna ska användas för att vidta åt- gärder rörande enskilda. Ett sådant projekt har dock enbart bedömts vara tillåtet om de registrerade har samtyckt till det (prop. 1997/98:44 s. 62 och 119). Mot denna bakgrund infördes bestämmelsen i PUL som angav att personuppgifter som behandlas för bl.a. forskningsändamål fick användas för att vidta åtgärder beträffande den registrerade bara om den registrerade hade lämnat sitt samtycke eller det fanns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Av förarbetena till PUL framgår vidare att det beträffande personupp- gifter i myndigheters arkiv finns bestämmelser om lämpliga skydds- åtgärder i form av t.ex. sekretess och skydd för arkiv, varför användnings- begränsningen bedömdes inte behöva gälla för sådana personuppgifter som finns i en myndighets arkiv. Mot bakgrund av detta infördes undanta- get i PUL som angav att begränsningen dock inte gällde för en myndighets användning av personuppgifter i allmänna handlingar. Detta undantag av- såg således främst personuppgifter som behandlades för arkivändamål, vil- ket inte helt tydligt framgick av bestämmelsens utformning (prop. 1997/98:44 s. 62 och 118).

Prop. 2017/18:298

67

Prop. 2017/18:298

68

Motsvarande skyddsåtgärd vid behandling av personuppgifter för arkiv- ändamål och statistiska ändamål föreslås i dataskyddslagen

I dataskyddslagen finns bestämmelser om användningsbegräsningar som avser personuppgifter i arkiv och statistik i 4 kap.

Enligt 1 § första stycket får personuppgifter som behandlas enbart för arkivändamål av allmänt intresse användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Bestämmelsen hindrar enligt andra stycket inte myndigheter från att använda personuppgifter som finns i allmänna handlingar. Vid tillämpningen av andra stycket ska vidare andra än myn- digheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i deras verksamhet.

Enligt 2 § får personuppgifter som behandlas enbart för statistiska ända- mål användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Av propositionen Ny dataskyddslag framgår att de nya bestämmelserna utformats för att det ska framgå tydligare än av PUL att användnings- begränsningen bara gäller personuppgifter som enbart behandlas för arkiv- ändamål av allmänt intresse respektive statistiska ändamål. Det är så bestämmelsen i PUL var avsedd att tillämpas och tillägget utgör därmed inte någon utvidgning av den personuppgiftsansvariges befogenheter. I propositionen har regeringen vidare tagit ställning för att det inte finns skäl att i de nya bestämmelserna ange att uppgifter får användas med den registrerades samtycke. Om samtycke inhämtas till att en uppgift används för nya ändamål kan behandlingen nämligen jämställas med att personuppgiften samlas in på nytt med stöd av artikel 6.1 a i dataskyddsförordningen (prop. 2017/18:105 s. 119). Någon saklig skillnad mellan de nya bestämmelserna och 9 § fjärde stycket PUL är inte avsedd, varför förarbeten och praxis avseende bestämmelsen i PUL bör kunna vara vägledande även vid tillämpningen av dataskyddslagen.

Ett undantag för myndigheters användning av uppgifter i allmänna hand- lingar gäller vid behandling av personuppgifter för arkivändamål…

Som framgår ovan gäller enligt 4 kap. 1 § andra stycket dataskyddslagen att bestämmelsen i första stycket om begränsningar av möjligheten att vidta åtgärder i fråga om den registrerade med användning av personupp- gifter som behandlas enbart för arkivändamål av allmänt intresse, inte ska hindra myndigheter och andra vars verksamhet omfattas av offentlighets- principen och sekretesslagstiftningen från att använda personuppgifter som finns i allmänna handlingar. Detta beror bl.a. på att myndigheternas arkiv enligt lag ska tillgodose behovet av information för rättsskipningen och förvaltningen m.m. Bestämmelsen innebär ingen förändring i förhål- lande till vad som gällt enligt PUL.

… men inte vid behandling av personuppgifter för statistiska ändamål

När det gäller undantag från användningsbegränsningen av personuppgif- ter som enbart behandlas för statistiska ändamål har regeringen dock gjort en annan bedömning i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 125). En allmän utgångspunkt för behandling av personuppgifter för

statistiska ändamål är att resultatet eller uppgifterna inte används till stöd Prop. 2017/18:298 för åtgärder eller beslut som avser en särskild fysisk person (skäl 162 i dataskyddsförordningen). Enligt regeringens mening står det klart att det

finns vissa undantagssituationer då uppgifter som annars bara behandlas för statistiska ändamål måste kunna användas även för att vidta sådana åtgärder, nämligen då den registrerades egna vitala intressen står på spel. I övrigt borde däremot inte heller myndigheter kunna använda uppgifterna för att vidta åtgärder i förhållande till den registrerade. Den omständig- heten att uppgifterna finns i allmänna handlingar, eftersom dessa ännu inte hunnit anonymiseras eller gallras, föranleder enligt regeringen ingen an- nan bedömning. Myndigheter undantas därför inte från använd- ningsbegränsningen i 4 kap. 2 § dataskyddslagen.

Användningsbegränsning bör även i fortsättningen vara en skyddsåtgärd vid behandling av personuppgifter för forskningsändamål

Regeringen anser att en användningsbegränsning som innebär att person- uppgifter som behandlas för vetenskapliga eller historiska forsknings- ändamål bara får användas för att vidta åtgärder i fråga om den registrerade om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen, alltjämt utgör en väl avvägd skyddsåtgärd. I likhet med vad som föreslogs i propositionen Ny dataskyddslag anser regeringen att det inte finns skäl att i den nya bestämmelsen ange att uppgifter får användas för att vidta åtgärder i fråga om den registrerade med den registrerades sam- tycke. Om samtycke inhämtas till att en uppgift används för nya ändamål kan behandlingen nämligen jämställas med att personuppgiften samlas in på nytt med stöd av artikel 6.1 a i dataskyddsförordningen.

Någon saklig skillnad mellan förslaget och 9 § fjärde stycket PUL är inte avsedd, varför förarbeten och praxis avseende bestämmelsen i PUL bör kunna vara vägledande även vid tillämpningen av den nya bestämmelsen.

Något undantag för myndigheters användning av personuppgifter i all- männa handlingar ska inte gälla.

Begränsningen i 9 § fjärde stycket PUL gällde, som framgått, inte vid myndigheters användning av uppgifter i allmänna handlingar (8 § andra stycket PUL). Undantaget motiveras i förarbetena med att det för sådana personuppgifter redan finns lämpliga skyddsåtgärder i form av bestämmel- ser om sekretess och skydd för arkiv, bl.a. mot bakgrund av att myndig- heternas arkiv enligt lag ska tillgodose behovet av information för rätts- skipningen och förvaltningen m.m.

Av dataskyddsförordningen framgår att om resultatet av vetenskaplig forskning, särskilt för hälso- och sjukvårdsändamål, ger anledning till ytterligare åtgärder i den registrerades intresse bör de allmänna reglerna i förordningen tillämpas på dessa åtgärder (skäl 159). Enligt regeringens mening står det klart att det finns vissa undantagssituationer då uppgifter som annars bara behandlas för forskningsändamål måste kunna användas även för att vidta sådana åtgärder, nämligen då den registrerades egna vitala intressen står på spel. Dessa situationer rör i huvudsak hälso- och sjukvårdsändamål i den registrerades intresse, enligt de exempel som åter-

69

Prop. 2017/18:298 givits tidigare, och då ska alltså dataskyddsförordningen och komplette- rande svensk rätt tillämpas på den personuppgiftsbehandling som sker i samband med att åtgärder vidtas mot den registrerade.

Det är regeringens uppfattning att i övrigt bör inte myndigheter kunna använda sådana personuppgifter som enbart behandlas för forsknings- ändamål för att vidta åtgärder i förhållande till den registrerade. Den om- ständigheten att uppgifterna finns i allmänna handlingar föranleder ingen annan bedömning. Forskningsmaterial utgör som huvudregel allmänna handlingar vid myndigheter och det tidigare undantaget i PUL var inte hel- ler avsett att möjliggöra för forskningsutförare som är myndigheter att fritt kunna använda personuppgifter som enbart behandlas för forskningsända- mål för att vidta åtgärder mot den registrerade. Regeringen instämmer där- med i Vetenskapsrådets invändningar och anser att myndigheter inte bör undantas från den föreslagna användningsbegränsningen. Något undantag för myndigheters användning av personuppgifter i allmänna handlingar ska därför inte gälla.

 

9.4

Det följer direkt av dataskyddsförordningen att

 

 

personuppgifter bör pseudonymiseras eller

 

 

omfattas av andra lämpliga skyddsåtgärder

 

 

 

Regeringens bedömning: Personuppgifter bör pseudonymiseras eller

 

omfattas av andra lämpliga skyddsåtgärder när de behandlas för forsk-

 

ningsändamål. Detta framgår direkt av EU:s dataskyddsförordning och

 

bör därför inte föreskrivas i svensk rätt.

 

 

 

Utredningens förslag överensstämmer inte med regeringens bedöm-

 

ning. Utredningen föreslår att en bestämmelse ska införas i den föreslagna

 

forskningsdatalagen som anger att personuppgifter ska pseudonymiseras

 

eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål

 

förutsatt att ändamålet kan uppfyllas på det viset.

 

Remissinstanserna: Ett övervägande antal av de remissinstanser som

 

har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Ett flertal

 

landsting, däribland landstingen i Uppsala län, Södermanlands län, Skåne

 

län, Västra Götalands län, Värmlands län, Örebro län, Västmanlands län,

 

Dalarnas län och Gävleborgs län anser att de av utredningen föreslagna

 

skyddsåtgärderna är lämpliga. Regionala etikprövningsnämnden i Upp-

 

sala välkomnar den föreslagna bestämmelsen om att personuppgifter så

 

långt det är möjligt bör pseudonymiseras. Kungl. Vetenskapsakademien

 

bedömer föreslaget som rimligt. Sveriges Kommuner och Landsting anser

 

att huvudregeln bör vara att personuppgifter anonymiseras eller skyddas

 

på likvärdigt sätt när de behandlas för forskningsändamål.

 

Stockholms universitet tillstyrker förslaget men noterar samtidigt att

 

uppfyllandet av detta krav kommer att kräva en infrastruktur som flertalet

 

lärosäten inte äger i dagsläget. Universitetet anser att också kostnaden för

 

anskaffning av sådan infrastruktur bör beaktas i analysen av de ekono-

 

miska konsekvenserna av utredarens förslag.

 

Kungl. Tekniska högskolan (KTH) anser att det inte tydligt framgår om

70

detta även gäller personuppgiftsbiträdens skyldigheter.

 

 

Institutet för språk och folkminnen framför att förslaget om pseudony- misering som skyddsåtgärd förefaller vara en relativt effektiv metod för att skydda personuppgifter vid forskning, eftersom tröskeln för att koppla samman en handling, innehållande forskningsuppgifter, med en specifik person höjs. Emellertid ger pseudonymiseringsåtgärder, eller övriga skyddsåtgärder enligt dataskyddslagstiftningen, inget fullgott skydd för in- dividen. De handlingar som uppstår i samband med forskning vid myndig- heter är underkastade tryckfrihetsförordningen och offentlighetsprincipen, vilken har företräde framför dataskyddslagsstiftningen. Även de nyck- lar/samordningsregister som är kopplade till de pseudonymiserade uppgif- terna blir således allmänna handlingar.

Chalmers tekniska högskola och Göteborgs universitet föreslår att begreppen och deras inbördes förhållanden tydliggörs ytterligare. En viss begreppsförvirring råder kring användandet av begreppen anonymisering, avidentifiering samt pseudonymisering. Det är viktigt för tillämpare att tydligt kunna särskilja de fall som faller utanför regelverket från de som omfattas. Det behövs även mer vägledning i att förstå begreppens innebörd rätt så att lämpliga skyddsåtgärder vidtas i samband med hantering av per- sonuppgifter. Region Skåne och Västra Götalands läns landsting ställer sig frågade till varför pseudonymisering och kodning skulle utgöra två olika typer av åtgärder och befarar att detta kommer leda till att förvirring på området kvarstår.

Statens medicinsk-etiska råd (Smer) ifrågasätter undantagsformule- ringen i bestämmelsen som föreslås införas i forskningsdatalagen, i vilken det anges att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål - ”förutsatt att ändamålet kan uppnås på sådant vis.” Det behövs ett förtydligande av denna bestämmelse. Formuleringen är för bred och för otydlig.

Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) anser att for- muleringen”…ska vara pseudonymiserade…” är en olämplig förstärkning av dataskyddsförordningens motsvarande formulering ”… får inbegripa pseudonymisering…”. Karolinska institutet anser att förslaget ska revide- ras, genom att ”ska” ändras till ”får”, eller att bestämmelsen helt kan utgå och påpekar att regleringen i artikel 89 i dataskyddsförordningen, där pseudonymisering nämns som en möjlig skyddsåtgärd bland andra, utgör en tillräcklig skyddsåtgärd. Uppsala universitet anser att det finns anled- ning att ifrågasätta om inte kravet på pseudonymisering har fått en alltför långtgående utformning. Cancerfonden vill uppmärksamma att pseudony- misering är en skyddsåtgärd bland flera, och föreslår att det förtydligas genom att ordet bör används istället för ska, dvs. ”…personuppgifter bör pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål…”. Kungl. Vitterhetsakademien anser att frågan bör ställas om inte en mindre långtgående anonymisering av personuppgif- terna vore en bättre avvägning mellan forskningens behov och den enskil- des integritet.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Kalmar läns landsting anser att det är viktigt att upprätthålla integritetsskyddet i sam- band med forskning, inte minst för dem som deltar i forskningsprojekt, och

Prop. 2017/18:298

71

Prop. 2017/18:298 ställer sig positiv till utredningens förslag om att införa en bestämmelse om att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål förutsatt att ändamålet kan uppfyllas på det viset.

Skälen för regeringens bedömning

Det framgår av dataskyddsförordningen att pseudonymisering ofta är en lämplig skyddsåtgärd

Pseudonymisering framhålls på flera ställen i dataskyddsförordningen som exempel på lämplig skyddsåtgärd. Artikel 89.1 lyfter särskilt fram pseudo- nymisering i samband med personuppgiftsbehandling för forskningsända- mål. I praktiken är också pseudonymisering och liknande åtgärder viktiga för att skydda enskildas integritet i samband med forskning. I samband med registerforskning är det exempelvis vanligt att personuppgifter läm- nas ut från registren i kodad form. Artikel 89.1 anger vidare att skyddsåt- gärderna får inbegripa pseudonymisering under förutsättning att forsk- ningsändamålet kan uppfyllas på det sättet. Annars bör alltså andra lämp- liga skyddsåtgärder vidtas för att uppnå motsvarande skydd. Denna for- mulering öppnar för att det inte i alla situationer är möjligt att pseudony- misera om ändamålet med forskningen ska kunna uppfyllas och att det då måste finnas möjlighet att tillämpa andra lämpliga skyddsåtgärder för att uppnå förordningens krav på skydd för varje enskild personuppgiftsbe- handling. Det framgår således direkt av förordningen att i de fall pseudo- nymisering, enligt definitionen i förordningen, inte är den lämpligaste skyddsåtgärden så ska personuppgifterna omfattas av andra lämpliga skyddsåtgärder för att uppnå dataskyddsförordningens krav.

Det bör finnas en möjlighet att inte tillämpa pseudonymisering eller annan likvärdig skyddsåtgärd

Den legaldefinition av pseudonymisering som finns i dataskyddsförord- ningen är strikt och ställer framför allt krav på att uppgifterna inte ska kunna tillskrivas en specifik registrerad utan att kompletterande uppgifter (som en kodnyckel) används. Detta kräver att all information som direkt kan identifiera en person ersätts med pseudonymer. Utöver detta krävs även att annan information som kan användas för att indirekt identifiera personen behandlas så att detta inte längre är möjligt. Sådan behandling kan medföra att uppgifterna blir mindre lämpade för det aktuella forsk- ningsändamålet. Sett till syftet med pseudonymisering bör det därför vara möjligt att använda alternativa skyddsåtgärder, som uppfyller samma syfte, och därmed ger ett likvärdigt eller bättre skydd.

Det kan förekomma forskningsmetoder där identifierande uppgifter såsom personnummer måste bevaras eller behandlas i själva forsk- ningsverksamheten. Forskningsmetoden kan utgöra det minst ingripande sättet att uppnå det förväntade resultatet, och forskningens vetenskapliga värde kan väga upp risken för den enskildes personliga integritet. Det bör därför finnas en möjlighet att inte tillämpa pseudonymisering eller annan likvärdig åtgärd, om forskningsändamålet annars inte kan uppnås. Av dataskyddsförordningen framgår också att tillämpningen av pseudonymi-

72

sering kan minska riskerna för de registrerade och hjälpa personuppgifts- ansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett uttryckligt införande av pseudonymisering i förord- ningen är dock inte avsett att utesluta andra åtgärder för dataskydd (skäl 28).

Det är i första hand den personuppgiftsansvarige som bedömer om forskningsändamålen kan uppfyllas när pseudonymisering eller liknande skyddsåtgärder tillämpas. I samband med personuppgiftsbehandling för forskningsändamål som etikprövas kan etikprövningsnämnder meddela villkor, bland annat om pseudonymisering. Det är dock alltid den som be- handlar personuppgifterna, dvs. den personuppgiftsansvarige eller person- uppgiftsbiträdet, som ytterst ansvarar för att varje enskild personuppgifts- behandling omfattas av lämpliga skyddsåtgärder i enlighet med data- skyddsförordningens krav.

Krav på pseudonymisering eller ett likvärdigt skydd bör inte föreskrivas som skyddsåtgärd i svensk rätt

Att pseudonymisering är en central skyddsåtgärd vid behandling av per- sonuppgifter för forskningsändamål framgår direkt av dataskyddsförord- ningen. Att i enlighet med utredningens förslag föreskriva ett ska-krav i svensk lagstiftning, med motsvarande undantagsmöjligheter som i princip redan framgår av förordningen, är enligt ett flertal remissinstanser alltför långtgående. Bland annat Forte, Karolinska institutet, Uppsala universitet, Cancerfonden och Kungl. Vitterhetsakademien framför att dataskyddsför- ordningen utgör tillräcklig reglering i sammanhanget. Regeringen instäm- mer i denna bedömning och anser att det redan framgår av förordningen att psedonymisering bör användas när det är lämpligt och möjligt i relation till forskningsändamålet och i annat fall bör andra lämpliga skyddsåtgärder komma ifråga för att uppnå motsvarande skyddsnivå. Det är således rege- ringens uppfattning, till skillnad från Kalmar läns landsting, att utredning- ens förslag inte bör genomföras i denna del.

Det finns sekretesskydd även för kodnyckel i vissa fall

Institutet för språk och folkminnen framför att pseudonymiseringsåtgärder, eller övriga skyddsåtgärder enligt dataskyddslagstiftningen, inte ger något fullgott skydd för individen därför att även de nycklar/samordningsregister som är kopplade till de pseudonymiserade uppgifterna blir allmänna hand- lingar. Regeringen vill i detta sammanhang framhålla att det enligt vissa bestämmelser i 24 kap. offentlighets- och sekretesslagen (2009:400, OSL) gäller sekretess till skydd för enskilda i viss forskning. Enligt 18 kap. 9 § OSL gäller sekretess för uppgift som lämnar eller kan bidra till upplysning om chiffer, kod eller liknande metod, om det kan antas att syftet med me- toden motverkas om uppgiften röjs och metoden har till syfte att underlätta befordran eller användning i allmän verksamhet av uppgifter utan att före- skriven sekretess åsidosätts. Om det gäller sekretess för uppgifter om enskilda i ett forskningsprojekt där pseudonymisering används kan således också kodnyckeln skyddas. I de fall uppgifterna i forskningsprojektet inte omfattas av sekretess omfattas inte heller kodnyckeln av sekretess. Det hindrar inte att användning av pseudonymisering och andra skyddsåtgär- der ger ett integritetsskydd även om det inte kan upprätthållas om någon

Prop. 2017/18:298

73

Prop. 2017/18:298 väljer att låta sin begäran om utfående av allmänna handlingar även om- fatta kodnyckeln. Nämnas kan också att enligt 21 kap. 7 § OSL gällde ti- digare sekretess för personuppgift om det kunde antas att ett utlämnande skulle medföra att uppgiften behandlades i strid med PUL. I och med att PUL nu har upphävts och den generella dataskyddsregleringen i stället finns i dataskyddsförordningen och dataskyddslagen gäller numera enligt 21 kap. 7 § OSL sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförord- ningen eller dataskyddslagen. Regeringen återkommer i avsnitt 15.2 med förslag till ytterligare komplettering av 21 kap. 7 § OSL.

74

9.5Det följer direkt av dataskyddsförordningen att den registrerade kan invända mot behandling

Regeringens bedömning: En skyddsåtgärd som innebär att personupp- gifter, med vissa undantag, inte får behandlas för forskningsändamål om den enskilde motsätter sig sådan behandling bör inte föreskrivas i svensk rätt. Att den registrerade kan invända mot behandling följer direkt av EU:s dataskyddsförordning.

Utredningens förslag överensstämmer inte med regeringens bedöm- ning. Utredningen föreslår en bestämmelse i forskningsdatalagen som anger att personuppgifter inte ska få behandlas för forskningsändamål om den registrerade motsätter sig sådan behandling. Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den registrerade möjligheten att motsätta sig behandlingen, eller om forsk- ningsändamålen annars inte kan uppfyllas, ska dock personuppgiftsbe- handling ändå få utföras.

Remissinstanserna: En större del av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Ett flertal lands- ting, däribland landstingen i Uppsala län, Södermanlands län, Skåne län, Västra Götalands län, Värmlands län, Örebro län, Västmanlands län, Dalarnas län och Gävleborgs län samt Vinnova, Kungl. Vetenskapsaka- demien och Cancerfonden tillstyrker utredningens förslag.

Uppsala universitet tillstyrker förslaget i sak men anser att den negativt formulerade ordalydelsen gör regeln otydlig. Sveriges lantbruksuniversitet (SLU) anser att lagtexten är otydligt utformad. I första stycket anges att personuppgifter inte får behandlas om den enskilde motsätter sig det. I andra stycket sägs det att det går bra ändå. För en lekman framstår lagtex- ten enligt universitetet som tvetydig. Kungl. Vetenskapsakademien anser att förslaget innebär en dämpande skrivning jämfört med utredningens fö- reslagna undantag från de registrerades rättigheter beträffande rätten att återta eller ändra information och önskar ett förtydligande. Statens medi- cinsk-etiska råd (Smer) anser att formuleringarna som rör undantag för den enskildes möjlighet att motsätta sig att dennes personuppgifter behandlas för forskningsändamål bör förtydligas.

Datainspektionen avstyrker utredningens förslag då det inte står klart huruvida denna bestämmelse påverkar de registrerades rättigheter enligt kapitel III i dataskyddsförordningen.

Malmö högskola anser att den begränsning av den registrerades rättig- Prop. 2017/18:298 heter att invända mot behandling som föreslås står i strid med dennes rät-

tigheter att invända mot behandling enligt förordningen. Den föreslagna skrivningen innebär, enligt Malmö högskola, sannolikt en kraftig försäm- ring av den registrerades rättigheter i förhållande till dataskyddsförord- ningen.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Sveriges Kommuner och Landsting (SKL) noterar att rätten att göra invändningar har en tydlig koppling till vilken rättslig grund som används vid forskningen; samtycke, allmänt intresse eller intresseavvägning. Om det gäller artikel 21.6 torde detta innebära, att om den registrerade invänder mot behandling av dennes personuppgifter för forskningsändamål måste den personuppgiftsansvarige beakta om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse har den registrerade inte rätt att invända.

Karolinska institutet anser att regeringens bedömning innebär en onö- dig försvagning av den registrerades rätt till att motsätta sig behandling för forskningsändamål jämfört med Forskningsdatautredningens förslag. Institutet framhåller att rätten att motsätta sig deltagande i forskning til- lämpas i praktiken så gott som alltid inom forskningen och anser att denna praxis bör införlivas i svensk rätt, t.ex. genom en lagstiftningsåtgärd enligt artikel 23.1(i) som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artikel 21.6, eller genom ett förtydligande i etikprövningslagen om att Etikprövningsmyndigheten kan uppställa krav på att den enskilde ska ges möjlighet att motsätta sig att dennes person- uppgifter behandlas för forskningsändamål. Detta skulle enligt institutet förstärka integritetsskyddet för den enskilde i förhållande till det skydd som ges i dataskyddsförordningen och även stärka förtroendet för forsk- ningen.

Stockholms universitet anser att då frågan är omdebatterad skulle det vara en stor fördel om den svenska lagstiftningen på området kunde för- medla en klar och entydig grund för att tillåta ett opt-out förfarande. Även om det saknas lagtekniska skäl för en sådan reglering skulle den kunna bidra till ökad tydlighet och därmed underlätta för dem som har att tillämpa regleringen. Stockholms universitet vill i detta sammanhang framhålla att oklarheter i regleringen av förutsättningarna att bedriva forskning kan leda till att forskare av försiktighetsskäl avstår från att utföra sådan forskning som hade varit lagligt möjlig, vilket i sin tur riskerar att få en hämmande effekt på svensk forskning. I förlängningen kan detta leda till sämre förut- sättningar för Sverige att hävda sig internationellt, exempelvis med avse- ende på forsknings- och innovationssamarbeten och rekrytering av fram- stående forskare.

75

Prop. 2017/18:298

76

Skälen för regeringens bedömning

Hur förhåller sig den föreslagna skyddsåtgärden till rätten att invända mot behandling?

Den registrerade ska, enligt artikel 21 i dataskyddsförordningen, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende ho- nom eller henne som grundar sig på artikel 6.1 e (bl.a. uppgift av allmänt intresse) eller f (intresseavvägning). Den personuppgiftsansvarige får i så fall inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fast- ställande, utövande eller försvar av rättsliga anspråk (artikel 21.1). Senast vid den första kommunikationen med den registrerade ska bl.a. denna rätt uttryckligen meddelas den registrerade och redovisas tydligt, klart och åt- skilt från eventuell annan information (artikel 21.4). Om personuppgifter behandlas för bl.a. vetenskapliga eller historiska forskningsändamål i en- lighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot be- handling av personuppgifter avseende honom eller henne om inte behand- lingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6).

Enligt artikel 89.1 ska behandling för bl.a. vetenskapliga eller historiska forskningsändamål omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter. Skyddsåt- gärderna ska säkerställa att tekniska och organisatoriska åtgärder har in- förts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyl- las genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.

Utredningen föreslår en skyddsåtgärd som innebär att personuppgifter inte ska få behandlas för forskningsändamål om den registrerade motsätter sig sådan behandling. Om det visar sig vara omöjligt eller medföra en oproportionerlig ansträngning att tillhandahålla den registrerade möjlig- heten att motsätta sig behandlingen, eller om forskningsändamålen annars inte kan uppfyllas, ska dock personuppgiftsbehandling ändå få utföras. En- ligt utredningen ska denna skyddsåtgärd i huvudsak fylla samma funktion som den rätt att invända mot behandling som den registrerade har enligt artikel 21, men omfatta all personuppgiftsbehandling oavsett rättslig grund. Denna skyddsåtgärd ska dock inte vara tillämplig om den rättsliga grunden är samtycke, då det finns möjlighet i dataskyddsförordningen att dra tillbaka sitt samtycke (artikel 7). I det remitterade utkastet till lagråds- remiss görs bedömningen att förslaget inte bör genomföras. Karolinska institutet och Stockholms universitet framhåller i sina remissvar över ut- kastet att rätten att invända mot behandling enligt artikel 21 skiljer sig åt beroende på rättslig grund för behandling. Karolinska institutet och Stock- holms universitet förordar en i nationell rätt fastställd möjlighet att mot- sätta sig behandling.

Som framgår av avsnitt 7 är det främst tre rättsliga grunder som är rele- vanta vid forskning: samtycke, uppgift av allmänt intresse eller intresse- avvägning. Artikel 21.6 innebär att om den registrerade invänder mot be- handling av dennes personuppgifter för forskningsändamål måste den per- sonuppgiftsansvarige beakta om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Om behandlingen är nödvändig för att ut- föra en uppgift av allmänt intresse har den registrerade inte rätt att invända. Om forskningen däremot baseras på den rättsliga grunden intresseavväg- ning blir artikel 21.1 tillämplig. Om den registrerade av skäl som hänför sig till hans eller hennes specifika situation gör invändningar mot att per- sonuppgifter avseende honom eller henne behandlas i forskningsprojektet får den personuppgiftsansvarige inte längre behandla personuppgifterna, såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter.

Som nämnts ovan var syftet med den föreslagna skyddsåtgärden enligt utredningen att i huvudsak fylla samma funktion som den rätt att invända mot behandling som den registrerade har enligt artikel 21, men omfatta all personuppgiftsbehandling oavsett rättslig grund. Artikel 21 omfattar enligt regeringens bedömning de rättsliga grunder som personuppgiftsbehand- ling för forskningsändamål i praktiken främst kommer att grundas på, för- utom samtycke som enligt artikel 7.2 alltid kan återkallas. Det har vidare på senare tid tydliggjorts att EU-kommissionen anser att behandling av personuppgifter vid kliniska läkemedelsprövningar i vissa delar kommer att ske med stöd av den rättsliga grunden rättslig förpliktelse (se vidare avsnitt 10.4). Vid sådan behandling gäller inte rätten att invända enligt ar- tikel 21 i dataskyddsförordningen. Regeringen anser således, till skillnad från Karolinska institutet, Stockholms universitet och SKL, att en sådan skyddsåtgärd inte bör fastställas i lag, utan att de möjligheter att invända mot behandling som framgår av dataskyddsförordningen är tillräckliga för såväl integritetsskyddet som förtroendet för forskningen. Karolinska insti- tutet föreslår vidare ett förtydligande i etikprövningslagen om att Etikpröv- ningsmyndigheten kan uppställa krav på att den enskilde ska ges möjlighet att motsätta sig att dennes personuppgifter behandlas för forskningsända- mål. Enligt 6 § etikprövningslagen får ett godkännande förenas med vill- kor. Det framgår inte närmare av lagen vilka slags villkor som får förenas med ett etikgodkännande. Det är regeringens uppfattning att detta inte hel- ler bör regleras i lag på sådan detaljnivå, utan att det bör vara upp till etik- prövningsnämnderna att bedöma i samband med etikprövningen.

Medlemsstaterna har enligt artikel 89.2 rätt att i nationell rätt föreskriva undantag från de rättigheter som avses i bl.a. artikel 21 med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1, i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål. Frågan om det finns något behov av att begränsa rättigheten enligt artikel 21 behandlas i avsnitt 13.6.2.

Prop. 2017/18:298

77

Prop. 2017/18:298

78

9.6All personuppgiftsbehandling för forsknings- ändamål ska inte etikprövas

9.6.1Etikprövning är en skyddsåtgärd vid behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser

Som regeringen återkommer till i avsnitt 10 innehåller dataskyddsförord- ningen, i likhet med det upphävda dataskyddsdirektivet, ett principiellt för- bud mot behandling av särskilda kategorier av uppgifter samt flera undan- tag från detta förbud (artikel 9 i dataskyddsförordningen respektive 8 i dataskyddsdirektivet). I PUL användes benämningen känsliga personupp- gifter för de uppgifter som omfattas av denna särskilda reglering (13 §). Dessa var enligt dataskyddsdirektivet och PUL personuppgifter som av- slöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I dataskyddsförordningen utvidgas de särskilda kategorierna av uppgifter till att också omfatta behandling av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Vidare ersätts uppgifter om hälsa och sexualliv av uppgifter om hälsa eller upp- gifter om en fysisk persons sexualliv eller sexuella läggning. I 3 kap. 1 § dataskyddslagen används benämningen känsliga personuppgifter för nu aktuella kategorier av uppgifter.

Som regeringen återkommer till i avsnitt 11 finns det vidare i artikel 10 i dataskyddsförordningen en särskild reglering för personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder. En motsvarande special- reglering för sådana uppgifter fanns i dataskyddsdirektivet och PUL.

Enligt PUL fick känsliga personuppgifter behandlas för forskningsända- mål om behandlingen godkänts enligt etikprövningslagen (19 § första stycket PUL). Uppgifter om lagöverträdelser fick behandlas för forsk- ningsändamål av andra än myndigheter om behandlingen hade godkänts enligt etikprövningslagen (21 § andra stycket PUL). Enligt 3 § etikpröv- ningslagen är den lagen tillämplig bl.a. när forskning som ska utföras i Sverige innefattar behandling av känsliga personuppgifter enligt 13 § PUL eller personuppgifter om lagöverträdelser enligt 21 § PUL. Sådan forsk- ning får enbart utföras om den har godkänts vid en etikprövning (6 § etik- prövningslagen).

Etikprövning utgör således i dagsläget den centrala skyddsåtgärden vid behandling av känsliga personuppgifter eller personuppgifter om lagöver- trädelser för forskningsändamål. Utgångspunkterna för vad som ska beak- tas vid etikprövningen framgår av 7–11 §§ etikprövningslagen. Där anges att

1.forskning bara får godkännas om den kan utföras med respekt för män- niskovärdet,

2.mänskliga rättigheter och grundläggande friheter alltid ska beaktas vid etikprövningen, samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning,

3.människors välfärd ska ges företräde framför samhällets och vetenska- pens behov,

4.forskning bara får godkännas om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde,

5.forskning inte får godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet,

6.behandling av känsliga personuppgifter och personuppgifter om lag- överträdelser bara får godkännas om den är nödvändig för att forsk- ningen skall kunna utföras,

7.forskning får godkännas bara om den ska utföras av eller under över- inseende av en forskare som har den vetenskapliga kompetens som be-

hövs.

Ett beslut om etikgodkännande kan förenas med villkor. Detta används i de fall integritetsaspekterna kan tas tillvara på ett tillfredsställande sätt genom särskilda villkor, istället för att en ansökan avslås.

Av sista meningen i 6 § etikprövningslagen framgår att ett etikgodkän- nande inte medför att forskningen får utföras om den strider mot någon annan författning.

Dataskyddsförordningen ställer krav på lämpliga och särskilda skyddsåt- gärder

Dataskyddsförordningen nämner inte specifikt etikprövning som en skyddsåtgärd. Vid personuppgiftsbehandling för forskningsändamål anges krav på skyddsåtgärder i flera artiklar i förordningen.

All personuppgiftsbehandling för forskningsändamål måste omfattas av lämpliga skyddsåtgärder, men dessa måste inte vara fastställda i unionsrätt eller nationell rätt (artikel 89.1). Det finns dock inget hinder i förordningen mot att nationellt reglera skyddsåtgärder med stöd av artikel 89.1.

Behandling av känsliga personuppgifter för forskningsändamål måste omfattas av lämpliga och särskilda åtgärder som är fastställda i unionsrätt eller nationell rätt (artikel 9.2 j).

Behandling av personuppgifter om lagöverträdelser för forskningsända- mål som utförs av andra än myndigheter får utföras när behandling är til- låten enligt unionsrätten eller nationell rätt, där lämpliga skyddsåtgärder måste vara fastställda (artikel 10).

Dataskyddsförordningens krav har stora likheter med de krav som det upphävda dataskyddsdirektivet ställde. Dataskyddsdirektivet krävde lämpliga skyddsåtgärder för behandling av känsliga personuppgifter och lämpliga och specifika skyddsåtgärder vid behandling av personuppgifter om lagöverträdelser. Regeringen finner ingen anledning att anta att begreppet särskilda skyddsåtgärder så som det används i dataskyddsför- ordningen skulle innebära någon skillnad i sak jämfört med begreppet spe- cifika skyddsåtgärder. Denna bedömning stärks också av att den engelska versionen av artikel 9.2 j i dataskyddsförordningen anger ett krav på ”sui- table and specific measures to safeguard” och den engelska versionen av artikel 8.5 i dataskyddsdirektivet angav kravet på ”suitable specific safe- guards”. Det engelska begreppet specific har således översatts till såväl särskilda som specifika i respektive svensk version av dataskyddsförord- ningen och dataskyddsdirektivet.

Prop. 2017/18:298

79

Prop. 2017/18:298 Syftet med de skyddsåtgärder som enligt artikel 9.2 j i dataskydds- förordningen ska omfatta behandling av känsliga personuppgifter för forskningsändamål ska vara att säkerställa den registrerades grundläg- gande rättigheter och intressen. I artikel 10 anges att kravet på lämpliga skyddsåtgärder syftar till att skydda de registrerades rättigheter och fri- heter vid personuppgiftsbehandling av uppgifter om lagöverträdelser. Någon motsvarande formulering av syftet med skyddsåtgärderna fanns inte i dataskyddsdirektivet, som dock hade som övergripande syfte att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter (artikel 1). Det framgår av 7 och 8 §§ etikprövningslagen att forskning bara får godkännas om den kan utföras med respekt för människovärdet och att mänskliga rät- tigheter och grundläggande friheter alltid ska beaktas vid etikprövningen.

Ansvaret för att varje enskild personuppgiftsbehandling uppfyller data- skyddsförordningens krav på lämpliga och särskilda skyddsåtgärder åvilar alltid den personuppgiftsansvarige. I avsnitt 9.1 finns utförligare beskriv- ningar av dataskyddsförordningens krav på skyddsåtgärder generellt.

 

9.6.2

Tillämpningsområdet för kravet på etikprövning

 

 

bör inte utvidgas

 

 

 

Regeringens bedömning: Tillämpningsområdet för etikprövnings-

 

lagen bör inte utvidgas till att omfatta all behandling av personuppgifter

 

för forskningsändamål.

 

 

 

Utredningens bedömning överensstämmer med regeringens bedöm-

 

ning.

 

 

Remissinstanserna: Samtliga remissinstanser som har yttrat sig tillstyr-

 

ker eller har inga invändningar mot bedömningen. Av dem som uttryckli-

 

gen tillstyrker återfinns Västra Götalands läns landsting, Vetenskapsrådet,

 

Regionala etikprövningsnämnden i Göteborg, Regionala etikprövnings-

 

nämnden i Lund, Institutet för arbetsmarknads- och utbildningspolitisk

 

utvärdering (IFAU), Örebro universitet och Luleå tekniska universitet.

 

Karlstads universitet anser att en utvidgning av etikprövningen till att om-

 

fatta all personuppgiftsbehandling för forskningsändamål knappast är en

 

praktisk genomförbar lösning och att de föreslagna generella skyddsåtgär-

 

derna att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt

 

sätt förefaller vara en mer proportionerlig åtgärd. Vinnova ställer sig

 

bakom utredningens bedömning och anser att nuvarande reglering av vil-

 

ken forskning som ska etikprövas överensstämmer väl med dataskydds-

 

förordningens krav på lämplig och särskild skyddsåtgärd för personupp-

 

giftsbehandling av känsliga personuppgifter. En utvidgning av etikpröv-

 

ningslagens tillämpningsområde skulle enligt Vinnova kunna innebära

 

minskade möjligheter för forskare att initiera och genomföra insamlingar

 

och studier till följd av att krav om etikprövning föreligger oavsett vilken

 

typ av personuppgiftsbehandling som ska genomföras.

 

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege-

 

ringens bedömning.

 

Remissinstanserna: Samtliga remissinstanser som har yttrat sig tillstyr-

80

ker eller har inga invändningar mot bedömningen. Detta gäller bland annat

 

 

Regionala etikprövningsnämnden i Lund som delar denna bedömning. Prop. 2017/18:298 Luleå kommun anser att utöver de skäl som framförs av regeringen bör

beaktas att ett utvidgande av tillämpningsområdet till att omfatta alla per- sonuppgifter skulle medföra negativa konsekvenser för möjligheterna att bedriva forskning till följd av betydligt ökade byråkratiska krav. Därtill skulle möjligheterna att bedriva forskning som grundas på vad som får anses vara harmlös information försvåras och innebära en onödig arbetsin- sats för den blivande Etikprövningsmyndigheten.

Skälen för regeringens bedömning

Mot bakgrund av dataskyddsförordningens krav på lämpliga skyddsåtgär- der för all behandling av personuppgifter för forskningsändamål och det faktum att etikprövning är en i dagsläget fastställd skyddsåtgärd för käns- liga personuppgifter och personuppgifter om lagöverträdelser finns det an- ledning att överväga om kravet på etikprövning ska utvidgas till att gälla all behandling av personuppgifter för forskningsändamål.

Att bedöma vilket tillämpningsområde etikprövningslagen bör ha hand- lar ytterst om att hitta en balans mellan etiska principer och andra värden som bör vägas in. En uttrycklig avgränsning av etikprövningens tillämp- ningsområde skapar tydlighet för forskare bl.a. vid planering av forsk- ningsprojekt. Rättssäkerhetsaspekten, med tonvikt på förutsebarhet, är minst lika viktig för allmänhetens förtroende för systemet. Kravet på etik- prövning kan också anses vara en begränsning av forskningens frihet, fors- karens möjlighet att fritt använda sig av personuppgifter i forskningen, vil- ket kräver proportionalitet i avgränsningen av tillämpningsområdet.

Definitionen av personuppgift är vidsträckt

En personuppgift är enligt definitionen i dataskyddsförordningen varje upplysning som avser en identifierad eller identifierbar fysisk person (artikel 4.1). Alla uppgifter som enskilt eller tillsammans med andra upp- gifter kan knytas till en levande person omfattas.

Om etikprövningslagens tillämpningsområde utvidgas till att omfatta all behandling för personuppgiftsändamål skulle kravet på etikprövning om- fatta varje slags behandling för forskningsändamål även av indirekta per- sonuppgifter utan någon sannolik integritetsmässig risk. Att kräva en så omfattande skyddsåtgärd, som etikprövning innebär, för behandling av alla slags personuppgifter är enligt regeringens uppfattning inte propor- tionerligt sett i relation till skyddsintresset. Konsekvenserna för såväl fors- kningsutförarna som för etikprövningsorganisationen skulle också bli omotiverat omfattande, med ökad arbetsbörda och ökade resursbehov.

Befintliga kategoriseringar utgör en lämplig avgränsning av vilka personuppgifter som ska etikprövas

Behandling av andra personuppgifter än känsliga personuppgifter eller personuppgifter om lagöverträdelser har i tidigare lagstiftningssamman- hang bedömts inte vara av särskilt integritetskänslig karaktär. Det bör dock i sammanhanget framhållas att en sådan uppfattning i viss mån kan vara subjektiv, vad någon uppfattar som integritetskänsligt kan någon annan uppfatta som helt oproblematiskt. En större mängd uppgifter som var och

81

Prop. 2017/18:298

82

en för sig är av mindre integritetskänslig karaktär kan samlade innebära en ökad integritetsrisk för den registrerade. Med en så vid definition av per- sonuppgift som framgår av såväl den upphävda PUL som EU:s data- skyddsförordning kan alla olika slags personuppgifter graderas på en skala från mycket integritetskänsliga till i det närmaste helt utan integritets- mässig risk att behandla. Det är regeringens uppfattning att PUL:s katego- riseringar avseende känsliga personuppgifter och personuppgifter om lagöverträdelser alltjämt är rimliga och lämpliga avgränsningar för vad som generellt kan karaktärisera sådana integritetskänsliga personuppgifter som kräver ett ökat skydd. Denna bedömning gäller förstås med de juste- ringar av dessa begrepp som EU:s dataskyddsförordningen innebär (se vi- dare avsnitt 10 och 11).

Tillämpningsområdet ska vara tydligt, precist och förutsägbart

Det är viktigt att en avgränsning är så lätt att tillämpa som möjligt och samtidigt uppfyller grundläggande krav på rättssäkerhet, inbegripande förutsägbarhet. Metoden att räkna upp de situationer som ska etikprövas får anses uppfylla detta syfte. De situationer som inte räknas upp ska såle- des inte etikprövas. Denna avgränsning är, enligt regeringens uppfattning, såväl tydlig och precis som förutsägbar och proportionerlig i enlighet med dataskyddsförordningens krav. I dagsläget finns dessutom i förordningen (2003:615) om etikprövning av forskning som avser människor ett förfa- rande med rådgivande yttrande för ärenden där forskningen inte omfattas av etikprövningslagens tillämpningsområde (4 a §).

Andra skyddsåtgärder bör komma ifråga när personuppgiftsbehandling för forskningsändamål sker i andra fall

Etikprövningens syfte är att skydda den enskilda människan och respekten för människovärdet vid forskning. Vid personuppgiftsbehandling handlar detta främst om att skydda den enskilde från skada vid kränkning av den personliga integriteten. Finns det i princip ingen risk för sådan skada bör inte heller någon etikprövning behöva ske. Regeringens samlade bedöm- ning är därför att en utvidgning av etikprövningslagen till att omfatta all personuppgiftsbehandling för forskningsändamål skulle undergräva själva syftet med skyddsåtgärden och dessutom riskera att urholka förtroendet för etikprövningssystemet. För att uppnå ett lämpligt skydd i enlighet med dataskyddsförordningens krav för personuppgiftsbehandling för forsk- ningsändamål som inte omfattar känsliga personuppgifter eller personupp- gifter om lagöverträdelser bör således andra skyddsåtgärder komma ifråga. Regeringen instämmer således med Karlstads universitet som anser att ett utvidgande av etikprövningen till att omfatta all personuppgiftsbehandling för forskningsändamål knappast är en praktiskt genomförbar lösning och att skyddsåtgärder som innebär att personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt förefaller vara en mer proportionerlig åt- gärd. Som framgår av avsnitt 9.4 anser regeringen att det framgår direkt av dataskyddsförordningen att personuppgifter bör pseudonymiseras eller skyddas på likvärdigt sätt.

Regeringens sammantagna bedömning är således att etikprövningsla- gens tillämpningsområde inte bör utvidgas till att omfatta all personupp- giftsbehandling för forskningsändamål.

10 Det behövs kompletterande nationella Prop. 2017/18:298 bestämmelser för behandling av känsliga personuppgifter

10.1Förbudet mot behandling av känsliga person- uppgifter utvidgas

Dataskyddsförordningen innehåller, i likhet med dataskyddsdirektivet, ett principiellt förbud mot behandling av särskilda kategorier av uppgifter samt flera undantag från detta förbud (artikel 9 i dataskyddsförordningen respektive 8 i dataskyddsdirektivet). I PUL användes benämningen käns- liga personuppgifter för de uppgifter som omfattas av denna särskilda reglering. Dessa var enligt dataskyddsdirektivet och 13 § PUL personupp- gifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. Enligt dataskyddsförordningen omfattar de särskilda kategorierna av uppgifter även genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Vidare ersätts uppgifter om hälsa och sexualliv av uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Särskilda kategorier av personuppgifter benämns känsliga personuppgif- ter i dataskyddslagen

I såväl dataskyddsdirektivet som i dataskyddsförordningen benämns de personuppgifter som omfattas av förbudet som särskilda kategorier av personuppgifter. I dataskyddsförordningens beaktandeskäl omnämns de på ett par ställen som känsliga respektive särskilt känsliga uppgifter (skäl 10 och 51). I PUL har särskilda kategorier av personuppgifter kallats känsliga personuppgifter, utan att detta närmare har kommenterats i förarbetena. I dataskyddslagen används begreppet känsliga person- uppgifter som samlingsbenämning för sådana uppgifter som tillhör de särskilda kategorier av personuppgifter som anges i artikel 9 i data- skyddsförordningen. Bakgrunden till detta förslag är att begreppet får anses väl inarbetat, även på EU-nivå, och är språkligt enklare att använda och förstå, inte minst i författningstext (prop. 2017/18:105 s. 75).

10.2Dataskyddsförordningen möjliggör behandling av känsliga personuppgifter för forsknings- ändamål

Dataskyddsförordningens förbud mot att behandla känsliga personuppgif-

 

ter kompletteras, liksom i direktivet, av en rad undantag som möjliggör

 

sådan behandling i vissa fall. Förbudet i sig, liksom undantagen, är direkt

 

tillämpliga genom förordningen och kräver alltså inga åtgärder av med-

 

lemsstaterna. Vissa av undantagen innehåller dock hänvisningar till natio-

 

nell rätt som kan innebära att lagstiftningsåtgärder bör vidtas för att dessa

 

undantag ska vara tillämpliga (artikel 9.2).

83

 

Prop. 2017/18:298 Av förordningen framgår att känsliga personuppgifter får behandlas om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen för ett eller flera specifika ändamål, utom då unionsrätten eller medlemssta- ternas nationella rätt föreskriver att förbudet inte kan upphävas av den registrerade (artikel 9.2 a).

I artikel 9.2 j finns ett uttryckligt undantag från förbudet mot behandling av känsliga personuppgifter, som anger att förbudet inte gäller om behand- lingen är nödvändig för bl.a. forskningsändamål i enlighet med arti- kel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestäm- melser om lämpliga och särskilda åtgärder för att säkerställa den registre- rades grundläggande rättigheter och intressen. Av artikel 89.1 följer att all personuppgiftsbehandling för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakt- tas.

Dataskyddsförordningen ger därmed en explicit möjlighet till behand- ling av känsliga personuppgifter för forskningsändamål. Som nämnts fanns inte något sådant explicit undantag för behandling av personuppgif- ter för forskningsändamål i dataskyddsdirektivet. Enligt dataskyddsdirek- tivet var det emellertid möjligt för medlemsstaterna att under förutsättning av lämpliga skyddsåtgärder besluta om undantag från förbudet att be- handla känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse (artikel 8.4). I PUL fanns undantag för behandling av känsliga personuppgifter för forskningsändamål i 19 §, som angav att känsliga personuppgifter fick behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen.

10.3Etikprövning ska vara en skyddsåtgärd vid behandling av känsliga personuppgifter för forskningsändamål

Regeringens bedömning: Etikprövning enligt etikprövningslagen är en sådan lämplig och särskild åtgärd, fastställd i svensk rätt, som krävs för behandling av känsliga personuppgifter för andra forskningsända- mål än klinisk läkemedelsprövning enligt EU:s dataskyddsförordning.

Utredningens bedömning och förslag överensstämmer delvis med regeringens bedömning. Utredningen föreslår att det ska regleras i en forskningsdatalag att känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt etikpröv- ningslagen. Utredningen föreslår även en kompletterande bestämmelse i andra stycket i den föreslagna paragrafen som upplyser om att övriga krav på etikprövning av behandling av känsliga personuppgifter för forsknings- ändamål framgår av etikprövningslagen.

84

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Ett flertal lands- ting, däribland i Uppsala län, Södermanlands län, Skåne län, Västra Göta- lands län, Värmlands län, Örebro län, Västmanlands län, Dalarnas län och Gävleborgs län ser positivt på förslaget. Arbetsgivarverket anser att det är av godo att upprätthålla ett starkt nationellt skydd för känsliga per- sonuppgifter genom den föreslagna bestämmelsen. Vinnova, Cancerfon- den och Nationellt biobanksråd framhåller att de stödjer förslaget. Kungl. Vetenskapsakademien påpekar att det är rimligt och bra att alla personupp- gifter inom den utökade definitionen av känsliga personuppgifter ska få behandlas när det är nödvändigt för forskningsändamålet och efter etik- prövning.

Statens medicinsk-etiska råd (Smer) tillstyrker utredningens förslag att kravet på etikprövning enligt etikprövningslagen ska kvarstå för tillåtelse för behandling av känsliga personuppgifter när denna behandling är nöd- vändig för att uppnå forskningsändamålet. Smer ifrågasätter dock om det är ett tillräckligt krav för tillåtelse ”när denna är nödvändig för att uppnå forskningsändamålet”.

Vetenskapsrådet förordar att begreppet ”särskilda kategorier av person- uppgifter” används istället för begreppet ”känsliga personuppgifter”. Göteborgs universitet anser att utredningen föreslår ett avsteg från data- skyddsförordningens vokabulär utan att ange någon egentlig förklaring till detta förslag. Mittuniversitetet anser att begreppet ”känsliga personuppgif- ter” bör strykas ur lagstiftningen. Att använda dataskyddsförordningens terminologi ”särskilda kategorier av personuppgifter” tydliggör att det inte är upp till forskaren att bestämma vilka uppgifter det är fråga om, samt underlättar ett av dataskyddsförordningens huvudsyften, nämligen den fria rörligheten av personuppgifter inom EU.

Datainspektionen avstyrker utredningens förslag till upplysningsbe- stämmelse då den är otydlig på så sätt att bestämmelsen i sig eller de vill- kor som framgår av etikprövningsnämnders beslut kan komma att uppfat- tas som den rättsliga regleringen av behandling av känsliga personuppgif- ter, trots att dataskyddsförordningens krav alltid är tillämpliga.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga synpunkter på bedömningen. Detta gäller bl.a. Kammarrätten i Stockholm, Förvaltningsrätten i Göteborg, Justitiekans- lern (JK), Regionala etikprövningsnämnden i Göteborg, Regionala etik- prövningsnämnden i Linköping, Centrala etikprövningsnämnden, Göte- borgs universitet, Karlstads universitet, Malmö universitet, Örebro uni- versitet, Jönköping University, Brottsförebyggande rådet, Försvarsmak- ten, Totalförsvarets forskningsinstitut, Socialstyrelsen, Folkhälsomyndig- heten, Forskningsrådet för hälsa, arbetsliv och välfärd, Tandvårds- och läkemedelsförmånsverket, Inspektionen för socialförsäkringen, Arbetsgi- varverket, Kungl. Biblioteket och Riksarkivet.

Datainspektionen anser att etikprövning är en viktig skyddsåtgärd, men framhåller att en förutsättning för att etikprövningen ska kunna vara en skyddsåtgärd i dataskyddsförordningens mening är att etikprövnings- nämnder utgår från förordningens krav, när de tar ställning till frågor som rör personuppgiftsbehandling. Utöver detta finns det, för närvarande,

Prop. 2017/18:298

85

Prop. 2017/18:298 situationer där etikprövningslagens tillämpningsområde inte överensstäm- mer med dataskyddsförordningen. Ett exempel på detta är när personupp- giftsansvariga som bedriver forskning som omfattar känsliga personupp- gifter är etablerade i Sverige, men bedriver forskning utomlands. Den per- sonuppgiftsansvarige kan inte få något etikgodkännande för forskningen utomlands, men kommer att omfattas av dataskyddsförordningens förbud mot behandling av personuppgifter. Mot bakgrund av detta anser Data- inspektionen att det fortsatta lagstiftningsarbetet bör omfatta en analys huruvida det är aktuellt att uppställa andra former av skyddsåtgärder för

 

de registrerades del.

 

Skälen för regeringens bedömning

 

Undantag från förbudet att behandla känsliga personuppgifter kräver att

 

nationell rätt innehåller bestämmelser om skyddsåtgärder

 

Som nämnts ska enligt artikel 9.2 j i dataskyddsförordningen förbudet mot

 

behandling av känsliga personuppgifter inte tillämpas om behandlingen är

 

nödvändig för bl.a. vetenskapliga eller historiska forskningsändamål i en-

 

lighet med artikel 89.1, på grundval av unionsrätten eller medlemsstater-

 

nas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet,

 

vara förenlig med det väsentliga innehållet i rätten till dataskydd och inne-

 

hålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa

 

den registrerades grundläggande rättigheter och intressen.

 

I skäl 10 anges att dataskyddsförordningen är avsedd att ge medlemssta-

 

terna handlingsutrymme att specificera bestämmelser för behandlingen av

 

känsliga uppgifter samt att förordningen inte utesluter att det fastställs när-

 

mare omständigheter och mer exakta villkor för laglig behandling av per-

 

sonuppgifter. I skäl 52 nämns att vissa undantag från förbudet att behandla

 

känsliga personuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i

 

medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder

 

för att skydda personuppgifter och övriga grundläggande rättigheter, när

 

allmänintresset motiverar detta, samt att sådant undantag får göras för bl.a.

 

vetenskapliga eller historiska forskningsändamål. I sammanhanget bör

 

även skrivningarna i skäl 8 beaktas, där det anges att om dataskydds-

 

förordningen föreskriver förtydliganden eller begränsningar av dess

 

bestämmelser genom medlemsstaternas nationella rätt, kan medlemssta-

 

terna, i den utsträckning det är nödvändigt för samstämmigheten och för

 

att göra de nationella bestämmelserna begripliga för de personer som de

 

tillämpas på, införliva delar av denna förordning i nationell rätt.

 

I propositionen Ny dataskyddslag konstaterar regeringen att det inte är

 

helt klart vilken innebörd hänvisningarna till och kraven på unionsrätten

 

och den nationella rätten, som finns i flera av de punkter i artikel 9.2 som

 

innehåller undantag från förbudet att behandla känsliga personuppgifter,

 

har eller vilken betydelse det har att de utformats på olika sätt. Regeringen

 

gör där bedömningen att undantaget i sig inte måste genomföras i nationell

 

rätt för att vara tillämpligt, men att det är uppenbart att det vid behandling

 

av känsliga personuppgifter för bl.a. forskningsändamål krävs ett stöd i

 

svensk rätt utöver det som dataskyddsförordningen ger. Kraven enligt ar-

 

tikel 9.2 j går utöver de krav som ställs på rättslig grund enligt artikel 6 i

 

dataskyddsförordningen. Tröskeln för att den personuppgiftsansvarige ska

86

få behandla känsliga personuppgifter är således högre än den som gäller

för behandling av andra personuppgifter i samma situation. I artikel 9.2 j tillkommer ett krav på att gällande rätt innehåller bestämmelser om lämp- liga och särskilda åtgärder för att säkerställa den registrerades grundläg- gande intressen. Någon bestämmelse direkt motsvarande artikel 9.2 j fanns som nämnts inte i det upphävda dataskyddsdirektivet. Undantaget i PUL

(19 §) var dock baserat på artikel 8.4 i direktivet som innehöll ett mot- svarande krav på lämpliga skyddsåtgärder. Kravet på skyddsåtgärder överensstämmer på så vis med vad som gällt enligt dataskyddsdirektivet och innebär således inte någon ny begränsning av möjligheten att behandla känsliga personuppgifter för forskningsändamål. Vidare är innebörden av kravet på att behandlingen ska vara nödvändig enligt regeringens bedömning densamma i artikel 9 som i artikel 6.

Etikprövning är en lämplig och särskild åtgärd vid all behandling av känsliga personuppgifter för andra forskningsändamål än kliniska läke- medelsprövningar

Som nämnts i avsnitt 10.2 fick enligt den upphävda PUL känsliga person- uppgifter behandlas för forskningsändamål om behandlingen hade god- känts enligt etikprövningslagen (19 §).

Enligt etikprövningslagen får forskning bara godkännas om den kan ut- föras med respekt för människovärdet. Mänskliga rättigheter och grund- läggande friheter ska alltid beaktas vid etikprövningen samtidigt som hän- syn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov och forskning får bara godkännas om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Forskning får vidare inte godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre ris- ker för forskningspersoners hälsa, säkerhet och personliga integritet. Behandling av känsliga personuppgifter och personuppgifter om lagöver- trädelser får bara godkännas om den är nödvändig för att forskningen skall kunna utföras och forskning får bara godkännas om den ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs (7–11 §§ etikprövningslagen). Den riskbedömning som etik- prövningsnämnderna gör av personuppgiftsbehandling för forskningsän- damål har sedan tidigare bedömts förenlig med kraven i dataskyddsdirek- tivet.

Dataskyddsförordningen preciserar inte närmare hur de nationella skyddsåtgärderna ska utformas för att anses vara lämpliga och särskilda. Av dataskyddsförordningen framgår att lämpliga tekniska och organisato- riska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhål- lande till risken, med beaktande av den senaste utvecklingen, genomföran- dekostnaderna, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska per- soners rättigheter och friheter måste vidtas av personuppgiftsansvariga och personuppgiftsbiträden (artiklarna 24 och 32). Risken bör utvärderas på grundval av en objektiv bedömning, genom vilken det fastställs om be- handlingen inbegriper en risk eller en hög risk (skäl 76).

En etikprövning enligt etikprövningslagen uppfyller enligt regeringens uppfattning dataskyddsförordningens krav på en objektiv bedömning av

Prop. 2017/18:298

87

Prop. 2017/18:298 de risker personuppgiftsbehandlingen kan medföra för den registrerades grundläggande rättigheter och friheter. Regeringen bedömer således att etikprövning är en sådan i nationell rätt fastställd lämplig och särskild åt- gärd som artikel 9.2 j i dataskyddsförordningen kräver vid nödvändig be- handling av känsliga personuppgifter för forskningsändamål. Som rege- ringen återkommer till i avsnitt 10.4 finns för sådan forskning som består i klinisk läkemedelsprövning särskilda bestämmelser i form av EU:s för- ordning nr 536/2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG. Denna EU-förordning har dock inte börjat tillämpas och det är i dagsläget inte bestämt när så ska ske. Det blir dock sannolikt inte tidigare än hösten 2019. Eftersom det i EU-förord- ningen anges att kliniska läkemedelsprövningar ska genomgå etisk gransk- ning och godkännas enligt förordningen har regeringen i propositionen Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:193) föreslagit att forskning som består i klinisk läkemedelsprövning inte ska etikprövas en- ligt etikprövningslagen. Sådan forskning ska i stället genomgå etisk granskning enligt ett förslag till ny lag med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel. Riksdagen har antagit regeringens förslag (bet. 2017/18:UbU26, rskr. 2017/18:332). Bestämmelserna har emellertid inte trätt i kraft eftersom EU-förordningen inte börjat tillämpas ännu utan be- stämmelserna ska träda i kraft den dag regeringen bestämmer, dvs. när EU- förordningen börjar tillämpas. Vad som anförs nedan om behandling av känsliga personuppgifter för forskningsändamål avser således, när EU- förordningen om kliniska läkemedelsprövningar har börjat tillämpas och de föreslagna kompletterande bestämmelserna trätt i kraft, behandling av känsliga personuppgifter för andra forskningsändamål än kliniska läke- medelsprövningar.

Behandling av känsliga personuppgifter för forskningsändamål med samtycke enligt artikel 9.2 a bör enligt utredningens bedömning omfattas av samma krav på etikprövning som all annan nödvändig behandling av känsliga personuppgifter för forskningsändamål, vilket överensstämmer med dagens reglering. Andra stycket i utredningens förslag till paragraf, som upplyser om att övriga krav på etikprövning av behandling av käns- liga personuppgifter för forskningsändamål framgår av etikprövningsla- gen, är avsett att vara av upplysande karaktär så att tillämparen påminns om att all behandling av känsliga personuppgifter för forskningsändamål, oavsett rättslig grund i artikel 6, måste etikprövas. Av artikel 9.2 a i data- skyddsförordningen framgår att medlemsstaterna måste föreskriva i nationell rätt, om förbudet mot behandling av känsliga personuppgifter inte ska kunna upphävas av den registrerade. Enligt 3 § etikprövningslagen ska lagen tillämpas på forskning som innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa fri- hetsberövanden. Paragrafen innehöll tidigare en bestämmelse om att forsk- ning som innefattar behandling av de i paragrafen angivna personuppgif- terna ska bli föremål för etikprövning endast i fall där försökspersonen inte hade gett sitt uttryckliga samtycke till behandlingen. Denna bestämmelse togs bort i samband med en lagändring som trädde i kraft år 2008 (prop.

88

2007/08:44). Ändringen innebär att sedan dess ska all forskning som inne- bär behandling av de i paragrafen angivna kategorierna av personuppgifter etikprövas, oavsett om samtycke har lämnats eller inte. Detta framgår uttryckligen av 6 § första stycket etikprövningslagen. Där anges att forsk- ning som avses i 3–5 §§ får utföras bara om den har godkänts vid en etik- prövning. Ett godkännande får förenas med villkor. Ett godkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Forskningen får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen. Enligt regeringens uppfattning är därför bestämmelsen i etikprövningslagen en sådan reglering som avses i artikel 9.2 a sista ledet.

Innebörden av andra stycket i den bestämmelse utredningen föreslår, dvs. att all behandling av känsliga personuppgifter för forskningsändamål ska etikprövas oavsett vilken rättslig grund den baseras på och att sam- tycke således inte ersätter kravet på etikprövning, kommer enligt rege- ringens bedömning inte helt till uttryck i bestämmelsen. Bestämmelsen är av upplysande karaktär och hänvisar till etikprövningslagen. Mot bak- grund av att den angivna bestämmelsen i etikprövningslagen bedöms vara en sådan bestämmelse som avses i artikel 9.2 a finns det inte något behov av att ha ytterligare en bestämmelse med den innebörden. Regeringen an- ser därför att bestämmelsen i andra stycket i den av utredningen föreslagna bestämmelsen inte bör införas.

När det gäller frågan om rättslig grund för behandling av personupp- gifterna anser regeringen, som framgår av avsnitt 7.2.2, att om ett forsk- ningsprojekt har godkänts enligt etikprövningslagen så har forskningen er- känts i svensk rättsordning på ett sådant sätt att utförande av forsknings- uppgiften är en i svensk rätt fastställd uppgift av allmänt intresse.

Smer ifrågasätter om det ska vara en tillräcklig förutsättning för behand- ling av känsliga personuppgifter att en behandling är nödvändig för att uppnå forskningsändamålet. Utredningens förslag till bestämmelse är ut- formad i enlighet med kraven i artikel 9.2 j i dataskyddsförordningen, där det anges att undantag från förbudet gäller när behandlingen är nödvändig för bl.a. forskningsändamål. Som nämnts framgår det redan av etikpröv- ningslagen att behandling av personuppgifter som avses i 3 § får godkän- nas bara om den är nödvändig för att forskningen ska kunna utföras (10 § andra stycket), varför det, vilket regeringen återkommer till nedan, kan ifrågasättas om det behövs ytterligare en bestämmelse i en forskningsda- talag om detta.

När det gäller regleringen i etikprövningslagen och dess förhållande till dataskyddsförordningen kan det konstateras att nuvarande reglering inne- bär att det i 2 § etikprövningslagen anges att med behandling av person- uppgifter avses sådan behandling av personuppgifter som anges i 3 § PUL och att det i 3 § etikprövningslagen anges att lagen ska tillämpas på forsk- ning som innefattar behandling av känsliga personuppgifter enligt 13 § PUL eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberö- vanden enligt 21 § PUL. Sådan forskning får bara utföras om den har god- känts vid en etikprövning (6 § etikprövningslagen). Behandlingen av per- sonuppgifter får bara godkännas om den är nödvändig för att forskningen ska kunna utföras (10 § etikprövningslagen). I enlighet med vad rege- ringen utvecklar i avsnitt 12 föreslår regeringen dels att hänvisningen i 2 §

Prop. 2017/18:298

89

Prop. 2017/18:298 etikprövningslagen, till definitionen av behandling av personuppgifter i 3 § PUL, ska ersättas med en hänvisning till motsvarande definition i arti- kel 4.2 i dataskyddsförordningen, dels att hänvisningen i 3 § etikpröv- ningslagen till 13 § PUL ska ersättas med en hänvisning till motsvarande bestämmelse i dataskyddsförordningen. En bestämmelse i nationell rätt i enlighet med utredningens förslag, dvs. att det i en ny forskningsdatalag ska anges att känsliga personuppgifter får med stöd av artikel 9.2 j i data- skyddsförordningen behandlas om behandlingen är nödvändig för forsk- ningsändamål och om behandlingen har godkänts enligt etikprövningsla- gen, får då närmast karaktären av en upplysningsbestämmelse eftersom undantaget i artikel 9.2 j i sig inte behöver genomföras i svensk rätt för att vara tillämpligt och då redan regleringen i etikprövningslagen måste anses vara tillräcklig för att uppfylla kraven i artikel 9.2 j. Regeringen återkom- mer i avsnitt 15 till frågan om det trots denna bedömning finns skäl att införa en bestämmelse i enlighet med utredningens förslag i en särskild forskningsdatalag.

Flera remissinstanser har ifrågasatt att benämningen känsliga person- uppgifter fortsatt ska användas. I såväl dataskyddsförordningen som data- skyddsdirektivet benämns dessa personuppgifter som särskilda kategorier av personuppgifter (artikel 9). I jämförelse med vad som i PUL benämnts känsliga personuppgifter har det tillkommit tre kategorier (genetiska upp- gifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en fysisk persons sexuella läggning). I dataskyddslagen används begreppet känsliga personuppgifter för samtliga dessa kategorier. För att det nationella regelverket ska vara enhetligt föreslås det därför att samma benämning ska användas även i etikprövningslagen.

Datainspektionen framhåller i sitt remissvar över det remitterade utkas- tet till lagrådsremiss att det finns situationer där etikprövningslagens til- lämpningsområde inte överensstämmer med dataskyddsförordningen. Ett exempel på detta är när personuppgiftsansvariga som bedriver forskning som omfattar känsliga personuppgifter är etablerade i Sverige, men bedri- ver forskning utomlands. Den personuppgiftsansvarige kan inte få något etikgodkännande för forskningen utomlands, men kommer att omfattas av dataskyddsförordningens förbud mot behandling av personuppgifter. Mot bakgrund av detta anser Datainspektionen att det fortsatta lagstiftningsar- betet bör omfatta en analys av huruvida det är aktuellt att uppställa andra former av skyddsåtgärder för de registrerades del. Som regeringen konsta- terar i avsnitt 15.1 finns det inte något beredningsunderlag för att ändra etikprövningslagens tillämpningsområde i detta lagstiftningsärende. Den situation som Datainspektionen tar upp i sitt yttrande är inte heller ny, då även PUL hade ett delvis annat tillämpningsområde än etikprövnings- lagen. Det är dock möjligt enligt dataskyddsförordningen för den person- uppgiftsansvarige att behandla känsliga personuppgifter med stöd av samtycke när etikprövningslagens tillämpningsområde inte omfattar den aktuella behandlingen. Liksom för all personuppgiftsbehandling för forskningsändamål gäller också att det är den personuppgiftsansvariges ansvar enligt artikel 89.1 att behandlingen omfattas av lämpliga skyddsåtgärder i varje enskilt fall.

90

10.4Etisk granskning ska vara en skyddsåtgärd vid behandling av känsliga personuppgifter vid forskning inom ramen för kliniska läkemedels- prövningar

Regeringens bedömning: Etisk granskning enligt lagen med komplet- terande bestämmelser om etisk granskning till EU:s förordning om kli- niska prövningar av humanläkemedel är en sådan lämplig och särskild åtgärd, fastställd i svensk rätt, som krävs enligt EU:s dataskyddsförord- ning för behandling av känsliga personuppgifter för forskningsändamål inom ramen för klinisk läkemedelsprövning.

Utredningen lämnar inget förslag i denna del.

Utkastet till lagrådsremiss: Utkastet innehöll ingen bedömning, utan en redogörelse för förslagen till svensk kompletterande lagstiftning till EU-förordningen om kliniska läkemedelsprövningar i dels propositionen Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedels- prövningar (prop. 2017/18:196), dels propositionen Kompletterande be- stämmelser om etisk granskning till EU-förordningen om kliniska läkeme- delsprövningar (prop. 2017/18:193) samt en hänvisning till att det då på- gick en diskussion inom EU om olika dataskyddsfrågor relaterade till EU- förordningen om kliniska läkemedelsprövningar och dess förhållande till EU:s dataskyddsförordning.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig har inga synpunkter. Läkemedelsverket anser att det i avsnittet bör för- tydligas om dataskyddsfrågorna som är relaterade till EU-förordningen om kliniska läkemedelsprövningar kommer att behandlas i en egen utredning eller om de båda EU-förordningarnas direkta effekt medför att det inte be- höver göras någon ytterligare utredning på nationell nivå. Karolinska in- stitutet anser att det är otillfredsställande att det fortfarande finns en otyd- lighet när det gäller vilka regler som ska gälla för personuppgiftsbehand- ling inom ramen för kliniska läkemedelsprövningar. Det skulle underlätta planeringen av verksamheten för berörda forskningsutförare att snarast möjligt få klarhet i vilka regelverk som blir tillämpliga för personuppgifts- behandling inom ramen för klinisk läkemedelsprövning. Läkemedelsindu- striföreningen ifrågasätter vad som menas med att för klinisk läkemedels- prövning avstår regeringen från att göra ”bedömningar i dessa frågor i denna lagrådsremiss”. Läkemedelsindustriföreningen anser att det krävs ett förtydligande om att tidigare regler kan fortsätta att gälla i avvaktan på att ett nytt regelverk är på plats.

Skälen för regeringens bedömning

De nuvarande svenska bestämmelserna om klinisk läkemedelsprövning baseras på ett EU-direktiv som ersätts av en EU-förordning

Forskning som består i klinisk läkemedelsprövning genomförs i form av undersökningar på friska eller sjuka människor för att studera effekten av ett eller flera läkemedel. Nuvarande bestämmelser om kliniska läkeme- delsprövningar finns i Europaparlamentets och rådets direktiv 2001/20/EG av den 4 april 2001 om tillnärmning av medlemsstaternas lagar och andra

Prop. 2017/18:298

91

Prop. 2017/18:298

92

författningar rörande tillämpning av god klinisk sed vid kliniska pröv- ningar av humanläkemedel. Direktivet har genomförts i svensk rätt bland annat genom läkemedelslagen (2015:315) och etikprövningslagen (2003:460). För att få genomföra en klinisk läkemedelsprövning i Sverige krävs i dag både godkännande av en etikprövningsnämnd enligt etikpröv- ningslagen och tillstånd från Läkemedelsverket.

Europaparlamentet och rådet antog den 16 april 2014 förordning (EU) nr 536/2014 om kliniska prövningar av humanläkemedel och om upphä- vande av direktiv 2001/20/EG, nedan kallad EU-förordningen om kliniska läkemedelsprövningar. Denna EU-förordning trädde i kraft den 16 juni 2014, men det har ännu inte beslutats när den ska börja tillämpas. Enligt artikel 99 ska den börja tillämpas sex månader efter det att kommissionen har meddelat i Europeiska unionens officiella tidning att den EU-portal och den EU-databas som regleras i EU-förordningen är fullt funktionsdug- liga. Det sker sannolikt inte tidigare än hösten 2019.

Anpassningar av svensk rätt till EU-förordningen om kliniska läkeme- delsprövningar

EU-förordningen om kliniska läkemedelsprövningar är bindande och di- rekt tillämplig i Sverige. Som ovan angetts är det dock inte klart när den ska börja tillämpas. Den 1 januari 2019 genomförs en organisationsför- ändring avseende den svenska etikprövningsorganisationen som innebär att de sex regionala etikprövningsnämnderna avvecklas och att etikpröv- ning av forskning som avser människor i stället ska hanteras av en ny myn- dighet, Etikprövningsmyndigheten. Syftet är att öka effektiviteten och skapa en mer enhetlig tillämpning av regelverket (prop. 2017/18:45, bet. 2017/18:UbU12, rskr. 2017/18:173). Den nya myndigheten kommer att vara på plats när EU-förordningen ska börja tillämpas. I propositionerna Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedels- prövningar (prop. 2017/18:196, bet. 2017/18:SoU29, rskr. 2017/18:417) och Kompletterande bestämmelser om etisk granskning till EU-förord- ningen om kliniska läkemedelsprövningar (prop. 2017/18:193, bet. 2017/18:UbU26, rskr. 2017/18:332) redogörs för de undantagsbestäm- melser och kompletterande bestämmelser som i övrigt har bedömts behö- vas i svensk rätt med anledning av EU-förordningen.

Etisk granskning är en lämplig och särskild åtgärd vid all behandling av känsliga personuppgifter för forskningsändamål i forskning som består av klinisk läkemedelsprövning

Enligt EU-förordningen om kliniska läkemedelsprövningar ska ansök- ningar om sådana prövningar genomgå vetenskaplig och etisk granskning och godkännas i enlighet med EU-förordningen. Den etiska granskningen ska utföras av en etikkommitté i enlighet med nationell rätt i den berörda medlemsstaten. Enligt definitionen i artikel 2.2.11 är en etikkommitté ett oberoende organ i en medlemsstat vilket inrättats i enlighet med nationell rätt i den medlemsstaten och som har befogenhet att avge yttranden i sam- band med tillämpningen av EU-förordningen, med beaktande av syn- punkter från lekmän, i synnerhet patienter eller patientorganisationer. Varje berörd medlemsstat ska genom ett enda beslut underrätta sponsorn om huruvida den kliniska läkemedelsprövningen eller en väsentlig ändring

av prövningen har beviljats tillstånd, har beviljats tillstånd på vissa villkor eller huruvida ansökan om tillstånd har avslagits (artiklarna 8.1, 14.3, 19.1,

20.5och 23.1). Med sponsorn avses enligt förordningen person, företag, institution eller organisation som ansvarar för att inleda, leda och ordna med finansieringen av en klinisk prövning.

I propositionen Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar föreslås att forskning som består i klinisk läkemedelsprövning framöver inte ska etikprövas en- ligt etikprövningslagen. Som ovan angivits (avsnitt 10.3) har riksdagen antagit regeringens förslag men bestämmelserna har ännu inte trätt i kraft. Forskning som består i klinisk läkemedelsprövning ska, när bestämmel- serna har trätt i kraft, i stället genomgå etisk granskning enligt en ny lag med kompletterande bestämmelser om etisk granskning till EU:s förord- ning om kliniska prövningar av humanläkemedel. Enligt den lagen ska den etiska granskningen utföras av Etikprövningsmyndigheten och resultatet av den etiska granskningen ska redovisas i ett yttrande som beslutas av Etikprövningsmyndigheten och lämnas till Läkemedelsverket (2 och 3 §§). Av propositionen Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:196) framgår att Läke- medelsverket ska vara den myndighet i Sverige som fattar beslut om tillstånd till kliniska läkemedelsprövningar. De huvudsakliga skälen till detta är att Läkemedelsverket är central förvaltningsmyndighet för kontroll och tillsyn av läkemedel och även har till uppgift enligt läke- medelslagen att pröva frågor om tillstånd till kliniska läkemedelspröv- ningar. I Sverige kommer det således att vara Läkemedelsverket som fattar beslut i fråga om en ansökan om klinisk läkemedelsprövning. Enligt EU- förordningen gäller att en ansökan ska avslås bl.a. om en etikkommitté har avgett ett negativt yttrande som i enlighet med nationell rätt i den berörda medlemsstaten gäller för hela medlemsstaten (artiklarna 8.4, 14.10, 19.2,

20.7och 23.4). I propositionen Anpassningar av svensk rätt till EU- förordningen om kliniska läkemedelsprövningar föreslås att det i lä- kemedelslagen ska införas en bestämmelse som innebär att Läkemedels- verket inte får bifalla en ansökan om klinisk läkemedelsprövning om Etik- prövningsmyndigheten i sitt yttrande anser att den bör avslås.

Enligt 3 § i den nya lagen med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkeme- del ska vad som anges i 7–11 §§ etikprövningslagen ligga till grund för Etikprövningsmyndighetens etiska bedömning av en ansökan om kliniska läkemedelsprövning. Utgångspunkterna för vad som ska beaktas vid etik- prövningen framgår av 7–11 §§ etikprövningslagen. Där anges att

1. forskning bara får godkännas om den kan utföras med respekt för män- niskovärdet,

2. mänskliga rättigheter och grundläggande friheter alltid ska beaktas vid etikprövningen, samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning,

3. människors välfärd ska ges företräde framför samhällets och ve- tenskapens behov,

4. forskning bara får godkännas om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde,

Prop. 2017/18:298

93

Prop. 2017/18:298 5. forskning inte får godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet,

6.behandling av känsliga personuppgifter och personuppgifter om lag- överträdelser bara får godkännas om den är nödvändig för att forskningen skall kunna utföras,

7.forskning får godkännas bara om den ska utföras av eller under över- inseende av en forskare som har den vetenskapliga kompetens som be- hövs.

Ett beslut om etikgodkännande kan förenas med villkor. Detta används bl.a. i de fall integritetsaspekterna kan tas tillvara på ett tillfredsställande sätt genom särskilda villkor, istället för att en ansökan avslås. I proposi- tionen Anpassningar av svensk rätt till EU-förordningen om kliniska läke- medelsprövningar föreslås att det i läkemedelslagen ska införas en bestäm- melse som innebär att om Etikprövningsmyndigheten efter sin granskning har avgett ett yttrande med villkor för prövningens genomförande ska Läkemedelsverket beakta villkoren vid tillståndsgivningen.

Av propositionen Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar framgår, som ovan angivits, att den nya lagen med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av human- läkemedel ska träda i kraft den dag regeringen bestämmer. Regeringens bedömning i avsnitt 10.3 om att etikprövning enligt etikprövningslagen är en sådan fastställd lämplig och särskild åtgärd som krävs för behandling av känsliga personuppgifter kommer således att gälla för klinisk läkeme- delsprövning fram till dess att EU-förordningen om kliniska läkemedels- prövningar börjar tillämpas och den svenska kompletterande regleringen träder i kraft.

Iden direkt tillämpliga EU-förordningen om kliniska läkemedelspröv- ningar finns ett antal bestämmelser som rör data som genereras vid klini- ska läkemedelsprövningar, se bl.a. artikel 3 (b), artikel 37 (4) och (8), artiklarna 41–43 och artikel 78. Enligt artikel 7 d) ska varje medlemsstat bedöma ansökans förenlighet med dataskyddsdirektivet. Enligt artikel 93 ska medlemsstaterna tillämpa dataskyddsdirektivet på den personuppgifts- behandling som sker i medlemstatarna. Enligt artikel 94 i dataskyddsför- ordningen ska referenser till dataskyddsdirektivet tolkas som referenser till dataskyddsförordningen. Enligt skäl 161 i dataskyddsförordningen ska när det gäller samtycke till deltagande i vetenskaplig forskning inom ramen för kliniska prövningar EU-förordningen om kliniska läkemedels- prövningar tillämpas.

Som framgått ovan (avsnitt 7) har Artikel 29-gruppen efter att utkastet till lagrådsremiss remitterades antagit en vägledning om samtycke under förordning 2016/679, som kompletterar tidigare yttranden gällande sam- tycke (Guidelines on Consent under Regulation 2016/679, antagna den 10 april 2018). I denna vägledning uttalar Artikel 29-gruppen att när sam- tycke är den rättsliga grunden för att utföra forskning i enlighet med data- skyddsförordningen ska detta samtycke till behandlingen av person- uppgifterna skiljas från andra krav på samtycke som tjänar som en etisk standard eller ett procedurkrav. Ett exempel på ett sådant procedurkrav där behandlingen inte är baserad på samtycke utan på en annan rättslig grund

94

finns enligt Artikel 29-gruppen i EU-förordningen om kliniska läke- medelsprövningar. I dataskyddssammanhang ska den senare formen av samtycke betraktas som en ytterligare skyddsåtgärd. Samtidigt begränsar inte dataskyddsförordningen tillämpningen av artikel 6 till enbart sam- tycke när det gäller behandling av personuppgifter för forskningsändamål. Så länge som lämpliga skyddsåtgärder finns på plats i enlighet med kraven enligt artikel 89.1 och behandlingen av personuppgifter är rättvis, laglig, transparant och överensstämmer med principen om uppgiftsminimering och individuella rättigheter kan andra rättsliga grunder såsom artikel 6.1 e eller f, dvs. uppgift av allmänt intresse och personuppgiftsansvariges eller en tredje parts berättigade intresse, vara användbara. Detta gäller också för behandlingen av känsliga personuppgifter enligt undantaget från förbudet av sådan behandling i artikel 9.2 j. Prövning av läkemedel kan också ske på grundval av en unionsrättslig eller nationell lag enligt artikel 9.2 i, dvs. allmänt intresse på folkhälsoområdet. Artikel 29-gruppen uttalar också att artikel 6.1 c i dataskyddsförordningen, dvs. att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den person- uppgiftsansvarige, kan vara tillämplig för de delar av behandlingen som är en rättslig förpliktelse såsom att generera tillförlitliga och robusta data i enlighet med prövningsprotokollet som godkänts av en medlemsstat i enlighet med EU-förordningen om kliniska läkemedelsprövningar (jfr. exempelvis med artiklarna 3 b och 6 i EU-förordningen om kliniska läkemedelsprövningar).

När det gäller behandling av känsliga personuppgifter för bl.a. forsk- ningsändamål krävs som beskrivits ovan ett stöd i svensk rätt utöver det som dataskyddsförordningen ger. Kraven enligt artikel 9.2 i eller j går utöver de krav som ställs på rättslig grund enligt artikel 6 i dataskyddsför- ordningen. Regeringen gör i föregående avsnitt bedömningen att etikpröv- ning är en lämplig och särskild åtgärd vid all behandling av känsliga per- sonuppgifter för andra forskningsändamål än kliniska läkemedelspröv- ningar. Enligt 3 § i den föreslagna lagen med kompletterande bestämmel- ser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel ska vad som anges i 7–11 §§ etikprövningslagen ligga till grund för den etiska bedömningen av en ansökan om kliniska läkeme- delsprövning som ska göras av Etikprövningsmyndigheten. Den etiska granskningen av forskning som består i kliniska läkemedelsprövningar kommer alltså att vila på samma etiska överväganden som ska göras vid etikprövning. Regeringen gör därför bedömningen att etisk granskning är en sådan i svensk rätt fastställd lämplig och särskild åtgärd som krävs enligt EU:s dataskyddsförordning för behandling av känsliga person- uppgifter för forskningsändamål inom ramen för klinisk läkemedelspröv- ning.

Prop. 2017/18:298

95

Prop. 2017/18:298 11

Det behövs kompletterande nationella

 

bestämmelser om skyddsåtgärder för

 

behandling av personuppgifter om

 

lagöverträdelser

11.1Dataskyddsförordningen möjliggör en kompletterande nationell reglering för personuppgifter om lagöverträdelser

Enligt dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder endast utföras under kontroll av myndighet. Behandling av sådana uppgifter får också ske om behand- lingen tillåts enligt unionsrätten eller nationell rätt, där lämpliga skyddsåt- gärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet (artikel 10).

I dataskyddsdirektivet angavs att behandling av uppgifter om lagöver- trädelser, brottmålsdomar eller säkerhetsåtgärder fick utföras endast under kontroll av en myndighet eller, om lämpliga skyddsåtgärder fanns i nationell lag, med förbehåll för de ändringar som medlemsstaterna kunde tillåta med stöd av nationella bestämmelser som innehöll lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar fick dock föras endast under kontroll av en myndighet. Medlemsstaterna fick vidare föreskriva att uppgifter som rörde administrativa sanktioner eller avgöranden i tvistemål också skulle behandlas under kontroll av en myndighet (artikel 8.5). Med stöd av denna artikel i dataskyddsdirektivet infördes en paragraf i PUL som i första stycket angav att det var förbjudet för andra än myndigheter att behandla personuppgifter om lag- överträdelser som innefattade brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Av andra stycket framgick att sådana personuppgifter som avsågs i första stycket fick be- handlas för forskningsändamål av andra än myndigheter om behandlingen hade godkänts enligt lagen om etikprövning av forskning som avser män- niskor (21 § PUL).

Dataskyddsförordningens formulering i artikel 10 första meningen, som avser fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder är, när det gäller vilken typ av uppgifter det är fråga om, något snävare än motsvarande bestäm- melsen i den upphävda PUL (21 § första stycket). Den bestämmelsen av- såg lagöverträdelser som innefattade brott, domar i brottmål, dvs. både friande och fällande domar, straffprocessuella tvångsmedel eller administ- rativa frihetsberövanden.

Begreppet säkerhetsåtgärder har bedömts likvärdigt med begreppet straffprocessuella tvångsmedel, som använts i PUL vid genomförande av dataskyddsdirektivet, vilket i likhet med dataskyddsförordningen anger sä- kerhetsåtgärder som begrepp. Det är därmed regeringens bedömning att

96

vad som i praktiken skiljer definitionerna i PUL och dataskyddsförord- Prop. 2017/18:298 ningen åt är friande domar i brottmål och administrativa frihetsberövan-

den. Sådana uppgifter omfattas inte av de särskilda begränsningarna för behandling som framgår av artikel 10 i dataskyddsförordningen (prop. 2017/18:105 s. 98).

I dataskyddslagen finns en bestämmelse som förtydligar att personupp- gifter som avses i artikel 10 får behandlas av myndigheter (3 kap. 8 § första stycket).

För att andra än myndigheter alls ska kunna behandla sådana personupp- gifter om lagöverträdelser som framgår av artikel 10 måste detta tillåtas i unionsrätten eller nationell rätt, med fastställande av lämpliga skyddsåt- gärder. Till skillnad från regleringen av känsliga personuppgifter i artikel 9 i dataskyddsförordningen finns ingen uttömmande uppräkning av tillåtna ändamål i artikel 10. Bestämmelser om behandling av sådana uppgifter för till exempel forskningsändamål är möjliga i nationell lagstiftning, precis som andra ändamål, under förutsättning att lämpliga skyddsåtgärder är fastställda. I dataskyddslagen anges att även andra än myndigheter får be- handla personuppgifter som avses i artikel 10, om behandlingen är nöd- vändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv (3 kap. 8 § andra stycket). Det har även förts in ett bemyndigande i dataskyddslagen med innebörd att regeringen eller den myndighet som re- geringen bestämmer får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i ar- tikel 10 i EU:s dataskyddsförordning (3 kap. 9 § första stycket). Det anges vidare att den myndighet som regeringen bestämmer även i enskilda fall får besluta att andra än myndigheter får behandla sådana uppgifter. Ett så- dant beslut får förenas med villkor (3 kap. 9 § andra stycket).

11.2Etikprövning ska vara en skyddsåtgärd vid be- handling av personuppgifter om lagöverträdel- ser för forskningsändamål

Regeringens bedömning: Etikprövning enligt etikprövningslagen är en sådan lämplig skyddsåtgärd, fastställd i svensk rätt, som krävs för behandling av personuppgifter om lagöverträdelser för forskningsända- mål enligt EU:s dataskyddsförordning.

Utredningens bedömning och förslag överensstämmer delvis med re-

 

geringens bedömning. Utredningen föreslår att det i forskningsdatalagen

 

ska införas en bestämmelse som anger att personuppgifter som rör fällande

 

domar i brottmål, lagöverträdelser som innefattar brott eller straffproces-

 

suella tvångsmedel ska få behandlas av andra än myndigheter med stöd av

 

artikel 10 i dataskyddsförordningen om behandlingen är nödvändig och

 

har godkänts enligt etikprövningslagen. I andra stycket i den föreslagna

 

bestämmelsen föreslår utredningen att det ska upplysas om att av etikpröv-

 

ningslagen framgår övriga krav på etikprövning av behandling av känsliga

 

personuppgifter för forskningsändamål.

 

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat

 

sig tillstyrker eller har inga invändningar mot förslaget.

97

 

Prop. 2017/18:298

98

Sveriges Kommuner och Landsting och Västra Götalands läns landsting instämmer i utredningens förslag och framhåller vikten av forskning med användande av personuppgifter om lagöverträdelser m.m., men också att sådan behandling alltid måste föregås av en prövning enligt etikprövnings- lagen. Kammarrätten i Stockholm anser att bestämmelsens begränsning till att endast avse andra än myndigheter kan ifrågasättas, även om det enligt artikel 10 i dataskyddsförordningen är nödvändigt med särskild reglering för att andra än myndigheter ska få behandla nämnda personuppgifter.

Statens medicinsk-etiska råd (Smer) anser att förtydligande behövs när det gäller formuleringen vid tillåtelse av behandling av personuppgifter om lagöverträdelser m.m. ”när denna är nödvändig för att uppnå forsk- ningsändamålet”.

Regionala etikprövningsnämnden i Lund konstaterar att förslaget till 12 § forskningsdatalag, som är anpassat efter innehållet i artikel 10 i data- skyddsförordningen, innebär att skyddet för sådana personuppgifter som behandlas i bestämmelsen har inskränkts i förhållande till gällande rätt. Utredningens förslag att 3 § etikprövningslagen lämnas oförändrad inne- bär därför att etikprövning kommer att ske av fler uppgifter än de som ges skydd av dataskyddsförordningen och forskningsdatalagen. Det kan, enligt nämndens uppfattning, skapas praktiska tillämpningsproblem och förvir- ring i forskarsamhället om det inte råder förenlighet mellan vad som krävs enligt forskningsdatalagen och vilka uppgifter som omfattas av etikpröv- ning.

Datainspektionen avstyrker utredningens förslag avseende 12 § andra stycket forskningsdatalagen eftersom bestämmelsen är otydlig på så sätt att bestämmelsen i sig eller de villkor som framgår av etikprövningsnämn- ders beslut kan komma att uppfattas som den rättsliga regleringen av be- handling av personuppgifter om lagöverträdelser trots att dataskydds- förordningens krav alltid är tillämpliga.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: De remissinstanser som har yttrat sig tillstyrker el- ler har inga invändningar mot bedömningen. Luleå kommun anser att för- slaget om att utöka kravet på etikprövning till myndigheter samt att det ska gälla även friande domar m.m. är en lämplig skyddsåtgärd. Datainspek- tionen anser att etikprövning är en viktig skyddsåtgärd, men framhåller att en förutsättning för att etikprövningen ska kunna vara en skyddsåtgärd i dataskyddsförordningens mening är att etikprövningsnämnder utgår från förordningens krav, när de tar ställning till frågor som rör personuppgifts- behandling.

Skälen för regeringens bedömning

Andra än myndigheter ska få behandla sådana personuppgifter som avses i artikel 10 för forskningsändamål

Som framgått av avsnitt 11.1 anges i artikel 10 att myndigheter får be- handla personuppgifter som rör fällande domar i brottmål och lagöverträ- delser som innefattar brott eller därmed sammanhängande säkerhetsåtgär- der. Detta gäller även behandling för forskningsändamål. För andra än myndigheter krävs att behandlingen är tillåten enligt unionsrätten eller na- tionell rätt. Här möjliggör alltså dataskyddsförordningen kompletterande

nationell lagstiftning. Sådan lagstiftning ska även fastställa lämpliga skyddsåtgärder. Det är regeringens uppfattning att det finns behov av att kunna behandla personuppgifter om lagöverträdelser för forskningsända- mål även för andra forskningsaktörer än myndigheter. Dataskyddsförord- ningens möjlighet till nationell reglering i det aktuella fallet bör därför utnyttjas när behandling är nödvändig för forskningsändamål.

Etikprövning är en lämplig skyddsåtgärd för såväl offentliga som privata forskningsutförare vid sådan behandling av uppgifter som avses i arti- kel 10

I avsnitt 10.3 har regeringen utvecklat skälen till varför regeringen anser att etikprövning enligt etikprövningslagen uppfyller kraven på lämplig och särskild skyddsåtgärd enligt dataskyddsförordningen när det gäller be- handling av känsliga personuppgifter för forskningsändamål. Av motsva- rande skäl anser regeringen att etikprövning är en lämplig skyddsåtgärd även vid behandling av sådana personuppgifter som avses i artikel 10. Krav på skyddsåtgärder vid personuppgiftsbehandling framgår vidare inte bara enligt artikel 10. Att sådana krav finns för all personuppgiftsbehand- ling för forskningsändamål framgår av artikel 89.1. Skäl 156 anger att sådana skyddsåtgärder bör införas i nationell rätt. Det är därför regeringens bedömning att det är förenligt med kravet på skyddsåtgärder i artikel 89.1 att låta även myndigheters behandling av personuppgifter om lagöver- trädelser omfattas av kravet på etikprövning. Regeringen anser således att det ska framgå av nationell rätt att sådana personuppgifter som avses i ar- tikel 10 i dataskyddsförordningen ska få behandlas för forskningsändamål om behandlingen har godkänts enligt etikprövningslagen.

Samma krav på etikprövning ska fortsätta gälla även för behandling av personuppgifter om lagöverträdelser som innefattar friande domar i brottmål och administrativa frihetsberövanden

Som framgått av redogörelsen ovan skiljer sig de kategorier av personupp- gifter som avses i artikel 10 i dataskyddsförordningen något åt från de kategorier av personuppgifter om lagöverträdelser som omfattats av kravet på etikprövning enligt PUL och etikprövningslagen. Att begränsa den nationella kompletterande regleringen till att avse sådana personuppgifter som avses i artikel 10 skulle innebära att behandlingar av personuppgifter om lagöverträdelser som innefattar friande domar i brottmål och administ- rativa frihetsberövanden, vilka i dag omfattas av kravet på etikprövning, inte kommer vara förenade med samma skydd framöver. Regeringen anser inte att en sådan försämring av den registrerades skydd är befogad, även med beaktande av intresset av en harmoniserad reglering av person- uppgiftsskyddet. Regeringen anser vidare att det med stöd av artikel 89.1 i dataskyddsförordningen är möjligt att införa krav på sådana särskilda skyddsåtgärder även för behandling av vissa personuppgifter som faller utanför tillämpningsområdet för artikel 10. Artikel 89.1 kräver, som framgått, lämpliga skyddsåtgärder för behandling av personuppgifter för forskningsändamål generellt och det är regeringens bedömning att det är möjligt att fastställa sådana skyddsåtgärder i form av ett krav på god- kännande vid etikprövning i nationell rätt med stöd av skäl 156. Genom att den definition som idag framgår av 3 § etikprövningslagen behålls,

Prop. 2017/18:298

99

Prop. 2017/18:298 bortsett från hänvisningen till 21 § PUL, kommer kravet på etikprövning av såväl de personuppgifter som avses i artikel 10 i dataskyddsförord- ningen, som de uppgifter som inte anges där, men idag omfattas av krav på etikprövning, att gälla även fortsättningsvis.

Behandling av personuppgifter om lagöverträdelser bör enligt utred- ningens bedömning omfattas av kravet på etikprövning oavsett vilken rättslig grund behandlingen baseras på, vilket överensstämmer med dagens reglering. Andra stycket i utredningens förslag till paragraf som upplyser om att övriga krav på etikprövning av behandling av personuppgifter om lagöverträdelser för forskningsändamål framgår av etikprövningslagen, är avsett att vara av upplysande karaktär så att tillämparen påminns om att all behandling av sådana personuppgifter för forskningsändamål, oavsett rättslig grund i artikel 6, måste etikprövas. Etikprövningslagen ska tilläm- pas på forskning som innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (3 §). Som nämnts i avsnitt 10.3 innehöll paragrafen tidigare en bestäm- melse om att forskning som innefattar behandling av de i paragrafen angivna personuppgifterna ska bli föremål för etikprövning endast i fall där försökspersonen inte hade gett sitt uttryckliga samtycke till behand- lingen. Denna bestämmelse togs bort i samband med en lagändring som trädde i kraft år 2008 (prop. 2007/08:50). Ändringen innebar att sedan dess ska all forskning som innebär behandling av de i paragrafen angivna kategorierna av personuppgifter etikprövas, oavsett om samtycke har lämnats eller inte. Ett samtycke till behandlingen ersätter således inte kravet på etikprövning. Enligt regeringens uppfattning är därför bestäm- melsen i andra stycket i den av utredningen föreslagna bestämmelsen överflödig och bör inte införas.

Regeringen anser sammanfattningsvis att personuppgifter om lagöver- trädelser som innefattar brott, domar i brottmål, straffprocessuella tvångs- medel eller administrativa frihetsberövanden ska få behandlas för forsk- ningsändamål om behandlingen är nödvändig för ändamålet och har god- känts enligt etikprövningslagen. Detta krav ska gälla oavsett om det är fråga om en offentlig eller privat forskningsutförare och oavsett med stöd av vilken rättslig grund i artikel 6.1 som behandlingen utförs. Som rege- ringen har anfört i avsnitt 7.2.2 anser regeringen att om ett forskningspro- jekt har godkänts enligt etikprövningslagen så har forskningen erkänts i svensk rättsordning på ett sådant sätt att utförande av forskningsuppgiften är en i svensk rätt fastställd uppgift av allmänt intresse.

Behövs det ytterligare reglering?

När det gäller regleringen i etikprövningslagen och dess förhållande till dataskyddsförordningen kan det konstateras att nuvarande reglering inne- bär att det i 2 § etikprövningslagen anges att med behandling av person- uppgifter avses sådan behandling av personuppgifter som anges i 3 § PUL och att det i 3 § etikprövningslagen anges att lagen ska tillämpas på forsk- ning som innefattar behandling av känsliga personuppgifter enligt 13 § PUL eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberö-

100

vanden enligt 21 § PUL. Sådan forskning får bara utföras om den har god- Prop. 2017/18:298 känts vid en etikprövning (6 § etikprövningslagen). Behandlingen av per-

sonuppgifter får bara godkännas om den är nödvändig för att forskningen ska kunna utföras (10 § etikprövningslagen). I enlighet med vad rege- ringen utvecklar i avsnitt 12 föreslår regeringen dels att hänvisningen i 2 § etikprövningslagen, till definitionen av behandling av personuppgifter i 3 § PUL, ska ersättas med en hänvisning till motsvarande definition i arti- kel 4.2 i dataskyddsförordningen, dels att hänvisningen i 3 § 1 etikpröv- ningslagen till 13 § PUL ska ersättas av en hänvisning till motsvarande bestämmelser i dataskyddsförordningen samt att 3 § 2 etikprövningslagen endast ska anpassas på så vis att hänvisningen till 21 § PUL ska tas bort men uppräkningen av de kategorier av uppgifter om lagöverträdelser som omfattas av kravet på etikprövning ska finnas kvar. En bestämmelse i na- tionell rätt i enlighet med utredningens förslag, dvs. att det i en ny forsk- ningsdatalag ska anges att personuppgifter om lagöverträdelser får med stöd av artikel 10 i dataskyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts en- ligt etikprövningslagen, får då närmast karaktären av en upplysnings- bestämmelse, eftersom redan regleringen i etikprövningslagen måste anses vara tillräcklig för att uppfylla kraven i artikel 10 och artikel 89.1. Rege- ringen återkommer i avsnitt 15 till frågan om det trots denna bedömning finns skäl att införa en bestämmelse i enlighet med utredningens förslag i en särskild forskningsdatalag.

12Det krävs följdändringar i bestämmelserna om etikprövningslagens tillämpningsområde

Regeringens förslag: Bestämmelsen i etikprövningslagen, som regle- rar att behandling av personuppgifter avser sådan behandling av person- uppgifter som anges i personuppgiftslagen, ska ersättas med en hänvis- ning till dataskyddsförordningen.

Etikprövningslagen ska tillämpas på forskning som innefattar be- handling av:

1. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackföre- ning, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (känsliga person- uppgifter), eller

2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Utredningens förslag överensstämmer med regeringens förslag.

 

Remissinstanserna: En majoritet av de remissinstanser som yttrat sig

 

tillstyrker eller har inga invändningar mot förslaget. Detta gäller bl.a.

101

 

Prop. 2017/18:298

landstingen i Västra Götalands läns landsting, Uppsala län,

 

Södermanlands län, Skåne län, Västra Götalands län, Värmlands län,

 

Örebro län, Västmanlands län, Dalarnas län och Gävleborgs län samt

 

Regionala etikprövningsnämnden i Göteborg och Sveriges läkarförbund.

 

Regionala etikprövningsnämnden i Lund konstaterar att förslaget till

 

12 § forskningsdatalag, som är anpassat efter innehållet i artikel 10 i data-

 

skyddsförordningen, innebär att skyddet för sådana personuppgifter som

 

behandlas i bestämmelsen har inskränkts i förhållande till gällande rätt.

 

Utredningens förslag att 3 § etikprövningslagen lämnas oförändrad inne-

 

bär därför att etikprövning kommer att ske av fler uppgifter än de som ges

 

skydd av dataskyddsförordningen och forskningsdatalagen. Det kan, enligt

 

nämndens uppfattning, skapas praktiska tillämpningsproblem och förvir-

 

ring i forskarsamhället om det inte råder förenlighet mellan vad som krävs

 

enligt forskningsdatalagen och vilka uppgifter som omfattas av etikpröv-

 

ning.

 

Förslaget i utkastet till lagrådsremiss överensstämmer med regering-

 

ens förslag.

 

Remissinstanserna: Ingen av de remissinstanser som har yttrat sig har

 

kommenterat förslaget specifikt.

 

Skälen för regeringens förslag: Etikprövningslagen ska enligt 3 § til-

 

lämpas på forskning som innefattar behandling av känsliga personuppgif-

 

ter enligt 13 § PUL eller personuppgifter om lagöverträdelser som innefat-

 

tar brott, domar i brottmål, straffprocessuella tvångsmedel eller administ-

 

rativa frihetsberövanden enligt 21 § PUL. Med behandling av personupp-

 

gifter avses enligt 2 § etikprövningslagen sådan behandling som anges i 3

 

§ PUL. Den sistnämnda hänvisningen bör tas bort och ersättas med en hän-

 

visning till definitionen av behandling enligt artikel 4.2 i dataskydds-

 

förordningen.

 

Som framgått av avsnitt 9.7 och 10 är dataskyddsförordningens defin-

 

ition av särskilda kategorier av personuppgifter (i 3 kap. 1 § dataskyddsla-

 

gen benämnda känsliga personuppgifter), vidare än dataskyddsdirektivets

 

och PUL:s definitioner. I dataskyddsförordningen utvidgas de särskilda

 

kategorierna av uppgifter till att också omfatta behandling av genetiska

 

uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk

 

person. Vidare ersätts uppgifter om hälsa och sexualliv av uppgifter om

 

hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

 

Om godkänd etikprövning ska vara ett krav för att få behandla känsliga

 

personuppgifter för forskningsändamål i enlighet med dataskyddsförord-

 

ningens definition innebär det således ett visst utökat tillämpningsområde

 

för etikprövningslagen till följd av den EU-rättsliga utvecklingen.

 

Som framgått av avsnitt 11 skiljer sig vidare de kategorier av person-

 

uppgifter som omfattas av artikel 10 i dataskyddsförordningen något från

 

de kategorier av personuppgifter om lagöverträdelser som omfattats av

 

kravet på etikprövning enligt etikprövningslagen och den upphävda PUL.

 

Som nämnts i avsnitt 11 är det regeringens bedömning att det som i prak-

 

tiken skiljer definitionen i dataskyddsförordningen från den i PUL är att

 

personuppgifter om lagöverträdelser som innefattar friande domar i brott-

 

mål och administrativa frihetsberövanden omfattas av den upphävda PUL,

 

men inte av artikel 10.

 

I avsnitt 10.3 har regeringen tagit ställning för att etikprövning enligt

102

etikprövningslagen ska vara en skyddsåtgärd vid behandling av känsliga

personuppgifter enligt dataskyddsförordningens vidare definition, vid be- Prop. 2017/18:298 handling för forskningsändamål. I avsnitt 11.2 har regeringen gjort mot-

svarande ställningstagande i fråga om sådana uppgifter om lagöverträdel- ser som motsvarar PUL:s definition. Med anledning härav föreslår rege- ringen att 3 § etikprövningslagen ändras i enlighet härmed och att hänvis- ningarna i den paragrafen till PUL tas bort.

Som påpekats i avsnitt 3 är regeringens avsikt med denna proposition att föreslå nödvändiga anpassningar till dataskyddsförordningen. De ställ- ningstaganden som gjorts i avsnitt 10.3 och 11.2 i fråga om att etik- prövning enligt etikprövningslagen ska vara en skyddsåtgärd vid behand- ling av känsliga personuppgifter och uppgifter om lagöverträdelser vid be- handling för forskningsändamål överensstämmer med utredningens be- dömning. Utredningen bedömer samtidigt att det föreligger ett behov av att analysera möjligheterna till en mer ändamålsenlig och differentierad etikprövning av personuppgiftsbehandling som typiskt sett kan anses innebära en lägre risk för integritetsintrång. Den frågan behandlas inte i denna proposition. Fortsatt arbete med de aktuella författningarna kommer däremot att ske bl.a. i samband med beredningen av förslagen i betänkandet Etikprövning – en översyn av reglerna om forskning och hälso- och sjukvård (SOU 2017:104).

13Bör det föreskrivas undantag från vissa av de rättigheter som den registrerade har?

13.1Dataskyddsförordningen möjliggör undantag från vissa rättigheter

Som har nämnts i avsnitt 4.6 har den registrerades rättigheter förstärkts i dataskyddsförordningen i syfte att ge den registrerade ökad kontroll över sina personuppgifter. Det är bl.a. fråga om ökad rätt till information, rätt till tillgång, rätt till rättelse, rätt till radering, rätt till begränsning av be- handling, rätt till dataportabilitet och rätt att göra invändningar (artiklarna 12–22). Det finns direkt tillämpliga undantag från vissa av dessa rättig- heter och möjlighet att i nationell rätt göra undantag från vissa rättigheter i dataskyddsförordningen, enligt vad som beskrivs nedan.

När det gäller vissa av den registrerades rättigheter framgår undantag direkt av dataskyddsförordningen

Vilken information som ska lämnas till den registrerade när personuppgif- terna inte har inhämtats från den registrerade regleras i artikel 14.1–4. Enligt artikel 14.5 b ska bestämmelserna i artikeln inte tillämpas i den mån tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för bl.a. forskningsändamål i enlighet med artikel 89.1, eller i den mån skyldig- heten att lämna information sannolikt kommer att göra det omöjligt eller

103

Prop. 2017/18:298 avsevärt försvåra uppfyllandet av målen med den aktuella behandlingen. I sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet att göra uppgifterna tillgängliga för allmänheten.

Den rätt till radering som regleras i artikel 17.1 och 17.2 ska enligt artikel 17.3 d inte gälla i den utsträckning som behandlingen är nödvändig för bl.a. forskningsändamål enligt artikel 89.1, i den utsträckning som rätten sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen.

Rätten att göra invändning mot behandling av personuppgifter enligt ar- tikel 21 gäller om behandlingen grundar sig på artikel 6.1 e eller f. Om personuppgifter behandlas för bl.a. forskningsändamål ska den registre- rade enligt artikel 21.6 ha rätt att göra invändningar mot behandlingen av- seende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Dataskyddsförordningen möjliggör även att det föreskrivs undantag från vissa av den registrerades rättigheter i nationell rätt

Det är möjligt att i nationell rätt göra undantag från den personuppgifts- ansvariges skyldighet att lämna information till den registrerade när per- sonuppgifterna inte har inhämtats från den registrerade. I artikel 14.5 c anges att punkterna i 14.1–4 inte ska tillämpas om erhållande eller utläm- nande av uppgifter uttryckligen föreskrivs genom unionsrätten eller ge- nom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berätti- gade intressen.

Om personuppgifter behandlas för forskningsändamål får det enligt ar- tikel 89.2 i unionslagstiftningen eller medlemsstaternas nationella lagstift- ning föreskrivas om undantag från de rättigheter som framgår av artikel 15 (rätten till tillgång), artikel 16 (rätten till rättelse), artikel 18 (rätten till begränsning av behandling) och artikel 21 (rätten att göra invändningar), med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1. Undantag från dessa rättigheter får endast föreskrivas i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen med behandlingen och sådana undantag krävs för att uppnå dessa ändamål.

Vissa rättigheter gäller inte om den registrerade inte är möjlig att identi- fiera

En viktig och direkt tillämplig reglering i dataskyddsförordningen är att den personuppgiftsansvarige inte ska behöva bevara, förvärva eller be- handla ytterligare information för att identifiera den registrerade endast i syfte att följa förordningen. Det är vanligt att det saknas direkt identifie- rande uppgifter i sådana personuppgifter som behandlas för forskningsän- damål, exempelvis när uppgifterna kodats eller pseudonymiserats. Detta medför att den personuppgiftsansvarige i dessa fall saknar sådana uppgif- ter som gör det möjligt att exempelvis göra registerutdrag eller ens avgöra om uppgifter om en viss person behandlas. Om den personuppgiftsansva- rige kan visa att denne inte kan identifiera den registrerade ska artik-

104

larna 15–20 inte gälla, förutom när den registrerade tillhandahåller ytterli- Prop. 2017/18:298 gare information som gör identifieringen möjlig (artikel 11, jfr även

skäl 57).

Det är viktigt att upprätthålla integritetsskyddet i forskningen

Det är av stor vikt att bestämmelserna som reglerar personuppgiftsbehand- ling för forskningsändamål ger goda förutsättningar för forskningen, sam- tidigt som den registrerades fri- och rättigheter skyddas. Det är viktigt att upprätthålla integritetsskyddet i samband med forskning, inte minst för dem som deltar i forskningsprojekt.

Nedan behandlas frågorna om undantag bör göras i nationell rätt från den personuppgiftsansvariges skyldighet enligt artikel 14 att tillhandahålla information till den registrerade när uppgifterna inte har erhållits från ho- nom eller henne (avsnitt 13.2), från rätten till tillgång enligt artikel 15 (av- snitt 13.3), från rätten till rättelse enligt artikel 16 (avsnitt 13.4), från rätten enligt artikel 18 till begränsning av behandling (avsnitt 13.5) och från rät- ten enligt artikel 21 att göra invändningar (avsnitt 13.6).

13.2Undantaget från informationsskyldigheten när personuppgifter lämnas ut för forskningsändamål följer direkt av dataskyddsförordningen och svensk rätt

Regeringens förslag: Bestämmelsen om utlämnande av personuppgif-

 

ter i etikprövningslagen ska upphävas.

 

Regeringens bedömning: Rätten att ta del av allmänna handlingar

 

och myndigheters skyldighet att lämna ut allmänna handlingar i enlig-

 

het med offentlighetsprincipen gäller oavsett för vilket ändamål utläm-

 

nandet sker. Rätten respektive skyldigheten gäller dock inte i den

 

utsträckning handlingarna innehåller sekretessbelagda uppgifter.

 

Myndigheters skyldighet enligt offentlighets- och sekretesslagen att

 

dels på begäran av en enskild lämna ut uppgifter ur en allmän handling,

 

dels på begäran av en annan myndighet lämna ut uppgifter som

 

myndigheten förfogar över, gäller också oavsett för vilket ändamål ut-

 

lämnandet sker, under förutsättning att uppgifterna inte är sekretess-

 

belagda eller det skulle hindra arbetets behöriga gång. Regleringen in-

 

nebär att ett erhållande eller utlämnande av uppgifter uttryckligen är

 

föreskrivet i svensk rätt i enlighet med artikel 14.5 c i EU:s dataskydds-

 

förordning och att artikel 14.1–4 om den personuppgiftsansvariges in-

 

formationsskyldighet inte behöver tillämpas i dessa fall. Någon särskild

 

föreskrift behöver inte införas för att detta ska gälla vid myndigheters

 

utlämnande av uppgifter för forskningsändamål. Någon upplysnings-

 

bestämmelse bör inte införas.

 

För andra personuppgiftsansvariga än myndigheter och sådana en-

 

skilda som jämställs med myndigheter vid tillämpningen av bestämmel-

 

serna om rätt att ta del av allmänna handlingar och offentlighets- och

 

sekretesslagen, kan undantaget från informationsskyldigheten enligt

 

artikel 14.5 b i dataskyddsförordningen vara tillämpligt.

105

 

Prop. 2017/18:298 Sådana villkor som kan uppställas i samband med godkännande en- ligt etikprövningslagen kan även fortsättningsvis avse information som ska lämnas till den registrerade vid personuppgiftsbehandling för forsk- ningsändamål.

Utredningens förslag överensstämmer inte med regeringens förslag och bedömning. Utredningen har föreslagit att bestämmelsen i 12 § etik- prövningslagen om att personuppgifter får lämnas ut för att användas i forskning, om inte något annat följer av regler om sekretess och tystnads- plikt, överförs till forskningsdatalagen och omformuleras, så att det fram- går att personuppgifter får lämnas ut för att behandlas för forskningsända- mål om inte något annat följer av regler om sekretess och tystnadsplikt samt att det anges att vid sådan personuppgiftsbehandling behöver artikel 14.1–4 i EU:s dataskyddsförordning, inte iakttas. Detta undantag hindrar enligt förslaget inte att villkor som meddelas enligt etikprövningslagen får avse information som ska lämnas till den registrerade.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Detta gäller bl.a. Regionala etikprövningsnämnden i Göteborg och Brottsförebyggande rådet.

Arbetsgivarverket ställer sig tveksamt till bestämmelsens utformning med anledning av att offentlighets- och sekretesslagen på ett heltäckande sätt reglerar frågor som berör utlämnande av uppgifter, således även upp- gifter som är avsedda för forskningsändamål. Arbetsgivarverket föreslår därför att paragrafens första mening formuleras om som en hänvisning till vad som stadgas i offentlighets- och sekretesslagen, men att bestämmelsen i övrigt behålls oförändrad.

Malmö högskola anser att bestämmelsen innebär ett generellt undantag från informationsplikten enligt artikel 14 som saknar stöd i förordningen. Regionala etikprövningsnämnden i Umeå ifrågasätter den svepande for- muleringen, vilken går längre än artikel 14.5 b och inte räddas av de före- slagna skyddsåtgärderna i forskningsdatalagen eller en hänvisning till etik- prövningen. Datainspektionen avstyrker förslaget i sin nuvarande utform- ning. Inspektionen anser dels att bestämmelsen brister i tydlighet på ett sådant sätt att den inte är förenlig med förordningen, dels att utredningen inte har visat att de skyddsåtgärder som föreslås uppfyller det krav på lämpliga skyddsåtgärder som följer av artikel 14.5 c.

Förslaget och bedömningen i utkastet till lagrådsremiss överens- stämmer med regeringens förslag och bedömning.

Remissinstanserna: En majoritet av de som yttrat sig instämmer i för- slaget och bedömningen eller har inga synpunkter. Detta gäller bl.a. Kam- marrätten i Stockholm, Förvaltningsrätten i Göteborg, Justitiekanslern (JK), Regionala etikprövningsnämnden i Göteborg, Regionala etikpröv- ningsnämnden i Linköping, Centrala etikprövningsnämnden, Göteborgs universitet, Karlstads universitet, Malmö universitet, Örebro universitet, Jönköping University, Brottsförebyggande rådet, Försvarsmakten, Total- försvarets forskningsinstitut, Socialstyrelsen, Folkhälsomyndigheten, Forskningsrådet för hälsa, arbetsliv och välfärd, Tandvårds- och läkeme- delsförmånsverket, Inspektionen för socialförsäkringen, Arbetsgivarver- ket, Kungl. Biblioteket och Riksarkivet.

106

Regionala etikprövningsnämnden i Umeå instämmer såväl i att bestäm-

Prop. 2017/18:298

melserna i OSL om rätten att ta del av allmänna handlingar och skyldig-

 

heten att lämna ut sådana får betraktas som sådana nationella bestämmel-

 

ser som avses i artikel 14.5 c, som i att OSL:s och andra lagars be-

 

stämmelser om sekretess och tystnadsplikt får anses vara fastställda lämp-

 

liga åtgärder för att skydda den registrerades intressen. Etikprövnings-

 

nämnden anser dock att det borde finnas en hänvisning till OSL i den

 

forskningsdatalag nämnden förordar ska införas och OSL:s betydelse för

 

tillämpningen av artikel 14.

 

Pensionsmyndigheten ställer sig tveksam till att undantagsbestämmelsen

 

i artikel 14.5 c ska ges en så extensiv tolkning. Pensionsmyndigheten no-

 

terar i sammanhanget att informationsskyldigheten enligt artikel 14 åligger

 

den personuppgiftsansvarige som samlar in personuppgifter, det vill säga

 

mottagaren av uppgifterna och inte utlämnande myndighet.

 

Luleå kommun anser att regeringen bör beakta Datainspektionens kritik

 

gällande lämpliga skyddsåtgärder noggrannare. De förtydliganden rege-

 

ringen gör i dessa delar är enligt Luleå kommuns uppfattning inte tillräck-

 

liga. Därtill bör tilläggas att offentlighetsprincipen får, även med beak-

 

tande av andra länders regleringar, i ett internationellt och europeiskt per-

 

spektiv anses vara en unik reglering. Detta medför att det skydd som följer

 

av sekretess och tystnadsplikt, för att minska det integritetsintrång som

 

offentlighetsprincipen kan leda till, inte kan anses uppfylla de krav på

 

lämpliga skyddsåtgärder som följer av artikel 14.5 c dataskyddsförord-

 

ningen. Det får snarare anses vara en del av att följa den grundläggande

 

dataskyddsstandard som följer av dataskyddsförordningen.

 

Stockholms universitet framför att eftersom TF och OSL uppfyller andra

 

syften än dataskyddsförordningen (se exempelvis HFD 2015 ref. 57 och

 

HFD 2015 ref. 71) är det svårt att överblicka i vad mån syftet med artikel

 

14 kan uppnås genom allmänhetens tillgång till allmänna handlingar. I ut-

 

kastet till lagrådsremissen förs inget resonemang om huruvida rätten till

 

tillgång till allmänna handlingar i varje situation täcker in den rätt till in-

 

formation som den enskilde har rätt till enligt 14.1–4. Det är exempelvis

 

av relevans huruvida de informationsbärande handlingarna vid varje till-

 

fälle är upprättade eller inkomna till myndigheten. Stockholms universitet

 

ställer sig frågande till möjligheten att stödja ett undantag från artikel

 

14.1–4 dataskyddsförordningen på en reglering som inte fullt ut täcker de

 

rättigheter som artikeln avser att skydda.

 

Skälen för regeringens förslag och bedömning

 

Bestämmelsen i etikprövningslagen har sin grund i personuppgiftslagen

 

Det finns en bestämmelse i etikprövningslagen som reglerar utlämnande

 

av personuppgifter. I den anges att personuppgifter får lämnas ut för att

 

användas i forskning, om inte något annat följer av regler om sekretess och

 

tystnadsplikt (12 §). Enligt förarbetena till bestämmelsen ska den läsas mot

 

bakgrund av 24 § i den numera upphävda PUL. Av den paragrafens första

 

stycke framgick att om personuppgifter hade samlats in från någon annan

 

källa än den registrerade, skulle den personuppgiftsansvarige självmant

 

lämna den registrerade information om behandlingen av uppgifterna när

 

de registrerades. Om uppgifterna var avsedda att lämnas ut till tredje man,

 

behövde informationen dock inte ges förrän uppgifterna lämnades ut för

107

Prop. 2017/18:298 första gången. Enligt andra stycket behövde emellertid sådan information inte lämnas, om det fanns bestämmelser om registrerandet eller utläm- nandet av personuppgifterna i en lag eller någon annan författning.

Bestämmelsen i 24 § andra stycket PUL baserades på artikel 11.2 i data- skyddsdirektivet. Av första punkten i artikel 11 framgick i huvudsak att om uppgifterna inte hade samlats in från den registrerade skulle med- lemsstaterna föreskriva att den registeransvarige vid tiden för registre- randet eller senast när uppgifterna först lämnades ut skulle ge den registrerade information om bland annat den registeransvariges identitet, ändamålet med behandlingen, mottagare av uppgifterna och den registrerades rättigheter. I artikel 11.2 angavs att bestämmelserna i punkt 1 inte skulle gälla när det, särskilt i samband med behandling för statistiska ändamål eller historiska eller vetenskapliga forskningsändamål, visade sig omöjligt eller innebar en oproportionerligt stor ansträngning att ge information eller om registrering eller utlämnande uttryckligen föreskrevs i författning. I sådana fall skulle medlemsstaterna föreskriva lämpliga skyddsåtgärder.

Artikel 11.2 i dataskyddsdirektivet införlivades således i svensk rätt ge- nom 24 § PUL. För att en personuppgiftsansvarig inte skulle behöva be- akta kravet på information till den registrerade enligt 24 § första stycket krävdes alltså att det fanns bestämmelser om registrering eller utlämnande av personuppgifter i en lag eller någon annan författning. Ursprungligen fanns det i 19 § tredje stycket PUL en bestämmelse om utlämnande av uppgifter för forsknings- och statistikändamål som syftade till att uppfylla kravet i 24 § andra stycket PUL. I samband med att etikprövningslagen infördes överfördes den del av bestämmelsen som avsåg utlämnande av personuppgifter för forskning till etikprövningslagen.

Det finns möjligheter till nationell reglering i dataskyddsförordningen

I artikel 14 i dataskyddsförordningen regleras information som ska tillhan- dahållas om personuppgifterna inte har erhållits från den registrerade.

Av artikel 14.1 framgår bl.a. vilken slags information som den person- uppgiftsansvarige ska förse den registrerade med samt att den registrerade ska informeras om ändamålen med behandlingen, vilken rättslig grund be- handlingen har och vilka mottagare som eventuellt ska ta del av uppgif- terna. Av artikel 14.2 framgår bland annat vilken information, utöver den som avses i artikel 14.1, som den personuppgiftsansvarige ska lämna till den registrerade för att säkerställa en rättvis och transparent behandling. Artikel 14.3 anger vissa tidsangivelser för när informationen enligt de föregående punkterna ska lämnas och artikel 14.4 rör information vid ytterligare behandling av personuppgifterna för ett annat syfte än det för vilket uppgifterna samlades in.

Artikel 14.5 anger slutligen under vilka förutsättningar artikel 14.1–4 inte behöver tillämpas. Enligt artikel 14.5 c gäller detta om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades be- rättigade intressen.

108

Det behöver tydliggöras hur undantaget från informationsskyldigheten blir tillämpligt

Under utarbetandet av etikprövningslagen yttrade sig Lagrådet över rege- ringens lagförslag. När det gäller den bestämmelse som sedan blev 12 § etikprövningslagen var Lagrådets uppfattning att det var svårt att se att bestämmelsen hade den innebörden att den forskare som i enlighet med bestämmelsen hämtar in personuppgifter från något annat håll än den registrerade inte självklart skulle behöva informera den registrerade om sin behandling. Enligt Lagrådets uppfattning gav bestämmelsen snarare intryck av att vara en upplysning riktad till den som avses lämna ut per- sonuppgifter till en forskare om att detta är möjligt såvida inte sekretess eller tystnadsplikt lägger hinder i vägen. Lagrådet ansåg därför att om bestämmelsen skulle vara en sådan lagreglering, som enligt 24 § andra stycket PUL medförde att information enligt 24 § första stycket PUL inte behövde lämnas ut, borde bestämmelsen utformas så att detta klart fram- gick. Lagrådets förslag var att en sådan bestämmelse placerades som inle- dande paragraf under rubriken ”Information och samtycke” enligt följande lydelse: ”Vid forskning som avses i 3 § behöver 24 § PUL (1998:204) inte iakttas. Detta hindrar inte att villkor enligt 7 § får avse den information som skall lämnas till den registrerade.” Regeringen följde dock inte Lagrå- dets förslag med motiveringen att det enligt EG-direktivet krävdes att utlämnande föreskrevs uttryckligen i författning, varför regeringen före- slog en bestämmelse som föreskrev att personuppgifter får lämnas ut för att användas i forskning, om inte något annat följer av regler om sekretess och tystnadsplikt. Enligt regeringens uppfattning fick risken för miss- förstånd bedömas som liten. Lagrådets föreslagna alternativa skrivning ansåg regeringen vara mindre väl förenlig med EG-direktivet, eftersom något utlämnande då inte skulle föreskrivas i författning utan det bara skulle vara fråga om ett undantag från informationsskyldigheten (prop. 2002/03:50 s.175 f.).

Forskningsdatautredningen har föreslagit att bestämmelsen om utläm- nande av personuppgifter i 12 § etikprövningslagen överförs till den före- slagna forskningsdatalagen och omformuleras, så att det framgår att per- sonuppgifter får lämnas ut för att behandlas för forskningsändamål om inte något annat följer av regler om sekretess och tystnadsplikt samt att det anges att vid sådan personuppgiftsbehandling behöver artikel 14.1–4 i EU:s dataskyddsförordning, inte iakttas. Detta undantag hindrar enligt förslaget inte att villkor som meddelas enligt etikprövningslagen får avse information som ska lämnas till den registrerade. Datainspektionen anser att den föreslagna bestämmelsen brister i tydlighet på ett sådant sätt att den inte är förenlig med förordningen. Datainspektionen anser bl.a. att bestäm- melsen inte innehåller något uttryckligt förordnande och inte uppfyller kraven på tydlighet, precisering och förutsägbarhet samt proportionalitet. Malmö högskola anser att bestämmelsen innebär ett generellt undantag från informationsplikten enligt artikel 14 som saknar stöd i förordningen och Regionala etikprövningsnämnden i Umeå ifrågasätter den svepande formuleringen, vilken enligt etikprövningsnämnden går längre än artikel

14.5b och inte räddas av de föreslagna 8–10 §§ forskningsdatalagen eller en hänvisning till etikprövningen. Regeringen delar i huvudsak dessa upp- fattningar av följande skäl.

Prop. 2017/18:298

109

Prop. 2017/18:298

110

Kravet på uttryckliga föreskrifter om erhållande eller utlämnande av uppgifter innebär antingen en rätt att få uppgifter eller en uppgifts- skyldighet

Enligt artikel 14.5 c ska artikel 14.1–4 inte tillämpas om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen.

Forskning är i dataskyddsförordningen ett priviligierat ändamål för be- handling av personuppgifter. Det framgår av artikel 5.1 b att personupp- gifter ska samlas in för särskilda, uttryckligt angivna och berättigade än- damål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Detta är en grundläggande princip i såväl dataskyddsdirektivet som dataskyddsförordningen (finalitetsprincipen). Trots detta görs det ett generellt undantag från denna princip bl.a. för forskning. I artikel 5.1 b andra meningen anges nämligen att ytterligare behandling för bl.a. veten- skapliga eller historiska forskningsändamål i enlighet med artikel 89.1 inte ska anses vara oförenligt med de ursprungliga ändamålen. Den möjlighet att göra undantag från bestämmelserna i artikel 14.1–4 som föreskrivs i artikel 14.5 c är en generell möjlighet till undantag, så till vida att den gäller oavsett ändamål. Det behöver således inte vara fråga om ett sådant priviligierat ändamål som forskning.

Att dataskyddsförordningen blir direkt tillämplig som lag i svensk rätt och därmed inte ska implementeras utgör en avgörande skillnad mot data- skyddsdirektivet. Enligt regeringens mening kan kravet i artikel 14.5 på uttryckliga föreskrifter om erhållande eller utlämnande av uppgifter i nationell rätt inte tolkas på annat sätt än som ett krav på föreskrifter om en rätt att få uppgifter eller föreskrifter om en uppgiftsskyldighet. Att, som utredningen föreslagit, föreskriva att personuppgifter får lämnas ut för att behandlas för forskningsändamål är snarare att anse som en upplysning om finalitetsprincipen och undantaget för forskningsändamål, enligt vad som beskrivits ovan. Det krävs således, enligt regeringens uppfattning, en tydligare uppgiftsskyldighet för att undantaget från informationsskyldig- heten i artikel 14.5 c ska bli tillämpligt. Utredningens förslag uppfyller därmed enligt regeringens uppfattning inte kraven enligt dataskydds- förordningen.

För myndigheter finns uttryckliga föreskrifter om rätt att ta del av all- männa handlingar och om skyldighet att lämna ut uppgifter

Arbetsgivarverket ställer sig tveksamt till utformningen av den bestäm- melse som utredningen har föreslagit med anledning av att offentlighets- och sekretesslagen (2009:400, OSL) på ett heltäckande sätt reglerar frågor som berör utlämnande av uppgifter, således även uppgifter som är avsedda för forskningsändamål. Arbetsgivarverket föreslår därför att paragrafens första mening formuleras om som en hänvisning till vad som stadgas i OSL, men att bestämmelsen i övrigt behålls oförändrad. Regionala etik- prövningsnämnden i Umeå anser att det borde finnas en hänvisning till OSL i den forskningsdatalag som nämnden förordar införs.

Av OSL framgår att en myndighet dels på begäran av en enskild ska lämna ut uppgifter ur en allmän handling (6 kap. 4 §), dels på begäran av

en annan myndighet ska lämna ut uppgifter som myndigheten förfogar över (6 kap. 5 §), i båda fallen under förutsättning att uppgifterna inte är sekretessbelagda eller att ett utlämnande skulle hindra arbetets behöriga gång.

Den förstnämnda bestämmelsen kompletterar bestämmelserna om rätten att ta del av allmänna handlingar i 2 kap. 1 § tryckfrihetsförordningen (TF). Sistnämnda rätt gäller i den utsträckning uppgifter i de allmänna hand- lingarna inte är sekretessbelagda (2 kap. 2 § TF och 1 kap. 1 § och 3 kap. 1 § OSL). Av TF framgår dessutom ett skyndsamhetskrav, som innebär att myndigheten ska behandla en begäran att få ut uppgifter skyndsamt, samt en möjlighet att överklaga ett beslut om avslag på begäran om utlämnande (2 kap. 12 och 15 §§ TF). Rätten att ta del av uppgifter ur allmänna hand- lingar enligt 6 kap. 4 § OSL är inte lika långtgående som rätten att ta del av allmänna handlingar enligt TF då den, förutom att den i likhet med rät- ten att ta del av allmänna handlingar inte omfattar sekretessbelagda upp- gifter, dels är begränsad av ett villkor om att ett utlämnande inte behöver ske i den utsträckning det stör arbetets behöriga gång, dels inte är förenad med en överklagandemöjlighet. När det gäller den gemensamma begräns- ningen att såväl rätten att ta del av allmänna handlingar som bestämmelsen om myndigheters uppgiftsskyldighet i 6 kap. 4 § OSL inte gäller sekre- tessbelagda uppgifter kan konstateras att OSL är en ca 100 sidor lång lag som innehåller väl genomtänkta sekretessbestämmelser. Kap. 21–40 OSL innehåller bestämmelser om sekretess till skydd för enskildas personliga eller ekonomiska förhållanden som gäller i olika delar av den offentliga sektorn. Såväl föreskrifterna om rätt att ta del av allmänna handlingar och myndigheternas skyldighet att lämna ut uppgifter ur allmänna handlingar får anses uppfylla kravet på uttryckliga föreskrifter om erhållande eller ut- lämnande av uppgifter som avses i artikel 14.5 c dataskyddsförordningen. Som regeringen återkommer till nedan får de föreskrivna begränsningarna som innebär att uppgifter inte får lämnas ut om de är sekretessbelagda an- ses vara sådana föreskrifter som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Offentlighetsprincipens centrala betydelse framgår även uttryckligen i dataskyddsförordningen. Av artikel 86 framgår att personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka sam- man allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med dataskyddsförordningen.

Som nämnts ovan är myndigheter enligt 6 kap. 5 § OSL även skyldiga att på begäran av en annan myndighet lämna uppgifter som den förfogar över under vissa förutsättningar. Uppgiftsskyldigheten mellan myndig- heter kan ses som en precisering av den allmänna samverkansskyldighet som gäller enligt 8 § förvaltningslagen (2017:900). Skyldigheten är mer vidsträckt än skyldigheten gentemot allmänheten då den omfattar varje uppgift som myndigheten förfogar över, inte bara uppgifter ur allmänna handlingar. Skyldigheten är dock inte undantagslös då den inte omfattar sekretessbelagda uppgifter och inte heller gäller i den utsträckning hinder föreligger på grund av arbetets behöriga gång. Även denna bestämmelse får anses uppfylla kravet i artikel 14.5 c dataskyddsförordningen på en

Prop. 2017/18:298

111

Prop. 2017/18:298 uttrycklig föreskrift om utlämnande av uppgifter som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen.

Vad som har sagts ovan gäller också för de enskilda organ som enligt

2 kap. 2–5 §§ OSL jämställs med myndigheter dels vid tillämpning av TF:s bestämmelser om rätt att ta del av allmänna handlingar, dels vid til- lämpning av bestämmelserna i OSL. Det är bl.a. fråga om aktiebolag, han- delsbolag, ekonomiska föreningar och stiftelser där kommuner eller lands- ting utövar ett rättsligt bestämmande inflytande samt sådana enskilda or- gan som anges i bilagan till OSL, när det gäller handlingar i den verksam- het som anges i bilagan. Ett skäl till att ett enskilt organ blir infört i bilagan i fråga om hela eller delar av organets verksamhet är att organet med stöd i lag har fått i uppgift att fullgöra en förvaltningsuppgift som innefattar myndighetsutövning, t.ex. fördelning av statsbidrag, eller att det enskilda organets verksamhet finansieras med allmänna medel. Som exempel på enskilda organ som har förts in i bilagan till OSL kan nämnas Chalmers tekniska högskola aktiebolag och Hälsohögskolan i Jönköping AB (all verksamhet), Familjemedicinska institutet i Sverige, ideell förening (all verksamhet), och Stiftelsen för kunskaps- och kompetensutveckling (all verksamhet). I samband med att ett enskilt organ förs in i bilagan görs en bedömning av om sekretessregleringen behöver justeras med anledning av detta.

Som framgått ovan är det regeringens uppfattning att bestämmelserna om rätten att ta del av allmänna handlingar och uppgiftsskyldigheterna i 6 kap. 4 och 5 §§ OSL utgör sådana nationella föreskrifter om erhållande eller utlämnande av uppgifter som uppfyller de krav som uppställs i artikel

14.5c i dataskyddsförordningen. Ett utlämnande enligt dessa föreskrifter innebär därmed att informationsskyldigheten enligt artikel 14.1–4 inte blir aktuell. Detta gäller oavsett för vilket ändamål uppgifterna lämnas ut och alltså även när uppgifter lämnas ut för forskningsändamål. Någon särskild reglering av utlämnande av uppgifter för forskningsändamål behövs därför inte när det gäller uppgifter hos myndigheter och enskilda som jämställs med myndigheter. Regeringen instämmer således i Arbetsgivarverkets in- vändning med den skillnaden att regeringen anser att det inte heller behö- ver införas någon hänvisning till OSL i nationell rätt. Regeringen anser inte heller att det i nationell rätt behöver anges att artikel 14.1–4 i data- skyddsförordningen inte blir tillämplig i nu aktuella fall då det följer direkt av artikel 14.5 c.

För andra än utlämnande myndigheter och enskilda som jämställs med myndigheter finns vissa möjligheter till undantag enligt artikel 14.5 b

När ett utlämnande av uppgifter för forskningsändamål ska göras av något annat organ än en myndighet finns det andra bestämmelser än artikel 14.5 c som kan bli tillämpliga i enskilda fall. I artikel 14.5 b finns bestämmelser som anger att bestämmelserna om informationsskyldigheten i artikel 14.1– 4 inte ska tillämpas under vissa förutsättningar. Detta gäller i den mån tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för bl.a. forskningsändamål, eller i den mån den skyldighet som avses i artikel 14.1 sannolikt kommer att göra det omöjligt eller avsevärt försvårar upp-

112

fyllandet av målen med den behandlingen. I sådana fall ska den person- uppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet att göra upp- gifterna tillgängliga för allmänheten. Som nämns nedan kan bl.a. bestäm- melser om tystnadsplikt utgöra sådana lämpliga skyddsåtgärder.

Närmare om sekretess och tystnadsplikt som skyddsåtgärder

Som nämnts ovan gör regeringen, i likhet med utredningen, bedömningen att bestämmelser om sekretess och tystnadsplikt utgör lämpliga skyddsåt- gärder. Bestämmelser om sekretess finns i OSL och bestämmelser om tyst- nadsplikt för enskilda finns i en mängd lagar, t.ex. i patientsäkerhetslagen (2010:659), socialtjänstlagen (2001:453), skollagen (2010:800) och lagen (2003:389) om elektronisk kommunikation.

OSL är som nämnts tidigare ett omfattande regelverk. Lagen innehåller 44 kapitel och 20 av dessa innehåller bestämmelser till skydd för enskildas personliga eller ekonomiska förhållanden. Sekretess innebär enligt 3 kap. 1 § OSL ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. Sekretess in- nebär således både handlingssekretess och tystnadsplikt.

Forskare begär ofta ut uppgifter som omfattas av den s.k. statistiksekre- tessen enligt 24 kap. 8 § OSL. Detta är en av få bestämmelser som stadgar absolut sekretess. Sekretess gäller enligt bestämmelsen för sådan särskild verksamhet hos en myndighet som avser framställning av statistik för upp- gift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Dessutom gäller motsvarande sekretess i annan jämförbar undersökning i en mängd andra statliga aktörers verk- samhet (24 kap. 8 § andra stycket OSL och 7 § offentlighets- och sekre- tessförordningen [2009:641], OSF). Enligt dessa bestämmelser får dock uppgifter som behövs för forsknings- eller statistikändamål lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller någon när- stående till denne lider skada eller men. För att detta rekvisit ska vara upp- fyllt lämnas personuppgifter ofta ut för forskningsändamål i pseudonymi- serad form, vilket i sig utgör ett starkt integritetsskydd.

Av 11 kap. 3 § OSL framgår vidare att om en myndighet i sin forsk- ningsverksamhet får en sekretessreglerad uppgift från en annan myndig- het, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mot- tagande myndigheten.

Om en enskild forskare begär ut uppgifter kan uppgifter ofta lämnas ut med stöd av ett särskilt förbehåll enligt 14 kap. 3 § OSL. I den paragrafen anges att om en myndighet finner att sådan risk för skada, men eller annan olägenhet som enligt en bestämmelse om sekretess hindrar att en uppgift lämnas till en enskild kan undanröjas genom ett förbehåll som inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja den, ska myn- digheten göra ett sådant förbehåll när uppgiften lämnas till den enskilde. Den tystnadsplikt som uppkommer genom ett sådant förbehåll inskränker den rätt att meddela och offentliggöra uppgifter som följer av 1 kap. 1 § TF och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen (13 kap. 5 § andra stycket OSL).

I 14 kap. 2 § OSL upplyses om att det i brottsbalken finns bestämmelser om ansvar för den som bryter mot förbud enligt OSL att röja eller utnyttja

Prop. 2017/18:298

113

Prop. 2017/18:298 uppgift och för den som bryter mot förbehåll som har gjorts med stöd av lagen vid utlämnande av uppgift. I 20 kap. 3 § brottsbalken anges att om någon röjer någon uppgift, som han är pliktig att hemlighålla enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning, eller utnyttjar han olov- ligen sådan hemlighet, döms han eller hon, om inte gärningen är särskilt belagd med straff, för brott mot tystnadsplikt till böter eller fängelse i högst ett år. Den som av oaktsamhet begår sådan gärning döms till böter. I ringa fall skall dock ej dömas till ansvar. Detta straffstadgande gäller även vid brott mot tystnadsplikt i enskild verksamhet enligt andra författningar än OSL.

Regeringen anser således, till skillnad från Datainspektionen och Luleå kommun, att regler om sekretess och tystnadsplikt innefattar ett starkt in- tegritetsskydd och därmed är en sådan lämplig skyddsåtgärd som uppfyller kraven i artikel 14.5 c. Regeringen delar vidare inte Stockholms universi- tets uppfattning att rätten till tillgång till allmänna handlingar i varje si- tuation måste täcka in den rätt till information som den enskilde har rätt till enligt 14.1-4 för att undantaget i artikel 14.5 ska vara tillämpligt.

Vid godkännande enligt etikprövningslagen är det möjligt att ställa upp villkor om information till den registrerade

Att personuppgifter kan lämnas ut för att behandlas för forskningsändamål utan att artikel 14.1–4 i dataskyddsförordningen behöver tillämpas är ett undantag från informationsskyldigheten som tar sikte på den behandling som sker i samband med själva utlämnandet av personuppgifterna. Utred- ningen har föreslagit att det ska framgå av lagtexten att detta undantag inte ska hindra etikprövningsnämnderna från att i samband med ett godkän- nande enligt 6 § etikprövningslagen uppställa villkor om den information som ska lämnas till den registrerade i samband med personuppgiftsbe- handling för forskningsändamål. Ett sådant villkor syftar således på den personuppgiftsansvariges skyldigheter i samband med den behandling som ska ske efter ett etikgodkännande. De två föreslagna bestämmelserna riktar sig alltså till två olika mottagare, dels den som ska lämna ut uppgif- terna, dels etikprövningsnämnderna. Om etikprövningsnämnderna upp- ställer ett sådant villkor är det utredningens bedömning att det är fråga om en skyddsåtgärd för den registrerade.

114

Pensionsmyndigheten, som ställer sig tveksam till den tolkning som gjorts av undantagsbestämmelsen i artikel 14.5 c ovan, noterar att infor- mationsskyldigheten enligt artikel 14 åligger den personuppgiftsansvarige som samlar in personuppgifter, det vill säga mottagaren av uppgifterna och inte utlämnande myndighet. Det är korrekt att informationsskyldigheten enligt artikel 14 åligger den personuppgiftsansvarige som samlar in per- sonuppgifter. Undantaget i artikel 14.5 c tar dock uttryckligen sikte på så- väl föreskrifter om erhållande som utlämnande av uppgifter. Även den ut- lämnande myndigheten kan ha fått uppgifterna från annat håll än den re- gistrerade. Vidare har forskningsutföraren rätt att ta del av allmänna hand- lingar respektive uppgifter i allmänna handlingar enligt TF och OSL, dvs. det är fråga om föreskrifter om erhållande av uppgifter. Enligt artikel 14.5 c ”ska” punkterna 1–4 inte tillämpas om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en

medlemsstats nationella rätt som den registrerade omfattas av och som Prop. 2017/18:298 fastställer lämpliga åtgärder för att skydda den registrerades berättigade

intressen. Frågan är då om det är möjligt för etikprövningsnämnderna att uppställa villkor om information till den registrerade i samband med ett godkännande enligt 6 § etikprövningslagen eller om artikel 14.5 c utgör ett hinder för uppställandet av ett sådant villkor? Regeringen, som delar utredningens uppfattning att ett sådant villkor utgör en skyddsåtgärd för den registrerade, anser att det är möjligt för etikprövningsnämnderna att uppställa ett sådant villkor om de bedömer att det är en lämplig skyddsåt- gärd enligt artikel 89.1. Regeringen anser därför att något förtydligande om att etikprövningsnämnderna är oförhindrad att i att i samband med ett godkännande enligt 6 § etikprövningslagen uppställa villkor om den infor- mation som ska lämnas till den registrerade i samband med personupp- giftsbehandling för forskningsändamålet inte bör införas i svensk rätt.

Sammanfattande bedömning

Det är sammanfattningsvis regeringens uppfattning att det redan finns bestämmelser som möjliggör utlämnande av uppgifter till forskning såväl i dataskyddsförordningen som i svensk rätt. Regeringen anser i likhet med utredningen att 12 § etikprövningslagen bör upphävas. Till skillnad från utredningen anser dock regeringen att det inte bör införas nya bestämmel- ser om utlämnande av uppgifter för forskningsändamål i nationell rätt. Re- geringen gör vidare bedömningen att en etikprövningsnämnd har möjlig- het att i samband med ett etikgodkännande uppställa villkor om lämnande av information till den registrerade om nämnden bedömer att det är en lämplig skyddsåtgärd enligt artikel 89.1.

13.3Bör det föreskrivas undantag från rätten till till- gång?

13.3.1Om innehållet i rättigheten

Den registrerade har enligt artikel 15 i dataskyddsförordningen rätt att av den personuppgiftsansvarige få bekräftelse på om personuppgifter som rör denne håller på att behandlas och i så fall få tillgång till personuppgifterna samt information om ändamålen med behandlingen, de kategorier av per- sonuppgifter som behandlingen gäller m.m. Denna rättighet benämns i förordningen som en ”rätt till tillgång”. Motsvarande rättighet i data- skyddsdirektivet och PUL har benämnts som en rätt till registerutdrag.

Rättigheten innebär att den personuppgiftsansvarige på begäran av den registrerade ska bekräfta om personuppgifter behandlas och i så fall förse denne med en kopia av uppgifterna, samt viss angiven information om be- handlingen. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat och detta inte inverkar menligt på andras rättigheter och fri- heter. Rättigheten bör kunna utövas av den registrerade med rimliga inter- vall.

115

Prop. 2017/18:298 Om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess upprepade art, får den personuppgiftsansvarige ta ut en rimlig avgift eller vägra att tillmötesgå begäran. Det är den personuppgiftsansvarige som ska kunna visa att begäran är uppenbart ogrundad eller orimlig (arti- kel 12.5).

En motsvarande rättighet reglerades i artikel 12 i dataskyddsdirektivet och genomfördes genom 26 § PUL. Dataskyddsförordningens reglering innebär, i jämförelse med dessa bestämmelser, en utökad rätt till information om följande: lagringstid, rätten till rättelse, radering, be- gränsning av behandling och invändning mot behandling, rätten att inge klagomål till en tillsynsmyndighet samt vissa uppgifter vid överföring till tredjeland. Bestämmelserna i artikel 12 i dataskyddsförordningen om i vilken form informationen ska lämnas samt vilka åtgärder som kan vidtas vid en begäran som är ogrundad eller orimlig är nya i förhållande till nu- varande reglering.

Enligt dataskyddsförordningen ska den personuppgiftsansvarige på be- gäran, utan onödigt dröjsmål och under alla omständigheter senast en må- nad efter att ha mottagit begäran tillhandahålla den registrerade informa- tion om de åtgärder som vidtagits. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen (artikel 12.3).

Någon motsvarande angiven tidsgräns fanns inte angiven i dataskydds- direktivet, som endast angav att informationen skulle ges utan större tids- utdräkt. När bestämmelsen genomfördes i 26 § PUL angavs att informa- tion skulle lämnas inom en månad efter ansökan, eller fyra månader om särskilda skäl fanns.

13.3.2Det bör inte föreskrivas undantag från rätten till tillgång

Regeringens bedömning: Något undantag från den registrerades rätt till tillgång enligt EU:s dataskyddsförordning vid behandling av per- sonuppgifter för forskningsändamål bör inte föreskrivas i svensk rätt.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot utredningens bedömning.

Vetenskapsrådet delar inte utredningens uppfattning att den registrera- des rätt till tillgång alltid bör respekteras när forskaren inte har uppgift om forskningspersonens identitet men kan identifiera denne med hjälp av kompletterande information som forskningspersonen själv lämnar. I många forskningsprojekt, särskilt i de som bygger på registerbaserad in- formation, saknar den som utför forskningen uppgift om vilka forsknings- personerna är. Vetenskapsrådet anser att detta är en del av det integritets- skydd som finns för forskningspersonerna och är av betydelse för att forsk-

116

ningen ska kunna utföras på ett objektivt och opartiskt sätt. Vetenskapsrå- det saknar en analys av vad möjligheten till registerutdrag i dessa situa- tioner får för konsekvenser för forskningsutföraren, för den forskningsper- son som vill få tillgång till uppgifterna och för de övriga forskningsperso- ner som kan komma att behöva identifieras för att ge den som efterfrågar det tillgång. Vetenskapsrådet saknar en djupare analys av varför utred- ningen föreslår att möjligheten till undantag från rätten till tillgång inte ska utnyttjas.

Göteborgs universitet har anfört att utredningens tolkning, att den per- sonuppgiftsansvarige skulle kunna neka den registrerade tillgång i de fall som uppgifterna är pseudonymiserade, strider mot den gängse tolkningen där uppgifter fortsatt utgör personuppgifter så länge som det är möjligt att koppla en person till en uppgift. Göteborgs universitet konstaterar att pseudonymisering innebär att det de facto med hjälp av en kodnyckel är möjligt att koppla ihop individ till uppgift. Kodnyckeln kan förvaras såväl hos den personuppgiftsansvarige som hos någon annan. Oavsett detta för- ändras inte statusen avseende uppgifterna och uppgifterna utgör fortsatt personuppgifter. Forskningsaktören kan alltid, i de fall som kodnyckeln är förvarad hos annan offentlig forskningsaktör, begära tillgång till specifik kodnyckel med hänvisning till offentlighetsprincipen. Om det efter sekre- tessprövning skulle visa sig att det saknas stöd för ett nekande i utlämnan- defrågan ska kodnyckeln skyndsamt lämnas ut i enlighet med gängse reg- ler. Det finns således långtgående rättsliga möjligheter för forskningsaktö- ren att ges tillgång till kodnyckeln. Detta lämnar utrymme för frågor i vad mån den registrerade vid en förfrågan om rätt till tillgång (registerutdrag) kan ställa krav på att forskningsaktören ska vidta de beskrivna åtgärderna för att tillmötesgå den registrerade i fråga om rätt till tillgång. I de fall som kodnyckeln är förvarad av forskningsaktören själv, finner universitetet, att det i realiteten inte finns något hinder för identifiering av den registrerade i fråga om rätt till tillgång.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig delar bedömningen eller har inget att invända. Statistiska centralbyrån re- kommenderar att de resonemang som förs kring rätten till tillgång avse- ende pseudonymiserade uppgifter i de fall kodnyckel finns bevarad hos den personuppgiftsansvarige förtydligas då avsnittet är svårtolkat.

Läkemedelsindustriföreningen (LIF) håller med om att det kan tänkas inverka negativt på klinisk forskning eller den registrerade, om den re- gistrerade kan få tillgång till de uppgifter som behandlas. LIF anser dock att lagstiftaren borde tydliggöra att all utlämning av information till den registrerade bör vara undantagen från informationsrätten vid klinisk forsk- ning eftersom sådan utlämning alltid riskerar integriteten i studien (och därmed dess vetenskapliga värde). En personuppgiftsansvarig kan visser- ligen motsätta sig utlämning med hänvisning till att denne inte känner till vilka personuppgifter som härrör till den registrerade eftersom uppgifterna i en klinisk läkemedelsprövning alltid är kodade (se artikel 11.2 i GDPR), men vad händer om den registrerade först vänder sig till behandlande lä- kare och begär att få ut kodnyckeln och sedan till läkemedelsföretaget med tillhandahållande av kodnyckeln och begär att få ut sina uppgifter, undrar LIF.

Prop. 2017/18:298

117

Prop. 2017/18:298

Skälen för regeringens bedömning: Rätten till tillgång gäller inte om

 

den personuppgiftsansvarige kan visa att denne inte kan identifiera den

 

registrerade, vilket torde vara vanligt när personuppgiftsbehandling sker

 

med pseudonymiserade, eller på annat sätt kodade, uppgifter. Pseudony-

 

misering är, som framgår av avsnitt 9, en central skyddsåtgärd vid person-

 

uppgiftsbehandling för forskningsändamål. I många fall när den person-

 

uppgiftsansvarige behandlar personuppgifter för forskningsändamål och

 

inte kan identifiera den registrerade för att kunna lämna ett registerutdrag

 

kommer denne således inte heller att vara skyldig att göra det, i enlighet

 

med den direkt tillämpliga artikel 11. Vetenskapsrådet och Göteborgs uni-

 

versitet har som skäl för ett undantag från rätten till tillgång anfört att den

 

personuppgiftsansvarige har långtgående möjligheter att identifiera den

 

registrerade även om uppgifterna är pseudonymiserade eftersom kod-

 

nyckeln finns kvar. Kodnyckeln kan förvaras såväl hos forskningshuvud-

 

mannen som hos annan aktör, t.ex. en registerhållande myndighet. I båda

 

fallen krävs dock att kodnyckeln förvaras separerat från de pseudonymi-

 

serade personuppgifterna.

 

Av artikel 11 i förordningen framgår att om de personuppgifter som be-

 

handlas av den personuppgiftsansvarige inte gör det möjligt för denne att

 

identifiera en fysisk person, bör den personuppgiftsansvarige inte vara

 

tvungen att skaffa ytterligare information för att kunna identifiera den re-

 

gistrerade om ändamålet endast är att följa någon av bestämmelserna i

 

denna förordning. Den personuppgiftsansvarige ska därmed inte vara skyl-

 

dig att inhämta ytterligare uppgifter för att identifiera den registrerade

 

utöver de pseudonymiserade uppgifter som behandlas. I de fall kodnyckeln

 

finns hos den personuppgiftsansvarige blir det dock inte fråga om ett be-

 

hov av att inhämta ytterligare information, även om uppgifterna hålls se-

 

parerade. I ett sådant fall har den personuppgiftsansvarige den information

 

som behövs för att kunna identifiera den registrerade och kan tillgodose

 

den registrerades rätt till tillgång. Det är regeringens uppfattning att det i

 

dessa fall inte finns något behov av att göra undantag från rätten till till-

 

gång.

 

I andra situationer, där den personuppgiftsansvarige kan identifiera den

 

enskilde vars uppgifter behandlas, eller när en sådan identifiering kan ske

 

med hjälp av kompletterande uppgifter som den enskilde tillhandahåller i

 

samband med att denne utövar sin rättighet, gör regeringen, till skillnad

 

från Vetenskapsrådet, bedömningen att denna rättighet kan och bör respek-

 

teras. Ett utövande av rättigheten kan i dessa situationer inte anses göra det

 

omöjligt eller mycket svårare att uppfylla forskningsändamålet och där-

 

med motivera ett undantag enligt kraven i artikel 89.2. Det är också rege-

 

ringens uppfattning att rätten till tillgång är en viktig central rättighet som

 

ger den registrerade kontroll över sina uppgifter och att den därför bör

 

respekteras.

 

I samband med t.ex. klinisk forskning kan det dock tänkas att det kan

 

inverka negativt på antingen forskningen eller den registrerade om denne

 

kan få tillgång till de uppgifter som behandlas, vilket också framhålls av

 

Läkemedelsindustriföreningen. Så kan exempelvis vara fallet i samband

 

med etablerade eller misstänkta medicinska diagnoser eller värden på pro-

 

ver som den registrerade är omedveten om med anledning av pågående

 

behandling eller den registrerades allmänna välbefinnande. Sådana upp-

118

gifter omfattas som regel av sekretess med stöd av 25 kap. OSL. Den

enskilde har t.ex. i motsvarande situation i samband med sjukvård inte all- Prop. 2017/18:298 tid en ovillkorlig rätt att få tillgång till sina egna uppgifter om det med

hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas ut till denne (25 kap. 6 § OSL). Får en myndighet i sin forskningsverksamhet en sekretessreglerad uppgift från en annan myndighet blir sekretessbestämmelsen tillämplig på uppgiften även hos forskningsutföraren (11 kap. 3 § OSL). Att det enligt 18 kap. 9 § OSL kan gälla sekretess för t.ex. en kodnyckel om den används för att pseudonymi- sera sekretessbelagda uppgifter har vidare redovisats i avsnitt 9.4.

I dataskyddslagen finns ett undantag från rätten till tillgång enligt arti- kel 15 som är tillämpligt i dessa fall. Enligt 5 kap. 1 § dataskyddslagen ska artiklarna 13–15 inte gälla sådana uppgifter som den personupp- giftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Undantaget ska även gälla för personuppgiftsansvariga som inte är myndigheter vad gäller sådana uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt OSL.

Dataskyddslagens bestämmelser är tillämpliga även vid personuppgifts- behandling för forskningsändamål om inget annat framgår av annan för- fattning. Detta innebär att i de fall sekretess gäller kommer undan- tagsbestämmelsen enligt dataskyddslagen att vara tillämplig även vid be- handling för forskningsändamål och skyldigheten att ge den registrerade tillgång till information begränsas därmed. Något särskilt undantag för personuppgiftsbehandling för forskningsändamål behövs därför inte i detta sammanhang. Till skillnad från Läkemedelsindustriföreningen anser rege- ringen att detta gäller även vid klinisk forskning.

Regeringen anser sammanfattningsvis att något undantag från rätten till tillgång vid personuppgiftsbehandling för forskningsändamål inte ska in- föras i svensk rätt utan att det generella undantag som finns i 5 kap. 1 § dataskyddslagen är tillräckligt.

13.4Bör det föreskrivas undantag från rätten till rättelse?

13.4.1Om innehållet i rättigheten

Vid all behandling av personuppgifter ska uppgifterna vara riktiga och, om nödvändigt, uppdaterade (artikel 5.1 d i dataskyddsförordningen). Enligt artikel 16 har den registrerade rätt att få felaktiga personuppgifter som rör denne rättade utan onödigt dröjsmål samt att, med beaktande av ändamålet med behandlingen, få ofullständiga personuppgifter kompletterade, bl.a. genom att tillhandahålla ett kompletterande utlåtande (rätten till rättelse).

Även enligt dataskyddsdirektivet (artikel 6.1 d) och PUL (9 § g) krävdes att de personuppgifter som behandlades var riktiga och, om det var nöd- vändigt, aktuella. Det fanns även en rätt till rättelse i artikel 12 b i data- skyddsdirektivet, vilken genomfördes i PUL. Enligt denna reglering var den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte be- handlats i enlighet med PUL eller föreskrifter som utfärdats med stöd av

119

Prop. 2017/18:298 PUL (28 §). Den nämnda rätten enligt dataskyddsförordningen för den re- gistrerade att komplettera ofullständiga uppgifter genom exempelvis ett kompletterande yttrande är således ny i förhållande till tidigare reglering.

Den tidigare rätten i 28 § PUL att utplåna uppgifter motsvaras i data- skyddsförordningen av rätten till radering av uppgifter (rätten att bli bort- glömd) i artikel 17 dataskyddsförordningen. Den tidigare rätten i 28 § PUL att blockera uppgifter motsvaras i dataskyddsförordningen av rätten till begränsning av behandling i artikel 18 dataskyddsförordningen. Frågan om sistnämnda rätt ska begränsas behandlas i avsnitt 13.5.

13.4.2Det bör inte föreskrivas undantag från rätten till rättelse

Regeringens bedömning: Något undantag från den registrerades rätt till rättelse enligt EU:s dataskyddsförordning vid behandling av person- uppgifter för forskningsändamål bör inte föreskrivas i svensk rätt.

Utredningens förslag överensstämmer inte med regeringens bedöm- ning. Utredningen har föreslagit att den registrerades rätt till rättelse inte ska gälla för sådana personuppgifter som behandlats för forskningsända- mål när personuppgifterna endast bevaras i syfte att dokumentera utförd forskning.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Bland dessa åter- finns Vinnova, Kungl. Vetenskapsakademien och Sveriges Kommuner och Landsting.

Riksarkivet ser positivt på förslaget om undantag från rätten till rättelse för personuppgifter som behandlats för forskningsändamål när personupp- gifterna endast bevaras i syfte att dokumentera utförd forskning. För att tydliggöra skillnaden mellan regleringen i dataskyddsförordningen och den arkivrättsliga regleringen föreslår Riksarkivet att termen bevaras i förslaget till forskningsdatalag ersätts med behandlas.

Stockholms universitet instämmer i utredningens förslag, men noterar samtidigt att det kommer att kräva en infrastruktur för lagring av data som möjliggör verifiering vid olika tidpunkter som flertalet lärosäten inte äger i dagsläget. Universitetet anser att kostnaden för anskaffning av sådan infrastruktur bör beaktas i analysen av de ekonomiska konsekvenserna av utredarens förslag. Stockholms universitet noterar vidare att motsvarande diskussion av rätten att bli raderad saknas i betänkandet. Det framstår dock som uppenbart att även rätten att bli raderad måste sättas i relation till be- hovet av att kunna verifiera forskningsresultat och att bevara material i syfte att uppnå nya, framtida forskningsresultat. Universitetet föreslår där- för att sådana behov tydligt ska framhållas av lagstiftaren i förarbetena till och innehållet i den nationella lagstiftningen.

Pensionsmyndigheten har inte funnit anledning att avstyrka utred- ningens förslag men anser att följande kan beaktas under den fortsatta be- redningen. När det gäller rätten till rättelse noterar Pensionsmyndigheten att det följer redan av artikel 5 i förordningen att den personuppgiftsansva- rige ska se till att personuppgifter som behandlas är korrekta och, om nöd-

120

vändigt, uppdaterade. Förordningen lämnar inte något utrymme för nat- ionella undantag från principen om korrekthet, varför ett undantag från artikel 16 inte fråntar den personuppgiftsansvarige ansvaret för att vidta åtgärder för att se till att felaktiga uppgifter rättas eller raderas. Pensions- myndigheten anser således att det föreslagna undantaget i praktiken kan antas få liten eller ingen betydelse för de personuppgiftsansvariga.

Göteborgs universitet konstaterar att den aktuella lagstiftningen är sub- sidiär till arkivlagstiftningen vilket innebär att en sådan regel måste anses vara överflödig. Kungl. Tekniska högskolan (KTH) anser att formuleringen ”… dokumentera utförd forskning” är något missvisande. Även om inten- tionen är att inte göra någon åtskillnad mellan privat- och offentlig sektor, bör ett förtydligande göras att detta inte gäller för myndigheter. De typfall som utredningen beskriver avser när ett forskningsprojekt är avslutad. För en forskningsaktör inom den offentliga sektorn kan handlingarna bli arki- verade.

Regionala etikprövningsnämnden i Uppsala ställer sig tveksam till för- slaget om att den registrerades rätt till rättelse av personuppgifter begrän- sas i den föreslagna forskningsdatalagen. Den registrerades intressen i nämnda avseenden bör kunna tillvaratas utan att detta påverkar syftet med forskningen i någon mer beaktansvärd utsträckning. Datainspektionen avstyrker de förslag som rör undantag från de registrerades rättigheter. Ut- redningen brister då den endast beskriver de behov som de som bedriver forskning har, utan att analysera eventuella nackdelar eller risker som förslaget innebär. Om lagstiftaren begränsar de registrerades rättigheter så ska lagstiftaren även specificera lämpliga skyddsåtgärder för de registre- rade.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig delar bedömningen eller har inget att invända. Karolinska institutet noterar att effekten av regeringens bedömning att det inte bör föreskrivas något undantag från den registrerades rätt till rättelse vid behandling av person- uppgifter för forskningsändamål är att det kommer att krävas att forsk- ningsutföraren inför en rutin som säkerställer arkivering av data så snart en forskningsstudie används som underlag för en publikation. Karolinska institutet noterar vidare, i likhet med Stockholms universitet, att det kom- mer att behövas en infrastruktur för arkivering av data som möjliggör ver- sionskontrollhantering och spårning av ändringar. Detta är något som fler- talet lärosäten inte äger i dagsläget. Regeringen bör överväga om ett upp- drag ska ges till någon myndighet i syfte att underlätta övergång till data- hantering i en sådan infrastruktur, t.ex. genom instruktioner till de myn- digheter som berörs.

Stockholms universitet framhåller att i förslaget saknas regler som fast- ställer undantag från artikel 16 om registrerades rätt till rättelse. En sådan regel är obehövlig enligt regeringen, eftersom de registrerade ändå inte har rätt till rättelse vad gäller arkiverade forskningsdata, till följd av undanta- get för arkiv (s. 107). Möjligheten till undantag från artikel 16 i förord- ningen är dock vidare än så och omfattar även undantag från den enskildes rätt till rättelse under pågående forskning. Framställningar om rättelser av personuppgifter som ligger till grund för forskning kan inverka menligt på

Prop. 2017/18:298

121

Prop. 2017/18:298 förutsättningarna att bedriva forskning och forskarnas möjlighet att för- foga över sitt material. Frågan aktualiseras såväl vid kvantitativ forskning med stora datamängder som vid kvalitativ forskning, där förändringar i enskilda uppgifter kan spela stor roll. I synnerhet gäller detta om begäran om rättelse inkommer i ett skede då delar av analysen redan utförts. Stock- holms universitet anser inte att rätten till rättelse i dessa sammanhang är av så stor vikt för individen att det motiverar att avstå från att utnyttja de möjligheter till inskränkning som föreskrivs.

Skälen för regeringens bedömning: Om personuppgifter behandlas för forskningsändamål får det, som framgått, enligt artikel 89.2 i dataskydds- förordningen föreskrivas undantag från rätten till rättelse. Detta får emel- lertid bara göras i den utsträckning som en sådan rättighet sannolikt kom- mer att göra det omöjligt eller mycket svårare att uppfylla forskningsän- damålet och sådana undantag krävs för att uppnå forskningsändamålet.

Utredningens argument för det föreslagna undantaget är att uppgifter som har behandlats för forskningsändamål och endast bevaras i syfte att dokumentera utförd forskning ska undantas från rätten till rättelse för att möjliggöra verifiering av forskningsresultat i arkiverat forskningsmaterial. Personuppgifter som löpande lagras och behandlas för forskningsändamål ska enligt utredningen inte omfattas av undantaget. Det är regeringens uppfattning att granskning av utförd forskning och bevarande av arkiverat forskningsmaterial inte innefattas i personuppgiftsbehandling för forsk- ningsändamål så som avsetts i dataskyddsförordningen. Regeringen anser, i likhet med Göteborgs universitet och KTH, att den behandling av person- uppgifter som åsyftas i utredningens förslag snarare är för arkivändamål. Behandling av personuppgifter för arkivändamål av allmänt intresse och de krav som finns i svensk rätt på bevarande för att tillgodose bl.a. forsk- ningens behov, samt regeringens bedömningar och förslag i detta samman- hang, behandlas närmare i propositionen Ny dataskyddslag (prop. 2017/18:105).

När det gäller Stockholms universitets synpunkt att motsvarande diskus- sion kring begränsning av rätten att bli raderad saknas i betänkandet kan regeringen konstatera att det följer av artikel 89.2 att det inte föreligger någon möjlighet att begränsa den registrerades rätt att blir raderad vid be- handling av personuppgifter för forskningsändamål i nationell rätt, utöver vad som redan framgår av det direkt tillämpliga undantaget i artikel 17.3 d, dvs. rätten att bli raderad ska inte gälla i den utsträckning som behand- lingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt artikel 89.1, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöj- liggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.

När det gäller den bedömning som har gjorts i det remitterade utkastet till lagrådsremiss påpekar Stockholms universitet att rätten till rättelse om- fattar även undantag från den enskildes rätt till rättelse under pågående forskning. Framställningar om rättelser av personuppgifter som ligger till grund för forskning kan enligt Stockholms universitet inverka menligt på förutsättningarna att bedriva forskning och forskarnas möjlighet att för- foga över sitt material. Stockholms universitet anser inte att rätten till rät- telse i dessa sammanhang är av så stor vikt för individen att det motiverar att avstå från att utnyttja de möjligheter till inskränkning som föreskrivs.

122

Som Pensionsmyndigheten påpekar gäller enligt artikel 5 i dataskydds- Prop. 2017/18:298 förordningen som en grundläggande princip för behandling av personupp-

gifter att uppgifterna ska vara riktiga och om nödvändigt uppdaterade. Den personuppgiftsansvarige har ett ansvar enligt artikeln att vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhål- lande till de ändamål för vilka de behandlas raderas eller rättas utan dröjs- mål. Denna princip måste följas även av forskningsutförare och under på- gående forskning. Den gäller alltså uppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas. Det ligger i forskningens intresse att den baseras på uppgifter som är riktiga för att de resultat som den re- sulterar i ska bli rättvisande och rätt slutsatser kunna dras. I vissa fall är t.ex. avsikten med en behandling att registrera uppgifter som kommit in. De behandlade uppgifterna kan då anses riktiga, i dataskyddsförord- ningens mening, om de stämmer överens med de inkomna uppgifterna oavsett hur dessa lämnade uppgifter förhåller sig till verkliga förhållanden. Det är i sådana situationer positivt även för forskningen att den registre- rade kan begära rättelse av uppgifter som har förvanskats under den be- handling som utförts inom ramen för forskningsprojektet. Rätten till rät- telse enligt artikel 16 gäller uppgifter som är felaktiga. Som Forsknings- datautredningen konstaterar kan det föreligga olika uppfattningar mellan den personuppgiftsansvarige och den registrerade om vad som är en riktig uppgift. Om den personuppgiftsansvarige är en myndighet kan ett beslut där myndigheten tagit ställning till en begäran om rättelse överklagas till allmän förvaltningsdomstol (7 kap. 2 § dataskyddslagen). Är det en privat forskningsutförare kan den registrerade ge in ett klagomål till tillsynsmyndigheten som bl.a. har befogenheten att förelägga om rättelse (artikel 58.2 g dataskyddsförordningen). Att den registrerade har en rätt till rättelse och utnyttjar den kan påverka bedrivandet av forskning. Förutsättningen för att ett undantag från rättigheten ska kunna föreskrivas i nationell rätt är dock enligt artikel 89.2 i dataskyddsförordningen att rät- tigheten sannolikt skulle göra det omöjligt eller mycket svårare att uppfylla ändamålen med behandlingen av personuppgifter, dvs. forskningsändamå- let, och undantag krävs för att uppnå ändamålet. Även om rättigheten som Stockholms universitet påpekar kan påverka bedrivandet av forskning är det regeringens bedömning att forskningen inte påverkas i sådan grad att förutsättningarna för att införa ett undantag är uppfyllda. Regeringen an- ser vidare att rätten till rättelse är av vikt för att den registrerade ska kunna ta till vara sina intressen. Regeringen anser därför att något undantag från rätten till rättelse vid personuppgiftsbehandling för forskningsändamål inte ska införas i svensk rätt.

13.5Bör det föreskrivas undantag från rätten till begränsning av behandling?

13.5.1Om innehållet i rättigheten

Den registrerade har enligt artikel 18.1 rätt att av den personuppgiftsansva- rige kräva att behandlingen begränsas om en av följande fyra förutsätt-

123

Prop. 2017/18:298 ningar är uppfyllda: a) den registrerade bestrider personuppgifternas rik- tighet, under en tid som ger den personuppgiftsansvarige möjligheten att kontrollera om personuppgifterna är riktiga, b) behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning, c) den personuppgiftsansva- rige behöver inte längre personuppgifterna för ändamålen med behand- lingen men den registrerade behöver dem för att kunna fastställa, göra gäl- lande eller försvara rättsliga anspråk eller d) den registrerade har invänt mot behandling i enlighet med artikel 21.1, i väntan på kontroll av huru- vida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.

Med begränsning av behandling avses enligt artikel 4.3 markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden.

Rätten till begränsning av behandling syftar till att skydda den registre- rades rättigheter eller övriga intressen vid felaktig eller misstänkt felaktig behandling. Genom att få personuppgiftsbehandlingen begränsad kan även den registrerade begränsa skadan av sådan behandling. Punkterna a och d i artikel 18.1 har det gemensamt att den registrerade vill utöva en annan rättighet (rätt till rättelse respektive rätt att göra invändningar), vilken krä- ver av den personuppgiftsansvarige att denne ska kontrollera om en sådan rätt föreligger i det konkreta fallet. Punkterna b och c i samma artikel ger i stället den registrerade vissa möjligheter att hindra den personuppgifts- ansvarige från att radera uppgifterna.

Av artikel 18.2 framgår att om behandlingen har begränsats enligt arti- kel 18.1 får sådana personuppgifter, med undantag för lagring, endast be- handlas med den registrerades samtycke eller för att fastställa, göra gäl- lande eller försvara rättsliga anspråk eller för att skydda någon annan fy- sisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt all- mänintresse för unionen eller för en medlemsstat.

Rätten enligt artikel 18 till begränsning av behandling har ersatt den åt- gärd som enligt artikel 12 b i dataskyddsdirektivet benämndes som blockering och som genomfördes genom 28 § PUL (samt definierades i 3 § samma lag). I förhållande till dataskyddsdirektivet innebär artikel 18 en utvidgad rättighet för den registrerade.

 

13.5.2

Det bör inte föreskrivas undantag från rätten till

 

 

begränsning av behandling

 

 

 

Regeringens bedömning: Något undantag från den registrerades rätt

 

till begränsning av behandling enligt EU:s dataskyddsförordning vid

 

behandling av personuppgifter för forskningsändamål bör inte föreskri-

 

vas i svensk rätt.

 

Utredningens förslag överensstämmer inte med regeringens bedöm-

 

ning. Utredningen har föreslagit att när personuppgifter behandlas för

 

forskningsändamål ska den registrerade inte ha rätt till begränsning av be-

 

handling när denne bestrider uppgifternas korrekthet under den utred-

 

ningstid som krävs för att kontrollera om personuppgifterna är korrekta.

124

Den registrerade ska inte heller ha rätt till begränsning av behandling när

 

 

denne invänder mot behandlingen i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrera- des berättigade skäl. Dessa begränsningar ska enbart gälla under förutsätt- ning att utövande av denna rätt medför att forskningen inte kan utföras, eller på ett avgörande sätt försenas eller försvåras.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot förslaget. Vinnova ser posi- tivt på det föreslagna undantaget från rätten till begränsning av behandling. Dock är Vinnova angelägen om att det föreslagna undantaget inte är ett generellt undantag utan ska prövas av personuppgiftsansvarig i varje en- skilt fall för att säkerställa att kraven för nyttjande av undantaget är upp- fyllda enligt utredningens intention.

Pensionsmyndigheten har inte funnit anledning att avstyrka utred- ningens förslag men anser att följande kan beaktas under den fortsatta be- redningen. Rätten till begränsning av behandling bör för den personupp- giftsansvarige i praktiken innebära ett incitament att se till att den person- uppgiftsbehandling som utförs lever upp till förordningens krav. Pensions- myndigheten anser att rätten till begränsning fyller en viktig funktion i skyddet av enskildas rättigheter och friheter vid behandling av personupp- gifter, samtidigt som rättigheten har en väldigt liten påverkan på sådan be- handling av personuppgifter som utförs i enlighet med förordningens krav.

Regionala etikprövningsnämnden i Uppsala ställer sig tveksam till för- slaget. Den registrerades intressen i nämnda avseende bör kunna tillvaratas utan att detta påverkar syftet med forskningen i någon mer beaktansvärd utsträckning. Sveriges Kommuner och Landsting (SKL) anser att det kan finnas vissa tolkningssvårigheter beträffande vad som ska förstås med att forskningen försenas eller försvåras när det gäller inskränkningar i den re- gistrerades rätt under själva behandlingen och kontroll av personuppgifter i forskningen. Förbundet anser därför att denna fråga bör klarläggas ytter- ligare.

Malmö högskola anser att det föreslås en begränsning av den registrera- des rätt med hänvisning till artikel 89.2 i förordningen men utan att ta hän- syn till kraven i artikel 89.1. Datainspektionen avstyrker förslagen i forsk- ningsdatalagen som rör undantag från de registrerades rättigheter. Utred- ningen brister då den endast beskriver de behov som de som bedriver forskning har, utan att analysera eventuella nackdelar eller risker som förslaget innebär. Om lagstiftaren begränsar de registrerades rättigheter så ska lagstiftaren även specificera lämpliga skyddsåtgärder för de registre- rade.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Ingen av de remissinstanser som yttrat sig har kommenterat bedömningen specifikt.

Skälen för regeringens bedömning

Det saknas rättsliga förutsättningar för att föreskriva undantag från rätten till begränsning av behandling enligt artikel 18.1 b och c

Enligt artikel 18 b har den registrerade rätt att kräva av den personupp- giftsansvarige att behandlingen begränsas om behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället

Prop. 2017/18:298

125

Prop. 2017/18:298 begär en begränsning av deras användning. Enligt punkt c i samma artikel har den registrerade rätt att kräva att behandlingen begränsas om den per- sonuppgiftsansvarige inte längre behöver personuppgifterna för ändamå- len med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. Att hindra den per- sonuppgiftsansvarige från att radera uppgifterna, när denne annars skulle ha gjort det, torde inte göra det omöjligt eller mycket svårare att uppnå ändamålet med behandlingen, vilket utgör en förutsättning för att få göra undantag från rättigheten (artikel 89.2). Regeringen bedömer därför att det saknas rättsliga förutsättningar för att införa ett undantag från rätten till begränsning av behandling i fall som avses i artikel 18.1 b och c.

Det finns inget behov av att föreskriva undantag från rätten till begränsning av behandling enligt artikel 18.1 a och d

Enligt artikel 18.1 a har den registrerade rätt att kräva av den personupp- giftsansvarige att behandlingen begränsas om den registrerade bestrider personuppgifternas riktighet, under en tid som ger den personuppgifts- ansvarige möjligheten att kontrollera om personuppgifterna är riktiga. Den registrerades rätt till rättelse är mycket långtgående enligt dataskydds- förordningen och innebär bland annat en grundläggande skyldighet att utan dröjsmål rätta felaktiga uppgifter, varför den period som den person- uppgiftsansvarige behöver för att kontrollera om uppgifterna är riktiga torde vara högst begränsad. Ett utövande av rättigheten kommer därför sannolikt inte att omöjliggöra eller kraftigt försvåra ett uppfyllande av forskningsändamålet som sådant. Något behov av att föreskriva ett undan- tag från rätten att begränsa behandling för forskningsändamål enligt artikel 18.1 a finns därmed inte.

Enligt artikel 18.1 d har den registrerade rätt att kräva att behandlingen begränsas om den registrerade har invänt mot behandling i enlighet med artikel 21.1, i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl. Enligt sistnämnda artikel har den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grun- dar sig på artikel 6.1 e (uppgift av allmänt intresse eller led i myndighets- utövning) eller f (intresseavvägning), inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får i så fall inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Av artikel 21.6 framgår dock att om personuppgifterna behandlas för bl.a. vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av all- mänt intresse.

Som regeringen närmare utvecklar i avsnitt 13.6.2 bedömer regeringen att det inte finns något behov av att begränsa den registrerades rätt att in-

126

vända mot behandling enligt artikel 21.1 då det redan av artikel 21.6 fram- Prop. 2017/18:298 går att den registrerades rätt att invända mot behandling för forskningsän-

damål inte gäller om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Som framgår av avsnitt 7.2.2 är forskning som utförs av statliga universitet och högskolor och andra myndigheter normalt reglerad på ett sådant sätt att det är fråga om en uppgift av allmänt intresse i den mening som avses i artikel 6.1 e. Vidare görs i det avsnittet bedöm- ningen att forskning som utförs med stöd av ett godkännande enligt etik- prövningslagen och/eller tillstånd som krävs enligt annan lag också är att anse som en uppgift av allmänt intresse enligt artikel 6.1 e. Forskning som inte anses utgöra uppgift av allmänt intresse enligt nämnda artikel och som inte avser känsliga personuppgifter eller uppgifter om lagöverträdelser, och som därmed inte kräver tillstånd enligt lag, kan även utföras med sam- tycke som rättslig grund (artikel 6.1 a). Enligt regeringens bedömning är det därför ett begränsat antal personuppgiftsbehandlingar som kommer att komma ifråga för en sådan avvägning mellan den personuppgiftsansvari- ges tvingande berättigade skäl för behandlingen och den registrerades intressen enligt artikel 21.1. Den personuppgiftsansvariges kontroll av om dennes tvingande berättigade intressen väger tyngre än den registrerades bör kunna utföras relativt omgående. Mot denna bakgrund är det rege- ringens uppfattning att det är osannolikt att ett utövande av rätten att begränsa behandling under tiden den personuppgiftsansvarige kontrollerar om den dennes tvingande berättigade skäl väger tyngre än den registrera- des intressen, rättigheter och friheter enligt artikel 21.1 kommer att göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet. Det är i stället intresseavvägningen som kommer att avgöra om behandlingen ska få fortsätta i syfte att uppfylla forskningsändamålet.

Av artikel 18.2 framgår vidare att om en behandling har begränsats en- ligt punkt 1 i samma artikel får personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk, för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt all- mänintresse för unionen eller för en medlemsstat. Det åligger den person- uppgiftsansvarige att kunna påvisa att skäl som rör ett viktigt allmän- intresse föreligger.

Regeringen anser således sammanfattningsvis att något undantag från den registrerades rätt att begränsa behandling för forskningsändamål inte ska införas i svensk rätt.

13.6Bör det föreskrivas undantag från rätten att göra invändningar?

13.6.1Om innehållet i rättigheten

I artikel 21 i dataskyddsförordningen föreskrivs att den registrerade i vissa fall ska ha rätt att invända mot behandling av personuppgifter. En motsva- rande rättighet föreskrevs även i dataskyddsdirektivet, men genomfördes i

127

Prop. 2017/18:298 PUL endast beträffande direkt marknadsföring (11 § PUL). Dataskydds- förordningen innebär därmed att rätten att göra invändningar utvidgas jäm- fört med vad som följer av gällande svensk rätt.

Rätten att göra invändningar enligt artikel 21.1 i dataskyddsförord- ningen avser behandling av personuppgifter som grundar sig på artikel 6.1 e eller f, dvs. för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning eller efter en intresseavvägning. Följden av att en invändning görs enligt artikel 21.1 är att den personuppgiftsansvarige inte längre får behandla personuppgifterna, såvida inte denne kan påvisa avgö- rande berättigade skäl för behandlingen som väger tyngre än den registre- rades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

När personuppgifter behandlas för bl.a. forskningsändamål ska enligt ar- tikel 21.6 den registrerade ha rätt att göra sådana invändningar om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Det är inte uppenbart hur artikel 21.6 förhåller sig till artikel 21.1. Enligt artikel 21.1 ska den registrerade ha rätt att invända mot behandling som grundar sig på artikel 6.1 e eller f. Av artikel 21.6 framgår istället att om behandling sker för forskningsändamål ska den registrerade ha rätt att in- vända mot behandling om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Regeringen bedömer att artikel 21.6 innebär att om den registrerade in- vänder mot behandling för forskningsändamål så måste den personupp- giftsansvarige göra en prövning av om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Om resultatet av denna bedömning blir att behandlingen inte är nödvändig så har den registrerade en rätt att invända mot behandlingen. Om så är fallet ska invändningen i nästa steg prövas enligt artikel 21.1 och den personuppgiftsansvarige måste visa av- görande berättigade skäl för att få fortsätta behandlingen. Om behand- lingen däremot bedöms nödvändig för att utföra en uppgift av allmänt intresse har den registrerade inte rätt att invända och någon prövning enligt artikel 21.1 kommer inte ifråga. Vad som avses med begreppet ”nödvän- dig” har behandlats i avsnitt 7.1.2.

13.6.2 Det bör inte föreskrivas undantag från rätten att göra invändningar

Regeringens bedömning: Något undantag från den registrerades rätt att göra invändningar enligt EU:s dataskyddsförordning vid behandling av personuppgifter för forskningsändamål bör inte föreskrivas i svensk rätt.

 

Utredningens bedömning överensstämmer med regeringens bedöm-

 

ning.

 

Remissinstanserna: De remissinstanser som har yttrat sig tillstyrker

 

eller har inga invändningar mot utredningens bedömning.

 

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege-

 

ringens bedömning.

 

Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig

128

delar bedömningen eller har inget att invända. Umeå universitet framhåller

 

att om en behandling av personuppgifter baseras på allmänt intresse som rättslig grund kan den registrerade inte invända mot behandlingen och forskningen kan därmed genomföras på ett förutsägbart sätt. Om behand- lingen grundar sig på intresseavvägning har emellertid den registrerade en möjlighet att invända mot behandlingen. Den personuppgiftsansvarige får då inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter. I enlighet med nuvarande synsätt kan en personuppgiftsansvarigs intresse endast i undantagsfall an- ses väga över den registrerades intressen om den registrerade uttryckligen motsätter sig att dennes personuppgifter behandlas och denna invändning är sakligt motiverad (se Datainspektionens informationsskrift om intresse- avvägning). I utkastet till lagrådsremiss (s. 113) gör regeringen bedöm- ningen att det finns stora möjligheter att behandla personuppgifter för forskningsändamål efter en intresseavvägning om erforderliga säkerhets- åtgärder vidtas. Om denna bedömning från regeringen innebär en ändring i hur intresseavvägningen ska göras har Umeå universitet svårt att uttala sig om men universitetet vill likaväl understryka att intresseavvägning som rättslig grund kan innebära att förutsättningarna för forskningssamarbeten inte blir lika förutsägbara.

Skälen för regeringens bedömning: Enligt artikel 89.2 är det, som framgått, möjligt att i nationell rätt fastställa undantag från den registrera- des rätt att invända mot personuppgiftsbehandling för forskningsändamål i den utsträckning som rättigheten sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet och sådant undantag krävs för att uppnå forskningsändamålet.

Som redovisats ovan finns det en begränsning av den registrerades rätt att invända mot personuppgiftsbehandling för forskningsändamål som föl- jer direkt av artikel 21.6. Om sådan behandling är nödvändig för att utföra forskning av allmänt intresse har den registrerade inte rätt att invända mot behandling.

För sådan personuppgiftsbehandling som inte är nödvändig för att utföra en uppgift av allmänt intresse har den registrerade en rätt att invända. Den personuppgiftsansvarige måste då, enligt artikel 21.1, kunna påvisa avgö- rande berättigade skäl för behandlingen som väger tyngre än den registre- rades intressen, rättigheter och friheter. I annat fall får den personuppgifts- ansvarige inte längre behandla personuppgifterna.

Som framgår av avsnitt 7.2.2 är det regeringens bedömning att offentliga forskningsutförare som huvudregel kan använda sig av den rättsliga grun- den allmänt intresse vid personuppgiftsbehandling för forskningsändamål. I sådana fall har den registrerade inte rätt att invända mot sådan behandling enligt 21.6 och någon avvägning enligt artikel 21.1 blir inte aktuell. För privaträttsliga forskningsutförare som har fått de tillstånd som krävs för ett forskningsprojekt, enligt t.ex. etikprövningslagen för behandling för forsk- ningsändamål av känsliga personuppgifter eller personuppgifter om lag- överträdelser, anser regeringen att grunden för behandlingen är fastställd i enlighet med svensk rätt på ett sådant sätt att de kan tillämpa den rättsliga grunden allmänt intresse. Detta innebär att den registrerade inte heller då har en rätt att invända mot behandling enligt artikel 21.6. Något behov av undantag från artikel 21 finns därmed inte för dessa situationer.

Prop. 2017/18:298

129

Prop. 2017/18:298 Vad som återstår är då de behandlingar av personuppgifter som avser andra slags uppgifter än känsliga personuppgifter eller personuppgifter om lagöverträdelser och som utförs av privata forskningsutförare med stöd av den rättsliga grunden intresseavvägning. Den registrerade kan i ett sådant fall invända mot behandling av personuppgifter för forskningsändamål ef- tersom denna situation inte omfattas av artikel 21.6, och då ska en avväg- ning enligt artikel 21.1 göras. Forskningsutföraren ska då kunna påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter. Som framgår av avsnitt

7.2.3är det regeringens uppfattning att presumtionen är att forskning är en uppgift av allmänt intresse och att det därmed är fråga om ett berättigat intresse. Det finns därmed stora möjligheter att behandla personuppgifter efter en intresseavvägning under förutsättning att erforderliga säkerhetsåt- gärder vidtas. Forskningsutföraren har enligt artikel 21.1 att bedöma om det berättigade intresset som denne grundar sin behandling på från början är avgörande och väger tyngre i det enskilda fallet. I de fall det inte väger tyngre än den registrerades intressen, rättigheter och friheter ska forsk- ningen inte få utföras.

Umeå universitet ifrågasätter om bedömningen i utkastet till lagrådsre- miss, avseende möjligheterna att i detta sammanhang behandla personupp- gifter efter en intresseavvägning, innebär en ändring i hur intresseavväg- ningen ska göras och hänvisar till Datainspektionens informationsskrift om intresseavvägning där det framgår att en personuppgiftsansvarigs intresse endast i undantagsfall anses väga över den registrerades intressen om den registrerade uttryckligen motsätter sig att dennes personuppgifter behandlas och denna invändning är sakligt motiverad. Datainspektionens informationsskrift rör intresseavvägning generellt och behandlar inte spe- cifikt forskningsändamål. Som framgår av avsnitt 7.1.3 har Artikel 29- gruppen uttalat beträffande intresseavvägning att vissa intressen kan vara tvingande och gynna samhället i stort, t.ex. intresset av att genomföra ve- tenskaplig forskning. Bland de vanligaste sammanhang där frågan om be- rättigat intresse kan uppstå nämner Artikel 29-gruppen behandling för bl.a. forskningsändamål.

Det är sammanfattningsvis regeringens bedömning att rätten att göra in- vändningar enligt artikel 21 inte kan anses göra det omöjligt eller mycket svårare att uppfylla forskningsändamålet, mot bakgrund av de begränsade situationer då rätten att invända är tillämplig. Det är vidare regeringens bedömning att rätten att invända mot behandling är en viktig rättighet för den registrerade och därför bör finnas i de fall den är tillämplig vid be- handling av personuppgifter för forskningsändamål.

Regeringen anser således att något undantag från rätten att invända mot personuppgiftsbehandling för forskningsändamål inte ska införas i svensk rätt.

130

14

Behöver ytterligare anpassningar göras i Prop. 2017/18:298

 

etikprövningslagen?

14.1Inga ytterligare anpassningar behöver göras i etikprövningslagen

Regeringens bedömning: Resterande bestämmelser i lagen om etik- prövning av forskning som avser människor behöver inte anpassas med anledning av EU:s dataskyddsförordning.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Majoriteten av de remissinstanser som har yttrat sig tillstyrker eller har inga invändningar mot bedömningen. Enligt Karl- stads universitet skulle en direkt hänvisning till dataskyddsförordningen i 6 § etikprövningslagen kunna underlätta förståelsen för att reglerna i data- skyddsförordningen alltid måste tillämpas även i de fall där ett forsknings- etiskt godkännande har inhämtats för ett forskningsprojekt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig delar bedömningen, bland annat Regionala etikprövningsnämnden i Lund, eller har inget att invända. Stockholms universitet anför att för att etikpröv- ning enligt etikprövningslagen ska kunna fylla sin funktion, som en sådan i svensk rätt fastställd lämplig och särskild åtgärd som krävs för behand- ling av känsliga personuppgifter och personuppgifter om lagöverträdelser för andra forskningsändamål än klinisk läkemedelsprövning enligt data- skyddsförordningen, är det viktigt att etikprövningslagens definition av forskning inte leder till ett snävare forskningsbegrepp än det som följer av dataskyddsförordningen. Det måste med andra ord säkerställas att allt som räknas som forskning enligt dataskyddsförordningen också räknas som forskning enligt definitionen i etikprövningslagen. Annars kan viss per- sonuppgiftsbehandling för forskningsändamål som enligt dataskydds- förordningen måste omfattas av sådan skyddsåtgärd för att få utföras falla utanför etikprövningslagens tillämpningsområde. Detta skulle innebära att dessa behandlingar inte skulle få utföras enligt dataskyddsförordningen (såvida de inte skulle omfattas av andra skyddsåtgärder som uppfyller förordningens krav). Enligt Forskningsdatautredningen bör forsknings- begreppet (inom den kompletterande nationella dataskyddslagstiftningens tillämpningsområde) avgränsas på följande vis: ”Vetenskapligt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som endast utförs inom ramen för högskoleutbildning på grundnivå eller avancerad nivå” (s. 97). För att uppnå den nivå av har- moni som krävs för att regleringen ska fungera som avsett föreslår Stock- holms universitet att etikprövningslagen anpassas efter dataskyddsförord- ningen, genom att lydelsen i 2 § etikprövningslagen ändras i enlighet med denna avgränsning.

131

Prop. 2017/18:298 Regionala etikprövningsnämnden i Umeå påpekar att Forsknings- begreppet inte har definierats i förordningen men att det av skäl 159 fram- går att man har tänkt sig en mycket vid tolkning som även omfattar exem- pelvis teknisk utveckling och demonstration och studier av allmänt intresse inom folkhälsoområdet. Som kontrast till detta kan man ställa etik- prövningslagens definition som är tämligen snäv och utesluter till exempel kvalitetssäkring, resultatuppföljning och studentarbeten. Om man inte gör något åt detta anser etikprövningsnämnden att det kommer att bli oklart hur man ska tillämpa bestämmelserna om ändamålsbegränsning (art. 5.1 b), rättslig grund (art. 6.1 e), behandling av känsliga personuppgifter (art. 9.2 g-j) och undantag (art. 89).

Högskolan i Borås konstaterar att i utkastet till lagrådsremiss utvecklar inte regeringen sin syn på definition av ”forskningsändamål” utan hänvisar till dataskyddsförordningens definition. Regeringen föreslår vidare etik- prövning som skyddsåtgärd vid behandling av känsliga personuppgifter. I etikprövningslagen finns en definition av ”forskning”. Högskolan önskar framföra vikten av ett sammanhållet förändringsarbete avseende lagar och förordningar med anledning av att dataskyddsförordningen träder i kraft.

Sveriges lantbruksuniversitet efterfrågar vägledning gällande gräns- dragningen för forskningsändamål kontra annan behandling och framför att det synes vara en av förändringarna i den översyn av etikprövnings- lagen som pågår parallellt med detta lagstiftningsarbete att definiera forsk- ning. Att i etikprövningslagen definiera forskning är välkommet – men den definitionen har i sig ett oklart rekvisit i det att den talar om ”[…]samt utvecklingsarbete på vetenskaplig grund,[…]” som något som ska ses som forskning. Då denna definition synes vara så nära vi kommer att komma en definition av forskningsändamål, utan att den uttryckligen gör anspråk på att vara den definitionen i förhållande till dataskyddsförordningen, är det angeläget att det blir så tydligt som möjligt vad som utgör det, för att undvika att vi tillämpar privilegierna i dataskyddsförordningen på ett fel- aktigt sätt. För SLU:s del innebär det framförallt osäkerhet i hur vi ska betrakta vårt uppdrag att bedriva fortlöpande miljöanalys enligt 1 kap. 1a

§förordning (1993:221) för Sveriges lantbruksuniversitet. Detta synes kunna rymmas under definitionen av forskning enligt den nya lydelse i etikprövningslagen som föreslås i den översyn av etikprövningslagen som pågår parallellt med detta lagstiftningsarbete, men är ändå särreglerat från forskningsuppdraget i förordningen för Sveriges lantbruksuniversitet. Den ökade tvärvetenskapligheten på området när det utvecklas infrastruktur för forskning gör att detta är relevant för SLU att få belyst, även om det är en mycket specifik fråga.

Skälen för regeringens bedömning: I avsnitt 12 har regeringen före- slagit att definitionen av behandling av personuppgifter i 2 § etikpröv- ningslagen ska ändras genom att hänvisningen till 3 § PUL ska bytas ut mot en hänvisning till artikel 4.2 i dataskyddsförordningen. I nämnda avsnitt föreslås vidare att tillämpningsområdet för etikprövningslagen en- ligt 3 § ska utökas med anledning av att dataskyddsförordningens defi- nition av särskilda kategorier av personuppgifter (känsliga person- uppgifter) är vidare än dataskyddsdirektivets och PUL:s definitioner samt att hänvisningarna till PUL i den paragrafen ska tas bort. Regeringen har i avsnitt 13.2 föreslagit att 12 § etikprövningslagen, som reglerar att person-

132

uppgifter får lämnas ut för att användas i forskning om hinder inte före- ligger på grund av regler om sekretess och tystnadsplikt, ska upphävas. Som framgår av det avsnittet anser regeringen att det redan finns be- stämmelser som möjliggör utlämnande av uppgifter till forskning såväl i dataskyddsförordningen som i svensk rätt. Regeringen anser därför i likhet med utredningen att 12 § etikprövningslagen bör upphävas. Till skillnad från utredningen anser dock regeringen att det inte bör införas nya bestäm- melser om utlämnande av uppgifter för forskningsändamål i nationell rätt. Det är regeringens bedömning att övriga bestämmelser i etikprövnings- lagen är förenliga med dataskyddsförordningen.

Karlstads universitet önskar en förtydligad koppling till dataskydds- förordningen i 6 § etikprövningslagen. Av sista meningen i 6 § framgår att ett etikgodkännande inte medför att forskningen får utföras om den strider mot någon annan författning. Detta innebär enligt förarbetena att ett god- kännande vid etikprövning inte alltid är en tillräcklig förutsättning för forskningens bedrivande. Forskning som har etikgodkänts måste ändå vara förenlig med bland annat dataskyddsförordningens bestämmelser, i de de- lar där någon tillämplig kompletterande särreglering inte förekommer. Detta förhållande torde enligt Karlstads universitet bli ännu mer betydel- sefullt när dataskyddsförordningen börjar tillämpas, eftersom dataskydds- förordningen till skillnad från PUL inte är subsidiär i förhållande till etik- prövningslagen. Regeringen instämmer i stort i det resonemang Karlstad universitet för i sitt yttrande men anser inte att en uttrycklig hänvisning till dataskyddsförordningen bör införas i den aktuella bestämmelsen. Data- skyddsförordningen är direkt tillämplig i Sverige och jämställs i den svenska rättsordningen med en lag. Att ett etikgodkännande inte medför att forskningen får utföras om den strider mot någon annan författning gäl- ler för all forskning som etikprövningslagen omfattar, inte bara person- uppgiftsbehandling för forskningsändamål, vilket innebär att det är ett stort antal författningar som kan komma ifråga utöver dataskyddsförord- ningen. Att enbart hänvisa till dataskyddsförordningen riskerar därför att bli missvisande i sammanhanget.

Stockholms universitet och Regionala etikprövningsnämnden i Umeå framhåller att det är viktigt att etikprövningslagens definition av forskning inte leder till ett snävare forskningsbegrepp än det som följer av data- skyddsförordningen. Stockholms universitet föreslår därför att etikpröv- ningslagen anpassas efter dataskyddsförordningen, genom att lydelsen i 2

§etikprövningslagen ändras i enlighet med den avgränsning som förts fram av Forskningsdatautredningen. I etikprövningslagen definieras forsk- ning idag som vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grund- nivå eller på avancerad nivå. Regeringen kan konstatera att forskning inte definieras i dataskyddsförordningen, men att behandling av personuppgif- ter för vetenskapliga forskningsändamål bör ges en vid tolkning i förord- ningen (skäl 159) och att förordningen även ska omfatta historiska forsk- ningsändamål (skäl 160). Av dessa skäl kan utläsas att inom begreppet ve- tenskapliga forskningsändamål ska inordnas t.ex. teknisk utveckling och demonstration, grundforskning, tillämpad forskning, privatfinansierad forskning och studier som utförs av ett allmänt intresse inom folkhälsoom- rådet. När det gäller historiska forskningsändamål anges forskning för

Prop. 2017/18:298

133

Prop. 2017/18:298 historiska och genealogiska ändamål som exempel. Det är regeringens uppfattning att grundforskning, tillämpad forskning och privatfinansierad forskning samt forskning för historiska och genealogiska ändamål tydligt omfattas av etikprövningslagens definition av forskning. Beträffande tek- nisk utveckling och demonstration bör sådan verksamhet kunna inordnas inom ramen för forskningsdefinitionen genom formuleringen om utveck- lingsarbete på vetenskaplig grund, i den mån känsliga personuppgifter eller personuppgifter om lagöverträdelser behandlas i sådan forsknings- verksamhet. Vetenskapliga studier som utförs av ett allmänt intresse inom folkhälsoområdet kan enligt regeringens mening inte anses utgöra annat än sådan forskning som omfattas av etikprövningslagens definition. Det är regeringens uppfattning att det är möjligt att det skulle kunna förekomma situationer då etikprövningslagens definition av forskning inte fullt ut täcker vad som avses med forskningsändamål enligt dataskyddsförord- ningen, mot bakgrund av att dataskyddsförordningen inte har en tydlig de- finition utan enbart en riktlinje om att tolka begreppet vitt och några få exempel på vad som ska inordnas. Vilka dessa situationer skulle kunna vara har dock regeringen inte kunnat utröna, utan det får rättstillämpningen utvisa liksom behov av eventuella ytterligare lagstiftningsåtgärder.

Som framgått ovan för Forskningsdatautredningen ett resonemang kring en alternativ definition av forskning i sitt delbetänkande, vilken formule- rades som ”vetenskapligt arbete för att inhämta ny kunskap och utveck- lingsarbete på vetenskaplig grund, dock inte sådant arbete som endast ut- förs inom ramen för högskoleutbildning på grundnivå eller avancerad nivå”. Utredningen föreslog dock ingen ändring i etikprövningslagen. Det saknas därför tillräckligt beredningsunderlag för en sådan justering i detta lagstiftningsärende. Därtill pågår redan en översyn av etikprövningslagen. Som Sveriges lantbruksuniversitet påpekar i sitt remissyttrande har bl.a. definitionen av forskning i 2 § etikprövningslagen setts över av Utred- ningen om översyn av etikprövningen, som i betänkandet Etikprövning – en översyn av reglerna om forskning och hälso- och sjukvård (SOU 2017:104) har föreslagit en ändrad definition. Betänkandet bereds för när- varande inom Regeringskansliet. Universitetets önskan om vägledning gällande gränsdragningen för forskningsändamål kontra annan behandling kommer att behandlas inom ramen för det lagstiftningsarbetet.

14.2Rättsligt stöd för personuppgiftsbehandling i etikprövningsnämndernas verksamhet

Även etikprövningsnämndernas personuppgiftsbehandling behöver ha rättsligt stöd i dataskyddsförordningen och tillämplig nationell rätt. Den personuppgiftsbehandling som etikprövningsnämnderna utför i sin verk- samhet utgör enligt regeringens bedömning inte behandling för forsk- ningsändamål, så som begreppet är avsett att tolkas enligt dataskydds- förordningen. Personuppgiftsbehandling i etikprövningsnämndernas verk- samhet omfattas i stället av regleringen i dataskyddsförordningen och dataskyddslagen.

134

15Vilka behov finns det av sektorslagstift- ning på forskningsområdet?

15.1Det behövs för närvarande inte någon forsk- ningsdatalag

Regeringens förslag: En bestämmelse om att personuppgifter som en- bart behandlas för forskningsändamål ska få användas för att vidta åt- gärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen, ska föras in i dataskydds- lagen.

Regeringens bedömning: Utöver förslaget ovan är det för närva- rande tillräckligt att etikprövningslagen och de befintliga registerför- fattningarna på forskningsområdet anpassas till EU:s dataskyddsförord- ning. Det bör i nuläget inte införas någon ytterligare lag som komplet- terar EU:s dataskyddsförordning vid personuppgiftsbehandling för forskningsändamål.

Utredningens förslag överensstämmer inte med regeringens förslag och bedömning. Utredningen har föreslagit att en ny lag som kompletterar dataskyddsförordningen vid personuppgiftsbehandling för forskningsän- damål, forskningsdatalagen, ska införas.

Remissinstanserna: Majoriteten av remissinstanserna som yttrat sig i frågan tillstyrker eller ställer sig positiva till införandet av en särskild forskningsdatalag. Datainspektionen konstaterar att dataskyddsförord- ningen är direkt tillämplig men har en direktivliknande karaktär, dvs. den kräver i vissa fall kompletterande nationell lagstiftning. Om det inte säker- ställs att särskild nationell lagstiftning införs där behov finns och data- skyddsförordningen så kräver, finns det en risk för att behandling av per- sonuppgifter för forskningsändamål inte kan utföras.

Uppsala universitet påpekar att genomförandet av den direktivliknande dataskyddsförordningen leder till ett mycket komplext rättsligt system där EU-förordningen ska tillämpas parallellt med svensk lagstiftning som i sin tur är subsidiär i flera led.

Försvarsmaktens uppfattning är att svensk lagstiftning bör vara tydlig och överskådlig vilket underlättar tillämpningen. Försvarsmakten gör be- dömningen att införandet av en ny separat forskningsdatalag som komple- ment till den föreslagna dataskyddslagen riskerar att få motsatt effekt och av det skälet förordar Försvarsmakten att innehållet i föreslagen dataforsk- ningslag istället inarbetas i den föreslagna dataskyddslagen. Västerbottens läns landsting anser att de förändringar som föreslås bör gå att inrymma i den generella lagstiftningen i stället för att skapa en egen lag.

Förslaget och bedömningen i utkastet till lagrådsremiss överens- stämmer med regeringens förslag och bedömning.

Remissinstanserna: Flertalet remissinstanser tillstyrker, har inga syn- punkter på eller erinran mot bedömningarna som görs och förslagen som lämnas i utkastet till lagrådsremiss. Ingen remissinstans invänder mot den lagtekniska bedömning som görs att en särskild forskningsdatalag endast skulle komma att innehålla ett fåtal bestämmelser, varav några skulle bli

Prop. 2017/18:298

135

Prop. 2017/18:298 av upplysningskaraktär. Bland de som ställer sig positiva till förslagen och bedömningarna finns Luleå kommun, Högskolan i Borås, Karlstads uni- versitet, Karolinska institutet och Malmö universitet. Göteborgs universi- tet ställer sig helt och fullt bakom bedömningarna i utkastet till lagrådsre- miss. Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) anser som helhet att förslagen i lagrådsremissen väl tillgodoser forskningens intres- sen av att kunna använda personuppgifter och att den typ av forskning som Forte bidrar till kommer att kunna fortsätta bedrivas utan hinder om väl forskningsutföraren följer de krav på hantering och skyddsåtgärder som det nya regelverket föreskriver. Stockholms läns landsting anser att rege- ringen fört fram vägande skäl för att inte gå vidare med den bakomlig- gande utredningens förslag till forskningsdatalag. Mot bakgrund av de synpunkter som redovisas i utkastet till lagrådsremiss delar Arbetsgivar- verket uppfattningen att en särskild forskningsdatalag inte bör införas i nu- läget. Bland de som inte har några synpunkter på eller erinran mot bedöm- ningen finns Justitiekanslern, Kammarrätten i Stockholm och Regionala etikprövningsnämnderna i Göteborg och Linköping samt Socialstyrelsen. Regionala etikprövningsnämnden i Lund tillstyrker bedömningen i denna del av det skäl som anges i utkastet, nämligen att en sådan lagstiftning i stort skulle innebära en onödig dubbelreglering. Nämnden konstaterar dock att avståendet från ett införande av forskningsdatalag innebär ett be- kymmer i fråga om privata forskare och vilken rättslig grund de kommer att kunna använda för sin personuppgiftsbehandling.

Flera remissinstanser, Kalmar läns landsting, Lunds universitet, Stock- holms universitet, Vinnova, Sveriges lantbruksuniversitet, Institutet för ar- betsmarknads- och utbildningspolitisk utvärdering, Läkemedelsindustri- föreningen och Sveriges Kommuner och Landsting (SKL), vidhåller sin tidigare redovisade positiva inställning till införandet av en särskild forsk- ningsdatalag och de framhåller att en särskild forskningsdatalag skulle vara pedagogisk, bidra till tydlighet och underlätta för forskarna att til- lämpa dataskyddsförordningen. SKL har dock inget att erinra mot att be- hövliga regler istället inarbetas i andra lagar om en ny forskningsdatalag bara skulle innehålla ett fåtal paragrafer, varav ett par skulle ha karaktären av upplysningsbestämmelser. Regionala etikprövningsnämnden i Umeå anser att lagstiftningen hade vunnit i klarhet om det hade funnits en forsk- ningsdatalag eller ett avgränsat kapitel med motsvarande innehåll i data- skyddslagen. Västra Götalands läns landsting avstyrker regeringens be- dömning i denna del och framhåller att det finns ett behov av att införa en

 

forskningsdatalag för att undanröja oklarheter och gråzonsproblematik.

 

Skälen för regeringens förslag och bedömning

 

En forskningsdatalag skulle innehålla få bestämmelser

 

Majoriteten av remissinstanserna har tillstyrkt eller inte haft något att in-

 

vända mot förslaget att en ny forskningsdatalag ska införas. Regeringen

 

har i tidigare avsnitt analyserat i vilken mån de möjligheter till nationell

 

reglering som finns enligt dataskyddsförordningen när det gäller villkoren

 

för behandling av personuppgifter för forskningsändamål kan och bör ut-

 

nyttjas. Regeringen har då bedömt, mot bakgrund av remissutfallet av-

 

seende de enskilda bestämmelserna, att flera av de bestämmelser som ut-

136

redningen har föreslagit ska ingå i en forskningsdatalag inte bör införas.

Mot den bakgrunden kan det övervägas om det är befogat att införa en forskningsdatalag eller om den eller de bestämmelser om behandling av personuppgifter för forskningsändamål som bedöms behövas bör placeras i andra lagar, t.ex. dataskyddslagen, som Försvarsmakten och Västerbot- tens läns landsting har föreslagit.

Som framgår av avsnitt 9.3 föreslår regeringen att personuppgifter som enbart behandlas för forskningsändamål ska få användas för att vidta åt- gärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen (generell skyddsåtgärd). En motsvarande bestämmelse fanns i PUL, men då PUL har upphävts måste bestämmelsen föras in i en annan lag.

I avsnitt 10.3 har regeringen bedömt att etikprövning enligt etikpröv- ningslagen är en sådan lämplig och särskild åtgärd som krävs för behand- ling av känsliga personuppgifter för andra forskningsändamål än klinisk läkemedelsprövning enligt EU:s dataskyddsförordning. Regeringen har vi- dare bedömt att redan regleringen i etikprövningslagen, med nödvändiga anpassningar till dataskyddsförordningen, måste anses vara tillräcklig för att uppfylla kraven i artikel 9.2 j i dataskyddsförordningen. Det innebär att en bestämmelse i nationell rätt i enlighet med utredningens förslag, dvs. att det i en ny forskningsdatalag anges att känsliga personuppgifter med stöd av artikel 9.2 j i dataskyddsförordningen får behandlas, om behand- lingen är nödvändig för andra forskningsändamål än klinisk läkemedels- prövning och om behandlingen har godkänts enligt etikprövningslagen, närmast får karaktären av en upplysningsbestämmelse.

I avsnitt 11.2 har regeringen gjort bedömningen att etikprövning enligt etikprövningslagen är en sådan fastställd lämplig skyddsåtgärd som krävs för behandling av personuppgifter om lagöverträdelser för forskningsän- damål enligt dataskyddsförordningen. Även i detta fall gör regeringen bedömningen att en bestämmelse i en ny forskningsdatalag som hänvisar till etikprövningslagen skulle ha karaktären av en upplysningsbestäm- melse eftersom redan regleringen i etikprövningslagen måste anses vara tillräcklig för att uppfylla kraven i artikel 10 och artikel 89.1.

Regeringen konstaterar att upplysningsbestämmelser bara bör införas om de har ett särskilt upplysningsvärde. Dataskyddsförordningen började tillämpas den 25 maj 2018 och PUL upphörde då att gälla. Regeringen konstaterar att en forskningsdatalag bara skulle innehålla dels bestäm- melsen om att personuppgifter som enbart behandlas för forskningsända- mål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intres- sen (generell skyddsåtgärd), dels ett par upplysningsbestämmelser.

Om en forskningsdatalag införs bedöms det därutöver behövas bestäm- melser som reglerar lagens förhållande till dataskyddsförordningen, data- skyddslagen och annan nationell reglering som innehåller bestämmelser om personuppgiftsbehandling för forskningsändamål samt författningens tillämpningsområde. Innan regeringen tar ställning till om det finns skäl att införa en lag som huvudsakligen kommer att innehålla upplysnings- bestämmelser bör frågan om vilket tillämpningsområde en sådan lag skulle ha, behandlas.

Prop. 2017/18:298

137

Prop. 2017/18:298

138

Frågor om det territoriella tillämpningsområdet

Vare sig Dataskyddsutredningen eller Forskningsdatautredningen har läm- nat förslag om det territoriella tillämpningsområdet för dataskyddslagen respektive forskningsdatalagen. Två promemorior remitterades därför, dels promemorian Kompletterande promemoria till betänkandet Ny data- skyddslag (SOU 2017:39), dels Kompletterande promemoria till betän- kandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50). På grundval av den förstnämnda promemorian har det i dataskyddslagen införts kompletterande bestämmelser om tillämpningsområdet för den lagen. I den andra promemorian föreslås en bestämmelse som innebär att forskningsdatalagen ska tillämpas vid behandling av personuppgifter för forskningsändamål som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhets- ställen i Sverige. Det innebär att etableringslandsprincipen tillämpas och att principerna i dataskyddsförordningen och dataskyddslagen följs.

Majoriteten av de remissinstanser som yttrat sig tillstyrker, ställer sig positiva till eller har inte något att invända mot förslaget. Flera remiss- instanser, som Forskningsrådet för hälsa, arbetsliv och välfärd (Forte), Karlstads universitet, Lunds universitet, Mittuniversitet, Stockholms uni- versitet, Centrala etikprövningsnämnden och Regionala etikprövnings- nämnden i Umeå, har emellertid påpekat att det i promemorian föreslagna tillämpningsområdet innebär att det kommer att finnas en diskrepans i för- hållande till etikprövningslagens tillämpningsområde. Det föreslagna til- lämpningsområdet för forskningsdatalagen, som innebär att principerna i dataskyddsförordningen och dataskyddslagen ska följas, innebär att lagen ska tillämpas vid behandling av personuppgifter för forskningsändamål som utförs av personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade i Sverige, om behandlingen utförs inom ramen för verksam- het som bedrivs vid verksamhetsställen här i landet, oavsett var behand- lingen av personuppgifter äger rum. Etikprövningslagen tillämpas i stället på forskning som ska utföras i Sverige (5 § etikprövningslagen). Skillna- den innebär således att forskningsdatalagen skulle bygga på var den per- sonuppgiftsansvarige är etablerad och att behandling av personuppgifter som sker inom ramen för den verksamhet som den personuppgiftsansva- rige bedriver skulle omfattas av lagen oberoende av var personuppgiftsbe- handlingen faktiskt äger rum, medan regleringen i etikprövningslagen bygger på var forskningen som innefattar personuppgiftsbehandling fak- tiskt utförs.

I de allra flesta fall skulle den föreslagna bestämmelsen om forsknings- datalagens tillämpningsområde innebära att regleringen i den lagen och etikprövningslagen är förenliga. I vissa fall skulle dock situationen kunna vara sådan att personuppgiftsbehandling som sker inom ramen för forsk- ningsverksamhet som bedrivs av en forskningsutförare som har verksam- hetsställe i Sverige rent faktiskt äger rum utanför Sverige. Etikprövnings- lagen är då inte tillämplig. Även den motsatta situationen tas upp av re- missinstanserna, dvs. att forskning som innefattar behandling av person- uppgifter till någon del sker i Sverige men inte inom ramen för ett verk- samhetsställe här. Då krävs ett etikgodkännande enligt etikprövningslagen men forskningsdatalagen är inte tillämplig. Det kan alltså förekomma

situationer då regleringen i lagarna inte är helt förenliga. För att åstad- komma att regleringen i lagarna är förenliga med varandra krävs en över- syn av tillämpningsområdet för etikprövningslagen. Vid införandet av etikprövningslagen övervägdes om lagens tillämpningsområde även skulle avse sådan forskning som utförs utanför Sverige, om forskningshuvud- mannen har sitt säte (hemvist) i Sverige. Regeringen ansåg då att ytterli- gare övervägande behövde göras beträffande konsekvenserna av ett sådant system och föreslog att etikprövning skulle ske av forskning som ska ut- föras i Sverige. Ett beredningsunderlag för en anpassning av etikpröv- ningslagen till principerna som gäller för tillämpningsområdet för dataskyddsförordningen och som föreslagits för den föreslagna forsk- ningsdatalagen saknas i nuläget. En forskningsdatalag skulle således kom- ma att ha ett tillämpningsområde som inte helt överensstämmer med tillämpningsområdet för etikprövningslagen, som lagen skulle hänvisa till.

I en situation där personuppgiftsbehandlingen i forskningsverksamhet som bedrivs vid ett verksamhetsställe i Sverige utförs utanför Sverige och forskningsutföraren inte kan få ett etikgodkännande för en behandling av känsliga personuppgifter eller ett tillstånd från Läkemedelsverket behöver den personuppgiftsansvarige förlita sig på samtycke från de registrerade enligt artikel 6.1 a i dataskyddsförordningen. Som framgår av avsnitt 7.2 bör dataskyddsförordningen normalt inte innebära något hinder för forsk- ningsaktörer att använda samtycke som rättslig grund för sin personupp- giftsbehandling. Det måste dock beaktas om det föreligger en sådan ojäm- lik situation att det inte kan sägas att inhämtade samtycken lämnas frivil- ligt, särskilt när den personuppgiftsansvarige är en offentligrättslig forsk- ningsutförare.

Det bör i nuläget inte införas en forskningsdatalag

En särskild forskningsdatalag skulle visserligen, som ett antal remiss- instanser påtalar, kunna skapa klarhet kring rättsläget nu när dataskydds- förordningen har börjat tillämpas och PUL har upphävts. En forsknings- datalag skulle emellertid som angivits endast komma att innehålla ett fåtal paragrafer, varav två bestämmelser har karaktären av upplysningsbestäm- melser. Endast den bestämmelse om användningsbegränsning som har funnits i PUL behövs i sak (bestämmelsen om att personuppgifter som enbart behandlas för forskningsändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen). Det upplysningsvärde som upplysningsbestämmelserna skulle kunna ha uppväger dock enligt rege- ringen inte den förvirring som skulle kunna uppstå om den lag som inne- håller upplysningsbestämmelserna inte har helt samma tillämpningsom- råde som de lagar som den hänvisar till. Den bestämmelse om använd- ningsbegränsning som har funnits i PUL kan vidare med fördel placeras i dataskyddslagen, då den lagen har ett motsvarande tillämpningsområde som föreslogs i promemorian för forskningsdatalagen. I 4 kap. dataskydds- lagen finns det bestämmelser om användningsbegränsningar vid behand- ling av personuppgifter för statistik- och arkivändamål. Det framstår som logiskt att det kapitlet kompletteras med en bestämmelse om användnings- begränsning vid behandling av personuppgifter för forskningsändamål.

Prop. 2017/18:298

139

Prop. 2017/18:298 Det är därför regeringens sammantagna bedömning att en särskild forsk- ningsdatalag inte bör införas i nuläget. Flertalet remissinstanser har till- styrkt, inte haft några synpunkter på eller erinran mot denna bedömning.

Det sagda innebär att när det gäller personuppgiftsbehandling för andra forskningsändamål än kliniska läkemedelsprövningar kommer PUL och etikprövningslagen att ersättas av dataskyddsförordningen, dataskyddsla- gen och en uppdaterad etikprövningslag.

När det gäller kliniska läkemedelsprövningar kommer PUL, etikpröv- ningslagen och läkemedelslagen att ersättas av EU:s förordning om kli- niska prövningar av humanläkemedel, den föreslagna lagen med komplet- terande bestämmelser om etisk granskning till den nämnda EU-förord- ningen, en uppdaterad läkemedelslag samt dataskyddsförordningen och dataskyddslagen.

15.2Sekretess ska gälla för uppgifter som behandlas i strid med personuppgiftsregleringen

Regeringens förslag: Sekretess ska gälla för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med etikprövningslagen i fråga om känsliga personuppgifter eller upp- gifter om lagöverträdelser.

Regeringens bedömning: Den tystnadsplikt som följer av sekretess- bestämmelsen bör inte inskränka den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihets- grundlagen.

Utredningen föreslår inte någon sådan bestämmelse. Remissinstanserna: Arbetsgivarverket och Arbetsförmedlingen tar upp

behovet av att göra en ändring i 21 kap. 7 § OSL, utöver de ändringar i bestämmelsen som Dataskyddsutredningen föreslagit i sitt betänkande SOU 2017:39. Enligt 21 kap 7 § OSL gäller sekretess för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Dataskyddsutredningen har i betänkandet föreslagit att bestämmelsen i 21 kap 7 § OSL i stället för att hänvisa till personuppgiftslagen, bör hänvisa till dataskyddsförordningen och data- skyddslagen. Eftersom 19 och 21 §§ PUL, i de delar som anger att känsliga personuppgifter och personuppgifter om lagöverträdelser får behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen, enligt utredningens förslag i stället föreslås flyttas över till forskningsda- talagen, framhåller Arbetsgivarverket och Arbetsförmedlingen behovet av att det i 21 kap 7 § OSL införs en hänvisning även till forskningsdatalagen. Detta i syfte att undvika att sekretessbelagda känsliga personuppgifter lämnas ut för forskningsändamål utan att detta är förenligt med vad som anges i forskningsdatalagen.

140

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag. I utkastet till lagrådsremiss fanns inte någon bedömning angiven.

Remissinstanserna: Datainspektionen är positiv till att sekretesskyddet bevaras men anser att det finns anledning att analysera vilka motsvarande

skyddsåtgärder som behövs när enskilda utförare av forskning behandlar personuppgifter. Lunds universitet anser att förslaget till ändring i offent- lighets- och sekretesslagen är nödvändigt. Svenska Tidningsutgivareföre- ningen har inget att invända mot förslaget men framhåller att lagrådsre- missen bör kompletteras med ett förtydligande att det föreslagna tillägget i 21 kap. 7 § OSL inte hindrar ett utlämnande till medier som omfattas av tryckfrihetsförordningen (TF) eller yttrandefrihetsgrundlagen (YGL). Kungl. Tekniska högskolan (KTH) anser att hänvisningen till etikpröv- ningslagen i den föreslagna ändringen av 21 kap. 7 § offentlighets- och sekretesslagen inte är tillräcklig tydlig eftersom det inte framkommer vilken typsituation, en behandling för forskningsändamål som inte har godkänts enligt etikprövningslagen, som avsikten är att bestämmelsen ska reglera. KTH framhåller dessutom att det i bestämmelsen även bör hän- visas till 3 § i etikprövningslagen.

Skälen för regeringens förslag: Enligt 21 kap. 7 § OSL gäller sekretess för personuppgifter, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med PUL. Det får numera anses fastslaget i praxis att det som ska bedömas är huruvida mottagarens avsedda behand- ling av de personuppgifter som begärs ut uppfyller kraven enligt PUL (HFD 2014 ref. 66). Eftersom PUL nu har upphävts och den generella dataskyddsregleringen i stället finns i dataskyddsförordningen och data- skyddslagen har det även gjorts en följdändring i 21 kap. 7 § OSL, som innebär att sekretess gäller för personuppgift, om det kan antas att uppgif- ten efter ett utlämnande kommer att behandlas i strid med dataskyddsför- ordningen eller dataskyddslagen.

I propositionen Ny dataskyddslag konstaterade regeringen att det kom- mer att finnas andra författningar än dataskyddslagen i svensk rätt som innehåller bestämmelser om behandling av personuppgifter. Så var fallet redan tidigare, men bestämmelsen i 21 kap. 7 § OSL hänvisade i sin tidi- gare lydelse bara till PUL. Då Dataskyddsutredningen inte föreslagit att sekretessbestämmelsens tillämpningsområde ska utsträckas till att även omfatta t.ex. behandling av utlämnade uppgifter som kan antas strida mot registerförfattningar konstaterade regeringen i propositionen att konse- kvenserna av en sådan utvidgning inte var utredda och regeringen lämnade därför inte något förslag till utvidgning av bestämmelsens tillämpnings- område i propositionen.

PUL innehöll bestämmelser som särskilt reglerade möjligheten att be- handla känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattade brott, domar i brottmål, straffprocessuella tvångsmedel el- ler administrativa frihetsberövanden för forskningsändamål. Som särskild skyddsåtgärd gällde att behandling av sådana uppgifter fick ske om behandlingen hade godkänts enligt etikprövningslagen (se 19 och 21 §§ PUL).

Dataskyddsförordningen anger särskilda villkor som gäller vid behand- ling av personuppgifter för forskningsändamål, som t.ex. att sådan behand- ling ska omfattas av lämpliga skyddsåtgärder och att behandling av käns- liga personuppgifter för sådant ändamål ska ske på grundval av unionsrät- ten eller medlemsstaternas nationella rätt, dvs. behandlingen måste ha stöd i nationell rätt, och den måste innehålla bestämmelser om lämpliga och särskilda skyddsåtgärder. Förordningen anger däremot inte mer preciserat

Prop. 2017/18:298

141

Prop. 2017/18:298 vilka skyddsåtgärder som ska tillämpas vid behandling av personuppgifter

 

för forskningsändamål.

 

Den föreslagna dataskyddslagen innehåller inga bestämmelser som sär-

 

skilt reglerar behandling av personuppgifter för forskningsändamål. Som

 

regeringen närmare utvecklar i avsnitt 10.3 och 11.2 gör regeringen be-

 

dömningen att den reglering som finns i etikprövningslagen, som anger att

 

forskning som innefattar behandling av känsliga personuppgifter och upp-

 

gifter om lagöverträdelser bara får utföras om den har godkänts vid en

 

etikprövning (se 3 och 6 §§ etikprövningslagen) – med nödvändiga an-

 

passningar till dataskyddsförordningen – ger det stöd som krävs i nationell

 

rätt enligt dataskyddsförordningen för att behandling av sådana uppgifter

 

ska vara tillåten. Regeringen gör därför i avsnitt 15.1 bedömningen att

 

några bestämmelser som motsvarar 19 och 21 §§ PUL inte behöver över-

 

föras till en ny forskningsdatalag. Om en hänvisning till etikprövningsla-

 

gens bestämmelser om krav på godkännande av forskning som innefattar

 

behandling av känsliga personuppgifter och uppgifter om lagöverträdelser

 

inte tas in i 21 kap. 7 § OSL skulle det innebära en ändring i sak i förhål-

 

lande till gällande rätt, på så vis att det sekretesskydd som gäller idag om

 

det kan antas att en känslig personuppgift eller uppgifter om lagöverträ-

 

delser efter ett utlämnande kommer att behandlas för forskningsändamål

 

utan ett godkännande enligt etikprövningslagen, inte längre skulle gälla.

 

Regeringen anser därför, i linje med Arbetsgivarverkets och Arbetsförmed-

 

lingens synpunkter, att 21 kap. 7 § OSL bör ändras så att det ska gälla

 

sekretess för personuppgift, om det kan antas att uppgiften efter ett utläm-

 

nande kommer att behandlas i strid med dataskyddsförordningen, data-

 

skyddslagen eller 6 § etikprövningslagen.

 

KTH anser att hänvisningen till etikprövningslagen i den föreslagna änd-

 

ringen av 21 kap. 7 § offentlighet- och sekretesslagen inte är tillräcklig

 

tydlig eftersom det inte framkommer vilken typsituation som avsikten är

 

att bestämmelsen ska reglera. KTH anser att det i 21 kap. 7 § OSL även

 

bör hänvisas till 3 § etikprövningslagen.

 

Av 6 § etikprövningslagen framgår att forskning som avses i 3–5 §§ i

 

den lagen bara får utföras om den har godkänts vid etikprövning. Bestäm-

 

melsen i 3 § anger att lagen ska tillämpas på forskning som innefattar be-

 

handling av känsliga personuppgifter eller personuppgifter om lagöverträ-

 

delser som innefattar brott, domar i brottmål, straffprocessuella tvångsme-

 

del eller administrativa frihetsberövanden. Enligt 4 § ska lagen också til-

 

lämpas på forskning som innebär ett fysiskt ingrepp på en forskningsper-

 

son, utförs enligt en metod som syftar till att påverka forskningspersonen

 

fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forsk-

 

ningspersonen fysiskt eller psykiskt, avser studier på biologiskt material

 

som har tagits från en levande människa och kan härledas till denna män-

 

niska, innebär ett fysiskt ingrepp på en avliden människa, eller avser stu-

 

dier på biologiskt material som har tagits för medicinskt ändamål från en

 

avliden människa och kan härledas till denna människa. Bestämmelsen i

 

5 § reglerar lagens geografiska tillämpningsområde. Mot bakgrund av att

 

21 kap. 7 § OSL reglerar sekretessen för personuppgifter, att 6 § etikpröv-

 

ningslagen innehåller ett krav på att forskning som avses i 3–5 §§ bara får

 

utföras bara om den har godkänts vid en etikprövning och då det av dessa

 

paragrafer enbart är 3 § som reglerar personuppgifter anser regeringen att

142

det är tillräckligt att i 21 kap. 7 § OSL hänvisa till 6 § etikprövningslagen.

Hänvisningen innebär i praktiken att det gäller sekretess för känsliga per- Prop. 2017/18:298 sonuppgifter eller personuppgifter om lagöverträdelser som innefattar

brott, domar i brottmål, straffprocessuella tvångsmedel eller administra- tiva frihetsberövanden, om det kan antas att sådana uppgifter efter ett ut- lämnande kommer att behandlas utan ett godkännande enligt 6 § etikpröv- ningslagen.

Rätten att meddela och offentliggöra uppgifter

Sekretess innebär både tystnadsplikt och handlingssekretess (3 kap. 1 § OSL). Den tystnadsplikt som följer av en sekretessbestämmelse har inte företräde framför rätten enligt 1 kap. 1 § TF och 1 kap. 1 och 2 §§ yttran- defrihetsgrundlagen (YGL) att meddela och offentliggöra uppgifter, om inte annat anges i TF, YGL eller OSL. Handlingssekretessen har dock all- tid företräde framför rätten att meddela och offentliggöra uppgifter. Det kan således vara tillåtet att muntligen t.ex. lämna en uppgift till en journa- list eller att själv publicera uppgiften, men det är aldrig tillåtet att med stöd av rätten att meddela och offentliggöra uppgifter lämna en allmän handling som den sekretessbelagda uppgiften framgår av till t.ex. en journalist eller att t.ex. själv publicera handlingen.

Stor återhållsamhet ska iakttas när det övervägs om en inskränkning ska göras i rätten att meddela och offentliggöra uppgifter. Faktorer som bör beaktas vid sådana överväganden är bl.a. vilken styrka sekretessen har, om uppgiften har lämnats av en enskild i en förtroendesituation eller om upp- giften hänför sig till myndighetsutövning (prop. 1979/80:2 Del A s. 111 f.).

Ändringen i 21 kap. 7 § OSL föreslås för att en ändring i sak inte ska uppstå i förhållande till vad som gällde fram till den 25 maj 2018 då data- skyddsförordningen började tillämpas, PUL upphävdes och följdänd- ringen i 21 kap. 7 § OSL trädde i kraft. Regeringen har inte tidigare funnit skäl för att inskränka rätten att meddela och offentliggöra uppgifter när det gäller den tystnadsplikt som följer av bestämmelsen i 21 kap. 7 § OSL. Det finns inte skäl att frångå den bedömning som tidigare har gjorts. Denna rätt bör även fortsättningsvis ha företräde framför den tystnadsplikt som följer av den föreslagna bestämmelsen. Detta innebär, som Svenska Tid- ningsutgivareföreningen påtalar, att det föreslagna tillägget i 21 kap. 7 § OSL inte hindrar ett utlämnande av uppgifter till medier som omfattas av TF eller YGL med stöd av rätten att meddela och offentliggöra uppgifter.

143

Prop. 2017/18:298 16

Anpassningar av vissa registerförfatt-

 

ningar

16.1Lagen om rättspsykiatriskt forskningsregister ska anpassas till dataskyddsförordningen

16.1.1Innehållet i lagen och Forskningsdatautredningens uppdrag

Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för ett rätts- psykiatriskt forskningsregister. Registret får användas för två ändamål, dels behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt etikprövningslagen, dels för RMV:s uppföljning, utvärdering och kvalitetssäkring av sin verk- samhet inom rättpsykiatrin (utvecklingsarbete). Registret regleras i en sär- skild lag, lagen (1999:353) om rättspsykiatriskt forskningsregister. Enligt lagen får registret endast innehålla uppgifter om en person för vilken ett rättspsykiatriskt utlåtande eller ett intyg enligt 7 § lagen (1991:2041) om särskild personutredning i brottmål har utfärdats. Lagen innehåller en upp- räkning av vilka uppgifter om personerna som får registreras. Endast RMV får ha direktåtkomst till uppgifter i det rättspsykiatriska forsknings- registret. Socialstyrelsen, Kriminalvården respektive Statens institutions- styrelse ska lämna uppgifter till registret. I offentlighets- och sekretessla- gen (2009:400) finns bestämmelser om sekretess i verksamhet som avser förande av eller uttag ur det rättspsykiatriska forskningsregistret (24 kap.

2§).

Bakgrunden till lagen var ett behov av förbättrade möjligheter till forsk-

nings- och utvecklingsarbete inom det rättspsykiatriska området, vilket RMV påtalade för regeringen under tidigt 1990-tal. Regeringen tillsatte en utredning som i maj 1996 lade fram betänkandet Rättspsykiatriskt forsk- ningsregister (SOU 1996:72). Regeringen anpassade förslagen i utred- ningens betänkande till PUL, vilken är baserad på det upphävda data- skyddsdirektivet. Lagen om rättspsykiatriskt forskningsregister är således enligt tidigare gjorda bedömningar förenlig med dataskyddsdirektivet.

Lagen om rättspsykiatriskt forskningsregister innehåller bl.a. bestäm- melser om för vilka ändamål registret får användas (3 §), vilka uppgifter som får finnas i registret (4–9 §§), vilka myndigheter som ska lämna upp- gifter till registret (10 §), vilken information som ska lämnas till den re- gistrerade (12 §), utlämnande av uppgifter från registret (13 §), sekretess (14 §), rättelse och skadestånd (15 §) och överklagande (16 §).

I rapporten Ett nytt författningsstöd för Rättsmedicinalverkets behand- ling av personuppgifter m.m. (Ju2013/08833/Å) redovisar RMV en över- syn av myndighetens behandling av personuppgifter. I rapporten framhålls att lagen om rättspsykiatriskt forskningsregister inte ger ett adekvat stöd för den rättspsykiatriska forskningen. Anledningen är enligt RMV bl.a. att rättspsykiatrins nuvarande frågeställningar inte låter sig besvaras med stöd av de begränsade data som får registreras i registret. Det har därför ifråga- satts om lagen bör vara kvar i sin nuvarande utformning.

144

Enligt direktiven till Forskningsdatautredningen skulle utredningen Prop. 2017/18:298 undersöka hur lagen om rättspsykiatriskt forskningsregister används i dag,

föreslå behövliga anpassningar av lagen om rättspsykiatriskt forsknings- register inför att dataskyddsförordningen skulle börja tillämpas, analysera om det långsiktigt finns ett behov av en särskild reglering av ett rätts- psykiatriskt forskningsregister och, om så bedöms vara fallet, hur en sådan reglering i så fall bör utformas, och lämna behövliga författningsförslag. Utredningen har redovisat förslaget om en anpassning av lagen till data- skyddsförordningen i sitt delbetänkande SOU 2017:50 och det förslaget behandlas nedan. Den del av uppdraget som avser att analysera om det långsiktigt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister och, om så bedöms vara fallet, hur en sådan reglering i så fall bör utformas, och lämna behövliga författningsförslag har redo- visats den 5 juni 2018 i betänkandet Rätt att forska – Långsiktig reglering av forskningsdatabaser (SOU 2018:36). Förslaget i det betänkandet be- handlas inte i detta lagstiftningsärende.

16.1.2Lagen är en tillåten nationell kompletterande reglering till dataskyddsförordningen

Regeringens bedömning: Lagen om rättspsykiatriskt forskningsregis- ter är en tillåten nationell kompletterande reglering till dataskydds- förordningen.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Det stora flertalet remissinstanser som yttrat sig tillstyrker allmänt utredningens förslag eller ser allmänt positivt på försla- gen eller har ingen erinran mot eller synpunkter på dessa men kommente- rar inte förslagen eller bedömningarna beträffande lagen om rättspsykiat- riskt forskningsregister särskilt. Endast några enstaka remissinstanser framför synpunkter på utredningens förslag till anpassning av lagen. Centrala etikprövningsnämnden, Statens väg- och transportforsknings- institut, Sveriges geologiska undersökningar och Verket för innovations- system (Vinnova) tillstyrker förslagen till anpassningar av registerförfatt- ningen. Även RMV ställer sig positivt till förslaget om anpassning av bestämmelserna i lagen men framhåller med avseende på utredningens fortsatta arbete att kvalificerad forskning inom rättspsykiatrin inte kan ge- nomföras enbart med användning av uppgifter från det rättspsykiatriska forskningsregistret och anser att lagen därför bör upphävas.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Flertalet remissinstanser tillstyrker, har inga syn- punkter på eller erinran mot bedömningarna som görs och förslagen som lämnas i utkastet till lagrådsremiss men kommenterar inte förslagen eller bedömningarna beträffande lagen om rättspsykiatriskt forskningsregister särskilt. Bland de som särskilt uttalar sig om lagen om rättspsykiatriskt forskningsregister och tillstyrker ändringarna finns Stockholms läns lands-

145

Prop. 2017/18:298 ting, Västra Götalands läns landsting och Karlstads universitet. Ingen re- missinstans ställer sig negativ till de föreslagna ändringarna i lagen och

 

bedömningarna som gjorts i utkastet till lagrådsremiss.

 

Skälen för regeringens bedömning: Dataskyddsförordningen är direkt

 

tillämplig i medlemsstaterna men dessa tillåts, som redogjorts för, enligt

 

artikel 6.2 och 6.3 att behålla eller införa mer specifik nationell reglering

 

för att närmare fastställa hur förordningens bestämmelser ska tillämpas när

 

det gäller behandling som sker med stöd av de rättsliga grunderna fullgö-

 

rande av rättslig förpliktelse, utförande av uppgift av allmänt intresse eller

 

myndighetsutövning i artikel 6.1 c och e.

 

Bedömningarna som gjordes vid införandet av lagen om rättspsykia-

 

triskt forskningsregister baserades på dataskyddsdirektivet och PUL (se

 

prop. 1998/99:72). Det var regeringens bedömning vid införandet av lagen

 

om rättspsykiatriskt forskningsregister att den behandling av personupp-

 

gifter som lagen omfattade var nödvändig för att utföra en uppgift av vik-

 

tigt allmänt intresse. Artikel 8.4 i dataskyddsdirektivet gav medlemssta-

 

terna rätt att nationellt lagstifta om undantag från förbudet att behandla

 

känsliga personuppgifter (artikel 8.1) under förutsättning av lämpliga

 

skyddsåtgärder och med hänsyn till ett viktigt allmänt intresse. Beträffande

 

ändamålet utvecklingsarbete anförde regeringen i propositionen som lig-

 

ger till grund för lagen att det är av stor vikt att RMV har ett bra underlag

 

för sitt arbete med uppföljning, utvärdering och kvalitetssäkring. Att RMV

 

kan upprätthålla och förbättra kvaliteten och enhetligheten i sina bedöm-

 

ningar ansågs vara viktigt både för samhället och för de enskildas rättssä-

 

kerhet. Regeringen fann därför att detta är ett sådant viktigt allmänt

 

intresse att det motiverar ett undantag i enlighet med artikel 8.4 i data-

 

skyddsdirektivet från förbudet mot behandling av känsliga personuppgif-

 

ter. Regeringen gjorde även bedömningen att behandlingen av personupp-

 

gifter i enlighet med den föreslagna lagen i alla delar är förenlig med arti-

 

kel 8 i Europakonventionen. Det är således regeringens och riksdagens re-

 

dan gjorda bedömning att ändamålen med lagen om rättspsykiatriskt forsk-

 

ningsregister är ett viktigt allmänt intresse i enlighet med dataskyddsdirek-

 

tivet.

 

RMV framhåller med avseende på Forskningsdatautredningens fortsatta

 

arbete att kvalificerad forskning inom rättspsykiatrin inte kan genomföras

 

enbart med användning av uppgifter från det rättspsykiatriska forsknings-

 

registret och anser att lagen därför bör upphävas. I avvaktan på vidare

 

beredning av Forskningsdatautredningens slutbetänkande, där utredningen

 

redovisar sitt uppdrag att analysera det långsiktiga behovet av en särskild

 

lag på området, finns det enligt regeringens uppfattning inte skäl att utifrån

 

regleringen i dataskyddsförordningen nu göra någon annan bedömning än

 

att ändamålen med lagen är ett viktigt allmänt intresse.

 

Registerlagen reglerar en uppgift av allmänt intresse. Som regeringen

 

närmare kommer att redogöra för längre fram i detta avsnitt innehåller re-

 

gisterlagen huvudsakligen sådana särskilda bestämmelser som anpassar

 

tillämpningen av bestämmelserna i dataskyddsförordningen och som den

 

i den nationella rätten fastställda rättsliga grunden att utföra en uppgift av

 

allmänt intresse får innehålla enligt artikel 6.3. Regeringens övergripande

 

uppfattning är att regleringen är proportionell i förhållande till ändamålet.

 

Regeringen delar därför utredningens bedömning att registerlagen utgör

146

en sådan tillåten specifik nationell reglering för att närmare fastställa hur

förordningens bestämmelser ska tillämpas när det gäller utförande av upp- Prop. 2017/18:298 gift av allmänt intresse enligt artikel 6.2 och 6.3 i dataskyddsförordningen.

Regleringen av personuppgiftsbehandling i registerlagen måste uppfylla dataskyddsförordningens övriga krav för att kunna behållas. I det följande analyseras registerlagens förenlighet med dataskyddsförordningen bestämmelse för bestämmelse.

16.1.3Lagens inledande bestämmelser bör behållas

Regeringens bedömning: De inledande bestämmelserna i lagen om rättspsykiatriskt forskningsregister om lagens tillämpningsområde och personuppgiftsansvaret för registret kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 1 § lagen om rättspsykiatriskt forskningsregister anges att RMV får för de ändamål som anges i 3 § med hjälp av automatiserad behandling föra ett rättspsykiatriskt forskningsre- gister. I andra stycket anges att RMV är personuppgiftsansvarigt för re- gistret.

Den inledande paragrafens första stycke anger för vilken verksamhet la- gen gäller. Det är regeringens uppfattning att bestämmelser i nationell kompletterande lagstiftning till dataskyddsförordningen som anger på vil- ken verksamhet, vilka typer av behandlingar och vilka personuppgifter la- gen ska tillämpas inte i sig påverkas av dataskyddsförordningen. Av 1 § framgår att RMV får föra registret med hjälp av automatiserad behandling. Denna formulering motsvarar innehållsmässigt artikel 2.1 i dataskydds- förordningen, vilken är direkt tillämplig. Av artikeln framgår att förord- ningen ska tillämpas på sådan behandling av personuppgifter som helt el- ler delvis företas på automatisk väg samt på annan behandling än automa- tisk av personuppgifter som ingår i eller kommer att ingå i ett register. I artikel 4.6 i dataskyddsförordningen definieras register som en strukture- rad samling av personuppgifter som är tillgängliga enligt särskilda krite- rier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Av skäl 8 i data- skyddsförordningen framgår att om förordningen föreskriver förtydligan- den eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förord- ningen i nationell rätt. Skäl 8 ger därmed utrymme för att införliva artikel

2.1i registerlagen. Det är därför regeringens bedömning att formuleringen i 1 § första stycket registerlagen kan behållas intakt.

147

Prop. 2017/18:298 I artikel 4.7 i dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamå- len och medlen för behandlingen av personuppgifter. Bedömningen av vem som är personuppgiftsansvarig för en viss behandling ska därmed en- ligt huvudregeln göras utifrån dataskyddförordningen och med utgångs- punkt i de faktiska omständigheterna i varje enskilt fall. I de situationer ändamålen och medlen för behandlingen bestäms av medlemsstaternas nationella rätt finns dock en möjlighet enligt andra ledet i artikel 4.7 att ange vem som är personuppgiftsansvarig i den nationella rätten. I 1 § andra stycket lagen om rättspsykiatriskt forskningsregister anges att det är RMV som är personuppgiftsansvarigt för registret. 1 3 § anges att registret endast får användas för behandling av personuppgifter för forskning inom rätts- psykiatrin, om forskningen och behandlingen har godkänts enligt etikpröv- ningslagen, eller för RMV:s uppföljning, utvärdering eller kvalitetssäkring av sin verksamhet inom rättpsykiatrin (utvecklingsarbete). Genom bestämmelserna om lagens tillämpningsområde och ändamålen för regist- ret ges en yttersta ram för vilka behandlingar som är tillåtna enligt lagen. Det är den personuppgiftsansvarige som i varje enskild situation ska ta ställning till vilken behandling av uppgifter som ska och kan ske. Dess- utom bestäms medlen för behandlingen i registerlagen, dvs. i lagen fast- ställs att en viss typ av behandling av personuppgifter som görs av en viss myndighet för vissa ändamål på angivet sätt är tillåten. Därmed bestäms såväl ändamål som medel för behandlingen i registerlagen, vilket gör det tillåtet att ange vem som är personuppgiftsansvarig. Slutligen är det i linje med principerna om laglighet, korrekthet och öppenhet (artikel 5.1 a) att peka ut den personuppgiftsansvarige direkt i registerlagen, vilket tydliggör vem som ska hållas ansvarig för den behandling av personuppgifter som görs enligt lagen. Sammanfattningsvis är det regeringens bedömning att bestämmelsen kan och bör behållas i sin helhet.

148

16.1.4Hänvisningar till personuppgiftslagen ska tas bort

Regeringens förslag: Hänvisningarna till personuppgiftslagen i lagen om rättspsykiatriskt forskningsregister ska tas bort och, där det är lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskyddsförordningen och dataskyddslagen.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget sär-

skilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Skälen för regeringens förslag: I 2 § i lagen om rättspsykiatriskt forsk- ningsregister anges att PUL gäller vid behandling av personuppgifter för registret, om inget annat följer av lagen om registret. Med anledning av att PUL upphävts när dataskyddsförordningen börjat tillämpas bör hänvis- ningen till PUL tas bort.

Vissa bestämmelser i registerlagen innehåller också hänvisningar till Prop. 2017/18:298 specifika bestämmelser i PUL. Detta gäller hänvisningen till PUL avse-

ende information som ska lämnas till den registrerade (12 §), i fråga om rättelse och skadestånd (15 §) samt hänvisningen till 26 och 28 §§ PUL i bestämmelsen om överklagande (16 §). Dessa hänvisningar ska tas bort och, där det bedöms lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskyddsförordningen respektive dataskyddslagen, se respektive avsnitt nedan.

16.1.5Det ska tas in hänvisningar till dataskyddsförord- ningen och dataskyddslagen

Regeringens förslag: Det ska införas en upplysningsbestämmelse i la- gen om rättspsykiatriskt forskningsregister som tydliggör att lagen kompletterar dataskyddsförordningen.

Det ska också införas en upplysningsbestämmelse som anger att vid behandling av personuppgifter enligt lagen om rättspsykiatriskt forsk- ningsregister gäller dataskyddslagen och föreskrifter som har meddelats med stöd av den lagen, om inte något annat följer av lagen om rättspsykiatriskt forskningsregister.

Utredningens förslag överensstämmer i sak med regeringens förslag. Utredningens förslag till lagtext har formulerats på ett annat sätt än rege- ringens förslag.

Remissinstanserna: Kammarrätten i Stockholm anser att det bör över- vägas om det ska anges hur lagen förhåller sig till den brottsdatalag som föreslås i betänkandet Brottsdatalag (SOU 2017:29).

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Skälen för regeringens förslag

Förhållandet till dataskyddsförordningen och dataskyddslagen

Dataskyddsförordningen är direkt bindande och tillämplig i Sverige och ska inte genomföras i svensk rätt. Dataskyddsförordningen gäller oavsett om det i lagen om rättspsykiatriskt forskningsregister införs en bestäm- melse som hänvisar till förordningen eller inte. Regeringen anser dock i likhet med utredningen att det bör införas en bestämmelse i lagen som tyd- liggör att den innehåller kompletterande bestämmelser till dataskydds- förordningen. Hänvisningen till dataskyddsförordningen bör vara dyna- misk, det vill säga avse förordningen i den vid varje tidpunkt gällande ly- delsen. En sådan bestämmelse tydliggör registerlagens förhållande till dataskyddsförordningen och det blir tydligt att lagen om rättspsykiatriskt forskningsregister inte utgör en uttömmande reglering. Bestämmelsen syf- tar alltså till att göra relationen mellan de olika regelverken begriplig både för dem som tillämpar lagen och de registrerade.

Dataskyddslagen kompletterar dataskyddsförordningen på en generell nivå i Sverige. Liksom PUL tillämpats om inte annat följer av lagen om

149

Prop. 2017/18:298 rättspsykiatriskt forskningsregister bör bestämmelserna i dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gälla vid be- handling av personuppgifter om inte avvikande bestämmelser finns i lagen om rättspsykiatriskt forskningsregister. En bestämmelse som upplyser om detta bör införas i sistnämnda lag. I dataskyddslagen finns det generella bestämmelser som utgör tillåtna specificeringar av och undantag från data- skyddsförordningen. I 1 kap. 6 § dataskyddslagen anges att om en annan lag eller en förordning innehåller någon bestämmelse som avviker från den lagen, tillämpas den bestämmelsen. Dataskyddslagens bestämmelser gäl- ler därmed i den mån inte lagen om rättspsykiatriskt forskningsregister, eller annan författning, föreskriver annat. Det krävs således i och för sig inte någon hänvisningsbestämmelse till dataskyddslagen. Att införa en upplysande bestämmelse som tydliggör att lagen om rättspsykiatriskt forskningsregister inte utgör en uttömmande nationell reglering under dataskyddsförordningen underlättar dock för den som ska tillämpa regel- verket och för andra att hitta relevanta lagrum. Regeringen anser därför att det ska införas en upplysningsbestämmelse i lagen som anger att vid be- handling av personuppgifter enligt lagen om rättspsykiatriskt forsknings- register gäller dataskyddslagen och föreskrifter som har meddelats med stöd av den lagen, om inte annat följer av lagen om rättspsykiatriskt forsk- ningsregister.

Förhållandet till brottsdatalagen

I propositionen Brottsdatalag (prop. 2017/18:232) lämnade regeringen för- slag till en brottsdatalag, som ska genomföra Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av person- uppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana upp- gifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskydds- direktivet på det brottsbekämpande området) i svensk rätt. Brottsdatalagen (2018:1177) beslutades av riksdagen den 13 juni 2018 och trädde i kraft den 1 augusti 2018 (prop. 2017/18:232, bet. 2017/18:JuU37, rskr. 2017/18:392). Kammarrätten i Stockholm anser att det bör övervägas om det ska anges hur lagen om rättspsykiatriskt forskningsregister förhåller sig till brottsdatalagen.

150

Brottsdatalagen ska gälla för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straff- rättsliga påföljder. Den ska också gälla för behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet (1 kap. 2 §). Behörig myndighet definieras som 1. en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder, eller upprätthålla allmän ordning och säkerhet, när den behandlar personuppgifter för ett sådant syfte, eller 2. en annan aktör som anförtrotts myndighetsutövning för ett syfte som anges i 1, när den behandlar person- uppgifter för ett sådant syfte (1 kap. 6 §). Rättsmedicinalverket ansvarar bl.a. för rättspsykiatriska undersökningar i brottmål och läkarintyg som avses i 7 § lagen (1991:2041) om särskild personutredning i brottmål,

m.m., rättsmedicinska obduktioner och andra rättsmedicinska undersök- Prop. 2017/18:298 ningar, verksamhet med utfärdande av sådana intyg som avses i lagen

(2005:225 ) om rättsintyg i anledning av brott, rättsmedicinsk medverkan i övrigt på begäran av domstol, allmän åklagare, Polismyndigheten eller Säkerhetspolisen och rättskemiska och rättsgenetiska undersökningar. Myndigheten ska också ansvara för utvecklingsarbete och stöd åt forsk- ning av betydelse för verksamheten (se 1 och 2 §§ förordningen [2007:976] med instruktion för Rättsmedicinalverket). Verksamheten bi- drar till utredningen och lagföringen av brott och ger underlag för beslut om påföljder för brott. Rättsmedicinalverket har alltså vissa arbetsuppgif- ter som gör att brottsdatalagen blir tillämplig. Av de inledande bestämmel- serna i lagen om rättspsykiatriskt forskningsregister framgår emellertid att den verksamhet lagen specifikt reglerar och som lagens tillämpningsom- råde är avgränsat till är verksamheten med förandet av det rättspsykiatriska forskningsregistret. Som nämnts får det rättspsykiatriska forskningsregist- ret endast användas för behandling av personuppgifter för forskning inom rättspsykiatrin och Rättsmedicinalverkets utvecklingsarbete. Lagen om rättspsykiatriskt forskningsregister reglerar således inte den verksamhet hos Rättsmedicinalverket som det främst är aktuellt att brottsdatalagen kan bli tillämplig på. I brottsdatalagen anges vidare att om det i en annan lag eller en förordning finns bestämmelser som avviker från denna lag, ska de bestämmelserna gälla (1 kap. 5 §). Om det finns avvikande bestämmelser om behandlingen av personuppgifter t.ex. i en författning som reglerar ett visst register gäller de i stället för bestämmelserna i brottsdatalagen. En bestämmelse som reglerar lagens förhållande till andra författningar finns således i brottsdatalagen. Mot denna bakgrund anser regeringen inte att det finns ett behov av att i lagen om rättspsykiatriskt forskningsregister införa någon bestämmelse som reglerar lagens förhållande till brottsdatalagen.

16.1.6Ändamålsbestämmelserna bör behållas

Regeringens bedömning: Ändamålsbestämmelserna i lagen om rätts- psykiatriskt forskningsregister kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning

Ändamålsbestämmelserna är en tillåten nationell precisering

I registerlagens 3 § anges lagens ändamål. Det rättspsykiatriska forsk- ningsregistret får enligt första punkten endast användas för behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt etikprövningslagen, eller, enligt andra

151

Prop. 2017/18:298 punkten, för RMV:s uppföljning, utvärdering eller kvalitetssäkring av sin

152

verksamhet inom rättspsykiatrin (utvecklingsarbete).

Enligt dataskyddsförordningen gäller bl.a. att personuppgifter ska sam- las in för särskilda, uttryckligt angivna och berättigade ändamål (artikel

5.1b). Motsvarande gällde enligt PUL (9 §), som baserades på dataskydds- direktivet.

Formuleringen av ändamålet har vid införandet av lagen om rätts- psykiatriskt forskningsregister bedömts uppfylla kraven enligt data- skyddsdirektivet och PUL. Regeringen framhöll att ändamålen borde pre- ciseras så noga som möjligt av flera skäl, först och främst för att värna om skyddet för den personliga integriteten (prop. 1998/99:72 s. 36 f.).

När det gäller frågan hur specificerat ett ändamål behöver vara för att uppfylla kravet i artikel 5.1 b kan noteras att det i skäl 33 anges att det ofta inte är möjligt att fullt ut identifiera en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter och att därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning. I den första punkten har ändamålet preciserats till behandling av personuppgifter för forskning inom rättspsykiatrin. Per- sonuppgiftsbehandling enligt lagen sker inte med stöd av samtycke men enligt regeringens uppfattning kan skäl 33 ge vägledning för hur man ska se på ändamålsbeskrivning generellt vid behandling av personuppgifter för forskningsändamål oavsett vilken grund som behandlingen baseras på. Ändamålet har angivits vara forskning inom rättspsykiatrin. Området för forskningen har således preciserats. Regeringen anser därför att ändamåls- beskrivningen i första punkten är förenlig med dataskyddsförordningen och kan behållas. Det krävs också att forskningen och behandlingen har godkänts enligt etikprövningslagen för att uppgifterna i registret ska få an- vändas. Detta är ett villkor, en skyddsåtgärd, som infördes till skydd för den registrerade mot bakgrund av att registret innehåller mycket känsliga personuppgifter.

När det gäller ändamålet användning i Rättsmedicinalverkets utveck- lingsarbete ansågs ändamålet vara ett viktigt allmänt intresse då lagen in- fördes och därmed berättigat.

Regeringen delar utredningens bedömning att kraven på tillräckligt pre- ciserade ändamål enligt dataskyddsförordningen inte skiljer sig från kra- ven i dataskyddsdirektivet och att regeringens och riksdagens redan gjorda bedömningar därför är fortsatt giltiga och förenliga med dataskydds- förordningen. Regeringen delar också utredningens bedömning att ända- målsbestämmelsen i 3 § registerlagen även i övrigt är utformad på ett så- dant sätt som stämmer överens med dataskyddsförordningens krav och ut- gör tillåten nationell lagstiftning i enlighet med artikel 6.2 och 6.3 i data- skyddsförordningen. Ändamålsbestämmelsen i 3 § registerlagen kan och bör därför behållas.

Finalitetsprincipen har begränsats i lagen

Av propositionen med förslaget till lag om rättspsykiatriskt forskningsre- gister framgår att det är regeringens avsikt att uppgifterna i registret endast ska få användas för de föreslagna två ändamålen (prop. 1998/99:72 s. 33). De uppräknade ändamålen och tillåtna behandlingarna i lagen är således uttömmande. Detta innebär en begränsning av finalitetsprincipen enligt

dataskyddsförordningen. Den principen innebär att uppgifter ska samlas in Prop. 2017/18:298 för särskilda, uttryckligt angivna och berättigade ändamål och inte senare

behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare be- handling för arkivändamål av allmänt intresse, vetenskapliga eller histo- riska forskningsändamål eller statistiska ändamål i enlighet med artikel

89.1ska dock inte anses vara oförenlig med de ursprungliga ändamålen (artikel 5 1 b).

Mot bakgrund av att ändamålen med personuppgiftsbehandlingen i re- gisterlagen är nödvändiga för att utföra en uppgift av allmänt intresse en- ligt artikel 6.1 e i dataskyddsförordningen är det tillåtet enligt artikel 6.2 och 6.3 i förordningen att i nationell rätt behålla särskilda bestämmelser som till exempel specificerar ändamålsbegränsningar. Det är regeringens bedömning att bestämmelsen i 3 § registerlagen även i det avseendet den begränsar möjligheten till ytterligare behandling är förenlig med data- skyddsförordningen och därmed kan behållas.

16.1.7Det bör även fortsättningsvis anges vilka person- uppgifter som får finnas i registret

Regeringens bedömning: Bestämmelserna i lagen om rättspsykiatriskt forskningsregister om vilka uppgifter om registrerade personer som får registreras kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm-

 

ning.

 

Remissinstanserna: Ingen remissinstans kommenterar bedömningen

 

särskilt.

 

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege-

 

ringens bedömning.

 

Remissinstanserna: Ingen remissinstans kommenterar bedömningen

 

särskilt.

 

Skälen för regeringens bedömning: I 4 § lagen om rättspsykiatriskt

 

forskningsregister anges att registret endast får innehålla uppgifter om en

 

person för vilken ett rättspsykiatriskt utlåtande enligt lagen om rättspsyki-

 

atrisk undersökning, ett intyg enligt 7 § lagen om särskild personutredning

 

i brottmål, m.m. eller motsvarande utlåtande eller intyg enligt äldre lag-

 

stiftning har utfärdats. I 4 § andra stycket anges att uppgifterna inte får

 

föras in i registret förrän domen i det mål i vilket utlåtandet eller intyget

 

inhämtats har vunnit laga kraft. Har åtalet helt ogillats får inga personupp-

 

gifter från det brottmålet föras in i registret. I 5–9 §§ anges därefter vilka

 

uppgifter för varje person som får registreras i registret. Majoriteten av de

 

slags uppgifter som anges i 5–9 §§ registerlagen är sådana uppgifter som

 

kategoriserades som känsliga personuppgifter enligt 13 § PUL (artikel 8.1

 

i dataskyddsdirektivet) eller personuppgifter om lagöverträdelser m.m. en-

 

ligt 21 § PUL. Motsvarande bestämmelser beträffande särskilda kategorier

 

av personuppgifter (känsliga personuppgifter) finns i artikel 9.1 i data-

 

skyddsförordningen och beträffande personuppgifter om lagöverträdelser

 

m.m. i artikel 10 i dataskyddsförordningen.

 

Dataskyddsförordningen förbjuder i artikel 9.1 behandling av person-

 

uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös

153

 

Prop. 2017/18:298 eller filosofisk övertygelse, medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en

 

fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons

 

sexualliv eller sexuella läggning. I artikel 9.2 räknas ett antal undantag från

 

förbudet upp. Förbudet gäller bl.a. inte om behandlingen är nödvändig

 

med hänsyn till ett viktigt allmänt intresse (artikel 9.2 g) och inte heller

 

om behandlingen är nödvändig för bl.a. vetenskapliga eller historiska

 

forskningsändamål (artikel 9.2 j). I båda dessa fall anges det att behand-

 

lingen ska ske på grundval av unionsrätten eller medlemsstaternas natio-

 

nella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara för-

 

enlig med det väsentliga innehållet i rätten till dataskydd och innehålla

 

lämpliga och särskilda skyddsåtgärder. Av artikel 9.4 framgår att med-

 

lemsstaterna får behålla eller införa ytterligare villkor, även begräns-

 

ningar, för behandlingen av genetiska eller biometriska uppgifter eller

 

uppgifter om hälsa. Av skäl 10 i dataskyddsförordningen framgår att för-

 

ordningen ger medlemsstaterna handlingsutrymme att specificera sina be-

 

stämmelser, även för behandlingen av särskilda kategorier av personupp-

 

gifter, och att förordningen inte utesluter att det i medlemsstaternas

 

nationella rätt fastställs närmare omständigheter för specifika situationer

 

där uppgifter behandlas. I skäl 52 i dataskyddsförordningen förtydligas

 

bl.a. att undantag från förbudet att behandla särskilda kategorier av per-

 

sonuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i medlems-

 

staternas nationella rätt och underkastas lämpliga skyddsåtgärder för att

 

skydda personuppgifter och övriga grundläggande rättigheter. En förut-

 

sättning för sådana undantag är att allmänintresset motiverar det.

 

Av artikel 10 i dataskyddsförordningen framgår att behandling som rör

 

fällande domar i brottmål och överträdelser eller därmed samman-

 

hängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kon-

 

troll av myndighet eller då behandlingen är tillåten enligt unionsrätten eller

 

medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder fastställts.

 

Som redogjorts för i avsnittet om ändamålsbestämmelsen i 3 § lagen om

 

rättspsykiatriskt forskningsregister har regeringen i samband med införan-

 

det av lagen och då ändamålet med personuppgiftsbehandlingen enligt la-

 

gen fastställdes gjort bedömningen att behandling av personuppgifter för

 

forskningsändamål ur det rättspsykiatriska forskningsregistret liksom be-

 

handling av personuppgifter ur registret för utvecklingsarbete inom RMV

 

är sådan nödvändig behandling för att utföra en uppgift av viktigt allmänt

 

intresse. Det väl avgränsade ändamålet med behandlingen samt den strikta

 

bedömningen av vilka uppgifter som får registreras för varje person be-

 

dömdes av regeringen utgöra ett fullgott skydd för de registrerades person-

 

liga integritet. Regeringen och riksdagen fann således vid införandet av

 

registerlagen att dataskyddsdirektivet inte hindrade att känsliga person-

 

uppgifter får behandlas.

 

När det gäller behandling av känsliga personuppgifter i registret för ut-

 

vecklingsarbete inom RMV enligt 3 § andra punkten finns det ingen an-

 

ledning att göra en annan bedömning än att det är ett sådant viktigt allmänt

 

intresse att behandlingen är tillåten även enligt artikel 9.2 g i dataskydds-

 

förordningen. Genom artikel 9.2 j finns vidare ett särskilt stöd i data-

 

skyddsförordningen för behandling av känsliga personuppgifter i det rätts-

 

psykiatriska forskningsregistret för forskning inom rättspsykiatrin enligt 3

154

§ första punkten. Både när det gäller forskning och utvecklingsarbete inom

RMV sker behandlingen av känsliga personuppgifter på grundval av bestämmelser i nationell rätt. Det är även nu regeringens bedömning att de aktuella bestämmelserna står i proportion till det eftersträvade syftet med behandling av personuppgifter och är förenliga med det väsentliga inne- hållet i rätten till dataskydd. Som kommer att framgå av den följande re- dogörelsen för bestämmelserna i lagen innehåller den också ett antal bestämmelser om skyddsåtgärder.

I 5 § lagen om rättspsykiatriskt forskningsregister anges att uppgifter om personnummer eller samordningsnummer får registreras. I 22 § PUL angavs att uppgifter om personnummer eller samordningsnummer fick be- handlas utan samtycke bara när det var klart motiverat med hänsyn till än- damålet med behandlingen, vikten av en säker identifiering eller något an- nat beaktansvärt skäl. Bestämmelsen i 22 § PUL infördes med stöd av ar- tikel 8.7 i dataskyddsdirektivet som angav att medlemsstaterna skulle bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering fick behandlas. Bestämmelsen i 5 § lagen om rättspsykiatriskt forskningsregister är således införd efter en be- dömning utifrån kraven i PUL.

Behandling av nationella identifikationsnummer regleras i artikel 87 i dataskyddsförordningen, som anger att medlemsstaterna får närmare be- stämma på vilka särskilda villkor sådana identifikationsnummer får be- handlas. Sådan behandling får endast ske med iakttagande av lämpliga skyddsåtgärder. I dataskyddslagen har det införts en motsvarande bestäm- melse till bestämmelsen i 22 § PUL. Bestämmelsen anger att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av uppgifter om personnummer och samordningsnummer är tillåten (3 kap. 10 och 11 §§ dataskyddslagen).

Eftersom motsvarande möjligheter till undantag från förbudet mot be- handling av känsliga uppgifter och till nationell reglering av behandling av personnummer och samordningsnummer som finns i dataskyddsdirek- tivet finns i dataskyddsförordningen anser regeringen, i likhet med utred- ningen, att de bedömningar som gjordes vid införandet av bestämmelserna om vilka uppgifter om registrerade personer som ska finnas i registret kan och bör kvarstå även med hänsyn taget till dataskyddsförordningens bestämmelser. Det är vidare regeringens bedömning att dataskyddsförord- ningens krav på lämpliga och särskilda skyddsåtgärder är uppfyllda i re- gisterlagen genom kravet på etikprövning samt regleringarna avseende di- rektåtkomst, sekretess och restriktionerna vid utlämnande av uppgifter.

När det gäller uppgifter i registret som utgör uppgifter om lagöverträ- delser enligt artikel 10 i dataskyddsförordningen sker behandlingen under kontroll av myndighet och lagen uppfyller dessutom som nämnts enligt regeringens bedömning kravet på att nationell rätt ska innehålla lämpliga skyddsåtgärder.

Sammanfattningsvis delar därför regeringen utredningens bedömning att bestämmelserna i 4–9 §§ registerlagen är förenliga med dataskydds- förordningen och kan och bör behållas som tillåten specificerande natio- nell reglering enligt artikel 6.2 och 6.3 i dataskyddsförordningen.

Prop. 2017/18:298

155

Prop. 2017/18:298 16.1.8 Andra myndigheters uppgiftsskyldighet bör behål- las

Regeringens bedömning: Bestämmelserna i lagen om rättspsykiatriskt forskningsregister om att Socialstyrelsen, Kriminalvården respektive Statens Institutionsstyrelse ska lämna uppgifter till det rättspsykiatriska forskningsregistret kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: Av 10 § lagen om rättspsykiatriskt forskningsregister framgår att Socialstyrelsen, Kriminalvården respektive Statens institutionsstyrelse ska lämna vissa uppgifter (enligt 6–9 a §§ i la- gen) till det rättspsykiatriska forskningsregistret.

Ett skäl för att författningsreglera tillförande av uppgifter till registret angavs i regeringens proposition vara att tillförsäkra att uppgiftslämnandet skulle fungera i praktiken. En sådan reglering är dock också nödvändig i många fall för att uppgifter ska kunna tillföras registret utan hinder av att sekretess gäller för uppgifterna (prop. 1998/99:72 s. 46 f.). Enligt 8 kap. 1 § offentlighets- och sekretesslagen (2009:400, OSL) får en uppgift för vilken sekretess gäller enligt OSL inte röjas för enskilda eller för andra myndigheter om inte annat anges i OSL eller i lag eller förordning som OSL hänvisar till. Av 10 kap. 28 § OSL framgår att sekretess inte hindrar att en uppgift lämnas till en annan myndighet om uppgiftsskyldigheten föl- jer av lag eller förordning. Bestämmelsen i 10 § lagen om rättspsykiatriskt forskningsregister är således en sådan sekretessbrytande författningsregle- ring som gör det möjligt för de aktuella myndigheterna att lämna även sek- retessbelagda uppgifter till registret. Bestämmelsen om vilka uppgifter som ska tillföras registret är enligt regeringens uppfattning en sådan tillå- ten specifik nationell bestämmelse som är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmelsen kan och bör därför behållas.

16.1.9Bestämmelsen om direktåtkomst bör behållas

Regeringens bedömning: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister om direktåtkomst kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

156

Remissinstanserna: Ingen remissinstans kommenterar bedömningen Prop. 2017/18:298 särskilt.

Skälen för regeringens bedömning: Enligt 11 § lagen om rättspsykiat- riskt forskningsregister får endast RMV ha direktåtkomst till uppgifter i det rättspsykiatriska forskningsregistret. Direktåtkomst utgör en form av behandling av personuppgifter. Varken i dataskyddsförordningen, data- skyddsdirektivet eller i PUL finns det särskilda bestämmelser som direkt rör denna form av behandling.

Begränsningen i 11 § är ett villkor som gäller för behandlingen och en sådan skyddsåtgärd som krävs enligt dataskyddsförordningen vid all be- handling av personuppgifter för forskningsändamål och som särskilt krävs vid behandling av känsliga personuppgifter eller uppgifter om lagöverträ- delser. Det är regeringens uppfattning att bestämmelsen i sak är förenligt med dataskyddsförordningen och att den är en sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att närmare fastställa villkoren för den personuppgiftsansvariges behandling som grundar sig på bl.a. en arbets- uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Som konstaterats är också de uppgifter som registreras i registret till stor del sådana som räknas som känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen. För att undantaget i artikel 9.2 g, då behand- lingen är nödvändig av hänsyn till ett viktigt allmänt intresse, eller undan- taget i artikel 9.2 j, då behandlingen är nödvändig för vetenskapliga eller historiska forskningsändamål, ska kunna tillämpas och behandlingen en- ligt lagen ska vara tillåten krävs det bl.a. att den nationella rätten innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Nu aktuell bestäm- melse är en sådan bestämmelse. Bestämmelsen kan och bör därför behål- las.

16.1.10Bestämmelsen om vilken information som ska lämnas ska anpassas

Regeringens förslag: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister om vilken information som ska lämnas till den registrerade ska anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och att det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av dataskyddsförordningen. Hänvisningen till personuppgiftslagen ska utgå och ersättas med en hänvisning till dataskyddsförordningen och dataskyddslagen.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget sär-

skilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

157

Prop. 2017/18:298 Skälen för regeringens förslag: Av 12 § lagen om rättspsykiatriskt forskningsregister framgår vilken information om behandlingen som RMV ska lämna till den registrerade när personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret.

Artikel 14 i dataskyddsförordningen reglerar den information som ska tillhandahållas om personuppgifterna har erhållits från någon annan än den registrerade. Dataskyddsförordningens bestämmelse om information är mer utförlig än den som fanns i artikel 11 i dataskyddsdirektivet. Den re- gistrerade har således rätt att få mer information än vad som gällde enligt dataskyddsdirektivet. Dessutom finns det en bestämmelse i artikel 12.1 i dataskyddsförordningen om i vilken form informationen ska lämnas, som helt saknar motsvarighet i dataskyddsdirektivet, vilket innebär att den re- gistrerades rättigheter har stärkts i detta avseende.

Dataskyddsdirektivets reglering om vilken information som ska lämnas självmant genomfördes genom 23–25 §§ PUL.

Viss information som ska lämnas enligt 12 § lagen om rättspsykiatriskt forskningsregister motsvaras av information enligt den direkt tillämpliga bestämmelsen i artikel 14 i dataskyddsförordningen, medan vissa punkter i lagen om rättspsykiatriskt forskningsregister inte har någon motsvarighet i dataskyddsförordningen.

Bestämmelser i nationell rätt som anger vilken information som själv- mant ska lämnas till den registrerade kan enligt regeringens bedömning behållas med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen, om den ursprungliga behandlingen grundas på att den är nödvändig för att utföra en uppgift av allmänt intresse. För att undvika dubbelreglering bör dock, som utredningen föreslagit, bestämmelsen anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och att det i bestämmelsen anges vilken information som ska lämnas utöver vad som framgår av artikel 14 i dataskyddsförordningen. Det innebär att punkt 1 om att RMV är personuppgiftsansvarigt, punkt 2 om ändamålen med be- handlingen, punkt 3 om vilken typ av uppgifter behandlingen avser och punkt 4 om mottagarna av uppgifterna bör utgå.

När det gäller 12 § punkt 6 i registerlagen om information som ska läm- nas efter ansökan samt om rättelse och skadestånd finns motsvarande bestämmelse om rätt till information som ska lämnas efter ansökan (rätt till tillgång) och om rätt till rättelse i artikel 14.2 c i dataskyddsförord- ningen. Dessa delar av punkten bör därför utgå. Det som återstår är då rätt till information om skadestånd. Hänvisningen till att berörda bestämmel- serna finns i PUL måste slutligen ersättas med en hänvisning till bestäm- melser i dataskyddsförordningen och dataskyddslagen.

Till skillnad från artikel 14 i dataskyddsförordningen innehåller 12 § la- gen om rättspsykiatriskt forskningsregister inget undantag från när infor- mation ska lämnas. Artikel 14.5 i dataskyddsförordningen anger undantag från kravet att lämna information. Genom att artikel 14 i dataskydds- förordningen är direkt tillämplig, då förordningen började tillämpas den 25 maj 2018, är även bestämmelserna om undantag då information inte behöver lämnas direkt tillämpliga.

158

16.1.11Bestämmelsen om utlämnande av uppgifter bör behållas

Regeringens bedömning: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister om utlämnande av uppgifter kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: Enligt 13 § första stycket lagen om rättspsykiatriskt forskningsregister ska RMV till Socialstyrelsen, Kri- minalvården och Statens institutionsstyrelse, på medium för automatiserad behandling, lämna de uppgifter som är nödvändiga för att dessa myndig- heter ska kunna lämna uppgifter enligt 10 § till det rättspsykiatriska forsk- ningsregistret. Av 13 § andra stycket i paragrafen framgår att uppgifter från registret får, utöver vad som anges i första stycket, lämnas ut på me- dium för automatiserad behandling endast om uppgifterna ska användas för det ändamål som anges i 3 § punkten 1, dvs. för forskning inom rätts- psykiatrin.

Regleringen i bestämmelsens första stycke syftar till att RMV ska un- derlätta för de berörda myndigheterna att i sin tur lämna uppgifter till re- gistret enligt 10 § registerlagen, genom att RMV ska lämna nödvändiga uppgifter för detta ändamål till de berörda myndigheterna på medium för automatiserad behandling. En sådan reglering påverkas inte av data- skyddsförordningen.

När det gäller regleringen i andra stycket om att uppgifter från registret, utöver vad som anges i första stycket, endast får lämnas ut på medium för automatiserad behandling om uppgifterna ska användas för forskning inom rättspsykiatrin, anförde regeringen i propositionen som föregick in- förandet av lagen om rättspsykiatriskt forskningsregister att med hänsyn till att det rör sig om ett register med mycket integritetskänsliga uppgifter borde en bestämmelse som begränsar möjligheterna till utlämnande på me- dium för automatiserad behandling införas för de fall uppgifterna begärs ut i annat syfte än för forskning inom rättspsykiatrin som godkänts vid etikprövning, t.ex. med stöd av offentlighetsprincipen. Enligt regeringens bedömning förelåg ingen anledning att tillåta utlämnande på medium för automatiserad i andra situationer än när det rör sig om användning i enlig- het med registrets ändamål.

Eftersom begränsningen i 13 § andra stycket registerlagen syftar till att öka skyddet för de integritetskänsliga uppgifterna i registret är åtgärden att anse som en skyddsåtgärd enligt dataskyddsförordningen. En sådan skyddsåtgärd bör liksom skyddsåtgärden i 11 § enligt regeringens bedöm- ning rymmas inom den tillåtna specificeringen i nationell rätt enligt artikel 6.2 och 6.3 i dataskyddsförordningen.

Sammantaget delar regeringen utredningens bedömning att bestämmel- sen om utlämnande av uppgifter kan och bör behållas.

Prop. 2017/18:298

159

Prop. 2017/18:298 16.1.12 Upplysningen om sekretess bör behållas

Regeringens bedömning: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister som upplyser om att det finns bestämmelser om begränsningar i rätten att lämna ut uppgifter från det rättspsykiatriska forskningsregistret i offentlighets- och sekretesslagen kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 14 § registerlagen hänvisas till att det i OSL finns bestämmelser om begränsningar i rätten att lämna ut uppgifter från det rättspsykiatriska forskningsregistret. Dessa återfinns i 24 kap. 2 § OSL.

Sekretess är en skyddsåtgärd såväl enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Bestämmelsen i 14 § lagen om rättspsykiat- riskt forskningsregister är enligt regeringens bedömning, i likhet med bestämmelserna i 11 och 13 §§, en sådan specificering i nationell rätt som är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Bestämmel- sen kan och bör därför behållas.

16.1.13Bestämmelsen om rättelse och skadestånd ska upphävas

Regeringens förslag: Bestämmelsen i lagen om rättspsykiatriskt forskningsregister som hänvisar till personuppgiftslagens bestämmelser om rättelse och skadestånd ska upphävas.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget sär-

skilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Skälen för regeringens förslag: I 15 § lagen om rättspsykiatriskt forsk- ningsregister hänvisas till att bestämmelserna i PUL om rättelse och ska- destånd ska gälla vid behandling av personuppgifter enligt den först- nämnda lagen.

Bestämmelserna om rättelse och skadestånd i PUL fanns i 28 § respek- tive 48 §. Bestämmelsen om rättelse i 28 § PUL gällde endast om behand- ling skett i strid med PUL eller föreskrifter som har utfärdats med stöd av den lagen och bestämmelsen i 48 § PUL om skadestånd gällde endast om behandling skett i strid med den lagen. För att bestämmelserna om rättelse

160

och skadestånd skulle vara tillämpliga även vid behandling i strid med la- Prop. 2017/18:298 gen om rättspsykiatriskt forskningsregister krävdes det därför att det sär-

skilt angavs att bestämmelserna i PUL gäller om behandling av person- uppgifter sker i strid med lagen om rättspsykiatriskt forskningsregister. Det är skälet till att hänvisningen i 15 § har införts.

Bestämmelser som hänvisar till PUL kan inte finnas kvar när PUL nu har upphävts. I dataskyddsförordningen behandlas den registrerades rätt till rättelse i artikel 16.

Vid införandet av lagen om rättspsykiatriskt forskningsregister har be- dömningen gjorts att en rätt till rättelse ska finnas vid behandling av per- sonuppgifter enligt lagen. När dataskyddsförordningen nu börjat tillämpas gäller en rätt till rättelse direkt till följd av förordningen såvida inte något undantag införs i svensk rätt. Något undantag från rätten till rättelse har inte införts i dataskyddslagen. I avsnitt 13.4.2 har regeringen gjort bedöm- ningen att något undantag från rätten till rättelse vid personuppgiftsbe- handling för forskningsändamål i enlighet med den möjlighet till nationell reglering som finns i artikel 89.2 i dataskyddsförordningen inte ska införas i svensk rätt.

Bestämmelsen i lagen om rättspsykiatriskt forskningsregister om rätt till rättelse bör därför upphävas och motsvarande rätt till rättelse vid behand- ling av personuppgifter i strid med lagen kommer att följa direkt av data- skyddsförordningen. I dataskyddsförordningen finns skadeståndsbestäm- melsen i artikel 82. Det är inte möjligt att begränsa tillämpningen av artikel 82, så det är inte av det skälet motiverat att särskilt reglera vad som gäller ifråga om skadestånd. Dessutom har det i dataskyddslagen införts en bestämmelse som förtydligar att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskydds- förordningen (7 kap. 1 § dataskyddslagen). Det behövs därför inte heller någon hänvisning till bestämmelsen i dataskyddsförordningen i lagen om rättspsykiatriskt forskningsregister.

Detta innebär sammantaget att bestämmelsen i 15 § registerlagen bör upphävas i dess helhet och inte ersättas med någon hänvisning till data- skyddsförordningen.

16.1.14 Bestämmelsen om överklagande ska upphävas

Regeringens förslag: Bestämmelsen om överklagande i lagen om rättspsykiatriskt forskningsregister ska upphävas.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget sär-

skilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Skälen för regeringens förslag: Enligt 16 § lagen om rättspsykiatriskt forskningsregister får beslut av RMV om information som ska lämnas ef-

161

Prop. 2017/18:298 ter ansökan enligt 26 § PUL och om rättelse enligt 28 § samma lag över- klagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid över- klagande till kammarrätten.

Av propositionen som föregick införandet av lagen om rättspsykiatriskt forskningsregister framgår att bestämmelsen om skadestånd ursprungligen infördes i lagen för att några bestämmelser om överklagande i de angivna situationerna inte fanns i PUL vid den tiden. Regeringen bedömde att ett beslut av RMV angående behandling av personuppgifter som direkt be- rörde den enskilde skulle kunna överklagas. Efter att bestämmelsen i lagen om rättspsykiatriskt forskningsregister infördes kom dock en bestämmelse med motsvarande innehåll att införas i PUL genom 52 §. Någon motsva- rande reglering fanns dock inte i dataskyddsdirektivet.

Enligt artikel 79.1 i dataskyddsförordningen ska varje registrerad som anser att hans eller hennes rättigheter enligt förordningen har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med förordningen ha rätt till ett effektivt rättsme- del. I artikel 79.2 i dataskyddsförordningen anges var talan i domstol mot en personuppgiftsansvarig eller ett personuppgiftsbiträde får väckas.

I dataskyddslagen finns bestämmelser om överklagande som i sak mot- svarar 52 § PUL (7 kap. 2 § dataskyddslagen). Då dataskyddslagen ska gälla i den mån inte annat föreskrivs i lagen om rättspsykiatriskt forsk- ningsregister är det inte nödvändigt att ha en överklagandebestämmelse som hänvisar till dataskyddslagen. Regeringen anser därför att bestämmel- sen om överklagande i 16 § lagen om rättspsykiatriskt forskningsregister bör upphävas.

16.2Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska anpassas till dataskyddsförordningen

16.2.1Innehållet i lagen

Lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa trädde i kraft den 1 december 2013. Lagens syfte är att ge ett tydligt lagstöd för register som förs med de registrerades samtycke i syfte att ge universitet och högskolor möjlighet att skapa un- derlag för olika forskningsprojekt om vad arv och miljö betyder för upp- komsten och utvecklingen av olika typer av sjukdomar och människors hälsa i övrigt och skydda den enskildes personliga integritet i sådan verk- samhet.

Känsliga personuppgifter samlas enligt lagen in med uttryckligt sam- tycke och enbart uppgifter som inte är direkt hänförliga till den enskilde får lämnas ut till forskningsprojekt som har godkänts vid en etikprövning. Lagen innehåller bl.a. bestämmelser om för vilka ändamål personuppgif- terna får behandlas (5–8 §§), vilka personuppgifter som får finnas i register enligt lagen (9 §), intern elektronisk åtkomst (10 §), gallring (12 §), sam- tycke och information (14 och 15 §§), utplåning av uppgifter (16 §) och skadestånd (17 §).

162

Regeringen beslutar vilka universitet och högskolor som ska få föra re- Prop. 2017/18:298 gister i enlighet med lagen och vilka register som får föras. Föreskrifter

om detta finns i förordningen (2013:833) om vissa register för forskning om vad arv och miljö betyder för människors hälsa.

Lagen är tidsbegränsad och har förlängts vid två tillfällen, senast genom beslut av riksdagen i november 2017, till att gälla till och med den 31 de- cember 2020. Skälet till att lagen är tidsbegränsad är det utredningsarbete som påbörjades år 2013, när regeringen gav en särskild utredare i uppdrag att utreda förutsättningarna för registerbaserad forskning (dir. 2013:08). Utredningen, som tog sig namnet Registerforskningsutredningen (U 2013:01) lämnade betänkandet Unik kunskap genom registerforskning (SOU 2014:45).

Forskningsdatautredningen fick den 7 juli 2016 i uppdrag att bl.a. ana- lysera vilken svensk reglering av personuppgiftsbehandling för forsk- ningsändamål som är möjlig och kan behövas utöver den övergripande reglering som Dataskyddsutredningen skulle komma att föreslå. När det gäller lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa skulle utredningsarbetet bedrivas i två steg. I ett första skede skulle utredningen analysera vilka anpassningar som behövde göras i den lagen inför att dataskyddsförordningen skulle börja tillämpas. I ett andra skede skulle utredningen utreda i vilken mån förslagen som lämnades i Registerforskningsutredningens betänkande SOU 2014:45 är förenliga med dataskyddsförordningen och kan ligga till grund för en lång- siktig reglering av forskningsdatabaser. Uppdraget i den första delen redo- visades i det delbetänkande som ligger till grund för denna proposition. Uppdraget i den andra delen redovisades i betänkandet Rätt att forska – En långsiktig reglering av forskningsdatabaser (SOU 2018:36) den 5 juni 2018. Det sistnämnda betänkandet behandlas inte i denna proposition.

16.2.2Lagen är en tillåten nationell kompletterande reglering till dataskyddsförordningen

Regeringens bedömning: Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa är en tillåten nationell kompletterande reglering till dataskyddsförordningen.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Det stora flertalet remissinstanser som yttrat sig är generellt positiva utredningens förslag eller har ingen erinran mot eller synpunkter på dessa men kommenterar inte förslagen eller bedömningarna beträffande lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa särskilt. Bland andra Justitiekanslern har inga synpunkter på förslagen och bedömningarna beträffande lagen. Centrala etikprövningsnämnden, Statens väg- och transportforsknings- institut, Sveriges geologiska undersökningar och Verket för innovations- system (Vinnova) tillstyrker förslagen till anpassningar av lagen. Skåne läns landsting, Västra Götalands läns landsting, Svenska läkaresällskapet och Sveriges Kommuner och Landsting (SKL) stöder eller välkomnar

163

Prop. 2017/18:298 utredningens bedömning att lagen är en tillåten nationell kompletterande

 

reglering till dataskyddsförordningen.

 

Datainspektionen ifrågasätter, med hänvisning till de invändningar

 

myndigheten framförde mot det ursprungliga lagförslaget och till att myn-

 

digheten anser att ändamålsbestämmelserna i lagen inte är förenliga med

 

dataskyddsförordningens krav, om lagen är förenlig med dataskydds-

 

förordningen.

 

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege-

 

ringens bedömning.

 

Remissinstanserna: Flertalet remissinstanser tillstyrker, har inga syn-

 

punkter på eller erinran mot bedömningarna som görs och förslagen som

 

lämnas i utkastet till lagrådsremiss men kommenterar inte förslagen eller

 

bedömningarna beträffande lagen om vissa register för forskning om vad

 

arv och miljö betyder för människors hälsa särskilt. Bland de som särskilt

 

uttalar sig om lagen om rättspsykiatriskt forskningsregister och tillstyrker

 

ändringarna finns Stockholms läns landsting, Västra Götalands läns lands-

 

ting och Karlstads universitet. Datainspektionen vidhåller sin ståndpunkt

 

att ändamålsbestämmelserna inte är tillräckligt särskilt och uttryckligt an-

 

givna för att uppfylla kraven enligt tillämpliga dataskyddsbestämmelser.

 

Skälen för regeringens bedömning: Dataskyddsförordningen är som

 

nämnts direkt tillämplig i medlemsstaterna men dessa tillåts, enligt artikel

 

6.2 och 6.3, att behålla eller införa mer specifika nationella bestämmelser

 

för att närmare fastställa hur förordningens bestämmelser ska tillämpas när

 

det gäller behandling som sker med stöd av de rättsliga grunderna fullgö-

 

rande av rättslig förpliktelse, utförande av uppgift av allmänt intresse eller

 

myndighetsutövning i artikel 6.1 c och e.

 

Av motiven till lagen framgår explicit att det är regeringens bedömning

 

att ett uppbyggande på frivillig grund av databaser hos statliga universitet

 

och högskolor med basmaterial som kan lämnas ut till specifika forsk-

 

ningsprojekt som har godkänts vid etikprövning är ett sådant viktigt all-

 

mänt intresse som avsågs i artikel 8.4 i dataskyddsdirektivet. Artikel 8.4

 

gav medlemsstaterna rätt att nationellt lagstifta om undantag från förbudet

 

att behandla känsliga personuppgifter (artikel 8.1) under förutsättning av

 

lämpliga skyddsåtgärder och med hänsyn till ett viktigt allmänt intresse.

 

Det är således regeringens och riksdagens redan gjorda bedömning att än-

 

damålen med lagen om vissa register för forskning om vad arv och miljö

 

betyder för människors hälsa utgör ett viktigt allmänt intresse i enlighet

 

med dataskyddsdirektivet. Regeringen delar utredningens bedömning att

 

det inte torde föreligga någon skillnad i sak avseende innebörden i begrep-

 

pet allmänt intresse i dataskyddsdirektivet och dataskyddsförordningen.

 

Personuppgiftsbehandlingen enligt lagen om vissa register för forskning

 

om vad arv och miljö betyder för människors hälsa är alltså enligt rege-

 

ringens bedömning laglig enligt artikel 6.1 e då den bedömts vara nödvän-

 

dig för ett utföra en uppgift av allmänt intresse. Lagen innehåller ett antal

 

bestämmelser som anger bl.a. ändamålet, vilka uppgifter som får finnas i

 

registret och andra villkor som gäller för behandling av uppgifter i regist-

 

ret. Sådana bestämmelser är möjliga att ha i nationell rätt när grunden för

 

behandlingen är att den är nödvändig för att utföra en uppgift av allmänt

 

intresse enligt artikel 6.2 och 6.3. Regeringen anser också att regleringen

 

är proportionell i förhållande till ändamålet. Regeringen delar därför ut-

164

redningens bedömning att lagen utgör en sådan tillåten specifik nationell

reglering för att närmare fastställa hur förordningens bestämmelser ska tillämpas när det gäller utförande av uppgift av allmänt intresse enligt ar- tikel 6.2 och 6.3 i dataskyddsförordningen.

Datainspektionen ifrågasätter med hänvisning till de invändningar myn- digheten framförde mot det ursprungliga lagförslaget och till att myndig- heten anser att ändamålsbestämmelserna i lagen inte är förenliga med data- skyddsförordningens krav, om lagen är förenlig med dataskyddsförord- ningen. Regeringen anser till skillnad från Datainspektionen att ändamåls- bestämmelserna är förenliga såväl med dataskyddsdirektivet som med dataskyddsförordningen. Datainspektionens invändningar har bemötts i tre lagstiftningsärenden, dels i den ursprungliga propositionen, dels vid de två tillfällen då lagen har förlängts (prop. 2012/13:163 s. 23 f., prop. 2014/15:121 s. 11 f. och prop. 2016/17:204 s. 10 f.).

Behandling av personuppgifter ska enligt 2 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ske med den enskildes uttryckliga samtycke. Samtycket utgör därmed en förutsättning för att behandla personuppgifter för lagens ändamål och är ett krav som stärker skyddet för den registrerades integritet.

Utgångspunkten för lagen har varit att det ska vara en samtyckesbaserad reglering. Av dataskyddsförordningens skäl 33 framgår att samtycke ska kunna lämnas relativt brett när det är fråga om insamling av personuppgif- ter för forskningsändamål. I sammanhanget bör även skäl 43 i dataskydds- förordningen beaktas. Av skäl 43 framgår som nämnts att samtycke inte bör vara en giltig rättslig grund för behandling av personuppgifter i ett sär- skilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskild om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har läm- nats frivilligt. Möjligheten att använda samtycke som rättslig grund har behandlats närmare i avsnitt 7.1.1 och 7.2.1. När det gäller offentliga forskningsutförare kan det, som framgår av sistnämnda avsnitt, enligt re- geringens bedömning förhålla sig så att den som lämnar samtycke inte be- finner sig i någon beroendeställning i förhållande till den personuppgifts- ansvarige. För offentliga forskningsutförare med enbart forskning som uppgift torde ett direkt beroendeförhållande normalt inte finnas för andra än de som är anställda vid ett sådant organ. En myndighet kan således inte anses utöva påtryckning gentemot en individ enbart därför att det är fråga om en myndighet, om den inte har några verktyg för att direkt eller indirekt utöva påtryckningar. De universitet och högskolor som omfattas av lagen om vissa register för forskning om vad arv och miljö betyder för männi- skors hälsa är i och för sig myndigheter men med hänsyn till hur starkt frivilligheten framhålls i lagen är det regeringens bedömning att det inte kan anses föreligga betydande ojämlikhet mellan den enskilde och den personuppgiftsansvarige i de fall lagen omfattar.

Den personuppgiftsbehandling som lagen om vissa register för forsk- ning om vad arv och miljö betyder för människors hälsa omfattar måste vidare uppfylla dataskyddsförordningens övriga krav för att kunna behål- las. I det följande kommer regeringen att gå igenom lagens förenlighet med dataskyddsförordningen bestämmelse för bestämmelse.

Prop. 2017/18:298

165

Prop. 2017/18:298 16.2.3 Bestämmelsen om lagens syfte bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om lagens syfte kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 1 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att syftet med lagen är att ge universitet och högskolor möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för upp- komsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt och att skydda den enskildes personliga integritet i sådan verksamhet. Bestämmelsen om lagens syfte innehåller inte någon materiell reglering utan kan sägas ange en grund för bestämmelserna om för vilka ändamål behandling av personuppgifter enligt lagen får ske. Att i nationell lag fastställa syftet med en behandling som grundas på att den är nödvän- dig för att utföra en uppgift av allmänt intresse är tillåtet enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Enligt regeringens bedömning kan och bör därför bestämmelsen behållas.

16.2.4Bestämmelsen om lagens tillämpningsområde bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om lagens tillämpningsområde kan och bör behållas.

Utredningens förslag överensstämmer delvis med regeringens bedöm- ning. Utredningen har föreslagit att andra stycket i bestämmelsen ska tas bort men bedömt att bestämmelsen i övrigt kan behållas.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 2 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges lagens tillämpningsområde. Lagen gäller enligt 2 § första stycket behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen (1992:1434) och som med den enskildes

166

uttryckliga samtycke sker i sådant syfte som anges i 1 §, dvs. att ge uni- versitet och högskolor möjlighet att skapa underlag för olika forsknings- projekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, och skydda den enskildes personliga integritet i sådan verksamhet. Vidare är lagen en- ligt 2 § andra stycket tillämplig bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning el- ler sammanställning enligt särskilda kriterier. I 2 § tredje stycket anges att regeringen meddelar föreskrifter om vilka statliga universitet och högsko- lor som får behandla personuppgifter enligt lagen, och vilka register enligt lagen som får föras.

I 3 § anges att PUL gäller vid behandling av personuppgifter, om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Som regeringen återkommer till i nästa av- snitt ska hänvisningarna till PUL tas bort och ersättas av en upplysning om att lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa kompletterar dataskyddsförordningen.

Regeringen delar utredningens uppfattning att bestämmelser i nationell kompletterande lagstiftning som anger på vilken verksamhet, vilka typer av behandlingar och vilka personuppgifter lagen ska tillämpas inte i sig påverkas av dataskyddsförordningen.

Formuleringen i 2 § andra stycket motsvarar innehållsmässigt artikel

2.1i dataskyddsförordningen, vilken är direkt tillämplig. Av artikel 2.1 framgår att förordningen ska tillämpas på sådan behandling av personupp- gifter som helt eller delvis företas på automatisk väg samt på annan be- handling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. I artikel 4.6 definieras register som en strukturerad sam- ling av personuppgifter som är tillgängliga enligt särskilda kriterier, oav- sett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Av skäl 8 i dataskydds- förordningen framgår att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för sam- stämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt. Skäl 8 i dataskyddsförordningen ger därmed utrymme för att införliva artikel 2.1 i dataskyddsförordningen i nationell rätt. Andra stycket i den aktuella bestämmelsen förtydligar att helt manuell behandling av person- uppgifter som inte ingår i någon samling som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier faller utanför lagens til- lämpningsområde. Regeringen anser till skillnad från utredningen att andra stycket i bestämmelsen bör behållas för att göra de nationella bestämmelserna begripliga för tillämparna och de registrerade.

Sammanfattningsvis är det därför regeringens bedömning att bestäm- melsen i sin helhet kan och bör behållas.

Prop. 2017/18:298

167

Prop. 2017/18:298 16.2.5 Hänvisningarna till personuppgiftslagen ska tas bort

Regeringens förslag: Hänvisningarna till personuppgiftslagen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska tas bort och, där det bedöms lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskydds- förordningen och dataskyddslagen.

Utredningens förslag överensstämmer med regeringens förslag förutom att utredningen föreslagit att hänvisningen till 26 § PUL i 14 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska ersättas med en hänvisning till artikel 15 i dataskyddsförordningen.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med reger- ingens förslag förutom att det i utkastet till lagrådsremiss föreslagits att hänvisningen till 26 § PUL i 14 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska ersättas med en hänvisning till artikel 15 i dataskyddsförordningen.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Skälen för regeringens förslag: I 3 § lagen om vissa register för forsk- ning om vad arv och miljö betyder för människors hälsa anges att PUL gäller vid all behandling av personuppgifter, om inte annat följer av den förstnämnda lagen. Då PUL har upphävts ska alla hänvisningar till den lagen utgå. Detta innebär att den allmänna hänvisningen till PUL i 3 § ska tas bort. Vidare innehåller vissa bestämmelser i registerlagen hänvisningar till specifika bestämmelser i PUL. Detta gäller hänvisningen till 28 § PUL i fråga om rättelse (13 §), 26 § PUL om information efter ansökan (14 § andra stycket p. 7) och 48 § PUL om skadestånd (17 §). Ovan nämnda hänvisningar ska tas bort och, där det bedöms lämpligt eller nödvändigt, ersättas av hänvisningar till bestämmelser i dataskyddsförordningen respektive dataskyddslagen (2018:218), se respektive avsnitt nedan.

 

16.2.6

Det ska tas in hänvisningar till dataskyddsförord-

 

 

ningen och dataskyddslagen

 

 

 

Regeringens förslag: Det ska införas en upplysningsbestämmelse i la-

 

gen om vissa register för forskning om vad arv och miljö betyder för

 

människors hälsa, som tydliggör att den lagen kompletterar dataskydds-

 

förordningen.

 

I lagen om vissa register för forskning om vad arv och miljö betyder

 

för människors hälsa ska det också införas en upplysningsbestämmelse

 

som anger att vid behandling av personuppgifter enligt lagen gäller

 

dataskyddslagen och föreskrifter som har meddelats med stöd av den

 

lagen, om inte annat följer av lagen om vissa register för forskning om

 

vad arv och miljö betyder för människors hälsa eller föreskrifter som

168

har meddelats i anslutning till lagen.

 

 

Utredningens förslag överensstämmer i sak med regeringens förslag. Utredningens förslag till lagtext har formulerats på ett annat sätt än rege- ringens förslag.

Remissinstanserna: Kammarrätten i Stockholm anser att det bör över- vägas om det ska anges hur lagen förhåller sig till den brottsdatalag som föreslås i betänkandet Brottsdatalag (SOU 2017:29).

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Skälen för regeringens förslag

Förhållandet till dataskyddsförordningen och dataskyddslagen

Dataskyddsförordningen är direkt bindande och tillämplig i Sverige och ska inte genomföras i svensk rätt. Dataskyddsförordningen gäller oavsett om det i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa införs en bestämmelse som hänvisar till förordningen eller inte. Regeringen anser dock, i likhet med utredningen, att det bör in- föras en bestämmelse i lagen som tydliggör att den innehåller komplette- rande bestämmelser till dataskyddsförordningen. Hänvisningen till data- skyddsförordningen bör vara dynamisk, det vill säga avse förordningen i den vid varje tidpunkt gällande lydelsen. En sådan bestämmelse tydliggör lagens förhållande till dataskyddsförordningen och det blir tydligt att lagen inte utgör en uttömmande reglering. Bestämmelsen syftar alltså till att göra relationen mellan de olika regelverken begriplig både för dem som tilläm- par lagen och de registrerade.

Genom dataskyddslagen har det som tidigare nämnts införts en lag som på generell nivå kompletterar dataskyddsförordningen i Sverige. Liksom PUL tillämpats om inte annat följer av lagen om vissa register för forsk- ning om vad arv och miljö betyder för människors hälsa bör bestämmel- serna i dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gälla vid behandling av personuppgifter om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa eller föreskrifter som har meddelats i anslutning till den lagen. Utöver de direkt tillämpliga bestämmelserna i dataskyddsförord- ningen finns det i dataskyddslagen generella bestämmelser som utgör til- låtna specificeringar och undantag till dataskyddsförordningen. I 1 kap. 6

§dataskyddslagen anges det att om en annan lag eller en förordning inne- håller någon bestämmelse som avviker från den lagen, tillämpas den be- stämmelsen. Det krävs således i och för sig inte någon hänvisningsbestäm- melse till dataskyddslagen. Att införa en upplysande bestämmelse som tydliggör att lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa inte utgör en uttömmande nationell reglering under dataskyddsförordningen underlättar dock för den som ska tillämpa regelverket och för andra att hitta relevanta lagrum. Regeringen anser där- för att det ska införas en upplysningsbestämmelse i den lagen som anger att vid behandling av personuppgifter enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa gäller data- skyddslagen och föreskrifter som har meddelats med stöd av den lagen,

Prop. 2017/18:298

169

Prop. 2017/18:298 om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa eller föreskrifter som har medde- lats i anslutning till lagen.

Förhållandet till brottsdatalagen

I propositionen Brottsdatalag (prop. 2017/18:232) lämnade regeringen förslag till en brottsdatalag, som ska genomföra Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av person- uppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana upp- gifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskydds- direktivet på det brottsbekämpande området) i svensk rätt. Brottsdatalagen (2018:1177) beslutades av riksdagen den 13 juni 2018 och trädde i kraft den 1 augusti 2018 (prop. 2017/18:232, bet. 2017/18:JuU37, rskr. 2017/18:392). Kammarrätten i Stockholm anser att det bör övervägas om det ska anges hur lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa förhåller sig till brottsdatalagen.

Brottsdatalagen gäller för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den gäller också för behandling av per- sonuppgifter som en behörig myndighet utför i syfte att upprätthålla all- män ordning och säkerhet (1 kap. 2 §). Behörig myndighet definieras som

1.en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga på- följder, eller upprätthålla allmän ordning och säkerhet, när den behandlar personuppgifter för ett sådant syfte, eller 2. en annan aktör som anförtrotts myndighetsutövning för ett syfte som anges i 1, när den behandlar person- uppgifter för ett sådant syfte (1 kap. 6 §). Lagen om vissa register för forsk- ning om vad arv och miljö betyder för människors hälsa gäller behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen i syfte att skapa underlag för olika forsk- ningsprojekt om vad arv och miljö betyder för uppkomsten och utveck- lingen av olika sjukdomar och människors hälsa i övrigt och för att lämna ut uppgifter för sådan forskning. Statliga universitet och högskolor kan inte sägas ha någon sådan brottsbekämpande eller brottsutredande uppgift som anges i brottsdatalagen och är därmed inte någon sådan behörig myn- dighet på vars verksamhet brottsdatalagen är tillämplig. Mot denna bak- grund anser regeringen inte att det finns ett behov av att i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa införa någon bestämmelse som reglerar lagens förhållande till brottsdata- lagen.

170

16.2.7 Bestämmelsen om vilka som är personuppgifts-

Prop. 2017/18:298

ansvariga bör behållas

 

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om vilka som är personuppgiftsansvariga kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 4 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att de universitet och högskolor som utför behandlingen av personuppgifter är personuppgiftsansvariga.

I artikel 4.7 i dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamå- len och medlen för behandlingen av personuppgifter. Bedömningen av vem som är personuppgiftsansvarig för en viss behandling ska därmed en- ligt huvudregeln göras utifrån dataskyddförordningen och med utgångs- punkt i de faktiska omständigheterna i varje enskilt fall. I de situationer ändamålen och medlen för behandlingen bestäms av medlemsstaternas nationella rätt finns dock en möjlighet enligt andra ledet i artikel 4.7 i data- skyddsförordningen att ange vem som är personuppgiftsansvarig i den nationella rätten. I 5–8 §§ lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges för vilka ändamål person- uppgifter får behandlas enligt lagen. Genom lagens tillämpningsområde och ändamålsbestämmelserna ges en yttersta ram för vilka behandlingar som är tillåtna enligt lagen. I 4 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges vilka som är person- uppgiftsansvariga. Det är den personuppgiftsansvarige som i varje enskild situation ska ta ställning till vilken behandling av uppgifter som ska och kan ske. Dessutom bestäms medlen för behandlingen i registerlagen och dess förordning, dvs. i lagen fastställs att en viss typ av behandling av per- sonuppgifter som görs av en viss myndighet för vissa ändamål på angivet sätt är tillåten. Därmed bestäms såväl ändamål som medel för behand- lingen i registerlagen, vilket gör det tillåtet att ange vem som är person- uppgiftsansvarig. Slutligen är det i linje med principerna om laglighet, kor- rekthet och öppenhet (artikel 5.1 a) att peka ut personuppgiftsansvarig di- rekt i registerlagen, vilket tydliggör vem som ska hållas ansvarig för den behandling av personuppgifter som görs enligt lagen. Sammanfattningsvis är det regeringens bedömning att bestämmelsen kan och bör behållas.

171

Prop. 2017/18:298 16.2.8 Ändamålsbestämmelserna bör behållas

Regeringens bedömning: Ändamålsbestämmelserna i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Datainspektionen ifrågasätter, med hänvisning till de invändningar myndigheten framförde mot det ursprungliga lagförslaget och till att myndigheten anser att ändamålsbestämmelserna i lagen inte är förenliga med dataskyddsförordningens krav, om lagen är förenlig med dataskyddsförordningen. Ingen annan remissinstans kommenterar bedöm- ningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Datainspektionen vidhåller sin ståndpunkt att än- damålsbestämmelserna inte är tillräckligt särskilt och uttryckligt angivna för att uppfylla kraven enligt tillämpliga dataskyddsbestämmelser. Ingen annan remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning

Ändamålsbestämmelserna är en tillåten nationell precisering

Enligt dataskyddsförordningen gäller bl.a. att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål (artikel 5.1 b). Motsvarande gäller enligt PUL (9 §), som baseras på dataskyddsdirek- tivet.

De primära ändamål som personuppgifter får behandlas för enligt lagen om vissa register för forskning om vad arv och miljö betyder för männi- skors hälsa, anges i 5 §. De är att skapa underlag för olika forskningspro- jekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, samt att lämna ut uppgifter för sådan forskning. För utlämnande av uppgifter ur registret uppställs vissa villkor enligt 6 §. Det krävs att forskningen bedrivs vid en myndighet och att forskningen och personuppgiftsbehandlingen är god- kända enligt etikprövningslagen. Dessutom får de personuppgifter som lämnas ut inte vara direkt hänförliga till den enskilde, men de får vara för- sedda med en beteckning som hos den personuppgiftsansvarige kan kopp- las till den registrerades personnummer eller motsvarande identitetsbe- teckning. Regeringen anser att dessa ändamålsbestämmelser är tillräckligt preciserade för att uppfylla kraven i dataskyddsförordningen. Regeringen delar också utredningens bedömning att ändamålsbestämmelserna i 5 och 6 §§ även i övrigt är utformade på ett sådant sätt som stämmer överens med dataskyddsförordningens krav och utgör tillåten nationell lagstiftning i enlighet med artikel 6.2 och 6.3. Ändamålsbestämmelserna i 5 och 6 §§ kan och bör därför behållas.

Datainspektionen ifrågasätter med hänvisning till de invändningar myn- digheten framförde mot det ursprungliga lagförslaget och till att myndig- heten anser att ändamålsbestämmelserna i lagen inte är förenliga med data-

172

skyddsförordningens krav, om lagen är förenlig med dataskyddsförord- ningen. Som regeringen redan har anfört i avsnitt 16.2.2 anser regeringen till skillnad från Datainspektionen att ändamålsbestämmelserna är fören- liga såväl med dataskyddsdirektivet som med dataskyddsförordningen. Datainspektionens invändningar har bemötts i tre lagstiftningsärenden, dels i den ursprungliga propositionen, dels vid de två tillfällen då lagen har förlängts (prop. 2012/13:163 s. 23 f., prop. 2014/15:121 s. 11 f. och prop. 2016/17:204 s. 10 f.). Det har sedan dess inte tillkommit någon praxis från EU-domstolen som ger anledning till någon annan bedömning än tidigare. Mot denna bakgrund delar inte regeringen Datainspektionens uppfattning.

Sekundära ändamål och finalitetsprincipen

Termen sekundära ändamål avser myndigheters utlämnande av person- uppgifter för att tillgodose andras behov. Ett sekundärt ändamål enligt la- gen om vissa register för forskning om vad arv och miljö betyder för män- niskors hälsa är enligt 7 § första stycket utlämnande av personuppgifter till en utredning av oredlighet i sådan forskning som avses i 6 § första stycket, eller för att ett yttrande ska kunna lämnas i samband med sådan utredning. Enbart kodade uppgifter får då lämnas ut. Personuppgifter som registre- rats enligt lagen får vidare alltid lämnas ut till den registrerade själv, vilket upplyses om i 7 § tredje stycket. Det är regeringens bedömning att bestäm- melsen i 7 § utgör en tillåten nationell bestämmelse enligt artikel 6.2 och 6.3 och kan kvarstå oförändrad.

Personuppgifter som behandlas för det primära ändamålet att ingå i ett register enligt lagen eller för att lämnas ut för sådan forskning som lagen avser får enligt 8 § första stycket i registerlagen, utöver vad som anges i 6 och 7 §§, bara lämnas ut om det finns en skyldighet enligt lag att göra det. Denna bestämmelse har förts in i lagen för att undvika konflikt med andra lagar som innebär en uppgiftsskyldighet. Det kan bl.a. finnas en skyldighet att lämna uppgifter till tillsynsmyndigheten, dvs. Datainspektionen. Bestämmelsen är enligt regeringens uppfattning en tillåten nationell bestämmelse enligt artikel 6.2 och 6.3 som kan kvarstå oförändrad.

De uppräknade ändamålen och tillåtna behandlingarna i lagen är enligt

8 § andra stycket uttömmande. Det innebär en begränsning av finalitets- principen enligt dataskyddsförordningen. Den principen innebär att upp- gifter ska samlas in för särskilda, uttryckligt angivna och berättigade än- damål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, ve- tenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska dock inte anses vara oförenlig med de ursprungliga ändamålen (artikel 5 1 b). Mot bakgrund av att ändamålen med behandlingen i registerlagen är nödvändiga för att utföra en uppgift av allmänt intresse är det tillåtet enligt artikel 6.2 och 6.3 att i nationell rätt behålla särskilda bestämmelser som till exempel specificerar ändamåls- begränsningar. Det är regeringens bedömning att bestämmelsen i 8 § andra stycket är förenlig med dataskyddsförordningen och kan och bör behållas.

Prop. 2017/18:298

173

Prop. 2017/18:298 16.2.9 Det bör även fortsättningsvis anges vilka person- uppgifter som får finnas i registret

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om vilka personuppgifter som får finnas i registret kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: I 9 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges vilka uppgifter som får finnas i ett register som förs med stöd av lagen. Uppräk- ningen är uttömmande. Även om det inte uttrycks direkt i lagens uppräk- ning råder det enligt regeringens uppfattning inget tvivel om att uppgif- terna som samlas in med stöd av lagen utgörs av huvudsakligen känsliga personuppgifter, enligt definitionen i 13 § PUL där bland annat person- uppgifter om hälsa ingick. Utöver uppräkningen anges även i 9 § andra stycket att regeringen eller den myndighet regeringen bestämmer medde- lar föreskrifter om i vilken utsträckning uppgifter avseende genetiska undersökningar får registreras.

Dataskyddsförordningen förbjuder i artikel 9.1 behandling av person- uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning (särskilda kategorier av uppgifter). Gene- tiska uppgifter, biometriska uppgifter och uppgifter om sexuell läggning är nya kategorier uppgifter som omfattas av det principiella förbudet mot behandling, jämfört med motsvarande reglering i dataskyddsdirektivet och PUL. I 3 kap. 1 § dataskyddslagen anges att med känsliga uppgifter avses i den lagen sådana uppgifter som avses i artikel 9.1.

I artikel 9.2 i dataskyddsförordningen preciseras vissa uttryckliga un- dantag från förbudet i artikel 9.1, till exempel om den registrerade har läm- nat sitt samtycke (artikel 9.2 a) eller om behandlingen är nödvändig på grund av hänsyn till ett viktigt allmänt intresse (artikel 9.2 g). Det finns också ett undantag för behandling som är nödvändig för bland annat forsk- ningsändamål (artikel 9.2 j). Förordningen uppställer krav på fastställda lämpliga och särskilda skyddsåtgärder vid tillämpning av undantagen i ar- tikel 9.2 g och artikel 9.2 j. Av artikel 9.4 framgår att medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behand- lingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.

Av skäl 10 i dataskyddsförordningen framgår att förordningen ger med- lemsstaterna handlingsutrymme att specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter, och att

174

förordningen inte utesluter att det i medlemsstaternas nationella rätt fast- Prop. 2017/18:298 ställs närmare omständigheter för specifika situationer där uppgifter be-

handlas. I skäl 52 anges bland annat att undantag från förbudet att behandla särskilda kategorier av personuppgifter bör tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämp- liga skyddsåtgärder för att skydda personuppgifter och övriga grundläg- gande rättigheter. En förutsättning för sådana undantag är att allmänintres- set motiverar det.

Motsvarande förbud mot behandling av känsliga personuppgifter fanns i dataskyddsdirektivets artikel 8.1, vilken införlivades i svensk rätt genom 13 § PUL. Undantag från förbudet var bland annat möjligt om den registrerade lämnat sitt uttryckliga samtycke (artikel 8.2 a i data- skyddsdirektivet) eller av hänsyn till ett viktigt allmänt intresse, under förutsättning av lämpliga skyddsåtgärder (artikel 8.4 i dataskyddsdirekti- vet).

I förarbetena till registerlagen har regeringen motiverat ett undantag från förbudet att behandla känsliga personuppgifter med att det dels föreligger krav på uttryckligt samtycke, dels att syftet och ändamålet med registerla- gen utgör ett sådant viktigt allmänt intresse som avses i dataskyddsdirek- tivet. De bestämmelser som finns i registerlagen bl.a. ifråga om informa- tion, samtycke och utplåning av uppgifter ansågs utgöra sådana lämpliga skyddsåtgärder som avses i dataskyddsdirektivet. Regeringen fann således att dataskyddsdirektivet inte hindrade att känsliga personuppgifter får be- handlas enligt registerlagen.

Eftersom motsvarande möjligheter till undantag finns i dataskydds- förordningen, och kraven i övrigt i förordningen avseende bland annat skyddsåtgärder får anses vara uppfyllda, är det utredningens uppfattning att redan gjorda bedömningar i det här avseendet kan och bör kvarstå även med hänsyn taget till dataskyddsförordningens bestämmelser. Stödet för att behandla känsliga personuppgifter enligt registerlagen finns således i artikel 9.2 a i dataskyddsförordningen. Regeringens bemyndigande att meddela föreskrifter om i vilken utsträckning uppgifter avseende gene- tiska undersökningar får registreras kan vidare anses vara ett tillåtet villkor enligt dataskyddsförordningen.

16.2.10Begränsningen av intern elektronisk åtkomst bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om begränsning av intern elektronisk åtkomst kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm-

 

ning.

 

Remissinstanserna: Ingen remissinstans kommenterar bedömningen

 

särskilt.

 

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege-

 

ringens bedömning.

 

Remissinstanserna: Ingen remissinstans kommenterar bedömningen

 

särskilt.

175

 

Prop. 2017/18:298 Skälen för regeringens bedömning: I 10 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa anges att den personuppgiftsansvarige ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om registret. Denna bestäm- melse är en skyddsåtgärd enligt dataskyddsförordningens terminologi.

Det är regeringens bedömning att bestämmelsen i sak är förenlig med dataskyddsförordningen och utgör en sådan specifik eller särskild bestäm- melse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att reglera i nationell rätt för att närmare fastställa villkoren för den per- sonuppgiftsansvariges behandling som grundar sig på bl.a. en arbetsupp- gift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Som konstaterats är också de uppgifter som registreras i registret till stor del sådana som räknas som känsliga personuppgifter enligt artikel 9.1 i data- skyddsförordningen. För att undantaget i artikel 9.2 g när en behandling är nödvändig av hänsyn till ett viktigt allmänt intresse eller undantaget i arti- kel 9.2 j när en behandling är nödvändig för vetenskapliga eller historiska forskningsändamål ska kunna tillämpas och behandlingen ska vara tillåten krävs det bl.a. att den nationella rätten innehåller bestämmelser om lämp- liga och särskilda åtgärder för att säkerställa den registrerades grundläg- gande rättigheter och intressen. Nu aktuell bestämmelse är en sådan bestämmelse. Bestämmelsen kan och bör därför behållas.

16.2.11 Förbudet mot direktåtkomst bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om förbud mot utlämnande genom direktåtkomst kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

176

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege- ringens bedömning.

Remissinstanserna: Ingen remissinstans kommenterar bedömningen särskilt.

Skälen för regeringens bedömning: Enligt 11 § i registerlagen får ut- lämnande genom direktåtkomst till personuppgifter i registret inte före- komma. Denna bestämmelse är en skyddsåtgärd enligt dataskyddsförord- ningens terminologi.

Det är regeringens bedömning att bestämmelsen i sak är förenlig med dataskyddsförordningen och utgör en sådan specifik eller särskild bestäm- melse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåtet att ha i nationell rätt för att närmare fastställa villkoren för den personupp- giftsansvariges behandling som grundar sig på bland annat en arbetsupp- gift av allmänt intresse enligt artikel 6.1 e dataskyddsförordningen. Som konstaterats är också de uppgifter som registreras i registret till stor del sådana som räknas som känsliga personuppgifter enligt artikel 9.1 i data- skyddsförordningen. För att undantaget i artikel 9.2 g då behandlingen är

nödvändig av hänsyn till ett viktigt allmänt intresse eller undantaget i arti- Prop. 2017/18:298 kel 9.2 j då behandlingen är nödvändig för vetenskapliga eller historiska forskningsändamål ska kunna tillämpas och behandlingen enligt lagen

vara tillåten krävs det bl.a. att den nationella rätten innehåller bestämmel- ser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Bestämmelsen är en sådan bestämmelse. Mot den angivna bakgrunden kan och bör bestämmelsen be- hållas.

I ett beslut i ett tillsynsärende gällande personuppgiftsbehandlingen i det s.k. LifeGene-registret har Datainspektionen konstaterat att Karolinska institutet, som är personuppgiftsansvarigt, medger deltagare i projektet att via en personlig hemsida på egen hand söka efter uppgifter om sig själva som finns i registret. Enligt Datainspektionen är det fråga om att institutet ger deltagarna direktåtkomst till uppgifter i registret utan lagligt stöd (beslut av Datainspektionen 6 februari 2015, dnr 708-2014). Frågan om förbudet mot direktåtkomst enligt bestämmelsen även fortsättningsvis bör gälla mot den enskilde själv övervägdes av Forskningsdatautredningen i samband med utredningens slutbetänkande (SOU 2018:36).

16.2.12 Bestämmelsen om gallring ska anpassas

Regeringens förslag: Terminologin i bestämmelsen om gallring i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska anpassas till dataskyddsförordningens termino- logi.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget sär-

skilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Skälen för regeringens förslag: Enligt 12 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska person- uppgifter gallras när de inte längre behövs för de ändamål som avses i 5 § 1 och 2, dvs. att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdo- mar och för människors hälsa i övrigt, och att lämna ut uppgifter för sådan forskning i den utsträckning och på det sätt som anges i 6 §. Detta gäller om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får be- varas för historiska, statistiska eller vetenskapliga ändamål.

Lagring av personuppgifter är enligt dataskyddsförordningens definition i artikel 4.2 en behandling av personuppgifter. Enligt artikel 5.1 e i data- skyddsförordningen får personuppgifter inte förvaras i en form som möj- liggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Person- uppgifter får lagras under längre perioder i den mån personuppgifterna en- bart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller

177

Prop. 2017/18:298 historiska forskningsändamål eller statistiska ändamål i enlighet med arti- kel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering). Motsvarande bestämmelse finns i artikel 6.1 e i dataskyddsdirektivet, vilket innebär att huvudregeln inte har förändrats genom dataskyddsförordningen. Rege- ringen anser att bestämmelserna i 12 § lagen om vissa register för forsk- ning om vad arv och miljö betyder för människors hälsa, dvs. att person- uppgifter ska gallras så snart de inte längre behövs, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål, utgör en sådan nationell bestäm- melse om lagringstid som är tillåten enligt artikel 6.2 och 6.3 i dataskydds- förordningen när behandlingen grundas på en uppgift av allmänt intresse. Tidigare bedömningar och avvägningar mellan å ena sidan intresset av skydd för den personliga integriteten och å andra sidan intresset av offent- lighet och insyn i myndigheternas verksamhet, som motiverade införandet av den särskilda gallringsbestämmelsen i registerlagen, är fortfarande re- levanta och balanserade. Det är därför regeringens bedömning att bestäm- melsen om gallring inte behöver ändras i sak.

I dataskyddsförordningen används formuleringen ”arkivändamål av all- mänt intresse, vetenskapliga eller historiska forskningsändamål eller stat- istiska ändamål”, vilket i viss mån skiljer sig från dataskyddsdirektivet, där formuleringen ”historiska, statistiska eller vetenskapliga ändamål” an- vänds. Formuleringen i 12 § registerlagen bör anpassas till dataskydds- förordningen.

16.2.13 Bestämmelsen om rättelse ska upphävas

Regeringens förslag: Bestämmelsen om rättelse i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska upphävas.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget sär-

skilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Skälen för regeringens förslag: I 13 § lagen om vissa register för forsk- ning om vad arv och miljö betyder för människors hälsa anges att bestäm- melserna om rättelse i 28 § PUL ska tillämpas på motsvarande sätt vid behandling av personuppgifter i strid med den förstnämnda lagen.

Bestämmelsen i 28 § PUL gällde endast om behandling skett i strid med PUL eller föreskrifter som har utfärdats med stöd av den lagen. För att bestämmelserna om rättelse skulle vara tillämpliga även vid behandling i strid med lagen om vissa register för forskning om vad arv och miljö be- tyder för människors hälsa krävdes det därför att det i den lagen särskilt

178

angavs att bestämmelserna i 28 § PUL gäller om behandling av person- Prop. 2017/18:298 uppgifter sker i strid med lagen om vissa register för forskning om vad arv

och miljö betyder för människors hälsa.

Bestämmelser som hänvisar till PUL kan inte finnas kvar när PUL nu har upphävts. I dataskyddsförordningen behandlas den registrerades rätt till rättelse i artikel 16. Till skillnad från vad som gäller enligt PUL är dataskyddsförordningen direkt tillämplig även på sådan behandling av personuppgifter som omfattas av registerlagens tillämpningsområde och det finns därför inte skäl att införa motsvarande hänvisning till dataskydds- förordningen.

Vid införandet av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa har bedömningen gjorts att en rätt till rättelse ska finnas vid behandling av personuppgifter enligt lagen. Enligt dataskyddsförordningen gäller en rätt till rättelse direkt till följd av förord- ningen såvida inte något undantag införs i svensk rätt. Något undantag från rätten till rättelse har inte införts i dataskyddslagen. I avsnitt 13.4.2 har regeringen gjort bedömningen att något undantag från rätten till rättelse vid personuppgiftsbehandling för forskningsändamål i enlighet med den möjlighet till nationell reglering som finns i artikel 89.2 i dataskyddsför- ordningen inte heller ska införas i svensk rätt.

Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om rätt till rättelse ska därför upphävas och motsvarande rätt till rättelse vid behandling av personuppgifter i strid med lagen kommer att följa direkt av dataskyddsförordningen.

16.2.14 Bestämmelsen om samtycke och information ska anpassas

Regeringens förslag: Bestämmelsen om samtycke och information i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska anpassas så att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen. Den hänvisning till personuppgiftslagen som finns ska tas bort.

Utredningens förslag överensstämmer med regeringens förslag

 

förutom att utredningen föreslagit att hänvisningen till 26 § PUL i andra

 

stycket punkt 7 ska ersättas med en hänvisning till artikel 15 i

 

dataskyddsförordningen.

 

Remissinstanserna: Ingen remissinstans kommenterar förslagen sär-

 

skilt.

 

Förslaget i utkastet till lagrådsremiss överensstämmer med rege-

 

ringens förslag förutom att det i utkastet till lagrådsremiss föreslagits att

 

hänvisningen till 26 § PUL i andra stycket punkt 7 ska ersättas med en

 

hänvisning till artikel 15 i dataskyddsförordningen.

 

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär-

 

skilt.

 

Skälen för regeringens förslag: I 14 § första stycket lagen om vissa

 

register för forskning om vad arv och miljö betyder för människors hälsa

179

 

Prop. 2017/18:298 anges att personuppgifter inte får samlas in i syfte att de ska registreras i ett register som förs enligt lagen utan att den som uppgifterna avser

 

uttryckligen har samtyckt till att personuppgifter behandlas enligt lagen.

 

Av andra stycket i paragrafen framgår vilken information som ska lämnas

 

till en person innan han eller hon lämnar sitt samtycke. I uppräkningen av

 

vilken information som ska lämnas till den enskilde finns en hänvisning

 

till bl.a. 26 § PUL. I den paragrafen fanns bestämmelser om vilken infor-

 

mation som ska lämnas till den registrerade efter ansökan.

 

Det följer av 9 § lagen om vissa register för forskning om vad arv och

 

miljö betyder för människors hälsa att kravet på samtycke till behandling

 

i 14 § gäller såväl personuppgifter som inhämtas från den registrerade som

 

personuppgifter som inhämtas från annan än den registrerade.

 

Det är regeringens bedömning att bestämmelsen i 14 § första stycket om

 

att samtycke krävs för behandling av personuppgifter enligt lagen är en

 

sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3

 

i dataskyddsförordningen är tillåtet att ha i nationell rätt för att närmare

 

fastställa villkoren för den personuppgiftsansvariges behandling som

 

grundar sig på bl.a. en arbetsuppgift av allmänt intresse enligt artikel 6.1 e

 

i dataskyddsförordningen.

 

I artikel 13 i dataskyddsförordningen anges vilken information som den

 

personuppgiftsansvarige är skyldig att tillhandahålla om personuppgifter

 

samlas in från den registrerade. Dataskyddsförordningens bestämmelse

 

om information är mer utförlig än motsvarande bestämmelse som fanns i

 

artikel 10 i dataskyddsdirektivet. Artikel 14 i dataskyddsförordningen

 

reglerar den information som ska tillhandahållas om personuppgifterna har

 

samlats in från någon annan än den registrerade. Dataskyddsförordningens

 

bestämmelse om information i en sådan situation är mer utförlig än mot-

 

svarande som fanns i artikel 11 i dataskyddsdirektivet. Den registrerade

 

har således i båda fallen rätt att få mer information än vad som gällde enligt

 

dataskyddsdirektivet. Dessutom finns det en bestämmelse i artikel 12.1 i

 

dataskyddsförordningen om i vilken form informationen ska lämnas, som

 

helt saknar motsvarighet i dataskyddsdirektivet, vilket innebär att den

 

registrerades rättigheter har stärkts i detta avseende.

 

Uppräkningen av vilken information som ska lämnas enligt 14 § lagen

 

om vissa register för forskning om vad arv och miljö betyder för männi-

 

skors hälsa skiljer sig i viss mån åt från den uppräkning som finns i artik-

 

larna 13 och 14 i dataskyddsförordningen. Viss information som ska läm-

 

nas enligt 14 § registerlagen motsvaras av information enligt de direkt til-

 

lämpliga bestämmelserna i artiklarna 13 och 14 i dataskyddsförordningen

 

medan vissa punkter i lagen om vissa register för forskning om vad arv

 

och miljö betyder för människors hälsa inte har någon motsvarighet i data-

 

skyddsförordningen.

 

Bestämmelser i nationell rätt som anger vilken information som själv-

 

mant ska lämnas till den registrerade får enligt regeringens bedömning be-

 

hållas med stöd av artikel 6.2 och 6.3 dataskyddsförordningen, om den

 

ursprungliga behandlingen grundas på att den är nödvändig för att utföra

 

en uppgift av allmänt intresse. För att undvika dubbelreglering bör dock

 

bestämmelsen anpassas så att de punkter som har sin motsvarighet i data-

 

skyddsförordningen tas bort och det i bestämmelsen anges vilken infor-

 

mation som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i

180

dataskyddsförordningen. Enligt regeringens bedömning innebär detta att

14 § andra stycket punkt 2 om för vilka ändamål behandling kan ske och Prop. 2017/18:298 vilka uppgifter som får registreras och punkt 7 om rätten till information

bör anpassas till dataskyddsförordningen genom att den del i punkt 2 som avser för vilka ändamål behandling kan ske stryks och att hänvisningen till

26 § PUL i punkt 7 stryks. Vidare bör punkt 4 om vem som är person- uppgiftsansvarig, punkt 5 om hur länge uppgifterna sparas, punkt 6 om rätten till rättelse och punkt 10 om rätten att få uppgifter utplånade utgå.

Vidare skiljer sig bestämmelsen i 14 § i registerlagen från artiklarna 13 och 14 i dataskyddsförordningen på så sätt att den anger att informationen ska ha lämnats innan den registrerade ger sitt samtycke till behandlingen av personuppgifter. I artikel 13 i dataskyddsförordningen anges det att in- formationen ska lämnas när personuppgifterna erhålls när det är fråga om uppgifter som samlas in från den registrerade och i artikel 14 anges det att informationen ska lämnas inom en rimlig period, dock senast inom en må- nad, när uppgifterna inte har samlats in från den registrerade. Bestämmel- sen i registerlagen begränsar inte den registrerades rätt till information. Liksom att samtycke är en förutsättning för att personuppgifter ska få be- handlas enligt lagen är ett krav som stärker den registrerades integritet är även kravet på att informationen lämnas innan den registrerade lämnar sitt samtycke ett krav som stärker den registrerades rättigheter. Denna del av bestämmelsen är därmed enligt regeringens uppfattning en tillåten preci- sering för att anpassa tillämpningen i nationell rätt enligt artikel 6.2 och

6.3och den kan och bör behållas.

16.2.15Bestämmelsen om information om utlämnande till forskning bör behållas

Regeringens bedömning: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om att den registrerade ska få information om till vilka forskningsprojekt som uppgifter om honom eller henne har lämnats ut kan och bör behållas.

Utredningens bedömning överensstämmer med regeringens bedöm-

 

ning.

 

Remissinstanserna: Ingen remissinstans kommenterar bedömningen

 

särskilt.

 

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege-

 

ringens bedömning.

 

Remissinstanserna: Ingen remissinstans kommenterar bedömningen

 

särskilt.

 

Skälen för regeringens bedömning: Den registrerade har enligt 15 §

 

lagen om vissa register för forskning om vad arv och miljö betyder för

 

människors hälsa rätt att på begäran få information om till vilka forsk-

 

ningsprojekt uppgifter om honom eller henne har lämnats ut.

 

Bestämmelsen kan sägas vara en specificering av den rättighet som

 

anges i artikel 15.1 c i dataskyddsförordningen, dvs. att den registrerade

 

ska ha rätt att få information om de mottagare eller kategorier av mottagare

 

till vilka personuppgifterna har lämnats eller ska lämnas ut. Bakgrunden

 

till bestämmelsen i registerlagen är bedömningen att den registrerade kan

 

behöva få tillgång till information om till vilka forskningsprojekt uppgifter

181

 

Prop. 2017/18:298 om honom eller henne har lämnats ut i samband med en begäran om utplåning av uppgifter. Bestämmelsen är, enligt regeringens bedömning, en sådan nationell specificering som är tillåten enligt skäl 8 samt artikel

6.2och 6.3 i dataskyddsförordningen. Bestämmelsen kan och bör därför behållas.

16.2.16 Bestämmelsen om utplåning ska upphävas

Regeringens förslag: Bestämmelsen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa om den registrerades rätt till utplåning av uppgifter ska upphävas.

Utredningens förslag överensstämmer inte med regeringens förslag. Utredningen har föreslagit att bestämmelsen om den registrerades rätt till utplåning av uppgifter ska ändras på så sätt att första meningen i paragra- fen ersätts med en inledande upplysning om artikeln i dataskyddsförord- ningen som reglerar rätten till radering men att bestämmelsen i övrigt be- hålls och att begreppet utplåna genomgående ersättas med begreppet ra- dera i enlighet med terminologin i dataskyddsförordningen.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Skälen för regeringens förslag: Av 16 § lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa framgår att den registrerade har rätt att när som helst begära att uppgifter i registret om honom eller henne ska utplånas. I bestämmelsen ställs vidare vissa for- mella krav på hur en begäran om utplåning ska vara utformad. Det ställs också krav på att den personuppgiftsansvarige utplånar uppgifterna i en- lighet med begäran om inom två månader från det att begäran gjordes och sänder en bekräftelse till den registrerade på att utplåning har skett. Dess- utom ställs det vissa krav på innehållet i bekräftelsen som ska sändas till den registrerade.

Rätten till radering återfinns i artikel 17 i dataskyddsförordningen. Bestämmelsen i 16 § registerlagen är mer långtgående än artikel 17 i data- skyddsförordningen såtillvida att den registrerade har en ovillkorlig rätt att få sina uppgifter utplånade. Enligt artikel 17 i dataskyddsförordningen har den registrerade rätt att få sina personuppgifter raderade om någon av ett antal uppräknade situationer föreligger. Rätten till radering gäller inte hel- ler enligt artikel 17.3 i den utsträckning som behandlingen är nödvändig för något av ett antal uppräknade skäl, bl.a. om den är nödvändig för ve- tenskapliga eller historiska forskningsändamål i den utsträckning som rät- ten sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen.

182

Den registrerades rätt till utplåning enligt registerlagen avviker alltså från vad som anges i den direkt tillämpliga artikel 17 i dataskyddsförord- ningen. Denna del av paragrafen är därför enligt regeringens bedömning inte förenlig med dataskyddsförordningen. Resterande del av paragrafen

innehåller bestämmelser som närmare reglerar förfarandet vid en begäran Prop. 2017/18:298 om utplåning. Det ställs krav på den registrerade som går utöver vad som

framgår av dataskyddsförordningen genom kraven på att begäran ska gö- ras skriftligen och vara undertecknad av den registrerade. I artikel 17 i dataskyddsförordningen anges dessutom att den registrerade har rätt att få sina personuppgifter raderade utan onödigt dröjsmål när någon av de upp- räknade situationerna föreligger medan det i bestämmelsen i registerlagen anges att ett utplånande ska ske inom två månader från det att begäran gjordes. Enligt regeringens bedömning finns det inte någon grund i data- skyddsförordningen för att i nationell rätt ställa sådana ytterligare krav på den registrerade eller begränsa rättigheten på sådant sätt. Bestämmelsen kan därför inte behållas utan ska upphävas. Den motsvarande rätten till radering kommer därmed att följa direkt av dataskyddsförordningen.

16.2.17 Bestämmelsen om skadestånd ska upphävas

Regeringens förslag: Bestämmelsen om skadestånd i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska upphävas.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans kommenterar förslaget sär-

skilt.

Förslaget i utkastet till lagrådsremiss överensstämmer med rege- ringens förslag.

Remissinstanserna: Ingen remissinstans kommenterar förslaget sär- skilt.

Skälen för regeringens förslag: I 17 § lagen om vissa register för forsk- ning om vad arv och miljö betyder för människors hälsa anges att bestäm- melserna i 48 § PUL om skadestånd ska tillämpas på motsvarande sätt i fråga om behandling av personuppgifter som har skett i strid med lagen om vissa register för forskning om vad arv och miljö betyder för männi- skors hälsa.

Bestämmelsen i 48 § PUL gällde endast om behandling skett i strid med den lagen. För att bestämmelsen om skadestånd skulle vara tillämplig även vid behandling i strid med lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa krävdes det därför att det sär- skilt angavs att bestämmelserna i PUL gäller om behandling av person- uppgifter sker i strid med lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa.

Bestämmelser som hänvisar till PUL kan inte finnas kvar nu när PUL har upphävts.

I dataskyddsförordningen finns skadeståndsbestämmelsen i artikel 82. Det är inte möjligt att begränsa tillämpningen av artikel 82, så det är inte av det skälet motiverat att särskilt reglera vad som gäller ifråga om skade- stånd.

Dessutom har det i dataskyddslagen införts en bestämmelse i data- skyddslagen som förtydligar att rätten till ersättning enligt artikel 82 i data- skyddsförordningen gäller även vid överträdelser av bestämmelser i data-

183

Prop. 2017/18:298 skyddslagen och andra författningar som kompletterar dataskyddsförord- ningen (7 kap. 1 § dataskyddslagen). Det behövs därför inte heller någon hänvisning till bestämmelsen i dataskyddsförordningen i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Bestämmelsen om skadestånd i 17 § i registerlagen bör därmed upphävas och inte ersättas med någon hänvisning till dataskyddsförordningen.

 

17

Ikraftträdande- och övergångsbestäm-

 

 

melser

 

17.1

Lagändringarna ska träda i kraft den 1 januari

 

 

2019

 

 

 

Regeringens förslag: Ändringarna i lagen om rättspsykiatriskt forsk-

 

ningsregister, etikprövningslagen, offentlighets- och sekretesslagen, la-

 

gen om vissa register för forskning om vad arv och miljö betyder för

 

människors hälsa samt i lagen med kompletterande bestämmelser till

 

EU:s dataskyddsförordning ska träda i kraft den 1 januari 2019.

 

 

 

Utredningens förslag överensstämmer inte med regeringens förslag.

 

Utredningen föreslår att forskningsdatalagen och lagändringarna ska träda

 

i kraft den 25 maj 2018.

 

Remissinstanserna: Remissinstanserna har inte några synpunkter på ut-

 

redningens förslag.

 

Förslaget i utkastet till lagrådsremiss överensstämmer med rege-

 

ringens förslag.

 

Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig

 

instämmer i förslaget eller har inget att invända. Lunds universitet framför

 

att det har implikationer för forskningen att förändringarna i etikpröv-

 

ningslagen (liksom de övriga förslagen) föreslås träda i kraft 1 januari

 

2019, eftersom Sverige därmed kommer att sakna kompletterande bestäm-

 

melser till dataskyddsförordningen från det att dataskyddsförordningens

 

bestämmelser börjar tillämpas den 25 maj till årets slut. Detta är proble-

 

matiskt på flera sätt. Ett av problemen är att etikprövningslagen inte kom-

 

mer att ha anpassats till förordningens utökade lista på ”känsliga

 

personuppgifter”. En än mer grundläggande fråga är enligt universitetet

 

om det alls är möjligt att erhålla etiskt tillstånd så länge etikprövningslagen

 

hänvisar till den upphävda personuppgiftslagen. Universitet anser att man

 

bör undersöka om det finns möjlighet att låta förändringarna träda i kraft

 

tidigare än vad som nu föreslagits. Skulle detta inte vara möjligt behöver

 

svenska universitet och högskolor vägledning för den period då förslagen

 

inte hunnit träda i kraft. Även Stockholms universitet, Regionala

 

etikprövningsnämnden i Uppsala och Läkemedelsindustriföreningen

 

påpekar att det senare ikraftträdandet av ändringarna i etikprövningslagen

 

innebär att nationell rätt inte kommer att innehålla någon reglerad

 

skyddsåtgärd för behandling av de kategorier av känsliga personuppgifter

184

enligt artikel 9.1 i dataskyddsförordningen som inte omfattas av 13 § PUL.

 

 

Även dessa remissinstanserna efterlyser vägledning för dem som har att tillämpa regleringen under denna övergångsperiod. Regionala etikpröv- ningsnämnden i Umeå konstaterar att fram till dess att lagändringarna träder i kraft är en etikgranskning enligt 3 § etikprövningslagen på sin höjd är möjlig till den del projektet behandlar känsliga personuppgifter enligt PUL-uppräkningen. Om ett projekt även innefattar behandling av t.ex. genetiska uppgifter kommer den delen att bli föremål för etikpröv- ningsnämndens prövning endast som en del i den allmänna avvägningen av risk mot värde i 9 § etikprövningslagen. Nämnden anför att det får bli den personuppgiftsansvariges eget ansvar att se till att det finns rättslig grund och erforderligt samtycke m.m.

Skälen för regeringens förslag: Enligt artikel 99.1 i dataskyddsförord- ningen träder förordningen i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning, vilket skedde den 4 maj 2016. Av artikel 99.2 följer att förordningen ska tillämpas från och med den 25 maj 2018. I artikel 94 anges vidare att dataskyddsdirektivet ska upphöra att gälla med verkan från och med samma dag och att hänvis- ningar till det upphävda direktivet ska anses som hänvisningar till förord- ningen. I samband med att dataskyddslagen trädde i kraft den 25 maj 2018 upphävdes PUL. Av p 5 i övergångsbestämmelserna framgår dock att PUL fortsatt ska gälla efter den 25 maj 2018 i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvis- ningar till PUL. Som framgått av avsnitt 12 och 16 finns sådana hänvis- ningar i etikprövningslagen, lagen om rättspsykiatriskt forskningsregister och lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Detta innebär att etikprövning enligt etikprövningslagen ska hanteras i enlighet med dessa lagars nuvarande lydelse till dess försla- gen om ändrade lydelser i dessa lagar träder i kraft.

Förslagen bör träda i kraft så snart som möjligt. Med hänsyn till den tid som lagstiftningsprocessen tar föreslås att ändringarna ska träda i kraft den 1 januari 2019. Det är regeringens bedömning att det inte är möjligt med ett tidigare ikraftträdande. Som några remissinstanser har påpekat innefat- tar uppräkningen i artikel 9.1 i dataskyddsförordningen några fler katego- rier uppgifter än 13 § PUL, nämligen behandling av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en fysisk persons sexuella läggning. Fram till dess att änd- ringen i etikprövningslagen träder i kraft kommer nationell rätt inte att in- nehålla någon reglerad skyddsåtgärd i form av etikprövning för behandling av de kategorier av känsliga personuppgifter som anges i artikel 9.1 men som inte omfattas av 13 § PUL. Det är dock regeringens uppfattning att tilläggen i artikel 9.1 jämfört med 13 § PUL inte innebär några stora skill- nader i praktiken. Personuppgifter om sexuell läggning har i svensk rätt ansetts ingå i kategorin sexualliv (prop. 2017/18:115 s. 19). Genetiska uppgifter avslöjar ofta uppgifter om hälsa och/eller etniskt ursprung och utgör i dessa fall känsliga uppgifter inom även PUL:s tillämpningsområde. Biometriska uppgifter för att entydigt identifiera en fysisk person är en ny kategori i sammanhanget och definieras i dataskyddsförordningen som personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter (artikel

Prop. 2017/18:298

185

Prop. 2017/18:298 4.14). Regeringen har ingen uppfattning om i vilken utsträckning sådana personuppgifter behandlas för forskningsändamål. Det kan dock inte uteslutas att det kan förekomma behandling av känsliga personuppgifter för forskningsändamål som faller utanför etikprövningslagens nuvarande tillämpningsområde. I sådana situationer måste den personuppgifts- ansvarige bedöma om övriga befintliga skyddsåtgärder, t.ex. sekretess- reglering, kan anses tillräckliga i sammanhanget. Som Regionala etikpröv- ningsnämnden i Umeå påpekar är det ett ansvar för varje forskningsutfö- rare som är personuppgiftsansvarig att se till att behandlingen sker i enlig- het med dataskyddsförordningen. Om den personuppgiftsansvarige vid en bedömning av den enskilda situationen kommer fram till att befintliga skyddsåtgärder inte kan anses tillräckliga för att kunna grunda behand- lingen på artikel 9.2 j, så kan den personuppgiftsansvarige behöva inhämta den registrerades samtycke för att behandlingen ska vara tillåten enligt dataskyddsförordningen.

När det gäller den generella skyddsåtgärden att uppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen kommer regleringen i PUL av denna skydds- åtgärd att gälla vid behandling som omfattas av lagen om rättspsykiatriskt forskningsregister och lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa genom hänvisningen till PUL i dessa lagar. Vid behandling av personuppgifter för forskningsändamål i övriga fall blir konsekvensen att under den aktuella perioden fram till att ändringen i dataskyddslagen träder i kraft kommer någon bestämmelse med en sådan skyddsåtgärd inte att gälla. Det kan i detta sammanhang på- minnas om det generella kravet i artikel 89.1 i dataskyddsförordningen på att behandling av personuppgifter för forskningsändamål ska omfattas av skyddsåtgärder.

 

17.2

Övergångsbestämmelser behövs inte

 

 

 

Regeringens bedömning: Övergångsbestämmelser behövs inte.

 

 

 

Utredningens bedömning överensstämmer delvis med regeringens be-

 

dömning. Utredningen har angivit att dataskyddsförordningen inte ger ut-

 

rymme för några övergångsbestämmelser.

 

Remissinstanserna: Remissinstanserna har inte några synpunkter på ut-

 

redningens bedömning.

 

Bedömningen i utkastet till lagrådsremiss överensstämmer med rege-

 

ringens bedömning.

 

Remissinstanserna: Majoriteten av de remissinstanser som yttrat sig

 

instämmer i bedömningen eller har inget att invända.

 

Skälen för regeringens bedömning: Av dataskyddsförordningen fram-

 

går att hänvisningar till dataskyddsdirektivet ska anses som hänvisningar

 

till dataskyddsförordningen i samband med att denna börjar tillämpas och

 

direktivet därmed upphävs. Av skäl 171 i dataskyddsförordningen framgår

 

vidare att nationella anpassningar i medlemsstaterna bör finnas på plats

 

när förordningen börjar tillämpas. Dataskyddsförordningen ger därmed

186

mycket begränsat utrymme för övergångsbestämmelser

Det är regeringens bedömning att några övergångsbestämmelser inte Prop. 2017/18:298 behövs i de lagar som föreslås anpassas till dataskyddsförordningen.

18 Konsekvenser

18.1Övergripande konsekvenser

Inledningsvis kan regeringen konstatera att dataskyddsförordningen i sig kommer att leda till stora konsekvenser för både det allmänna och en- skilda. Dessa behandlas dock inte i detta lagstiftningsärende.

Dataskyddsförordningen är direkt tillämplig men lämnar vissa möjlig- heter till nationella kompletterande och specificerande bestämmelser. När det gäller personuppgiftsbehandling för just forskningsändamål ger data- skyddsförordningen i flera fall utrymme för kompletterande nationell lag- stiftning. Om dessa möjligheter inte tas till vara kommer förutsättningarna för att behandla personuppgifter för forskningsändamål att kraftigt försäm- ras jämfört med idag. Det är därför inte är ett rimligt alternativ att någon nationell reglering inte kommer till stånd. De förslag till ändringar i etik- prövningslagen, offentlighets- och sekretesslagen och dataskyddslagen som regeringen lämnar i denna proposition utgör de nödvändiga komp- letterande nationella bestämmelser som krävs för att den samlade data- skyddsregleringen ska möjliggöra en ändamålsenlig behandling av person- uppgifter för forskningsändamål samtidigt som den skyddar den enskildes fri och rättigheter. Regeringen föreslår även vissa anpassningar av regis- terförfattningar till dataskyddsförordningen. Majoriteten av bestämmel- serna i registerförfattningarna kvarstår oförändrade. Förslagen i övrigt är nödvändiga följder av eller anpassningar till dataskyddsförordningen och till att PUL upphävts. Någon ändring i sak i förhållande till vad som gäller idag är inte avsedd.

En allmän utgångspunkt för regeringen har varit att bibehålla de rättig- heter och skyldigheter i samband med personuppgiftsbehandling för forsk- ningsändamål som finns i dag, inom ramen för dataskyddsförordningens utrymme för nationell kompletterande reglering. Varken möjligheterna till sådan personuppgiftsbehandling, eller den enskildes integritetsskydd ska försämras jämfört med dagens situation. De ändringar som regeringen föreslår i de aktuella författningarna motsvarar därför i stort sett de tidigare bestämmelserna i PUL och de andra aktuella författningarna.

Mot bakgrund av detta är det regeringens bedömning att förslagen i propositionen inte får några övergripande konsekvenser varken för det allmänna eller för enskilda forskningsutförare.

Som framgått i avsnitt 17 har lagändringarna inte kunnat träda i kraft den 25 maj 2018 då dataskyddsförordningen började tillämpas utan lagändringarna föreslås träda i kraft den 1 januari 2019. Konsekvenserna av detta har behandlats i avsnitt 17.1.

187

Prop. 2017/18:298 18.2

Konsekvenser för den personliga integriteten

Dataskyddsförordningens bestämmelser innebär i sig en förstärkning av den registrerades rätt till information och tillgång till personuppgifter jäm- fört med motsvarande reglering i den nu upphävda PUL.

Vid personuppgiftsbehandling för forskningsändamål möjliggör data- skyddsförordningen att undantag från vissa av den registrerades rättigheter kan föreskrivas i nationell rätt. Regeringen har bedömt att några sådana undantag inte ska införas i svensk rätt, utan att den registrerades rättigheter ska lämnas intakta enligt förordningen.

När det gäller den generella skyddsåtgärd i form av en användnings- begränsning som regeringen föreslår ska införas i dataskyddslagen utgör det ett visst utökat skydd för den registrerade att undantaget för myndig- heters användning av personuppgifter i allmänna handlingar, som framgått av motsvarande skyddsåtgärd i PUL, inte föreslås införas i dataskyddsla- gen.

Det är regeringens uppfattning i övrigt att det befintliga skyddet i nuva- rande reglering för den personliga integriteten bibehålls i och med de fö- reslagna ändringarna i etikprövningslagen och offentlighets- och sekre- tesslagen och anpassningarna av de övriga författningarna.

18.3Ekonomiska konsekvenser och konsekvenser i övrigt

Regeringen bedömer att de ekonomiska konsekvenserna av förslagen i denna proposition blir ytterst begränsade. Initialt kan förslagen innebära ökade kostnader för bland annat utbildning av personal i det nya data- skyddsregelverket. Dessa bedöms dock vara av den omfattningen att de ryms inom befintliga ekonomiska ramar.

Förslagen bedöms inte få några andra ekonomiska konsekvenser eller några konsekvenser för företag eller konkurrensförhållanden, den kommu- nala självstyrelsen, jämställdheten mellan män och kvinnor, de integra- tionspolitiska målen, miljön eller Sveriges medlemskap i Europeiska unionen.

188

19

Författningskommentar

Prop. 2017/18:298

19.1Förslaget till lag om ändring i lagen (1999:353) om rättspsykiatriskt forskningsregister

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Paragrafen anger lagens förhållande till den numera upphävda personuppgiftslagen (1998:204), förkortad PUL.

Med anledning av att PUL har upphävts i samband med att Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförordningen, har börjat tillämpas ändras paragrafen så att den anger att lagen innehåller kompletterande bestämmelser till dataskyddsförordningen. Detta innebär att lagen inte kan tillämpas fri- stående, utan endast tillsammans med dataskyddsförordningen.

Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Detta gäller bl.a. vid be- handling av personuppgifter för forskningsändamål. Lagen innehåller vid sidan av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen, kompletterande be- stämmelser för behandling av personuppgifter i det rättspsykiatriska forsk- ningsregistret.

Hänvisningarna till dataskyddsförordningen i denna lag är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.

Bestämmelsen behandlas i avsnitt 16.1.5.

2 a § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.

I paragrafen, som är ny, anges att vid behandling av personuppgifter enligt lagen gäller dataskyddslagen, om inte annat följer av denna lag.

Bestämmelsen klargör att de generella nationella bestämmelserna om behandling av personuppgifter i dataskyddslagen, som kompletterar och preciserar dataskyddsförordningen på ett generellt plan, även gäller vid behandling av personuppgifter i det rättspsykiatriska forskningsregistret. Dataskyddslagen är subsidiär i förhållande till lagen om rättspsykiatriskt forskningsregister. Det innebär att om lagen om rättspsykiatriskt forsk- ningsregister innehåller bestämmelser som avviker från vad som anges i dataskyddslagen ska de bestämmelserna ha företräde framför dataskydds- lagen.

189

Prop. 2017/18:298 Bestämmelsen behandlas i avsnitt 16.1.5.

12 § När personuppgifter i ett mål första gången registreras i det rättspsykiatriska forskningsregistret ska Rättsmedicinalverket lämna information om behandlingen till den registrerade.

Utöver vad som framgår av artikel 14 i dataskyddsförordningen ska informa- tionen innehålla upplysningar om

1.de sekretess- och säkerhetsbestämmelser som gäller för behandlingen,

2.bestämmelserna i EU:s dataskyddsförordning och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning om den registrera- des rätt till skadestånd, och

3.de begränsningar i fråga om tillgång till uppgifter, utlämnande av uppgifter på medium för automatiserad behandling och bevarande av uppgifter som gäller för behandlingen.

Paragrafen reglerar vilken information som ska lämnas till den registre- rade.

Bestämmelsen anpassas till dataskyddsförordningen på så sätt att de punkter som har sin motsvarighet i dataskyddsförordningen tas bort och att det i bestämmelsen enbart anges vilken information som ska lämnas utöver vad som framgår av artikel 14 i dataskyddsförordningen, vilken är direkt tillämplig. Hänvisningen till PUL ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen.

Bestämmelsen behandlas i avsnitt 16.1.10.

19.2Förslaget till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser män- niskor

2 § I denna lag avses med

forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå, forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i

vars verksamhet forskningen utförs,

forskningsperson: en levande människa som forskningen avser, och

behandling av personuppgifter: sådan behandling som anges i artikel 4.2 i Euro- paparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

I paragrafen definieras vissa grundläggande begrepp som används i lagen. Paragrafen ändras på sätt att i definitionen av behandling av personupp- gifter ersätts hänvisningen till definitionen i den upphävda person- uppgiftslagen (1998:204), förkortad PUL, med en hänvisning till den definition av begreppet som finns i artikel 4.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv

190

95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförord- Prop. 2017/18:298 ningen. Hänvisningen till dataskyddsförordningen är dynamisk, dvs. avser

förordningen i dess gällande lydelse vid varje tidpunkt. Bestämmelsen behandlas i avsnitt 14.1.1.

3 § Denna lag ska tillämpas på forskning som innefattar behandling av

1.personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), eller

2.personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

I denna paragraf och i 4 och 5 §§ anges lagens tillämpningsområde. Första punkten, som hänvisar till känsliga personuppgifter enligt 13 §

PUL, ändras så att en hänvisning till sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter) görs. Detta innebär att all behandling för forsknings- ändamål av sådana personuppgifter som anges i artikel 9.1 i dataskydds- förordningen ska etikprövas enligt denna lag, oavsett rättslig grund enligt artikel 6.1 i dataskyddsförordningen.

Andra punkten, som hänvisar till personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § PUL ändras på så sätt att hänvisningen till den paragrafen tas bort. Detta innebär att kravet på etik- prövning enligt etikprövningslagen omfattar all personuppgiftsbehandling för forskningsändamål av de angivna kategorierna av personuppgifter, både sådan personuppgiftsbehandling som utförs av myndigheter och sådan som utförs av enskilda forskningsutförare. I artikel 10 i dataskydds- förordningen anges något färre kategorier av personuppgifter om lag- överträdelser än i 21 § PUL. Någon ändring i sak när det gäller de kate- gorier av personuppgifter om lagöverträdelser som ska vara föremål för etikprövning görs inte i förevarande paragraf. Kravet på etikprövning kommer således även fortsättningsvis att gälla samma kategorier av personuppgifter om lagöverträdelser som hittills. Detta innebär att tillämpningsområdet är mer omfattande än vad som framgår av artikel 10 i dataskyddsförordningen och även omfattar friande domar i brottmål och administrativa frihetsberövanden.

Bestämmelsen behandlas i avsnitt 12.

19.3Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)

21 kap.

7 § Sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett ut- lämnande kommer att behandlas i strid med

1.Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personupp- gifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen,

2.lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds-

förordning, eller

191

Prop. 2017/18:298 3. 6 § lagen (2003:460) om etikprövning av forskning som avser människor.

Paragrafen reglerar sekretess i fall där det kan antas att utlämnade uppgif- ter kommer att behandlas i strid med dataskyddsregleringen.

Efter förslag i propositionen Ny dataskyddslag (prop. 2017/18:105) har en ändring gjorts i paragrafen som innebär dels ett förtydligande av att prövningen gäller den behandling som kommer att ske efter ett eventuellt utlämnande, dels att hänvisningen till den numera upphävda person- uppgiftslagen (1998:204), förkortad PUL, ersatts med en hänvisning till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upp- hävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförordningen, och lagen (2018:218) med kompletterande be- stämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen. Den nu aktuella ändringen innebär att en hänvisning även görs till kravet på godkännande enligt lagen (2003:460) om etikprövning av forskning som avser människor, benämnd etikprövningslagen, när det är fråga om forskning som innefattar känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. (se 6 § etikprövningslagen och hänvisningen i det lagrummet till 3 § samma lag).

PUL innehöll bestämmelser som särskilt reglerade möjligheten att be- handla känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel el- ler administrativa frihetsberövanden för forskningsändamål. Som särskild skyddsåtgärd gällde att behandling av sådana uppgifter fick ske om be- handlingen hade godkänts enligt etikprövningslagen (se 19 och 21 §§ PUL). Genom hänvisningen till PUL i förevarande paragraf gällde sekre- tess för uppgifter om det kunde antas att uppgiften efter utlämnandet skulle komma att behandlas i strid med kravet på godkännande i etikprövnings- lagen. PUL har upphävts i samband med att dataskyddsförordningen bör- jade tillämpas. Det förs därför in en hänvisning till 6 § etikprövningslagen i förevarande paragraf, vilket innebär att sekretess även framöver kommer att gälla för uppgifter om det kan antas att känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden ef- ter ett utlämnande kommer att behandlas i strid med kravet på etikpröv- ning.

Bestämmelsen behandlas i avsnitt 15.2.

19.4Förslaget till lag om ändring i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

192

Termer och uttryck i denna lag har samma betydelse som i EU:s dataskydds- Prop. 2017/18:298 förordning.

Paragrafen anger lagens förhållande till den numera upphävda personuppgiftslagen (1998:204), förkortad PUL.

Med anledning av att PUL har upphävts i samband med att Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av person- uppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd data- skyddsförordningen, har börjat tillämpas ändras paragrafen så att den an- ger att lagen innehåller kompletterande bestämmelser till dataskyddsför- ordningen. Detta innebär att lagen inte kan tillämpas fristående, utan en- dast tillsammans med dataskyddsförordningen.

Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Detta gäller bl.a. vid be- handling av personuppgifter för forskningsändamål. Lagen innehåller vid sidan av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen, kompletterande be- stämmelser för behandling av personuppgifter i vissa register för forskning om vad arv och miljö betyder för människors hälsa.

Hänvisningarna till dataskyddsförordningen i denna lag är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.

Av andra stycket framgår att de termer och uttryck som används i lagen ska förstås på samma sätt som i dataskyddsförordningen.

Bestämmelsen behandlas i avsnitt 16.2.6.

3 a § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Paragrafen, som är ny, anger hur lagen förhåller sig till dataskyddslagen. Bestämmelsen klargör att de generella nationella bestämmelserna om behandling av personuppgifter i dataskyddslagen, som kompletterar och preciserar dataskyddsförordningen på ett generellt plan, även gäller vid behandling av personuppgifter enligt förevarande lag. Dataskyddslagen är subsidiär i förhållande till denna lag. Det innebär att om denna lag eller föreskrifter som har meddelats i anslutning till lagen innehåller be- stämmelser som avviker från vad som anges i dataskyddslagen ska de

bestämmelserna ha företräde framför dataskyddslagen. Bestämmelsen behandlas i avsnitt 16.2.6.

12 § Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsän- damål eller statistiska ändamål.

Paragrafen innehåller bestämmelser om gallring.

193

Prop. 2017/18:298 Terminologin i paragrafen anpassas till dataskyddsförordningen genom att ”historiska, statistiska eller vetenskapliga ändamål” byts ut mot ”arkiv- ändamål av allmänt intresse, vetenskapliga eller historiska forskningsän- damål eller statistiska ändamål”.

Bestämmelsen behandlas i avsnitt 16.2.12.

14 § Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryck- ligen har samtyckt till att personuppgifter behandlas enligt denna lag.

Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska en person, innan han eller hon lämnar sitt samtycke enligt första stycket, ha informerats om

1.att det är frivilligt att lämna uppgifter, medverka till upptagningar eller ge- nomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis,

2.vilka uppgifter som får registreras enligt 9 §,

3.de sekretess- och säkerhetsbestämmelser som gäller för registret,

4. rätten till information enligt 15 § denna lag,

5. vilken myndighet som har tillsyn över att denna lag följs, och

6. rätten till skadestånd.

Av bestämmelsens första stycke framgår att personuppgifter inte får sam- las in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att per- sonuppgifter behandlas enligt lagen. I andra stycket regleras vilken in- formation som ska ha lämnats till en person innan denne lämnar sitt sam- tycke.

Bestämmelsens andra stycke anpassas så att de punkter som har sin mot- svarighet i dataskyddsförordningen tas bort och att det i bestämmelsen en- bart anges vilken information som ska lämnas utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen.

Bestämmelsen behandlas i avsnitt 16.2.14.

19.5Förslaget till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

4 kap.

3 § Personuppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Paragrafen, som är ny, fastställer begränsningar för hur personuppgifter som behandlas för forskningsändamål får användas. Paragrafen motsvarar delvis 9 § fjärde stycket i den upphävda personuppgiftslagen (1998:204), förkortad PUL.

Bestämmelsen, som har sin grund i artiklarna 6.2, 9.2 j och 89.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av

194

personuppgifter och om det fria flödet av sådana uppgifter och om upp- hävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd dataskyddsförordningen, förhindrar som huvudregel att personuppgifter som behandlas av den personuppgiftsansvarige enbart för forsknings- ändamål används för att vidta åtgärder rörande den registrerade. Sådana åtgärder får bara vidtas om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Begränsningen gäller alla typer av person- uppgifter och inte bara känsliga sådana. Med vitala intressen avses intres- sen som är av avgörande betydelse för den registrerades liv. Ett exempel på en situation då det finns behov av att kunna använda personuppgifter för att vidta åtgärder som avser de registrerade är när personuppgifter som behandlas för forskningsändamål behöver användas för att varna de registrerade. Det kan förekomma t.ex. när en forskare, som undersöker ett misstänkt samband mellan intag av en medicin och någon allvarlig sjukdom, upptäcker att det faktiskt finns ett sådant samband och därför använder registeruppgifter för att varna de registrerade som har fått sådan medicin så att de kan låta undersöka sig och få behandling. Det är den personuppgiftsansvarige som har att visa att det finns sådana omständig- heter som utgör synnerliga skäl. För att det ska vara tillåtet att använda uppgifterna för att vidta åtgärder i fråga om den registrerade krävs också att användningen inte är oförenlig med det ändamål för vilket uppgifterna ursprungligen samlades in (se artikel 5.1 b i dataskyddsförordningen). Undantaget från användningsbegränsningen kan alltså inte tillämpas till stöd för en vidarebehandling som i sig är otillåten enligt dataskydds- förordningen.

I förhållande till den motsvarande bestämmelsen som fanns i PUL har bestämmelsen utformats så att det tydligare framgår att användnings- begränsningen gäller personuppgifter som enbart behandlas för forsk- ningsändamål. Det är så bestämmelsen i PUL var avsedd att tillämpas en- ligt förarbetena (se prop. 1997/98:44 s. 120). Vidare har undantaget att åtgärder i fråga om den registrerade får vidtas om den registrerade lämnat sitt samtycke tagits bort. Om samtycke inhämtas för att en uppgift ska an- vändas för nya ändamål kan behandlingen nämligen jämställas med att personuppgiften samlas in på nytt och undantaget är därför överflödigt.

Till skillnad från vad som tidigare gällde enligt PUL (se 8 § andra stycket PUL) innebär bestämmelsen en begränsning även av myndigheters möjligheter att använda personuppgifter i allmänna handlingar för att vidta åtgärder i fråga om den registrerade.

I övrigt bör bestämmelsen tolkas och tillämpas på ett likartat sätt som bestämmelsen i 9 § fjärde stycket PUL. Praxis kring tillämpningen av den bestämmelsen bör således vara vägledande.

Bestämmelsen behandlas i avsnitt 9.3.

Prop. 2017/18:298

195

Prop. 2017/18:298

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/1

 

 

 

 

I

(Lagstiftningsakter)

FÖRORDNINGAR

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679

av den 27 april 2016

om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (1),

med beaktande av Regionkommitténs yttrande (2),

i enlighet med det ordinarie lagstiftningsförfarandet (3), och

av följande skäl:

(1)Skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och artikel 16.1 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) föreskriver att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

(2)Principerna och reglerna för skyddet för fysiska personer vid behandling av deras personuppgifter bör, oavsett deras medborgarskap eller hemvist, respektera deras grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Avsikten med denna förordning är att bidra till att skapa ett område med frihet, säkerhet och rättvisa och en ekonomisk union, till ekonomiska och sociala framsteg, till förstärkning och konvergens av ekonomierna inom den inre marknaden samt till fysiska personers välbefinnande.

(3)Europaparlamentets och rådets direktiv 95/46/EG (4) syftar till att harmonisera skyddet av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter och att säkerställa det fria flödet av personuppgifter mellan medlemsstaterna.

(1) EUT C 229, 31.7.2012, s. 90.

(2) EUT C 391, 18.12.2012, s. 127.

(3) Europaparlamentets ståndpunkt av den 12 mars 2014 (ännu ej offentliggjord i EUT) och rådets ståndpunkt vid första behandlingen av

den 8 april 2016 (ännu ej offentliggjord i EUT). Europaparlamentets ståndpunkt av den 14 april 2016.

(4) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).

196

Prop. 2017/18:298

Bilaga 1

L 119/2

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

(4)Behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter är inte en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen. Denna förordning respekterar alla grundläggande rättigheter och iakttar de friheter och principer som erkänns i stadgan, såsom de fastställts i fördragen, särskilt skydd för privat- och familjeliv, bostad och kommunikationer, skydd av personuppgifter, tankefrihet, samvetsfrihet och religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till ett effektivt rättsmedel och en opartisk domstol samt kulturell, religiös och språklig mångfald.

(5)Den ekonomiska och sociala integration som uppstått tack vare den inre marknaden har lett till en betydande ökning av de gränsöverskridande flödena av personuppgifter. Utbytet av personuppgifter mellan offentliga och privata aktörer, inbegripet fysiska personer, sammanslutningar och företag, över hela unionen har ökat. Nationella myndigheter i medlemsstaterna uppmanas i unionsrätten att samarbeta och utbyta personuppgifter för att vara i stånd att fullgöra sina uppdrag eller utföra arbetsuppgifter för en myndighet som finns i en annan medlemsstat.

(6)Den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar vad gäller skyddet av personuppgifter. Omfattningen av insamling och delning av personuppgifter har ökat avsevärt. Tekniken gör det möjligt för både privata företag och offentliga myndigheter att i sitt arbete använda sig av personuppgifter i en helt ny omfattning. Allt fler fysiska personer gör sina personliga uppgifter allmänt tillgängliga, världen över. Tekniken har omvandlat både ekonomin och det sociala livet, och bör ytterligare underlätta det fria flödet av personuppgifter inom unionen samt överföringar till tredjeländer och internationella organisationer, samtidigt som en hög skyddsnivå säkerställs för personuppgifter.

(7)Dessa förändringar kräver en stark och mer sammanhängande ram för dataskyddet inom unionen, uppbackad av kraftfullt tillsynsarbete, eftersom det är viktigt att skapa den tillit som behövs för att utveckla den digitala ekonomin över hela den inre marknaden. Fysiska personer bör ha kontroll över sina egna personuppgifter. Den rättsliga säkerheten och smidigheten för fysiska personer, ekonomiska operatörer och myndigheter bör stärkas.

(8)Om denna förordning föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av denna förordning i nationell rätt.

(9)Målen och principerna för direktiv 95/46/EG är fortfarande giltiga, men det har inte kunnat förhindra bristande enhetlighet i genomförandet av dataskyddet i olika delar av unionen, rättsosäkerhet eller allmänt spridda uppfattningar om att betydande risker kvarstår för fysiska personer, särskilt med avseende på användning av internet. Skillnader i nivån på skyddet av fysiska personers rättigheter och friheter, särskilt rätten till skydd av personuppgifter, vid behandling av personuppgifter i olika medlemsstater kan förhindra det fria flödet av personuppgifter över hela unionen. Dessa skillnader kan därför utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, de kan snedvrida konkurrensen och hindra myndigheterna att fullgöra sina skyldigheter enligt unionsrätten. De varierande skyddsnivåerna beror på skillnader i genomförandet och tillämpningen av direktiv 95/46/EG.

(10)För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen. Vad gäller behandlingen av personuppgifter för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgift­ sansvarige, bör medlemsstaterna tillåtas att behålla eller införa nationella bestämmelser för att närmare fastställa hur bestämmelserna i denna förordning ska tillämpas. Jämte den allmänna och övergripande lagstiftning om dataskydd varigenom direktiv 95/46/EG genomförs har medlemsstaterna flera sektorsspecifika lagar på områden som kräver mer specifika bestämmelser. Denna förordning ger dessutom medlemsstaterna handlingsutrymme att specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter (nedan kallade känsliga uppgifter). Denna förordning utesluter inte att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där uppgifter behandlas, inbegripet mer exakta villkor för laglig behandling av personuppgifter.

197

Prop. 2017/18:298

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/3

 

 

 

 

(11)Ett effektivt skydd av personuppgifter över hela unionen förutsätter att de registrerades rättigheter förstärks och specificeras och att de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter vid behandling av personuppgifter klargörs, samt att det finns likvärdiga befogenheter för övervakning och att det säkerställs att reglerna för skyddet av personuppgifter efterlevs och att sanktionerna för överträdelser är likvärdiga i medlemsstaterna.

(12)I artikel 16.2 i EUF-fördraget bemyndigas Europaparlamentet och rådet att fastställa bestämmelser om skydd för fysiska personer när det gäller behandling av personuppgifter och bestämmelser om den fria rörligheten för personuppgifter.

(13)För att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs en förordning som skapar rättslig säkerhet och öppenhet för ekonomiska aktörer, däribland mikroföretag samt små och medelstora företag, och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar, så att övervakningen av behandling av personuppgifter blir enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyn­ digheterna i olika medlemsstater effektivt. För att den inre marknaden ska fungera väl krävs att det fria flödet av personuppgifter inom unionen inte begränsas eller förbjuds av skäl som har anknytning till skydd för fysiska personer med avseende på behandling av personuppgifter. För att ta hänsyn till mikroföretagens samt de små och medelstora företagens särskilda situation innehåller denna förordning ett undantag för organisationer som sysselsätter färre än 250 personer med avseende på registerföring. Dessutom uppmanas unionens institutioner och organ samt medlemsstaterna och deras tillsynsmyndigheter att vid tillämpningen av denna förordning ta hänsyn till mikroföretagens samt de små och medelstora företagens särskilda behov. Begreppen mikroföretag samt små och medelstora företag bör bygga på artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG (1).

(14)Det skydd som ska tillhandahållas enligt denna förordning bör tillämpas på fysiska personer, oavsett medborgarskap eller hemvist, med avseende på behandling av deras personuppgifter. Denna förordning omfattar inte behandling av personuppgifter rörande juridiska personer, särskilt företag som bildats som juridiska personer, exempelvis uppgifter om namn på och typ av juridisk person samt kontaktuppgifter.

(15)För att förhindra att det uppstår en allvarlig risk för att reglerna kringgås bör skyddet för fysiska personer vara teknikneutralt och inte vara beroende av den teknik som används. Skyddet för fysiska personer bör vara tillämpligt på både automatiserad och manuell behandling av personuppgifter, om personuppgifterna ingår i eller är avsedda att ingå i ett register. Akter eller grupper av akter samt omslag till dessa, som inte är ordnade enligt särskilda kriterier, bör inte omfattas av denna förordning.

(16)Denna förordning är inte tillämplig på frågor som rör skyddet av grundläggande rättigheter och friheter eller det fria flödet av personuppgifter på områden som inte omfattas av unionsrätten, såsom verksamhet rörande nationell säkerhet. Denna förordning är inte tillämplig på medlemsstaternas behandling av personuppgifter när de agerar inom ramen för unionens gemensamma utrikes- och säkerhetspolitik.

(17)Europaparlamentets och rådets förordning (EG) nr 45/2001 (2) är tillämplig på den behandling av personuppgifter som sker i unionens institutioner, organ och byråer. Förordning (EG) nr 45/2001 och de av unionens övriga rättsakter som är tillämpliga på sådan behandling av personuppgifter bör anpassas till principerna och bestämmelserna i den här förordningen och tillämpas mot bakgrund av den här förordningen. För att tillhandahålla en stark och sammanhängande ram för dataskyddet inom unionen bör nödvändiga anpassningar av förordning (EG) nr 45/2001 göras när den här förordningen har antagits, så att de båda förordningarna kan tillämpas samtidigt.

(18)Denna förordning är inte tillämplig på fysiska personers behandling av personuppgifter som ett led i verksamhet som är helt och hållet privat eller har samband med personens hushåll och därmed saknar koppling till yrkes- eller affärsmässig verksamhet. Privat verksamhet eller verksamhet som har samband med hushållet kan omfatta

(1) Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (K(2003) 1422)

(EUT L 124, 20.5.2003, s. 36).

(2) Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitu­ tionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).

198

Prop. 2017/18:298

Bilaga 1

L 119/4

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

korrespondens och innehav av adresser, aktivitet i sociala nätverk och internetverksamhet i samband med sådan verksamhet. Denna förordning är dock tillämplig på personuppgiftsansvariga eller personuppgiftsbiträden som tillhandahåller utrustning för behandling av personuppgifter för sådan privat verksamhet eller hushålls­ verksamhet.

(19)Skyddet för fysiska personer när det gäller behöriga myndigheters behandling av personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och det fria flödet av sådana uppgifter, säkerställs på unionsnivå av en särskild unionsrättsakt. Därför bör denna förordning inte vara tillämplig på behandling av personuppgifter för dessa ändamål. Personuppgifter som myndigheter behandlar enligt denna förordning och som används för de ändamålen bör emellertid regleras genom en mer specifik unionsrättsakt, nämligen Europaparlamentets och rådets direktiv (EU) 2016/680 (1). Medlemsstaterna får anförtro behöriga myndigheter i den mening som avses i direktiv (EU) 2016/680 uppgifter som inte nödvändigtvis utförs för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, så att behandlingen av personuppgifter för dessa andra ändamål, i den mån den omfattas av unionsrätten, omfattas av tillämpningsområdet för denna förordning.

Vad gäller dessa behöriga myndigheters behandling av personuppgifter för ändamål som omfattas av tillämpningsområdet för denna förordning, bör medlemsstaterna kunna bibehålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning. I sådana bestämmelser får det fastställas mer specifika krav för dessa behöriga myndigheters behandling av personuppgifter för dessa andra ändamål, med beaktande av respektive medlemsstats konstitutionella, organisatoriska och administrativa struktur. När privata organs behandling av personuppgifter omfattas av tillämpningsområdet för denna förordning, bör denna förordning ge medlemsstaterna möjlighet att, under särskilda villkor, i lag begränsa vissa skyldigheter och rättigheter, om en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda särskilda viktiga intressen, däribland allmän säkerhet samt förebyggande, förhindrande, utredning, avslöjande och lagföring av brott eller verkställande av straffrättsliga påföljder eller skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten. Detta är exempelvis relevant i samband med bekämpning av penningtvätt eller verksamhet vid kriminaltekniska laboratorier.

(20)Eftersom denna förordning bland annat gäller för verksamhet inom domstolar och andra rättsliga myndigheter, skulle det i unionsrätt eller medlemsstaternas nationella rätt kunna anges vilken behandling och vilka förfaranden för behandling som berörs när det gäller domstolars och andra rättsliga myndigheters behandling av personuppgifter. Tillsynsmyndigheternas behörighet bör inte omfatta domstolars behandling av personuppgifter när detta sker inom ramen för domstolarnas dömande verksamhet, i syfte att säkerställa domstolsväsendets oberoende när det utför sin rättsskipande verksamhet, inbegripet när det fattar beslut. Det bör vara möjligt att anförtro tillsynen över sådan behandling av uppgifter till särskilda organ inom medlemsstaternas rättsväsen, vilka framför allt bör säkerställa efterlevnaden av bestämmelserna i denna förordning, främja domstolsväsendets medvetenhet om sina skyldigheter enligt denna förordning och hantera klagomål relaterade till sådan behandling av uppgifter.

(21)Denna förordning påverkar inte tillämpningen av Europaparlamentets och rådets direktiv 2000/31/EG (2), särskilt bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12–15 i det direktivet. Syftet med det direktivet är att bidra till att den inre marknaden fungerar väl genom att säkerställa fri rörlighet för informations­ samhällets tjänster mellan medlemsstaterna.

(22)All behandling av personuppgifter som sker inom ramen för arbetet på personuppgiftsansvarigas eller personupp­ giftsbiträdens verksamhetsställen inom unionen bör ske i överensstämmelse med denna förordning, oavsett om behandlingen i sig äger rum inom unionen. Verksamhetsställe innebär det faktiska och reella utförandet av verksamhet med hjälp av en stabil struktur. Den rättsliga formen för en sådan struktur, oavsett om det är en filial eller ett dotterföretag med status som juridisk person, bör inte vara den avgörande faktorn i detta avseende.

(1) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (se sidan 89 i detta nummer av

EUT).

(2) Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden (”Direktiv om elektronisk handel”) (EGT L 178, 17.7.2000, s. 1).

199

Prop. 2017/18:298

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/5

 

 

 

 

(23)För att fysiska personer inte ska fråntas det skydd som denna förordning ger dem bör sådan behandling av personuppgifter om registrerade personer som befinner sig i unionen vilken utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad inom unionen omfattas av denna förordning, om behandlingen avser utbjudande av varor eller tjänster inom unionen till de registrerade, oavsett om detta är kopplat till en betalning. I syfte att avgöra om en personuppgiftsansvarig eller ett personuppgiftsbiträde erbjuder varor eller tjänster till registrerade som befinner sig i unionen bör man fastställa om det är uppenbart att den personuppgiftsansvarige eller personuppgiftsbiträdet avser att erbjuda tjänster till registrerade i en eller flera av unionens medlemsstater. Medan enbart åtkomlighet till den personuppgiftsansvariges, personuppgiftsbiträdets eller en mellanhands webbplats i unionen, till en e-postadress eller andra kontaktuppgifter eller användning av ett språk som allmänt används i det tredjeland där den personuppgiftsansvarige är etablerad inte är tillräckligt för att fastställa en sådan avsikt, kan faktorer som användning av ett språk eller en valuta som allmänt används i en eller flera medlemsstater med möjlighet att beställa varor och tjänster på detta andra språk, eller omnämnande av kunder eller användare som befinner sig i unionen, göra det uppenbart att den personuppgiftsansvarige avser att erbjuda varor eller tjänster till registrerade inom unionen.

(24)Den behandling av personuppgifter som avser registrerade som befinner sig i unionen som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen bör också omfattas av denna förordning, om den hör samman med övervakningen av de registrerade personernas beteende när de befinner sig i unionen. För att avgöra huruvida en viss behandling kan anses övervaka beteendet hos registrerade, bör det fastställas om fysiska personer spåras på internet, och om personuppgifterna därefter behandlas med hjälp av teknik som profilerar fysiska personer, i synnerhet för att fatta beslut rörande honom eller henne eller för att analysera eller förutsäga hans eller hennes personliga preferenser, beteende och attityder.

(25)Om medlemsstaternas nationella rätt är tillämplig i kraft av folkrätten, bör denna förordning också vara tillämplig på personuppgiftsansvariga som inte är etablerade inom unionen, exempelvis i en medlemsstats diplomatiska beskickning eller konsulat.

(26)Principerna för dataskyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person. Personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att kompletterande uppgifter används bör anses som uppgifter om en identifierbar fysisk person. För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. Principerna för dataskyddet bör därför inte gälla för anonym information, nämligen information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Denna förordning berör därför inte behandling av sådan anonym information, vilket inbegriper information för statistiska ändamål eller forskningsändamål.

(27)Denna förordning gäller inte behandling av personuppgifter rörande avlidna personer. Medlemsstaterna får fastställa bestämmelser för behandlingen av personuppgifter rörande avlidna personer.

(28)Tillämpningen av pseudonymisering av personuppgifter kan minska riskerna för de registrerade som berörs och hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett uttryckligt införande av pseudonymisering i denna förordning är inte avsett att utesluta andra åtgärder för dataskydd.

(29)För att skapa incitament för tillämpning av pseudonymisering vid behandling av personuppgifter bör åtgärder för pseudonymisering som samtidigt medger en allmän analys vara möjliga inom samma personuppgiftsansvarigs verksamhet, när den personuppgiftsansvarige har vidtagit de tekniska och organisatoriska åtgärder som är nödvändiga för att se till att denna förordning genomförs för berörd uppgiftsbehandling och att kompletterande uppgifter för tillskrivning av personuppgifterna till en specifik registrerad person förvaras separat. Den personuppgiftsansvarige som behandlar personuppgifterna bör ange behöriga personer inom samma personupp­ giftsansvarigs verksamhet.

200

Prop. 2017/18:298

Bilaga 1

L 119/6

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

(30)Fysiska personer kan knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och protokoll, t.ex. ip-adresser, kakor eller andra identifierare, som radiofrekvensetiketter. Detta kan efterlämna spår som, särskilt i kombination med unika identifierare och andra uppgifter som tas emot av servrarna, kan användas för att skapa profiler för fysiska personer och identifiera dem.

(31)Offentliga myndigheter som för sin myndighetsutövning mottar personuppgifter i enlighet med en rättslig förpliktelse, t.ex. skatte- och tullmyndigheter, finansutredningsgrupper, oberoende administrativa myndigheter eller finansmarknadsmyndigheter med ansvar för reglering och övervakning av värdepappersmarknader, bör inte betraktas som mottagare om de tar emot personuppgifter som är nödvändiga för utförandet av en särskild utredning av allmänt intresse, i enlighet med unionsrätten eller medlemstaternas nationella rätt. Offentliga myndigheters begäranden om att uppgifter ska lämnas ut ska alltid vara skriftliga och motiverade, läggas fram i enskilda fall och inte gälla hela register eller leda till att register kopplas samman. Dessa offentliga myndigheters behandling av personuppgifter bör ske i överensstämmelse med de bestämmelser för dataskydd som är tillämpliga på behandlingens ändamål.

(32)Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter. Tystnad, på förhand ikryssade rutor eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke ges för samtliga syften. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser.

(33)Det är ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.

(34)Genetiska uppgifter bör definieras som personuppgifter som rör en fysisk persons nedärvda eller förvärvade genetiska kännetecken, vilka framgår av en analys av ett biologiskt prov från den fysiska personen i fråga, framför allt kromosom-, DNA- eller RNA-analys eller av en annan form av analys som gör det möjligt att inhämta motsvarande information.

(35)Personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Detta inbegriper uppgifter om den fysiska personen som insamlats i samband med registrering för eller tillhanda­ hållande av hälso- och sjukvårdstjänster till den fysiska personen enligt Europaparlamentets och rådets direktiv 2011/24/EU (1), ett nummer, en symbol eller ett kännetecken som den fysiska personen tilldelats för att identifiera denne för hälso- och sjukvårdsändamål, uppgifter som härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den registrerades fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare eller från annan sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test.

(36)Den personuppgiftsansvariges huvudsakliga verksamhetsställe i unionen bör vara den plats i unionen där den personuppgiftsansvarige har sin centrala förvaltning, såvida inte beslut om ändamålen och medlen för behandling av personuppgifter fattas vid ett annat av den personuppgiftsansvariges verksamhetsställen i unionen; i sådant fall

(1) Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (EUT L 88, 4.4.2011, s. 45).

201

Prop. 2017/18:298

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/7

 

 

 

 

bör det andra verksamhetsstället anses vara det huvudsakliga verksamhetsstället. En personuppgiftsansvarigs huvudsakliga verksamhetsställe inom unionen bör avgöras med beaktande av objektiva kriterier och bör inbegripa den faktiska och reella ledning som fattar de huvudsakliga besluten vad avser ändamål och medel för behandlingen med hjälp av en stabil struktur. Detta kriterium bör inte vara avhängigt av om behandlingen av personuppgifter utförs på detta ställe. Att tekniska medel och teknik för behandling av personuppgifter eller behandlingsverksamhet finns och används visar i sig inte att det rör sig om ett huvudsakligt verksamhetsställe och utgör därför inte avgörande kriterier för ett huvudsakligt verksamhetsställe. Personuppgiftsbiträdets huvudsakliga verksamhetsställe bör vara den plats i unionen där denne har sin centrala förvaltning eller, om denne inte har någon central förvaltning inom unionen, den plats inom unionen där den huvudsakliga behandlingen sker. I fall som omfattar både en personuppgiftsansvarig och ett personuppgiftsbiträde bör den behöriga ansvariga tillsynsmyndigheten fortfarande vara tillsynsmyndigheten i den medlemsstat där den personuppgiftsansvarige har sitt huvudsakliga verksamhetsställe, men den tillsynsmyndighet som gäller för personuppgiftsbiträdet bör betraktas som en berörd tillsynsmyndighet och den tillsynsmyndigheten bör delta i det samarbetsförfarande som föreskrivs i denna förordning. Om utkastet till beslut endast gäller den personuppgift­ sansvarige, bör tillsynsmyndigheterna i den eller de medlemsstater där personuppgiftsbiträdet har ett eller flera verksamhetsställen inte under några omständigheter betraktas som berörda tillsynsmyndigheter. Om behandlingen utförs av en koncern bör det kontrollerande företagets huvudsakliga verksamhetsställe betraktas som koncernens huvudsakliga verksamhetsställe, utom då behandlingens ändamål och de medel med vilka den utförs fastställs av ett annat företag.

(37)En koncern bör innefatta ett kontrollerande företag och de företag som detta företag kontrollerar (kontrollerade företag), varvid det kontrollerande företaget bör vara det företag som kan utöva ett dominerande inflytande på de övriga företagen i kraft av exempelvis ägarskap, finansiellt deltagande eller de bestämmelser som det regleras av eller befogenheten att införa regler som rör personuppgiftsskyddet. Ett företag med kontroll över behandlingen av personuppgifter vid företag som är underställda detta företag bör, tillsammans med dessa företag, anses utgöra en koncern.

(38)Barns personuppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Sådant särskilt skydd bör i synnerhet gälla användningen av barns personuppgifter i marknadsföringssyfte eller för att skapa personlighets- eller användarprofiler samt insamling av personuppgifter med avseende på barn när tjänster som erbjuds direkt till barn utnyttjas. Samtycke från den person som har föräldraansvar över ett barn bör inte krävas för förebyggande eller rådgivande tjänster som erbjuds direkt till barn.

(39)Varje behandling av personuppgifter måste vara laglig och rättvis. Det bör vara klart och tydligt för fysiska personer hur personuppgifter som rör dem insamlas, används, konsulteras eller på annat sätt behandlas samt i vilken utsträckning personuppgifterna behandlas eller kommer att behandlas. Öppenhetsprincipen kräver att all information och kommunikation i samband med behandlingen av dessa personuppgifter är lättillgänglig och lättbegriplig samt att ett klart och tydligt språk används. Den principen gäller framför allt informationen till registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen samt ytterligare information för att sörja för en rättvis och öppen behandling för berörda fysiska personer och deras rätt att erhålla bekräftelse på och meddelande om vilka personuppgifter rörande dem som behandlas. Fysiska personer bör göras medvetna om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de kan utöva sina rättigheter med avseende på behandlingen. De specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de behandlas för. Detta kräver i synnerhet att det tillses att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. Alla rimliga åtgärder bör vidtas för att rätta eller radera felaktiga uppgifter. Personuppgifter bör behandlas på ett sätt som säkerställer lämplig säkerhet och konfidentialitet för personuppgifterna samt förhindrar obehörigt tillträde till och obehörig användning av personuppgifter och den utrustning som används för behandlingen.

(40)För att behandling ska vara laglig bör personuppgifterna behandlas efter samtycke från den berörda registrerade eller på någon annan legitim grund som fastställts i lag, antingen i denna förordning eller i annan unionsrätt eller

202

Prop. 2017/18:298

Bilaga 1

L 119/8

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

medlemsstaternas nationella rätt enligt denna förordning, vilket inbegriper att de rättsliga skyldigheter som åligger den personuppgiftsansvarige måste fullgöras eller att ett avtal i vilket den registrerade är part måste genomföras eller att åtgärder på begäran av den registrerade måste vidtas innan avtalet ingås.

(41)När det i denna förordning hänvisas till en rättslig grund eller lagstiftningsåtgärd, innebär detta inte nödvändigtvis en lagstiftningsakt antagen av ett parlament, utan att detta påverkar krav som uppställs i den konstitutionella ordningen i den berörda medlemsstaten. En sådan rättslig grund eller lagstiftningsåtgärd bör dock vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol (nedan kallad domstolen) och Europeiska domstolen för de mänskliga rättigheterna.

(42)När behandling sker efter samtycke från registrerade, bör personuppgiftsansvariga kunna visa att de registrerade har lämnat sitt samtycke till behandlingen. I synnerhet vid skriftliga förklaringar som rör andra frågor bör det finnas skyddsåtgärder som säkerställer att de registrerade är medvetna om att samtycke ges och om hur långt samtycket sträcker sig. I enlighet med rådets direktiv 93/13/EEG (1) bör en förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.

(43)För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personupp­ giftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke antas inte vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av personuppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbegripet tillhandahållandet av en tjänst – är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant genomförande.

(44)Behandling bör vara laglig när den är nödvändig i samband med avtal eller när det finns en avsikt att ingå ett avtal.

(45)Behandling som grundar sig på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller behandling som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, bör ha en grund i unionsrätten eller i en medlemsstats nationella rätt. Denna förordning medför inte något krav på en särskild lag för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Behandlingens syfte bör också fastställas i unionsrätten eller i medlemsstaternas nationella rätt. Därtill skulle man genom denna grund kunna ange denna förordnings allmänna villkor för laglig personuppgiftsbehandling och precisera kraven för att fastställa vem den personupp­ giftsansvarige är, vilken typ av personuppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut, ändamålsbegränsningar, lagringstid samt andra åtgärder för att tillförsäkra en laglig och rättvis behandling. Unionsrätten eller medlemsstaternas nationella rätt bör också reglera frågan huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse eller som ett led i myndighets­ utövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentlig­ rättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation.

(46)Behandling av personuppgifter bör även anses laglig när den är nödvändig för att skydda ett intresse som är av avgörande betydelse för den registrerades eller en annan fysisk persons liv. Behandling av personuppgifter på

(1) Rådets direktiv 93/13/EEG av den 5 april 1993 om oskäliga villkor i konsumentavtal (EGT L 95, 21.4.1993, s. 29).

203

Prop. 2017/18:298

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/9

 

 

 

 

grundval av en annan fysisk persons grundläggande intressen bör i princip endast äga rum om behandlingen inte uppenbart kan ha en annan rättslig grund. Vissa typer av behandling kan tjäna både viktiga allmänintressen och intressen som är av grundläggande betydelse för den registrerade, till exempel när behandlingen är nödvändig av humanitära skäl, bland annat för att övervaka epidemier och deras spridning eller i humanitära nödsituationer, särskilt vid naturkatastrofer eller katastrofer orsakade av människan.

(47)En personuppgiftsansvarigs berättigade intressen, inklusive intressena för en personuppgiftsansvarig till vilken personuppgifter får lämnas ut, eller för en tredje part, kan utgöra rättslig grund för behandling, på villkor att de registrerades intressen eller grundläggande rättigheter och friheter inte väger tyngre, med beaktande av de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige. Ett sådant berättigat intresse kan till exempel finnas när det föreligger ett relevant och lämpligt förhållande mellan den registrerade och den personuppgiftsansvarige i sådana situationer som att den registrerade är kund hos eller arbetar för den personuppgiftsansvarige. Ett berättigat intresse kräver under alla omständigheter en noggrann bedömning, som inbegriper huruvida den registrerade vid tidpunkten för inhämtandet av personuppgifter och i samband med detta rimligen kan förvänta sig att en uppgiftsbehandling för detta ändamål kan komma att ske. Den registrerades intressen och grundläggande rättigheter skulle i synnerhet kunna väga tyngre än den personuppgiftsansvariges intressen, om personuppgifter behandlas under omständigheter där den registrerade inte rimligen kan förvänta sig någon ytterligare behandling. Med tanke på att det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter, bör den rättsliga grunden inte gälla den behandling de utför som ett led i fullgörandet av sina uppgifter. Sådan behandling av personuppgifter som är absolut nödvändig för att förhindra bedrägerier utgör också ett berättigat intresse för berörd personupp­ giftsansvarig. Behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse.

(48)Personuppgiftsansvariga som ingår i en koncern eller institutioner som är underställda ett centralt organ kan ha ett berättigat intresse att överföra personuppgifter inom koncernen för interna administrativa ändamål, bland annat för behandling av kunders eller anställdas personuppgifter. De allmänna principerna för överföring av personuppgifter, inom en koncern, till företag i tredjeland påverkas inte.

(49)Behandling av personuppgifter utgör ett berättigat intresse för berörd personuppgiftsansvarig i den mån den är absolut nödvändig och proportionell för att säkerställa nät- och informationssäkerhet, dvs. förmågan hos ett nät eller ett informationssystem att vid en viss tillförlitlighetsnivå tåla olyckshändelser, olagliga handlingar eller illvilligt uppträdande som äventyrar tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade eller överförda personuppgifter och säkerheten hos besläktade tjänster som tillhandahålls av – eller är tillgängliga via – dessa nät och system, av myndigheter, incidenthanteringsorganisationer (Cert), enheter för hantering av datasäkerhetsincidenter, tillhandahållare av elektroniska kommunikationsnät och kommunikationstjänster och tillhandahållare av säkerhetsteknik och säkerhetstjänster. Detta skulle t.ex. kunna innefatta att förhindra obehörigt tillträde till elektroniska kommunikationsnät och felaktig kodfördelning och att sätta stopp för överbelastnings­ attacker och skador på datasystem och elektroniska kommunikationssystem.

(50)Behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in bör endast vara tillåten, när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör betraktas som förenlig och laglig behandling av uppgifter. Den rättsliga grund för behandling av personuppgifter som återfinns i unionsrätten eller i medlemsstaternas nationella rätt kan också utgöra en rättslig grund för ytterligare behandling. För att fastställa om ett ändamål med den ytterligare behandlingen är förenligt med det ändamål för vilket personuppgifterna ursprungligen insamlades bör den personuppgiftsansvarige, efter att ha uppfyllt alla krav vad beträffar den ursprungliga behandlingens lagenlighet, bland annat beakta alla kopplingar mellan dessa ändamål och ändamålen med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna insamlats, särskilt de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige i fråga om den

204

Prop. 2017/18:298

Bilaga 1

L 119/10

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

art, den planerade ytterligare behandlingens konsekvenser för de registrerade samt förekomsten av lämpliga skyddsåtgärder för både den ursprungliga och den planerade ytterligare behandlingen.

Om den registrerade har gett sitt medgivande eller behandlingen grundar sig på unionsrätten eller på medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den personuppgiftsansvarige tillåtas att behandla personuppgifterna ytterligare, oavsett om detta är förenligt med ändamålen eller inte. Under alla omständigheter bör tillämpningen av principerna i denna förordning, särskilt informationen till den registrerade om dessa andra ändamål och om dennes rättigheter, inbegripet rätten att göra invändningar, säkerställas. Om den personuppgiftsansvarige anmäler möjliga brott eller hot mot den allmänna säkerheten och i enskilda fall eller i flera fall som rör samma brott eller hot mot den allmänna säkerheten överför dessa personuppgifter till en behörig myndighet, ska detta betraktas som att den personuppgiftsansvarige agerar i ett berättigat intresse. Sådan överföring i den personuppgiftsansvariges berättigade intresse eller ytterligare behandling av personuppgifter bör emellertid vara förbjuden, om behandlingen inte är förenlig med lagstadgad eller yrkesmässig tystnadsplikt eller annan bindande tystnadsplikt.

(51)Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheterna och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Dessa personuppgifter bör även inbegripa personuppgifter som avslöjar ras eller etniskt ursprung, varvid användningen av termen ras i denna förordning inte innebär att unionen godtar teorier som söker fastställa förekomsten av skilda människoraser. Behandling av foton bör inte systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton endast definieras som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. Sådana personuppgifter bör inte behandlas, såvida inte behandling medges i särskilda fall som fastställs i denna förordning, med beaktande av att det i medlemsstaternas lagstiftning får införas särskilda bestämmelser om dataskydd för att anpassa tillämpningen av bestämmelserna i denna förordning i syfte att fullgöra en rättslig skyldighet eller en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra. Utöver de särskilda kraven för sådan behandling, bör de allmänna principerna och andra bestämmelser i denna förordning tillämpas, särskilt när det gäller villkoren för laglig behandling. Undantag från det allmänna förbudet att behandla sådana särskilda kategorier av personuppgifter bör uttryckligen fastställas, bland annat om den registrerade lämnar sitt uttryckliga samtycke eller för att tillgodose specifika behov, i synnerhet när behandlingen utförs inom ramen för legitima verksamheter som bedrivs av vissa sammanslutningar eller stiftelser i syfte att göra det möjligt att utöva grundläggande friheter.

(52)Undantag från förbudet att behandla särskilda kategorier av personuppgifter bör även tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när allmänintresset motiverar detta, i synnerhet i fråga om behandling av personuppgifter inom ramen för arbetsrätt och sociallagstiftning, däribland pensioner, och för hälsosäkerhetsändamål, övervaknings- och varningssyften, förebyggande eller kontroll av smittsamma sjukdomar och andra allvarliga hot mot hälsan. Detta undantag får göras för hälsoändamål, inbegripet folkhälsa och förvaltningen av hälso- och sjukvårdstjänster, särskilt för att säkerställa kvalitet och kostnadseffektivitet i de förfaranden som används vid prövningen av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Genom undantag bör man även tillåta behandling av sådana personuppgifter där så krävs för fastställande, utövande eller försvar av rättsliga anspråk, oavsett om detta sker inom ett domstolsförfarande eller inom ett administrativt eller ett utomrättsligt förfarande.

(53)Särskilda kategorier av personuppgifter som förtjänar ett mer omfattande skydd bör endast behandlas i hälsorelaterade syften om detta krävs för att uppnå dessa syften och gagnar fysiska personer och samhället i stort, särskilt inom ramen för förvaltningen av tjänster för hälso- och sjukvård och social omsorg och deras system, inbegripet behandling som utförs av förvaltningen och centrala nationella hälsovårdsmyndigheter av sådana uppgifter för syften som hör samman med kvalitetskontroll, information om förvaltningen samt allmän nationell och lokal tillsyn över hälso- och sjukvårdssystemet och systemet för social omsorg och säkerställande av kontinuitet inom hälso- och sjukvård och social omsorg samt gränsöverskridande hälso- och sjukvård eller hälsosäkerhet, syften som hör samman med övervakning samt varningssyften eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål som baseras på unionsrätten eller på medlemsstaternas nationella rätt, vilka måste ha ett syfte av allmänt intresse, samt studier som genomförs av allmänt intresse på folkhälsoområdet. Denna förordning bör därför innehålla harmoniserade villkor för behandling av särskilda kategorier av personuppgifter om hälsa, vad gäller särskilda behov, i synnerhet när behandlingen av uppgifterna utförs för vissa hälsorelaterade syften av personer som enligt lag är underkastade

205

Prop. 2017/18:298

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/11

 

 

 

 

yrkesmässig tystnadsplikt. Unionsrätten eller medlemsstaternas nationella rätt bör föreskriva särskilda och lämpliga åtgärder som skyddar fysiska personers grundläggande rättigheter och personuppgifter. Medlemsstaterna bör få behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Detta bör emellertid inte hindra det fria flödet av personuppgifter inom unionen, när villkoren tillämpas på gränsöverskridande behandling av sådana uppgifter.

(54)På folkhälsoområdet kan det bli nödvändigt att med hänsyn till ett allmänt intresse behandla särskilda kategorier av personuppgifter utan att den registrerades samtycke inhämtas. Sådan behandling bör förutsätta lämpliga och särskilda åtgärder för att skydda fysiska personers rättigheter och friheter. I detta sammanhang bör folkhälsa tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/2008 (1), nämligen alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker. Sådan behandling av uppgifter om hälsa av allmänt intresse bör inte innebära att personuppgifter behandlas för andra ändamål av tredje part, exempelvis arbetsgivare eller försäkrings- och bankföretag.

(55)Myndigheters behandling av personuppgifter på officiellt erkända religiösa sammanslutningars vägnar i syften som fastställs i grundlag eller i folkrätten anses också grunda sig på ett allmänt intresse.

(56)Om det för att det demokratiska systemet ska fungera i samband med allmänna val är nödvändigt att politiska partier i vissa medlemsstater samlar in personuppgifter om fysiska personers politiska uppfattningar, får behandling av sådana uppgifter tillåtas med hänsyn till ett allmänt intresse, på villkor att lämpliga skyddsåtgärder fastställs.

(57)Om de personuppgifter som behandlas av en personuppgiftsansvarig inte gör det möjligt för denne att identifiera en fysisk person, bör den personuppgiftsansvarige inte vara tvungen att skaffa ytterligare information för att kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i denna förordning. Den personuppgiftsansvarige bör dock inte vägra att ta emot kompletterande uppgifter som den registrerade lämnat som stöd för utövandet av sina rättigheter. Identifiering bör omfatta digital identifiering av en registrerad, till exempel genom en autentiseringsmekanism, exempelvis samma identifieringsinformation som används av den registrerade för att logga in på den nättjänst som tillhandahålls av den personuppgiftsansvarige.

(58)Öppenhetsprincipen kräver att all information som riktar sig till allmänheten eller till registrerade är kortfattad, lättåtkomlig och lättbegriplig samt utformad på ett tydligt och enkelt språk samt att man vid behov använder visualisering. Denna information kan ges elektroniskt, exempelvis på en webbplats, när den riktas till allmänheten. Detta är särskilt relevant i situationer där mängden olika aktörer och den tekniska komplexiteten gör det svårt för den registrerade att veta och förstå om personuppgifter som rör honom eller henne samlas in, vem som gör det och för vilket syfte, exempelvis i fråga om reklam på nätet. Eftersom barn förtjänar särskilt skydd, bör all information och kommunikation som riktar sig till barn utformas på ett tydligt och enkelt språk som barnet lätt kan förstå.

(59)Förfaranden bör fastställas som gör det lättare för registrerade att utöva sina rättigheter enligt denna förordning, inklusive mekanismer för att begära och i förekommande fall kostnadsfritt få tillgång till och erhålla rättelse eller radering av personuppgifter samt för att utöva rätten att göra invändningar. Den personuppgiftsansvarige bör också tillhandahålla hjälpmedel för elektroniskt ingivna framställningar, särskilt i fall då personuppgifter behandlas elektroniskt. Personuppgiftsansvariga bör utan onödigt dröjsmål och senast inom en månad vara skyldiga att besvara registrerades önskemål och lämna en motivering, om de inte avser att uppfylla sådana önskemål.

(1) Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet (EUT L 354, 31.12.2008, s. 70).

206

Prop. 2017/18:298

Bilaga 1

L 119/12

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

(60)Principerna om rättvis och öppen behandling fordrar att den registrerade informeras om att behandling sker och syftet med den. Den personuppgiftsansvarige bör till den registrerade lämna all ytterligare information som krävs för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika omständigheter och sammanhang. Dessutom bör den registrerade informeras om förekomsten av profilering samt om konsekvenserna av sådan profilering. Om personuppgifterna samlas in från den registrerade, bör denne även informeras om huruvida han eller hon är skyldig att tillhandahålla personuppgifterna och om konsekvenserna om han eller hon inte lämnar dem. Denna information får tillhandahållas kombinerad med standardiserade symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över den planerade behandlingen. Om sådana symboler visas elektroniskt bör de vara maskinläsbara.

(61)Information om behandling av personuppgifter som rör den registrerade bör lämnas till honom eller henne vid den tidpunkt då personuppgifterna samlas in från den registrerade eller, om personuppgifterna erhålls direkt från en annan källa, inom en rimlig period, beroende på omständigheterna i fallet. Om personuppgifter legitimt kan lämnas ut till en annan mottagare, bör de registrerade informeras första gången personuppgifterna lämnas ut till denna mottagare. Om den personuppgiftsansvarige avser att behandla personuppgifter för ett annat ändamål än det för vilket uppgifterna insamlades, bör denne före ytterligare behandling informera den registrerade om detta andra syfte och lämna annan nödvändig information. Om personuppgifternas ursprung inte kan meddelas den registrerade på grund av att olika källor har använts, bör allmän information ges.

(62)Det är dock inte nödvändigt att införa någon skyldighet att tillhandahålla information, om den registrerade redan innehar denna information, om registreringen eller utlämnandet av personuppgifterna uttryckligen föreskrivs i lag eller om det visar sig vara omöjligt eller skulle medföra orimliga ansträngningar att tillhandahålla den registrerade informationen. Det sistnämnda skulle särskilt kunna vara fallet om behandlingen sker för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. I detta avseende bör antalet registrerade, uppgifternas ålder och lämpliga skyddsåtgärder beaktas.

(63)Den registrerade bör ha rätt att få tillgång till personuppgifter som insamlats om denne samt på enkelt sätt och med rimliga intervall kunna utöva denna rätt, för att vara medveten om att behandling sker och kunna kontrollera att den är laglig. Detta innefattar rätten för registrerade att få tillgång till uppgifter om sin hälsa, exempelvis uppgifter i läkarjournaler med t.ex. diagnoser, undersökningsresultat, bedömningar av behandlande läkare och eventuella vårdbehandlingar eller interventioner. Alla registrerade bör därför ha rätt att få kännedom och underrättelse om framför allt orsaken till att personuppgifterna behandlas, om möjligt vilken tidsperiod behandlingen pågår, vilka som mottar personuppgifterna, bakomliggande logik i samband med automatisk behandling av personuppgifter och, åtminstone när behandlingen bygger på profilering, konsekvenserna av sådan behandling. Om möjligt bör den personuppgiftsansvarige kunna ge fjärråtkomst till ett säkert system genom vilket den registrerade kan få direkt åtkomst till sina personuppgifter. Denna rätt bör inte inverka menligt på andras rättigheter eller friheter, t.ex. affärshemligheter eller immateriell äganderätt och särskilt inte på upphovsrätt som skyddar programvaran. Resultatet av dessa överväganden bör dock inte bli att den registrerade förvägras all information. Om den personuppgiftsansvarige behandlar en stor mängd uppgifter om den registrerade, bör den personuppgiftsansvarige kunna begära att den registrerade lämnar uppgift om vilken information eller vilken behandling en framställan avser, innan informationen lämnas ut.

(64)Personuppgiftsansvariga bör vidta alla rimliga åtgärder för att kontrollera identiteten på en registrerad som begär tillgång, särskilt inom ramen för nättjänster och i fråga om nätidentifierare. Personuppgiftsansvariga bör inte behålla personuppgifter enbart för att kunna agera vid en potentiell begäran.

(65)Den registrerade bör ha rätt att få sina personuppgifter rättade och en rätt att bli bortglömd, om lagringen av uppgifterna strider mot denna förordning eller unionsrätten eller medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av. En registrerad bör särskilt ha rätt att få sina personuppgifter raderade och kunna begära att dessa personuppgifter inte behandlas, om de inte längre behövs med tanke på de ändamål för vilka de samlats in eller på annat sätt behandlats, om en registrerad har återtagit sitt samtycke till behandling eller invänder mot behandling av personuppgifter som rör honom eller henne, eller om behandlingen av hans eller

207

Prop. 2017/18:298

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/13

 

 

 

 

hennes personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättighet är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Den registrerade bör kunna utöva denna rätt även när han eller hon inte längre är barn. Ytterligare lagring av personuppgifterna bör dock vara laglig, om detta krävs för att utöva yttrandefrihet och informationsfrihet, för att uppfylla en rättslig förpliktelse, för att utföra en uppgift i av allmänt intresse eller som ett led i myndighetsutövning som anförtrotts den personuppgiftsansvarige, med anledning av ett allmänt intresse inom folkhälsoområdet, för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för fastställande, utövande eller försvar av rättsliga anspråk.

(66)För att stärka ”rätten att bli bortglömd” i nätmiljön bör rätten till radering utvidgas genom att personuppgift­ sansvariga som offentliggjort personuppgifter är förpliktigade att vidta rimliga åtgärder, däribland tekniska åtgärder, för att informera de personuppgiftsansvariga som behandlar dessa personuppgifter om att den registrerade har begärt radering av alla länkar till och kopior eller reproduktioner av dessa personuppgifter. I samband med detta bör den personuppgiftsansvarige vidta rimliga åtgärder, med beaktande av tillgänglig teknik och de hjälpmedel som står den personuppgiftsansvarige till buds, däribland tekniska åtgärder, för att informera de personuppgiftsansvariga som behandlar personuppgifterna om den registrerades begäran.

(67)Sätten att begränsa behandlingen av personuppgifter kan bland annat inbegripa att man tillfälligt flyttar de valda personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifter är begränsad bör klart anges inom systemet.

(68)För att ytterligare förbättra kontrollen över sina egna uppgifter bör den registrerade, om personuppgifterna behandlas automatiskt, också tillåtas att motta de personuppgifter som rör honom eller henne, som han eller hon har tillhandahållit den personuppgiftsansvarige, i ett strukturerat, allmänt använt, maskinläsbart och kompatibelt format och överföra dessa till en annan personuppgiftsansvarig. Personuppgiftsansvariga bör uppmuntras att utveckla kompatibla format som möjliggör dataportabilitet. Denna rättighet bör vara tillämplig om den registrerade har tillhandahållit uppgifterna efter att ha lämnat sitt samtycke eller om behandlingen är nödvändig för att ett avtal ska kunna genomföras. Den bör inte vara tillämplig om behandlingen utgår från en annan rättslig grund än samtycke eller avtal. På grund av sin art bör denna rättighet inte utövas mot personuppgiftsansvariga som behandlar personuppgifter som ett led i myndighetsutövning. Därför bör den inte vara tillämplig när behandlingen av personuppgifterna är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personupp­ giftsansvarige eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. Den registrerades rätt att överföra eller motta personuppgifter som rör honom eller henne innebär inte någon skyldighet för de personuppgiftsansvariga att införa eller upprätthålla behandlingssystem som är tekniskt kompatibla. Om mer än en registrerad berörs inom en viss uppsättning personuppgifter, bör rätten att motta personuppgifterna inte inverka på andra registrerades rättigheter och friheter enligt denna förordning. Denna rättighet bör inte heller påverka den registrerades rätt att få till stånd radering av personuppgifter och de inskränkningar av denna rättighet vilka anges i denna förordning och bör i synnerhet inte medföra radering av personuppgifter om den registrerade som denne har lämnat för genomförande av ett avtal, i den utsträckning och så länge som personuppgifterna krävs för genomförande av avtalet. Om det är tekniskt möjligt, bör den registrerade ha rätt till direkt överföring av personuppgifterna från en personuppgiftsansvarig till en annan.

(69)När personuppgifter lagligen får behandlas, eftersom behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i en myndighetsutövning som utförs av den personuppgiftsansvarige, eller på grund av en personuppgiftsansvarigs eller en tredje parts berättigade intressen, bör alla registrerade ändå ha rätt att göra invändningar mot behandling av personuppgifter som rör de registrerades särskilda situation. Det bör ankomma på den personuppgiftsansvarige att visa att dennes tvingande berättigade intressen väger tyngre än den registrerades intressen eller grundläggande rättigheter och friheter.

(70)Om personuppgifter behandlas för direktmarknadsföring, bör den registrerade, oavsett om det handlar om inledande eller ytterligare behandling, ha rätt att när som helst kostnadsfritt invända mot sådan behandling, inbegripet profilering, i den mån denna är kopplad till direktmarknadsföring. Denna rättighet bör uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från annan information.

208

Prop. 2017/18:298

Bilaga 1

L 119/14

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

(71)Den registrerade bör ha rätt att inte bli föremål för ett beslut, vilket kan inbegripa en åtgärd, med bedömning av personliga aspekter rörande honom eller henne, vilket enbart grundas på automatiserad behandling och medför rättsverkan för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne, såsom ett automatiserat avslag på en kreditansökan online eller e-rekrytering utan personlig kontakt. Sådan behandling omfattar ”profilering” i form av automatisk behandling av personuppgifter med bedömning av personliga aspekter rörande en fysisk person, särskilt för att analysera eller förutse aspekter avseende den registrerades arbetsprestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar, i den mån dessa har rättsverkan rörande honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Beslutsfattande grundat på sådan behandling, inbegripet profilering, bör dock tillåtas när det uttryckligen beviljas genom unionsrätten eller medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av, inbegripet för sådan övervakning och sådant förebyggande av bedrägerier och skatteundandragande som genomförs i enlighet med unionsinstitutionernas eller de nationella tillsynsorganens bestämmelser, standarder och rekommendationer samt för att sörja för tillförlitlighet hos en tjänst som tillhandahålls av den personuppgiftsansvarige, eller när det krävs för ingående eller genomförande av ett avtal mellan den registrerade och en personuppgiftsansvarig eller den registrerade har gett sitt uttryckliga samtycke. Denna form av uppgiftsbehandling bör under alla omständigheter omgärdas av lämpliga skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet. Sådana åtgärder bör inte gälla barn.

I syfte att sörja för rättvis och transparent behandling med avseende på den registrerade, med beaktande av omständigheterna och det sammanhang i vilket personuppgifterna behandlas, bör den personuppgiftsansvarige använda adekvata matematiska eller statistiska förfaranden för profilering, genomföra tekniska och organisatoriska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter korrigeras och att risken för fel minimeras samt säkra personuppgifterna på sådant sätt att man beaktar potentiella risker för den registrerades intressen och rättigheter och förhindrar bland annat diskriminerande effekter för fysiska personer, på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, genetisk status eller hälsostatus eller sexuell läggning, eller som leder till åtgärder som får sådana effekter. Automatiserat beslutsfattande och profilering baserat på särskilda kategorier av personuppgifter bör endast tillåtas på särskilda villkor.

(72)Profilering omfattas av denna förordnings bestämmelser om behandling av personuppgifter, såsom de rättsliga grunderna för behandlingen och principer för dataskydd. Europeiska dataskyddsstyrelsen som inrättas genom denna förordning (nedan kallad styrelsen) bör kunna utfärda riktlinjer i detta avseende.

(73)Begränsningar med avseende på specifika principer och rätten till information, tillgång till och rättelse eller radering av personuppgifter, rätten till dataportabilitet, rätten att göra invändningar, profileringsbaserade beslut samt information till den registrerade om personuppgiftsincidenter och vissa av den personuppgiftsansvariges relaterade skyldigheter kan införas genom unionsrätten eller medlemsstaternas nationella rätt, i den mån de är nödvändiga och proportionella i ett demokratiskt samhälle för att upprätthålla den allmänna säkerheten, exempelvis för att skydda människoliv, särskilt vid naturkatastrofer eller katastrofer framkallade av människan, vid förebyggande, förhindrande, utredning och lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten eller överträdelser av etiska principer för reglerade yrken, vad gäller unionens eller en medlemsstats övriga viktiga mål av allmänt intresse, särskilt om de är av stort ekonomiskt eller finansiellt intresse för unionen eller en medlemsstat, förande av offentliga register som förs av hänsyn till ett allmänt intresse, ytterligare behandling av arkiverade personuppgifter för att tillhandahålla specifik information om politiskt beteende under tidigare totalitära regimer eller skydd av den registrerade eller andras rättigheter och friheter, inklusive socialt skydd, folkhälsa och humanitära skäl. Dessa begränsningar bör överensstämma med kraven i stadgan och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

(74)Personuppgiftsansvariga bör åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Personuppgiftsansvariga bör särskilt vara skyldiga att vidta lämpliga och effektiva åtgärder och kunna visa att behandlingen är förenlig med denna förordning, även vad gäller åtgärdernas effektivitet. Man bör inom dessa åtgärder beakta behandlingens art, omfattning, sammanhang och ändamål samt risken för fysiska personers rättigheter och friheter.

209

Prop. 2017/18:298

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/15

 

 

 

 

(75)Risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till följd av personuppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i synnerhet om behandlingen kan leda till diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, obehörigt hävande av pseudonymisering eller annan betydande ekonomisk eller social nackdel, om registrerade kan berövas sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter, om personuppgifter behandlas som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening, om genetiska uppgifter, uppgifter om hälsa eller sexualliv eller fällande domar i brottmål samt överträdelser eller därmed sammanhängande säkerhetsåtgärder behandlas, om personliga aspekter bedöms, framför allt analyser eller förutsägelser beträffande sådant som rör arbetsprestationer, ekonomisk ställning, hälsa, personliga preferenser eller intressen, tillförlitlighet eller beteende, vistelseort eller förflyttningar, i syfte att skapa eller använda personliga profiler, om det sker behandling av personuppgifter rörande sårbara fysiska personer, framför allt barn, eller om behandlingen inbegriper ett stort antal personuppgifter och gäller ett stort antal registrerade.

(76)Hur sannolik och allvarlig risken för den registrerades rättigheter och friheter är bör fastställas utifrån behandlingens art, omfattning, sammanhang och ändamål. Risken bör utvärderas på grundval av en objektiv bedömning, genom vilken det fastställs huruvida uppgiftsbehandlingen inbegriper en risk eller en hög risk.

(77)Vägledning för den personuppgiftsansvariges eller personuppgiftsbiträdets genomförande av lämpliga åtgärder och för påvisande av att behandlingen är förenlig med denna förordning, särskilt när det gäller att kartlägga den risk som är förknippad med behandlingen och bedöma dess ursprung, art, sannolikhetsgrad och allvar samt fastställa bästa praxis för att minska risken, kan framför allt ges genom godkända uppförandekoder, godkänd certifiering, riktlinjer från styrelsen eller genom anvisningar från ett dataskyddsombud. Styrelsen kan också utfärda riktlinjer för uppgiftsbehandling som inte bedöms medföra någon hög risk för fysiska personers rättigheter och friheter samt ange vilka åtgärder som i sådana fall kan vara tillräckliga för att bemöta en sådan risk.

(78)Skyddet av fysiska personers rättigheter och friheter i samband med behandling av personuppgifter förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas, så att kraven i denna förordning uppfylls. För att kunna visa att denna förordning följs bör den personuppgiftsansvarige anta interna strategier och vidta åtgärder, särskilt för att uppfylla principerna om inbyggt dataskydd och dataskydd som standard. Sådana åtgärder kan bland annat bestå av att uppgiftsbehandlingen minimeras, att personuppgifter snarast möjligt pseudonymiseras, att öppenhet om personuppgifternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgiftsbe­ handlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhetsanordningar. Vid utveckling, utformning, urval och användning av applikationer, tjänster och produkter som är baserade på behandling av personuppgifter eller behandlar personuppgifter för att uppfylla sitt syfte bör producenterna av dessa produkter, tjänster och applikationer uppmanas att beakta rätten till dataskydd när sådana produkter, tjänster och applikationer utvecklas och utformas och att, med tillbörlig hänsyn till den tekniska utvecklingen, säkerställa att personuppgiftsansvariga och personuppgiftsbiträden kan fullgöra sina skyldigheter avseende dataskydd. Principerna om inbyggt dataskydd och dataskydd som standard bör också beaktas vid offentliga upphandlingar.

(79)Skyddet av de registrerades rättigheter och friheter samt de personuppgiftsansvarigas och personuppgiftsbi­ trädenas ansvar, även i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när personuppgiftsansvariga gemensamt fastställer ändamål och medel för en behandling tillsammans med andra personuppgiftsansvariga eller när en behandling utförs på en personuppgiftsansvarigs vägnar.

(80)När personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade inom unionen behandlar personuppgifter om registrerade som befinner sig inom unionen och det bakomliggande syftet med uppgiftsbe­ handlingen är att erbjuda de registrerade personerna i unionen varor eller tjänster, oberoende av om de registrerade personerna måste betala för dem, eller att övervaka deras beteende i den mån beteendet äger rum i unionen, bör de personuppgiftsansvariga eller personuppgiftsbiträdena utnämna en företrädare, såvida inte behandlingen endast är tillfällig, inte omfattar behandling i stor omfattning av särskilda kategorier av personuppgifter eller behandling av personuppgifter om fällande domar i brottmål samt överträdelser och det är

210

Prop. 2017/18:298

Bilaga 1

L 119/16

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

osannolikt att den inbegriper en risk för fysiska personers rättigheter och friheter, med beaktande av behandlingens art, sammanhang, omfattning och ändamål eller om den personuppgiftsansvarige är en myndighet eller ett organ. Företrädaren bör agera på den personuppgiftsansvariges eller på personuppgiftsbiträdets vägnar och kan kontaktas av samtliga tillsynsmyndigheter. Företrädaren bör uttryckligen utses genom en skriftlig fullmakt från den personuppgiftsansvarige eller från personuppgiftsbiträdet att agera på dennes vägnar med avseende på dennes skyldigheter enligt denna förordning. Utnämningen av företrädaren inverkar inte på den personuppgiftsansvariges eller på personuppgiftsbiträdets ansvar enligt denna förordning. Företrädaren bör utföra sina uppgifter i enlighet med erhållen fullmakt från den personuppgiftsansvarige eller från personuppgiftsbiträdet, vilket inbegriper samarbete med de behöriga tillsynsmyndigheterna i fråga om alla åtgärder som vidtas för att sörja för efterlevnad av denna förordning. Den utsedda företrädaren bör underkastas verkställighetsförfaranden i händelse den personuppgiftsansvarige eller personuppgiftsbiträdet inte uppfyller sina skyldigheter.

(81)För att se till att kraven i denna förordning uppfylls vad gäller behandling som av ett personuppgiftsbiträde ska utföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige, när denne anförtror behandling åt ett personuppgiftsbiträde, endast använda personuppgiftsbiträden som ger tillräckliga garantier, i synnerhet i fråga om sakkunskap, tillförlitlighet och resurser, för att genomföra tekniska och organisatoriska åtgärder som uppfyller kraven i denna förordning, bl.a. vad gäller säkerhet i samband med behandlingen av uppgifter. Personuppgifts­ biträdets anslutning till en godkänd uppförandekod eller en godkänd certifieringsmekanism kan användas som ett sätt att påvisa att den personuppgiftsansvarige fullgör sina skyldigheter. När uppgifter behandlas av ett personuppgiftsbiträde, bör hanteringen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller medlemsstaternas nationella rätt mellan personuppgiftsbiträdet och den personuppgiftsansvarige, där föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade anges, med beaktande av personuppgiftsbiträdets specifika arbets- och ansvarsuppgifter inom ramen för den behandling som ska utföras och risken med avseende på den registrerades rättigheter och friheter. Den personuppgiftsansvarige och personuppgiftsbiträdet får välja att använda sig av ett enskilt avtal eller standardav­ talsklausuler som antingen antas direkt av kommissionen eller av en tillsynsmyndighet i enlighet med mekanismen för enhetlighet och därefter antas av kommissionen. Efter det att behandlingen på den personupp­ giftsansvariges vägnar har avslutats, bör personuppgiftsbiträdet återlämna eller radera personuppgifterna, beroende på vad den personuppgiftsansvarige väljer, såvida inte lagring av personuppgifterna krävs enligt den unionsrätt eller medlemsstaternas nationella rätt som personuppgiftsbiträdet omfattas av.

(82)För att påvisa att denna förordning följs bör de personuppgiftsansvariga eller personuppgiftsbiträdena föra register över behandling som sker under deras ansvar. Alla personuppgiftsansvariga och personuppgiftsbiträden bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra detta register tillgängligt, så att det kan tjäna som grund för övervakningen av behandlingen.

(83)För att upprätthålla säkerheten och förhindra behandling som bryter mot denna förordning bör personuppgift­ sansvariga eller personuppgiftsbiträden utvärdera riskerna med behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet, med beaktande av den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas. Vid bedömningen av datasäkerhetsrisken bör man även beakta de risker som personuppgiftsbehandling medför, såsom förstöring, förlust eller ändringar genom olyckshändelse eller otillåtna handlingar eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats, framför allt när denna kan medföra fysisk, materiell eller immateriell skada.

(84)I syfte att sörja för bättre efterlevnad av denna förordning när behandlingen sannolikt kan innebära en hög risk för fysiska personers rättigheter och friheter, bör den personuppgiftsansvarige vara ansvarig för att en konsekvens­ bedömning utförs avseende datasskydd för att bedöma framför allt riskens ursprung, art, särdrag och allvar. Resultatet av denna bedömning bör beaktas vid fastställandet av de lämpliga åtgärder som ska vidtas för att visa att behandlingen av personuppgifter är förenlig med denna förordning. I de fall en konsekvensbedömning avseende dataskydd ger vid handen att uppgiftsbehandlingen medför en hög risk, som den personuppgift­ sansvarige inte kan begränsa genom lämpliga åtgärder med avseende på tillgänglig teknik och genomförande­ kostnader, bör ett samråd med tillsynsmyndigheten ske före behandlingen.

(85)En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen. Så

211

Prop. 2017/18:298

Bilaga 1

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/17

 

 

 

 

snart en personuppgiftsansvarig blir medveten om att en personuppgiftsincident har inträffat, bör den personupp­ giftsansvarige därför anmäla personuppgiftsincidenten till tillsynsmyndigheten utan onödigt dröjsmål och, om så är möjligt, inom 72 timmar efter att ha blivit medveten om denna, om inte den personuppgiftsansvarige, i enlighet med ansvarsprincipen, kan påvisa att det är osannolikt att personuppgiftsincidenten kommer att medföra en risk för fysiska personers rättigheter och friheter. Om en sådan anmälan inte kan ske inom 72 timmar, bör skälen till fördröjningen åtfölja anmälan och information får lämnas i omgångar utan otillbörligt vidare dröjsmål.

(86)Den personuppgiftsansvarige bör utan onödigt dröjsmål underrätta den registrerade om en personuppgift­ sincident, om personuppgiftsincidenten sannolikt kommer att medföra en hög risk för den fysiska personens rättigheter och friheter, så att denne kan vidta nödvändiga försiktighetsåtgärder. Denna underrättelse bör beskriva personuppgiftsincidentens art samt innehålla rekommendationer för den berörda fysiska personen om hur de potentiella negativa effekterna kan mildras. De registrerade bör underrättas så snart detta rimligtvis är möjligt, i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats av den eller andra relevanta myndigheter, exempelvis brottsbekämpande myndigheter. Till exempel kräver behovet av att mildra en omedelbar skaderisk att de registrerade underrättas omedelbart, medan behovet av att vidta lämpliga åtgärder vid fortlöpande eller likartade personuppgiftsincidenter däremot kan motivera längre tid för underrättelsen.

(87)Det bör undersökas huruvida alla lämpliga tekniska skyddsåtgärder och alla lämpliga organisatoriska åtgärder har vidtagits för att omedelbart fastställa om en personuppgiftsincident har ägt rum och skyndsamt informera tillsynsmyndigheten och den registrerade. Att en anmälan gjordes utan onödigt dröjsmål bör fastställas med hänsyn tagen bl.a. till personuppgiftsincidentens art och svårighetsgrad och dess följder och negativa effekter för den registrerade. En sådan anmälan kan leda till ett ingripande från tillsynsmyndighetens sida i enlighet med dess uppgifter och befogenheter enligt denna förordning.

(88)När ingående regler fastställs för format och förfaranden för anmälan av personuppgiftsincidenter, bör vederbörlig hänsyn tas till omständigheterna kring incidenten, däribland om personuppgifterna var skyddade av lämpliga tekniska skyddsåtgärder, som betydligt begränsar sannolikheten för identitetsbedrägeri eller andra former av missbruk. Dessutom bör sådana regler och förfaranden beakta brottsbekämpande myndigheters berättigade intressen, där en för tidig redovisning kan riskera att i onödan hämma utredning av omständigheterna kring en personuppgiftsincident.

(89)Direktiv 95/46/EG föreskrev en allmän skyldighet att anmäla behandling av personuppgifter till tillsynsmyndighe­ terna. Denna skyldighet medförde administrativa och ekonomiska bördor, men förbättrade inte alltid personupp­ giftsskyddet. Sådana övergripande och allmänna anmälningsskyldigheter bör därför avskaffas och ersättas av effektiva förfaranden och mekanismer som i stället inriktas på de typer av behandlingar som sannolikt innebär en hög risk för fysiska personers rättigheter och friheter, i kraft av deras art, omfattning, sammanhang och ändamål. Dessa behandlingar kan vara sådana som särskilt inbegriper användning av ny teknik eller är av en ny typ, för vilken konsekvensbedömning avseende uppgiftsskydd inte tidigare har genomförts av den personuppgift­ sansvarige, eller som blir nödvändiga på grund av den tid som har förflutit sedan den ursprungliga behandlingen.

(90)I sådana fall bör den personuppgiftsansvarige före behandlingen, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt upphovet till risken, göra en konsekvensbedömning avseende dataskydd i syfte att bedöma den höga riskens specifika sannolikhetsgrad och allvar samt dess ursprung. Konsekvensbedömningen bör främst innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska minska denna risk, säkerställa personuppgiftskyddet och visa att denna förordning efterlevs.

(91)Detta bör särskilt vara tillämpligt på storskalig uppgiftsbehandling med syftet att behandla betydande mängder personuppgifter på regional, nationell eller övernationell nivå, vilket skulle kunna påverka ett stort antal registrerade och sannolikt kommer att innebära en hög risk, exempelvis till följd av uppgifternas känsliga natur, där i enlighet med den uppnådda nivån av teknisk kunskap en ny teknik används storskaligt, samt på annan behandling som innebär en hög risk för registrerades rättigheter och friheter, framför allt när denna behandling gör det svårare för de registrerade att utöva sina rättigheter. En konsekvensbedömning avseende dataskydd bör

212

Prop. 2017/18:298

Bilaga 1

L 119/18

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

också göras, där personuppgifter behandlas i syfte att fatta beslut om specifika fysiska personer efter en systematisk och omfattande bedömning av fysiska personers personliga aspekter på grundval av profilering av dessa uppgifter eller efter behandling av särskilda kategorier av personuppgifter, biometriska uppgifter eller uppgifter om fällande domar i brottmål samt överträdelser eller därmed sammanhängande säkerhetsåtgärder. Likaså krävs en konsekvensbedömning avseende dataskydd för övervakning av allmän plats i stor omfattning, särskilt vid användning av optisk-elektroniska anordningar, eller för all annan behandling där den behöriga tillsynsmyndigheten anser att behandlingen sannolikt kommer att innebära en hög risk för de registrerades rättigheter och friheter, framför allt på grund av att den hindrar de registrerade från att utöva en rättighet eller använda en tjänst eller ett avtal eller på grund av att den systematiskt genomförs i stor omfattning. Behandling av personuppgifter bör inte anses vara storskalig, om det är fråga om personuppgifter från patienter eller klienter som behandlas av enskilda läkare, andra yrkesverksamma på hälsoområdet eller juridiska ombud. I dessa fall bör en konsekvensbedömning avseende dataskydd inte vara obligatorisk.

(92)Ibland kan det vara förnuftigt och ekonomiskt att en konsekvensbedömning avseende dataskydd inriktar sig på ett vidare område än ett enda projekt, exempelvis när myndigheter eller organ avser att skapa en gemensam tillämpnings- eller behandlingsplattform eller när flera personuppgiftsansvariga planerar att införa en gemensam tillämpnings- eller behandlingsmiljö för en hel bransch eller ett helt