Regeringens proposition 2017/18:112

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 1 mars 2018

Stefan Löfven

Ylva Johansson

(Arbetsmarknadsdepartementet)

Propositionens huvudsakliga innehåll

Propositionen innehåller förslag till anpassningar av registerförfattningar på arbetsmarknadsområdet till EU:s dataskyddsförordning. Förordningen ska börja tillämpas den 25 maj 2018.

En ny lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador föreslås. Den nya lagen bidrar till öppenhet och förutsebarhet i verksamheten.

Det föreslås också anpassningar till EU:s dataskyddsförordning av registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering.

I den arbetsmarknadspolitiska verksamheten föreslås även en förlängd gallringstid från två till tre år i syfte att underlätta återinträde i arbetsmarknadspolitiska program. Ändringen innebär att personuppgifter ska gallras så fort de inte längre behövs i verksamheten, dock senast efter tre år.

Den nya lagen och lagändringarna föreslås träda i kraft den 25 maj 2018.

1

Prop. 2017/18:112 Innehållsförteckning

4

Regeringen föreslår att riksdagen antar regeringens förslag till

1.lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador,

2.lag om ändring i lagen (2002:546) om behandling av personuppgifter

iden arbetsmarknadspolitiska verksamheten,

3.lag om ändring i lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen,

4.lag om ändring i lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering.

5

Prop. 2017/18:112

2 Lagtext

Regeringen har följande förslag till lagtext.

2.1Förslag till lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Denna lag tillämpas vid behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador.

Lagen tillämpas endast på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register.

Förhållandet till annan reglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

3 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Rätten att göra invändningar

4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Personuppgiftsansvar

5 § Arbetsmiljöverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför enligt denna lag.

6

Prop. 2017/18:112 användas som sökbegrepp för tillsyn, uppföljning, utvärdering och framställning av avidentifierad statistik.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt av de sökbegrepp som får användas.

Denna lag träder i kraft den 25 maj 2018.

12

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Förordningen börjar tillämpas den 25 maj 2018.

I en promemoria som har utarbetats inom Arbetsmarknadsdepartementet lämnas förslag till lagändringar på arbetsmarknadsområdet med anledning av dataskyddsförordningen (Ds 2017:33). En sammanfattning av promemorian finns i bilaga 1 och promemorians lagförslag finns i bilaga 2.

Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissvaren och en sammanställning av remissvaren finns tillgängliga i Arbetsmarknadsdepartementet (A2017/00468/A).

Lagrådet

Regeringen beslutade den 11 januari 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5. Lagrådet har lämnat förslagen utan erinran. I förhållande till lagrådsremissens lagförslag har vissa språkliga och redaktionella ändringar gjorts.

2016/680 av den 27 april 2016 om skydd för fysiska personer med Prop. 2017/18:112 avseende på behöriga myndigheters behandling av personuppgifter för att

förebygga, förhindra, utreda, avslöja eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

4.2Personuppgiftslagen och den föreslagna dataskyddslagen

De grundläggande bestämmelserna om behandling av personuppgifter finns i dag i personuppgiftslagen (1998:204), kompletterad av personuppgiftsförordningen (1998:1191). Personuppgiftslagen utgör det generella, nationella regelverk genom vilket Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) har genomförts i svensk rätt.

För att säkerställa att det finns en generell och ändamålsenlig nationell reglering som kompletterar dataskyddsförordningen när förordningen börjar tillämpas utsågs 2016 en särskild utredare med uppdrag att föreslå de generella anpassningar och kompletterande författningsbestämmelser på generell nivå som dataskyddsförordningen ger anledning till (Ju 2016:04, dir. 2016:15). Utredningen, som tog namnet Dataskyddsutredningen, redovisade den 12 maj 2017 sitt uppdrag i betänkandet Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39). I februari 2018 beslutade regeringen propositionen Ny dataskyddslag (prop. 2017/18:105) som grundar sig på Dataskyddsutredningens betänkande. I propositionen föreslås att personuppgiftslagen upphävs och att en ny lag med kompletterande bestämmelser till EU:s dataskyddsförordning införs, härefter kallad dataskyddslagen. Dataskyddslagen ska enligt förslaget vara subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i så kallade registerförfattningar.

4.3Registerlagar på arbetsmarknadsområdet

I denna proposition presenteras förslag på anpassningar av registerlagar på arbetsmarknadsområdet.

Inom Arbetsmarknadsdepartementets ansvarsområde finns i dag registerlagar för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering.

Därutöver finns en förordning om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador. Arbetsmiljöverkets förordning innehåller dataskyddsbestämmelser som i hög grad motsvarar de tre ovan nämnda registerlagarna, både när det gäller struktur och innehåll.

23

Prop. 2017/18:112 De registerförfattningar som är aktuella i denna proposition är uppbyggda på ett sådant sätt att de endast innehåller bestämmelser som kompletterar eller avviker från personuppgiftslagen. De myndigheter som har en egen registerförfattning, till exempel Arbetsförmedlingen, tillämpar således i dag både den egna registerförfattningen och personuppgiftslagen.

5 Utgångspunkter

5.1Huvuddragen och grunderna i registerlagarna på arbetsmarknadsområdet kan och bör bevaras

Regeringens bedömning: Eftersom registerlagarna på arbetsmarknadsområdet i allt väsentligt väl balanserar enskildas integritetsintresse mot myndigheternas verksamhetsbehov bör huvuddragen i registerlagarna bevaras så långt EU:s dataskyddsförordning tillåter.

Promemorians bedömning: Överensstämmer i sak med regeringens. Remissinstanserna: Datainspektionen anser att det inte är möjligt att

förutsätta att de bedömningar som gjorts i samband med framtagande av nationell författningsreglering uppfyller dataskyddsförordningens krav på bedömningar. Dataskydd.net ifrågasätter om de bedömningar om dataskydd som har gjorts tidigare uppfyller de höjda krav som dataskyddsförordningen ställer. Centrala studiestödsnämnden är positiv till att registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering behålls. Myndigheten efterlyser dock en allmän översyn av samtliga registerförfattningar i syfte att åstadkomma ett mer sammanhållet och enhetligt regelverk.

Skälen för regeringens bedömning

Dataskyddsförordningen lämnar ett relativt stort utrymme för registerförfattningar

bestämmelser. Enligt artikel 6.2 får medlemsstaterna behålla eller införa Prop. 2017/18:112 mer specifika bestämmelser för att anpassa tillämpningen av

bestämmelserna i förordningen när det gäller behandling som sker enligt artikel 6.1 c (rättslig förpliktelse) och 6.1 e (uppgift av allmänt intresse och myndighetsutövning). Bestämmelserna i den nationella rätten får i dessa fall närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Av skäl 10 till dataskyddsförordningen framgår att möjligheten att precisera bestämmelser för personuppgiftsbehandlingen också gäller känsliga personuppgifter.

Det lämnas även utrymme i dataskyddsförordningen för medlemsstaterna att ha särskilda bestämmelser som preciserar den rättsliga grunden för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen (artikel 6.3). Förordningen anger att dessa särskilda bestämmelser bland annat kan reglera de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas och ändamålsbegränsningar.

Dataskyddsförordningen anger vidare att vem som är personuppgiftsansvarig kan föreskrivas i den nationella rätten om ändamålen och medlen för behandling fastställs av medlemsstatens nationella rätt (artikel 4.7).

Enligt skäl 8 i dataskyddsförordningen kan medlemsstaterna införliva delar av förordningen i nationell rätt i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på.

Vid sidan av de ovan beskrivna möjligheterna för medlemsstaterna att ha nationella bestämmelser som preciserar eller kompletterar dataskyddsförordningen ges också medlemsstaterna utrymme enligt artikel 23 att begränsa vissa av de rättigheter och skyldigheter som föreskrivs i förordningen. Möjligheten att ha begränsningar förutsätter dock att de är nödvändiga, proportionella och främjar ett i dataskyddsförordningens mening legitimt ändamål.

Även efter det att dataskyddsförordningen ska börja tillämpas kommer det att finnas ett förhållandevist stort utrymme för medlemsstaterna att ha sektorspecifik, nationell reglering av behandling av personuppgifter.

Huvuddragen och grunderna i registerlagar på arbetsmarknadsområdet kan och bör bevaras så långt dataskyddsförordningen tillåter

Det aktuella lagstiftningsärendet innehåller förslag till nödvändiga anpassningar av registerlagar på arbetsmarknadsområdet till dataskyddsförordningen. Syftet är alltså inte, vilket Centrala studiestödsnämnden efterlyser, en allmän översyn av registerförfattningar i syfte att skapa ett gemensamt dataskyddsregelverk för myndigheters personuppgiftsbehandling.

I förarbetena till lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen och lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk

25

Prop. 2017/18:112 utvärdering har avvägningar mellan verksamhetsbehov och integritetshänsyn gjorts utifrån då gällande EU-rättslig och svensk personuppgiftsreglering. Bestämmelserna om behandling av personuppgifter inom dessa myndigheter har placerats i lag utifrån det principiella ställningstagandet att myndighetsregister med ett stort antal registrerade personer och ett integritetskänsligt innehåll bör vara reglerade i lag. I lagarna har det införts bestämmelser som i stor utsträckning syftar till att reglera och begränsa utrymmet för myndigheterna att behandla personuppgifter för egna behov och behandla uppgifter för utlämnande till andra myndigheter. Lagarna innehåller också bestämmelser om rättigheter för enskilda när det till exempel gäller information, rättelse och skadestånd. I vissa fall finns bestämmelser som begränsar enskildas rättigheter till förmån för verksamhetsbehov, det gäller bland annat möjligheten att motsätta sig behandling som är inskränkt i registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering.

Enligt regeringens uppfattning balanseras skyddet för enskildas integritet och myndigheternas verksamhetsbehov i allt väsentligt väl i nu aktuella registerlagar. Registerlagarna har dessutom en struktur som är inarbetad och välbekant. I registerlagarna finns bestämmelser som har prövats mot de krav som uppställs i dataskyddsdirektivet som i viktiga avseenden ställer motsvarande krav som dataskyddsförordningen. Som bland andra Datainspektionen är inne på finns det anledning att på nytt överväga de nationella bestämmelserna i de delar dataskyddsförordningen ställer andra krav än dataskyddsdirektivet. Huvuddragen och grunderna i registerförfattningarna kan och bör dock bevaras så långt dataskyddsförordningen tillåter.

5.2Rättslig grund för behandling av personuppgifter

Regeringens bedömning: Det finns rättsliga grunder i EU:s dataskyddsförordnings mening för myndigheternas behandling av personuppgifter på arbetsmarknadsområdet.

Promemorians bedömning: Överensstämmer med regeringens.

Remissinstanserna: Datainspektionen efterlyser närmare överväganden om vilken rättslig grund som är tillämplig, hur den är fastställd och om den är fastställd i den nationella lagstiftningen på ett tillräckligt tydligt, precist och förutsägbart sätt. Datainspektionen anger vidare att om lagstiftaren inte säkerställer att nationell lagstiftning införs där behov finns och dataskyddsförordningen så kräver, kan det leda till att samhällsviktiga behandlingar av personuppgifter kan komma att sakna rättsligt stöd när förordningen ska börja tillämpas. Detta gör sig enligt myndigheten särskilt gällande beträffande de verksamheter som hanterar känslig eller integritetskänslig information såsom arbetslöshetskassorna, Arbetsdomstolen och Rådet för Europeiska socialfonden i Sverige. Arbetslöshetskassornas Samorganisation påpekar att arbetslöshetskassorna har

behov av att kunna behandla uppgifter om lagöverträdelser. Dataskydd.net

26

Prop. 2017/18:112 typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstider samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig rättvis behandling. Den nationella rätten ska i detta avseende uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Regeringen föreslår i propositionen Ny dataskyddslag (prop. 2017/18:105) att det i den nya dataskyddslagen ska införas bestämmelser som tydliggör att personuppgifter får behandlas för att utföra en uppgift av allmänt intresse som följer av lag, annan författning, kollektivavtal eller beslut som har meddelats med stöd av lag eller annan författning. Motsvarande förtydligande bestämmelser föreslås för behandling som är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse. I fråga om personuppgiftsbehandling som är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning tydliggör den föreslagna dataskyddslagen att det krävs stöd i lag eller annan författning.

Det finns rättsliga grunder för myndigheters behandling av personuppgifter på arbetsmarknadsområdet

Dataskyddsförordningen kommer från och med den 25 maj 2018 att vara i alla delar bindande och direkt tillämplig i medlemsstaterna vilket innebär att de svenska myndigheterna efter den tidpunkten endast får behandla personuppgifter om det finns rättslig grund för behandlingen och att den rättsliga grunden är fastställd på det sätt som dataskyddsförordningen föreskriver.

Myndigheterna inom Arbetsmarknadsdepartementets ansvarsområde har som övergripande uppgift att främja en väl fungerande arbetsmarknad. I avsaknad av vägledande domar från Europeiska unionens domstol förefaller det med hänsyn till svensk förvaltningstradition rimligt att anta att de uppgifter som utförs av dessa statliga myndigheter, i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering, är av allmänt intresse. Enligt regeringens bedömning i propositionen Ny dataskyddslag måste begreppet uppgift av allmänt intresse ges en vid betydelse för att myndigheternas verksamhet ska kunna fungera även fortsättningsvis, se propositionen Ny dataskyddslag (prop. 2017/18:105 s. 56). Den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen, det vill säga att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse, bör därför i regel kunna tillämpas av myndigheterna.

Myndigheterna utövar också myndighetsutövning med stöd av lag och annan författning. Arbetsmiljöverkets tillsynsverksamhet enligt 7 kap. arbetsmiljölagen (1977:1160) är ett exempel. I dessa fall är kravet på rättslig grund enligt dataskyddsförordningen uppfyllt om personuppgiftsbehandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e).

Enligt artikel 6.1 c är personuppgiftsbehandling laglig om den är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse. Det är frågan om rättsliga förpliktelser som följer av

lag eller annan författning. Det kan också vara förpliktelser som följer av

28

Prop. 2017/18:112 rättsliga grunderna (artikel 6.1 c och e) om grunderna inte fastställts på ett sätt som lever upp till dataskyddsförordningens krav. Det är myndigheterna som är skyldiga att som personuppgiftsansvariga försäkra sig om att behandlingen i varje enskilt fall har stöd i en rättslig grund som, när så krävs enligt dataskyddsförordningen, är fastställd på ett korrekt sätt.

Verksamheter på arbetsmarknadsområdet som saknar registerlagar

Datainspektionen anger att om lagstiftaren inte säkerställer att nationell lagstiftning införs där behov finns och dataskyddsförordningen så kräver, kan det leda till att samhällsviktiga behandlingar av personuppgifter kan komma att sakna rättsligt stöd när förordningen ska börja tillämpas. Detta gör enligt Datainspektionen sig särskilt gällande beträffande de verksamheter som hanterar känslig eller integritetskänslig information såsom arbetslöshetskassorna, Arbetsdomstolen och Rådet för Europeiska socialfonden i Sverige.

Ett antal myndigheter på arbetsmarknadsområdet saknar i dag registerlagar, det gäller Arbetsmiljöverket, Arbetsdomstolen, Medlingsinstitutet, Svenska ILO-kommittén, Nämnden för styrelserepresentationsfrågor, Rådet för Europeiska socialfonden i Sverige och Statens nämnd för arbetstagares uppfinningar.

Regeringen kan konstatera att de rättsliga grunderna för myndigheternas behandling av personuppgifter endast i begränsad omfattning fastställs eller preciseras i registerlagar. Uppgifter av allmänt intresse, myndighetsutövning och rättsliga förpliktelser fastställs i normalfallet i andra typer av författningar eller, utom när det gäller myndighetsutövning, i till exempel regeringsbeslut. Om en myndighet har eller saknar en registerlag har alltså inte någon avgörande betydelse för om det finns rättslig grund för personuppgiftsbehandlingen. Den väsentliga skillnaden mellan de myndigheter som har och de som saknar registerlagar är att de senare inte kommer att omfattas av särskilda bestämmelser om dataskydd, till exempel när det gäller begränsningar av ändamålen med behandlingen av personuppgifter. I de fallen kommer i stället endast dataskyddsförordningens och den föreslagna dataskyddslagens allmänna bestämmelser att gälla.

Centrala studiestödsnämnden framför att myndighetens behandling av personuppgifter i samband med hemutrustningslån bör ses över med anledning av dataskyddsförordningen. Regeringen har för avsikt att se över och vid behov anpassa förordningar till dataskyddsförordningen i särskild ordning. Detta gäller även förordningen (1990:1361) om lån till hemutrustning för flyktingar och vissa andra utlänningar.

Arbetslöshetskassornas Samorganisation påpekar att arbetslöshetskassorna har behov av att kunna behandla uppgifter om lagöverträdelser. Arbetslöshetskassornas Samorganisation anger i sitt yttrande att arbetslöshetskassorna anmäler misstänkta brott enligt bidragsbrottslagen (2007:612) och tar hänsyn till uppgifter om frihetsberövanden på kriminalvårdens område vid fastställande av ersättningsrätten. I propositionen Ny dataskyddslag föreslås att regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om att andra än myndigheter får behandla uppgifter om lagöverträdelser. Den

30

myndighet som regeringen bestämmer ska i enskilda fall även få besluta Prop. 2017/18:112 om sådan behandling.

Regeringen lämnar i denna proposition förslag till en ny lag om behandling av personuppgifter i Arbetsmiljöverkets verksamhet, se avsnitt 6. I övrigt bedömer regeringen att det inte finns behov av någon ny registerlag på arbetsmarknadsområdet.

5.3Begränsningar av enskildas rättigheter

Regeringens bedömning: Registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering uppfyller generellt kraven på proportionalitet och nödvändighet.

Promemorians bedömning: Överensstämmer med regeringens. Remissinstanserna: Enligt Datainspektionen saknas analyser som visar

hur lagstiftningen är proportionell i förhållande till de legitima mål som eftersträvas. Myndigheten anser vidare att man i lagstiftningsarbetet bör ta ställning till om en konsekvensbedömning enligt artikel 35 i dataskyddsförordningen krävs och om det i så fall räcker att den genomförs som ett led i lagstiftningsarbetet. Enligt dataskydd.net är dataskyddsförordningen betydligt tydligare än tidigare europeisk lagstiftning när det gäller behovet av proportionalitetsbedömningar. Förordningen innehåller också enligt dataskydd.net nya regler till skydd för enskilda, högre krav på konsekvensbedömningar, säkerhetsåtgärder och information till enskilda.

Skälen för regeringens bedömning

Inledning

Dataskyddsförordningen ger medlemsstaterna utrymme att i nationell rätt begränsa vissa av förordningens rättigheter och skyldigheter (artikel 23.1). Det ställs emellertid vissa krav i dataskyddsförordningen på begränsningarna, bland annat krav på att begränsningarna ska vara nödvändiga och proportionella. Medlemsstaterna ska också vid antagandet av begränsande lagstiftning, när så är relevant, inkludera specifika bestämmelser om bland annat skyddsåtgärder för att förhindra missbruk (artikel 23.2). Vidare finns i dataskyddsförordningen krav på konsekvensbedömningar i vissa fall (artikel 35). Sådana bedömningar kan i vissa fall göras som en del av en allmän konsekvensbedömning i samband med att den rättsliga grunden antas (artikel 35.10).

Proportionalitetsprincipen vid reglering av personuppgiftsbehandling

Enligt dataskyddsförordningen ska unionsrätten eller medlemsstaternas nationella rätt som fastställer den rättsliga grunden uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket).

31

Prop. 2017/18:112 I skäl 4 anges att rätten till skydd av personuppgifter inte är en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen.

Enligt dataskyddsförordningen ska det vidare vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt begränsa rättigheter och skyldigheter om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa ändamål som uppräknas i förordningen (artikel 23.1).

Bestämmelserna i registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering har prövats mot de krav som ställs på nationell rätt i dataskyddsdirektivet. Som regeringen konstaterar i propositionen Ny dataskyddslag är lagarna förenliga med regeringsformens och Europakonventionens krav (prop. 2017/18:105 s. 50). Registerlagarna uppfyller därmed i huvudsak dataskyddsförordningens krav på nödvändighet och proportionalitet. Regeringen återkommer i avsnitt 6.4 och 7.3 med en proportionalitetsbedömning i fråga om begränsning av rätten att göra invändningar enligt artikel 21 i dataskyddsförordningen.

Kravet på konsekvensbedömningar i vissa fall

Enligt dataskyddsförordningen ska den personuppgiftsansvarige i vissa fall göra en konsekvensbedömning avseende dataskydd före behandlingen av personuppgifter (artikel 35). Konsekvensbedömningen ska enligt förordningen göras om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. En konsekvensbedömning behöver dock i regel inte göras vid behandling som sker med stöd av artikel 6.1 c och e (rättslig förpliktelse, allmänt intresse och myndighetsutövning), om en konsekvensutredning redan har gjorts vid antagandet av den reglering som utgör den rättsliga grunden för behandlingen (artikel 35.10).

Datainspektionen anser att man i lagstiftningsarbetet bör ta ställning till om en konsekvensbedömning enligt artikel 35 krävs och om det i så fall räcker att den genomförs som ett led i lagstiftningsarbetet.

Regeringen kan konstatera att de behandlingar av personuppgifter som regleras i de aktuella registerförfattningarna redan har varit föremål för konsekvensbedömningar vid antagandet av författningarna. Vid dessa konsekvensbedömningar finns bland annat överväganden om behandlingarnas proportionalitet i förhållande till det integritetsintrång som behandlingarna kan innebära. Bedömningen är att integritetsriskerna med behandlingarna av personuppgifter inte på något avgörande sätt har förändrats och att det därför inte behövs några nya konsekvensbedömningar enligt artikel 35 i dataskyddsförordningen.

32

miljöverkets verksamhet

6.1En ny lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador

Regeringens förslag: En ny lag om behandling av personuppgifter i

Arbetsmiljöverkets informationssystem om arbetsskador ska införas.

Promemorians förslag: Överensstämmer med regeringens.

Remissinstanserna: Juridiska fakulteten vid Uppsala universitet och Socialstyrelsen tillstyrker förslaget. Arbetsmiljöverket, Centrala studiestödsnämnden och Datainspektionen ser positivt på att Arbetsmiljöverkets nuvarande registerförordning ersätts av en lag. Lagformen bidrar enligt Centrala studiestödsnämnden till en större enhetlighet på registerlagstiftningens område. Enligt Datainspektionen är de överväganden som redovisas i promemorian när det gäller den övriga verksamheten hos Arbetsmiljöverket inte tillräckliga. Dataskydd.net avstyrker förslaget till ny lag för Arbetsmiljöverket.

Skälen för regeringens förslag

Allmänt om behandling av personuppgifter i Arbetsmiljöverkets verksamhet

I Arbetsmiljöverkets verksamhet förekommer en omfattande behandling av personuppgifter som även inkluderar behandling av känsliga personuppgifter. Särskilt omfattande är behandlingen av personuppgifter inom ramen för informationssystemet om arbetsskador. Antalet ärenden i informationssystemet uppgår till cirka 120 000 per år.

Informationssystemet om arbetsskador utgör ett viktigt verktyg i arbetet med att kartlägga och förebygga olyckor i arbetslivet och sjukdomar som beror på arbetet. Med stöd av systemet tar Arbetsmiljöverket fram statistik som kan användas dels i det förebyggande arbetet, dels som underlag för inriktningen på myndighetens arbetsmiljötillsyn. Uppgifterna i informationssystemet kommer från anmälningar av arbetsskador som arbetsgivare är skyldiga att göra. Eftersom arbetsskador handlar om olyckor och sjukdomar förekommer inte sällan integritetskänsliga uppgifter om enskildas hälsa i informationssystemet.

Behandlingen av personuppgifter inom informationssystemet regleras i dag i förordningen (2001:706) om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador.

Vid sidan av behandling av personuppgifter inom informationssystemet om arbetsskador har Arbetsmiljöverket behov av att behandla personuppgifter i andra delar av myndighetens verksamhet. Det gäller till exempel inom handläggningen av inspektionsärenden och hanteringen av det så kallade Utstationeringsregistret. För dessa delar av myndighetens verksamhet finns ingen särskild registerförfattning.

33

förekommer dock inte en sådan omfattande behandling av integritets- Prop. 2017/18:112 känsliga personuppgifter. Av dessa skäl lämnas inte förslag på någon

registerlag som reglerar Arbetsmiljöverkets behandling av personuppgifter vid sidan av den behandling som sker i informationssystemet om arbetsskador.

6.2Den nya lagen ska tillämpas på automatiserad behandling av personuppgifter och personuppgifter i register

Regeringens förslag: Lagen ska tillämpas på automatiserad behandling av personuppgifter och personuppgifter i register.

Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har haft synpunkter på

förslaget.

Skälen för regeringens förslag: Förordningen om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador reglerar behandling av personuppgifter som är helt eller delvis automatiserad. Dataskyddsförordningens materiella tillämpningsområde omfattar dock enligt artikel 2.1 även annan behandling än automatisk behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Det saknas skäl för att den föreslagna lagen ska omfatta mer eller mindre manuell behandling av personuppgifter än dataskyddsförordningen gör. Regelverket blir enklare och begripligare om tillämpningsområdena är desamma. Tillämpningsområdet för den föreslagna lagen bör därför innefatta samma behandling av personuppgifter som dataskyddsförordningen enligt artikel 2.1.

6.3Förhållandet till annan reglering

6.3.1Förhållandet till dataskyddsförordningen

Regeringens förslag: Lagen ska innehålla en bestämmelse som tydliggör att lagen kompletterar EU:s dataskyddsförordning.

Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Datainspektionen anser att det är bra att det

framgår att bestämmelserna kompletterar dataskyddsförordningen. Datainspektionen anser dock att det också behöver anges direkt i författningen om en viss reglering kompletterar eller förtydligar en artikel i dataskyddsförordningen. I övrigt har remissinstanserna inga synpunkter på förslaget.

Skälen för regeringens förslag: Dataskyddsförordningen kommer att vara direkt bindande och tillämplig i Sverige och ska inte genomföras i svensk rätt. Dataskyddsförordningen gäller alltså oavsett om det i den föreslagna lagen införs en bestämmelse som hänvisar till förordningen

eller inte. Liksom Datainspektionen anser regeringen dock att det bör

35

Prop. 2017/18:112 införas en bestämmelse i lagen som tydliggör att den innehåller kompletterande bestämmelser till dataskyddsförordningen.

Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. Dataskyddsförordningen är direkt tillämplig och är den huvudsakliga rättsakten på området för dataskydd. De hänvisningar till dataskyddsförordningen som föreslås i lagen avser klargöranden av förhållandet mellan lagen och dataskyddsförordningen, bestämmelser av upplysningskaraktär, hänvisningar till definitioner i och undantag från dataskyddsförordningen. Hänvisningarna föreslås, i likhet med vad som med några få undantag föreslås i den föreslagna dataskyddslagen, vara dynamiska. Valet av dynamiska hänvisningar innebär att de kommer att omfatta eventuella ändringar i dataskyddsförordningen efter dess ikraftträdande.

Det bör inte i varje bestämmelse anges om en viss reglering kompletterar eller förtydligar en artikel i dataskyddsförordningen. En sådan ordning skulle tynga lagen utan att tillföra ett tillräckligt mervärde. Bestämmelsen som hänvisar till dataskyddsförordningen ska därför ange att lagen kompletterar dataskyddsförordningen.

6.3.2Förhållandet till dataskyddslagen

Regeringens förslag: Lagen ska innehålla en bestämmelse som anger att dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen gäller vid behandling av personuppgifter inom Arbetsmiljöverkets informationssystem om arbetsskador, om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till den.

Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på

förslaget.

Skälen för regeringens förslag: I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås en lag med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, som på generell nivå kompletterar dataskyddsförordningen i Sverige. Bestämmelserna i dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen bör gälla vid behandling av personuppgifter inom Arbetsmiljöverkets informationssystem om arbetsskador, om inte annat följer av den här föreslagna lagen eller föreskrifter som har meddelats i anslutning till den här föreslagna lagen. En bestämmelse som upplyser om detta bör införas i lagen.

6.4Undantag från rätten att göra invändningar

Regeringens förslag: Rätten att göra invändningar enligt artikel 21.1 i EU:s dataskyddsförordning ska inte gälla vid sådan behandling som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den.

36

Promemorians förslag: Överensstämmer med regeringens. Prop. 2017/18:112 Promemorian föreslår dock en annan redaktionell utformning av

bestämmelsen.

Remissinstanserna: Skatteverket föreslår en annan lydelse av bestämmelsen. Juridiska fakulteten vid Uppsala universitet delar inte promemorians bedömning att förslaget uppfyller kraven i artikel 23.1 och 23.2 i dataskyddsförordningen. Juridiska fakulteten pekar bland annat på kraven i artikel 23.2 på att den registrerade ska bli informerad om en begränsning. Datainspektionen ifrågasätter bland annat om inte promemorians förslag att ersätta ”motsätter sig” med ”invänder mot” innebär en förändring i sak. Datainspektionen efterlyser ett klargörande av om samtycke utgör en rättslig grund för behandlingen och i så fall hur de övriga reglerna i den aktuella författningen, med beaktande av artikel 6.2, förhåller sig till samtycket. Datainspektionen är positiv till att låta den enskildes inställning avgöra om behandlingen ska få utföras eller inte.

Skälen för regeringens förslag

Den nuvarande ordningen

Enligt artikel 14 a i dataskyddsdirektivet ska medlemsstaterna tillförsäkra den registrerade rätten att, under vissa närmare angivna förutsättningar, när som helst av avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen föreskriver något annat.

I 11 § personuppgiftslagen (1998:204) finns vissa möjligheter vid direkt marknadsföring att motsätta sig behandling av personuppgifter. Det finns också möjlighet att återkalla samtycke i vissa fall enligt 12 § första stycket. I övrigt kan den registrerade inte med rättslig verkan motsätta sig sådan behandling som är tillåten enligt personuppgiftslagen (12 § andra stycket). I förordningen om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador, liksom i flera andra registerförfattningar, finns en bestämmelse som anger att en registrerad inte har rätt att motsätta sig sådan behandling som är tillåten enligt författningen.

Dataskyddsförordningen

Enligt dataskyddsförordningen har den registrerade rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne (artikel 21.1). Rätten att göra invändningar begränsar sig enligt denna bestämmelse till behandling av personuppgifter, såvitt avser myndigheter som utför sina uppgifter, som grundar sig på att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). Rätten att göra invändningar ska senast vid den första kommunikationen med den registrerade uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information (artikel 21.4). Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot behandling av personuppgifter

37

Prop. 2017/18:112 avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6).

Rätten att göra invändningar innebär att den registrerade har en möjlighet att få till stånd en överprövning av behandlingens tillåtlighet. Överprövningen innebär att den personuppgiftsansvarige måste kunna visa att dennes tvingande berättigade intressen väger tyngre än den registrerades intressen (artikel 21.1). Under tiden det sker en överprövning har den registrerade rätt att kräva att behandlingen av personuppgifterna begränsas (artikel 18.1 d). Om det saknas berättigade skäl har den registrerade rätt att få personuppgifterna raderade (artikel 17.1 c). Regleringen i dataskyddsförordningen skiljer sig från den i dataskyddsdirektivet på så sätt att det inte längre är den registrerade som ska ha berättigade skäl (artikel 14 a i dataskyddsdirektivet). I stället är det den som är personuppgiftsansvarig som ska kunna redogöra för varför behandlingen ska få äga rum.

Rätten att göra invändningar kan begränsas i unionsrätten eller i nationell rätt, men då måste begränsningen uppfylla de krav som nämns ovan på nödvändighet, proportionalitet och legitimt ändamål (artikel 23.1). Vid en eventuell begränsning ska det, när så är relevant, finnas vissa specifika bestämmelser, bland annat om omfattningen av begränsningen och skyddsåtgärder för att förhindra missbruk (artikel 23.2).

Rätten att göra invändningar får en begränsad betydelse när det gäller informationssystemet om arbetsskador

Rätten att invända mot behandlingen av personuppgifter enligt artikel 21 i dataskyddsförordningen är begränsad i flera avseenden. För det första gäller den endast vid behandling av personuppgifter på en rättslig grund som är relevant för myndigheter när de utför sina uppgifter, nämligen behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). Det innebär att de registrerade inte har rätt att invända om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c). Arbetsmiljöverket har ett uppdrag som bland annat följer av förordningen (2007:913) med instruktion för Arbetsmiljöverket att sköta informationssystemet om arbetsskador. Den personuppgiftsbehandling som sker i samband med informationssystemet har därmed stöd i en rättslig förpliktelse. För det andra är rätten att göra invändningar begränsad om det rör sig om personuppgifter som behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. I sådana fall har den registrerade rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6). I fråga om informationssystemet om arbetsskador kan regeringen konstatera att informationssystemet i första hand inte är ett ärenderegister utan att det framför allt ligger till grund för statistik och förebyggande arbete som saknar koppling till enskilda individer.

Mot bakgrund av de inskränkningar som finns av rätten att göra invändningar enligt dataskyddsförordningen får den begränsad betydelse

38

Prop. 2017/18:112 universitet efterfrågar, krävs inte för att uppfylla dataskyddsförordningens krav i detta fall.

Bestämmelsens utformning

Som Skatteverket påpekar bör bestämmelsen som begränsar rätten att göra invändningar utformas som ett undantag från artikel 21.1 i dataskyddsförordningen i syfte att tydliggöra normhierarkin och att den föreslagna lagen inte utgör en uttömmande reglering. Av bestämmelsen bör alltså framgå att rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen inte gäller vid sådan behandling som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den.

6.5Arbetsmiljöverket ska ha personuppgiftsansvaret

Regeringens förslag: Arbetsmiljöverket ska vara personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför enligt lagen.

Promemorians förslag Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på

förslaget.

Skälen för regeringens förslag: Medlemsstaterna kan enligt artikel 4.7 i dataskyddsförordningen ange vem som är personuppgiftsansvarig i den nationella rätten om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt. Denna möjlighet bör enligt regeringens uppfattning användas eftersom det bidrar till tydlighet om vem som har ansvaret för den behandling av personuppgifter som myndigheten utför enligt lagen.

6.6Ändamålsbestämmelser

6.6.1Ändamålen med behandlingen

Regeringens förslag: Behandling av personuppgifter i informationssystemet om arbetsskador ska vara tillåten om behandlingen är nödvändig för att ge underlag för arbetet med att förebygga arbetsskador. Behandlingen ska få innefatta

1.registrering av arbetsskador och bearbetning av sådana uppgifter,

2.tillsynsverksamhet,

3.skadeutredningar,

4.forskning och undervisning,

5.framställning av statistik, och

6.planering, uppföljning och utvärdering av förebyggande arbete mot arbetsskador.

Promemorians förslag: Överensstämmer med regeringens.

40

Regeringens förslag: Det ska införas en upplysningsbestämmelse som anger att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på

förslaget.

Skälen för regeringens förslag: Det kan finnas skäl att införa mer detaljerade bestämmelser som ytterligare begränsar ändamålen och vilka uppgifter som får behandlas. Sådana mer detaljerade bestämmelser kan behöva ändras relativt ofta och det är därför lämpligt att de införs i förordning eller i myndighetsföreskrifter. Det bör därför i den föreslagna lagen införas en upplysningsbestämmelse som anger att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

6.6.3Utlämnande av uppgifter i överensstämmelse med lag eller förordning

Regeringens förslag: Personuppgifter ska få behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Datainspektionen anser att det saknas en analys av

hur ändamålsbestämmelserna förhåller sig till dataskyddsförordningens bestämmelser om rättslig grund i artikel 6.1 och hur kraven på fastställande i artikel 6.3 har säkerställts. I övrigt har remissinstanserna inga synpunkter på förslaget.

Skälen för regeringens förslag: I vissa fall finns behov av att lämna ut personuppgifter till en annan myndighet eller någon annan i enlighet med annan författning. Exempel på detta är när uppgifter inom informationssystemet behöver lämnas ut för att Arbetsmiljöverket ska kunna uppfylla krav i offentlighets- och sekretesslagen (2009:400). I promemorian föreslås en bestämmelse som anger att Arbetsmiljöverket får behandla personuppgifter för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning. Datainspektionen frågar hur förslaget förhåller sig till dataskyddsförordningens bestämmelser om bland annat rättslig grund.

Arbetsmiljöverket kommer direkt med stöd av dataskyddsförordningen att kunna behandla personuppgifter för att fullgöra ett utlämnande enligt lag eller förordning, antingen med stöd av artikel 6.1 c (rättslig

förpliktelse) eller med stöd av 6.1 e (allmänt intresse). Frågan är då om det

42

ändå behövs en bestämmelse som anger att personuppgifter får behandlas Prop. 2017/18:112 för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse

med lag eller förordning. På motsvarande sätt som ett angivande av de så kallade primära ändamålen, se avsnitt 6.6.1, kan en bestämmelse om behandling för utlämnande ses som en integritetshöjande åtgärd i förhållande till dataskyddsförordningen. Lagen bör därför innehålla en sådan bestämmelse.

6.6.4Ändamålsbegränsning

Regeringens förslag: Det ska i lagen införas en bestämmelse av vilken det framgår att personuppgifter som har samlats in för de primära ändamålen även får behandlas för andra ändamål under förutsättning att dessa inte är oförenliga med det ändamål för vilket uppgifterna samlades in.

Promemorians förslag: Överensstämmer med regeringens.

Remissinstanserna: Centrala studiestödsnämnden anser att en uttrycklig reglering av finalitetsprincipen är mycket positivt. Ingen annan remissinstans har synpunkter på förslaget.

Skälen för regeringens förslag: Enligt artikel 5.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen. I artikel 6.4 i förordningen beskrivs vad den personuppgiftsansvarige bör beakta för att fastställa om behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in. Principen om att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål brukar kallas finalitetsprincipen.

Finalitetsprincipen enligt artikel 5.1 b dataskyddsförordningen gäller även vid behandling enligt den föreslagna lagen. Tydlighetsskäl talar dock, liksom Centrala studiestödsnämnden påpekar, för att det bör införas en bestämmelse i lagen som anger att det är tillåtet att behandla personuppgifter för andra ändamål än de som uttryckligen anges i lagen, så länge behandlingen inte är oförenlig med insamlingsändamålen. Denna bestämmelse utgör tillsammans med uppräkningen av tillåtna ändamål en sådan ändamålsbegränsning som avses i artikel 6.3 i dataskyddsförordningen.

6.7Känsliga personuppgifter

Regeringens förslag: Inga andra känsliga personuppgifter än sådana som rör hälsa ska få behandlas i informationssystemet om arbetsskador.

Promemorians förslag: Överensstämmer med regeringens.

43

Prop. 2017/18:112 Remissinstanserna: Datainspektionen har bland annat synpunkter på hur förslaget förhåller sig till dataskyddsförordningens bestämmelser om rättslig grund och på vilka ändamål som det kan vara berättigat att behandla känsliga personuppgifter. Ingen annan av remissinstanserna har haft synpunkter på förslaget.

Skälen för regeringens förslag

Dataskyddsdirektivet

Enligt dataskyddsdirektivet får undantag göras från förbudet mot behandling av känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse, förutsatt att sådana undantag förses med lämpliga skyddsåtgärder (artikel 8.4). I personuppgiftslagen har undantaget som rör viktiga allmänna intressen genomförts dels genom regleringen av behandling för forsknings- och statistikändamål, dels genom ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att föreskriva ytterligare undantag om det behövs med hänsyn till ett viktigt allmänt intresse. Vidare har undantaget som rör viktiga allmänna intressen genomförts genom bestämmelser i registerförfattningar.

Dataskyddsförordningen

Artikel 9.1 i dataskyddsförordningen innehåller ett förbud att behandla särskilda kategorier av personuppgifter (känsliga personuppgifter). Vidare anger artikel 9.2 i förordningen att det finns undantag från förbudet att behandla känsliga personuppgifter. Ett sådant undantag är om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Denna ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g).

Förbudet i artikel 9.1 omfattar uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Kategorierna av känsliga personuppgifter i bestämmelsen har utökats jämfört med motsvarande bestämmelse i dataskyddsdirektivet (artikel 8.1). Dataskyddsförordningens bestämmelse innefattar även genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en persons sexuella läggning vilket dataskyddsdirektivets motsvarande bestämmelse inte gjorde. Uppgifter om sexuell läggning har emellertid i svensk rätt ansetts ingå i begreppet sexualliv. Detta innebär att tillägget av begreppet sexuell läggning i förordningen inte innebär någon egentlig utvidgning från ett svenskt perspektiv, se till exempel propositionen Behandling av personuppgifter inom Kriminalvården (prop. 2000/01:126 s. 31) och propositionen Ett starkare skydd mot diskriminering (prop. 2007/08:95 s. 125–129).

44

skadeutredningar, forskning och undervisning, framställning av statistik samt planering, uppföljning och utvärdering av förebyggande arbete mot arbetsskador. Hälsouppgifter är centrala för hela arbetet med att kartlägga och förebygga arbetsskador. Frågan är då om det ändå finns anledning att begränsa behandlingen av hälsouppgifter i något avseende. Som Datainspektionen konstaterar finns det möjlighet i vissa fall att behandla uppgifter som har avidentifierats och som därför inte är personuppgifter i dataskyddsförordningens mening, till exempel för undervisningsändamål (artikel 4.1). Regeringen vill dock i detta sammanhang påminna om principen om uppgiftsminimering som gäller enligt dataskyddsförordningen (artikel 5.1 c). Enligt den principen ska den personuppgiftsansvarige inte behandla personuppgifter som är för omfattande i förhållande till de ändamål för vilka de behandlas. Det är mot den bakgrunden rimligt att personuppgifter om hälsa enligt lagen ska kunna behandlas för alla de ändamål för personuppgiftsbehandlingen som fastställs i lagen.

6.8Tillgången till personuppgifter ska begränsas

Regeringens förslag: Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på

förslaget.

Skälen för regeringens förslag: En bestämmelse om att tillgången till personuppgifter ska vara begränsad till vad var och en behöver för att kunna fullgöra sina uppgifter ligger i linje med artikel 32.4 i dataskyddsförordningen om säkerheten i samband med behandling av personuppgifter. En sådan bestämmelse finns i dag i förordningen om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador och det saknas enligt regeringens uppfattning anledning att inte ha en motsvarande bestämmelse i den nya lagen.

6.9Det ska inte finnas begränsningar av tillåtna sökbegrepp

Regeringens bedömning: Lagen bör inte innehålla några begränsningar av tillåtna sökbegrepp.

Promemorians bedömning: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på

bedömningen.

46

Dataskyddsförordningen

Dataskyddsförordningen saknar bestämmelser om sökning eller användning av sökbegrepp. Sökning och sammanställning av uppgifter som sker elektroniskt är dock behandling av personuppgifter och omfattas därför av dataskyddsförordningens bestämmelser. På grund av detta måste en sökning vara laglig enligt artikel 6 och uppfylla kraven i bland annat artikel 5 i dataskyddsförordningen för att vara tillåten.

Av artikel 9.2 g i dataskyddsförordningen framgår att behandling av känsliga personuppgifter får ske om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Denna ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga eller särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Riskerna med sök- och sammanställningsteknik

I en databas eller annan textmassa som har lagrats på ett medium för automatiserad behandling är det möjligt att genom att ange ett så kallat sökbegrepp i en sökmotor söka igenom den lagrade informationen och hitta de poster där begreppet förekommer. På detta sätt är det möjligt att snabbt göra en sammanställning av personuppgifter i en databas och skapa statistik. Statistiken i sig innehåller inte personuppgifter, men för att skapa den är behandlingen av personuppgifter nödvändig. Något generellt förbud mot sökning i en databas är dock normalt sett inte motiverat. Ofta kan en sökmotor vara ett värdefullt redskap i myndighetens verksamhet, utan att det för den sakens skull måste innebära risker för den personliga integriteten. De integritetsrisker som följer med användningen av ny informationsteknik är nära kopplade till informationsteknikens egenskaper att söka och sammanställa stora mängder av uppgifter. Sök- och sammanställningsmöjligheter kan medföra att uppgifter lättare kan knytas till en fysisk person. De kan även medföra att personuppgifter som annars uppfattas som relativt harmlösa får en mer integritetskänslig karaktär till exempel genom omfattande registrering. Myndigheternas sökmöjligheter har även betydelse för vad som utgör allmän handling enligt 2 kap. 3 § andra stycket tryckfrihetsförordningen.

Avvägningen mellan för- och nackdelar med begränsningar av sökbegrepp

Vid bedömningen av vilka sökbegrepp som bör vara tillåtna måste en avvägning göras mellan intresset av effektivitet i en myndighets verksamhet och risken för integritetsintrång. Regler om begränsning av tillåtna sökbegrepp bör således ta sikte direkt på sådana typer av sökning som typiskt sett medför särskilda integritetsrisker. I vissa sådana fall måste integriteten ges företräde framför andra intressen, även om goda skäl i och för sig talar för att en viss typ av sökning eller behandling bör vara tillåten.

I förordningen om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador finns ingen begränsning i fråga om

47

Prop. 2017/18:112 att använda uppgifter som rör hälsa som sökbegrepp. I Inspektionen för arbetslöshetsförsäkringens och Arbetsförmedlingens registerlagar är det dock förbjudet att använda känsliga personuppgifter som sökbegrepp. I lagarna föreskrivs emellertid ett undantag på så sätt att bland annat kod för hälsotillstånd får användas som sökbegrepp. Denna lösning är emellertid mindre lämplig för Arbetsmiljöverket. De EU-klassificeringar, det vill säga koder för olika hälsobegrepp, som finns framtagna på EU-nivå är inte tillräckligt precisa och anpassade till arbetsskador. Vidare förekommer ofta uppgifter om hälsa i fältet i Arbetsmiljöverkets webbformulär där anmälaren skriver in ett händelseförlopp, vilket innebär att det inte finns någon koppling till kod för dessa uppgifter. Ett ytterligare argument mot användning av koder är att det ständigt pågår en utveckling av olika hälsobegrepp, vilket gör det svårt att se vilka begrepp som kommer att användas framöver. Samtidigt står det klart att Arbetsmiljöverket måste ha möjlighet att använda uppgifter som rör hälsa som sökbegrepp, bland annat för att kunna fullfölja sitt uppdrag vad gäller framställande av statistik. Det bör i detta sammanhang beaktas att informationssystemet är separerat från myndighetens övriga verksamhet och att regeringen i avsnitt 6.8 föreslår en bestämmelse där tillgången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Utifrån dessa avvägningar gör regeringen bedömningen att det inte bör införas någon begränsning vad gäller sökbegrepp i den nya lagen.

7Behandling av personuppgifter hos Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering

7.1Registerlagarna ska tillämpas på automatiserad behandling av personuppgifter och personuppgifter i register

Regeringens förslag: Registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska tillämpas på automatiserad behandling av personuppgifter och personuppgifter i register.

Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på

förslaget.

Skälen för regeringens förslag: De skäl som anges i avsnitt 6.2 i fråga om behandling av personuppgifter i Arbetsmiljöverkets

informationssystem om arbetsskador gör sig gällande även i fråga om nu

48

aktuella lagar. Registerlagarna bör därför tillämpas på automatiserad Prop. 2017/18:112 behandling av personuppgifter och personuppgifter i register.

7.2Förhållandet till annan reglering

7.2.1Hänvisningar till personuppgiftslagen ska tas bort

Regeringens förslag: Hänvisningarna till personuppgiftslagen ska tas bort i registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering.

Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på

förslaget.

Skälen för regeringens förslag: Enligt propositionen Ny dataskyddslag (prop. 2017/18:105) ska personuppgiftslagen (1998:204) upphävas. Hänvisningarna till personuppgiftslagen bör därför tas bort i registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering.

7.2.2Förhållandet till dataskyddsförordningen

Regeringens förslag: Registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska innehålla bestämmelser som tydliggör att lagarna kompletterar EU:s dataskyddsförordning.

Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Datainspektionen anser att det är bra att det

framgår i de föreslagna författningarna att bestämmelserna kompletterar dataskyddsförordningen. Datainspektionen anser dock att det också behöver anges direkt i författningen om en viss reglering kompletterar eller förtydligar en artikel i dataskyddsförordningen. Dataskydd.net tillstyrker förslaget att lagarna ska innehålla en bestämmelse där det tydliggörs att lagarna kompletterar dataskyddsförordningen.

Skälen för regeringens förslag: De skäl som anges i avsnitt 6.3.1 i fråga om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador gör sig gällande även i fråga om nu aktuella lagar. Registerlagarna bör därför innehålla en bestämmelse som tydliggör att lagarna kompletterar dataskyddsförordningen. Alla hänvisningar i registerlagarna till dataskyddsförordningen bör av motsvarande skäl som anges i avsnitt 6.3.1 vara dynamiska.

49

Regeringens förslag: Det ska tydliggöras i registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering att dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen gäller vid behandling av personuppgifter inom lagarnas tillämpningsområden, om inte annat följer av registerlagarna eller föreskrifter som har meddelats i anslutning till de lagarna.

Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Dataskydd.net avstyrker delvis förslagen att

registerlagarna ska innehålla en bestämmelse som anger att lagen med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter inom lagarnas tillämpningsområden, om inte annat följer av lagarna eller föreskrifter som har meddelats i anslutning till dem. I övrigt har remissinstanserna inga synpunkter på förslaget.

Skälen för regeringens förslag: De skäl som anges i avsnitt 6.3.2 i fråga om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador gör sig gällande även i fråga om nu aktuella lagar. Registerlagarna bör därför innehålla en bestämmelse som klargör förhållandet till dataskyddslagen.

7.3Undantag från rätten att göra invändningar

Regeringens förslag: Rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen ska inte gälla vid sådan behandling som är tillåten enligt registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering eller föreskrifter som har meddelats i anslutning till registerlagarna.

Promemorians förslag: Överensstämmer i sak med regeringens. Promemorian föreslår dock en annan redaktionell utformning av bestämmelserna.

Remissinstanserna: Skatteverket föreslår en annan lydelse av bestämmelserna. Datainspektionen ifrågasätter bland annat om promemorians förslag att ersätta uttrycket ”motsätter sig” med ”invänder mot” inte innebär någon förändring i sak. Datainspektionen efterlyser klargörande om samtycke utgör en rättslig grund för behandlingen och i så fall hur de övriga reglerna, med beaktande av artikel 6.2, förhåller sig till samtycket. Datainspektionen är positiv till att låta den enskildes inställning avgöra om behandlingen ska få utföras eller inte. Dataskydd.net avstyrker förslagen och anser att de föreslagna bestämmelserna utgör en oproportionerlig begränsning av enskildas rättigheter.

50

Inledning

Regeringen redogör i avsnitt 6.4 för regleringen av rätten att motsätta sig behandling av personuppgifter i dataskyddsdirektivet och personuppgiftslagen. I samma avsnitt finns också en redovisning av rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen. Datainspektionens fråga om uttrycket ”motsätter sig” och ”invänder mot” behandlas även den i det avsnittet.

I promemorian föreslås att rätten att göra invändningar i lagarna ska begränsas och bedömningen görs att en sådan begränsning uppfyller dataskyddsförordningens krav. Begränsningen av rätten att göra invändningar föreslås ersätta de bestämmelser som i dag finns som begränsar rätten att motsätta sig behandling av personuppgifter.

Rätten att göra invändningar ska begränsas

Regeringen kan konstatera att rätten att göra invändningar mot behandlingen av personuppgifter enligt artikel 21 i dataskyddsförordningen är begränsad i flera avseenden. För det första gäller den endast vid myndigheters behandling av personuppgifter, när de utför sina uppgifter, som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). Det innebär att den registrerade inte har rätt att invända om myndighetens behandling är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c). För det andra är rätten att invända begränsad om det rör sig om personuppgifter som behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. I sådana fall har den registrerade rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6).

Även om rätten att invända enligt dataskyddsförordningen är begränsad i flera avseenden bör den enligt regeringens uppfattning ändå inte gälla vid behandling av personuppgifter som är tillåten enligt registerlagarna. Det huvudsakliga skälet för det är att en rätt att göra invändningar skulle innebära försämrade förutsättningar för myndigheterna att fullgöra sina uppgifter eftersom myndigheterna i enskilda fall skulle behöva påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter innan myndigheterna kan fortsätta behandla personuppgifterna (artikel 21.1). I fråga om de aktuella myndigheterna får det antas att intresset att främja en väl fungerande arbetsmarknad vid en prövning i det enskilda fallet regelmässigt kommer att anses väga tyngre än den registrerades intressen. Det kan dessutom, när det gäller Arbetsförmedlingens verksamhet, vara svårt från den enskildes perspektiv att överblicka konsekvenserna av att denne invänder mot behandlingen. Det kan till exempel vara så att en arbetsmarknadspolitisk insats som den enskilde behöver inte kan ges eftersom Arbetsförmedlingen inte kan behandla nödvändiga personuppgifter efter att den enskilde har invänt. En rätt för den registrerade att invända mot behandlingen av personuppgifter om honom eller henne kan alltså påverka effektiviteten

51

dataskyddsförordningen inte gäller vid sådan behandling som är tillåten Prop. 2017/18:112 enligt lagarna eller föreskrifter som har meddelats i anslutning till dem.

Bestämmelsen i registerlagen för Institutet för arbetsmarknads- och utbildningspolitisk utvärdering om att den registrerade inte kan motsätta sig behandling följs i dag av en bestämmelse med krav på samtycke när personuppgifter har samlats in direkt från den enskilde. Bestämmelsen med krav på samtycke bör enligt regeringens mening placeras separat från bestämmelsen om undantaget från rätten att göra invändningar. I annat fall finns en risk att kravet på samtycke blandas ihop med rätten att göra invändningar. Genom att bestämmelsen placeras separat tydliggörs också att den ska ses som en integritetshöjande åtgärd och inte den rättsliga grunden för behandlingen av personuppgifter.

7.4Ändamålsbestämmelser

Regeringens förslag: Registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska ange att myndigheterna får behandla personuppgifter för vissa ändamål om det är nödvändigt.

Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Dataskydd.net anger att ändamålen följer av

myndigheternas instruktioner och därmed redan är en rättslig förpliktelse eller en del av myndigheternas myndighetsutövning och att ändamålsbestämmelserna därför är onödiga.

Skälen för regeringens förslag: Dataskydd.net anger att

Regeringens förslag: Det ska i registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering framgå att personuppgifter som har samlats in för de primära ändamålen även får behandlas för andra ändamål under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Promemorians förslag: Överensstämmer med regeringens.

Remissinstanserna: Centrala studiestödsnämnden anser att en uttrycklig reglering av finalitetsprincipen är mycket positiv och tillstyrker förslagen. Dataskydd.net avstyrker förslagen med motiveringen att bestämmelserna riskerar att förhindra myndigheterna från att göra proportionalitetsbedömningen de borde göra enligt 6.4 i dataskyddsförordningen. Ingen av de övriga remissinstanserna har synpunkter på förslaget.

Skälen för regeringens förslag: Liksom i fråga om lagen om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador bör registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering innehålla bestämmelser av vilka det framgår att personuppgifter som har samlats in för de primära ändamålen även får behandlas för andra ändamål under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål för vilka uppgifterna samlades in.

7.6Känsliga personuppgifter

7.6.1Känsliga personuppgifter i Arbetsförmedlingens och Inspektionen för arbetslöshetsförsäkringens verksamheter

Regeringens bedömning: Den generella regleringen i den föreslagna dataskyddslagen i fråga om behandling av känsliga personuppgifter för ett viktigt allmänt intresse motsvarar Arbetsförmedlingens och Inspektionen för arbetslöshetsförsäkringens behov.

Regeringens förslag: Bestämmelserna i registerlagarna om att Arbetsförmedlingen och Inspektionen för arbetslöshetsförsäkringen får behandla känsliga personuppgifter om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det ska tas bort.

Hänvisningar till personuppgiftslagen i bestämmelserna om känsliga personuppgifter ska ersättas med hänvisningar till dataskyddsförordningens bestämmelser om känsliga personuppgifter.

Promemorians bedömning: Överensstämmer delvis med regeringens. Promemorian bedömer att bestämmelserna om att Arbetsförmedlingen och Inspektionen för arbetslöshetsförsäkringen får behandla känsliga

54

Prop. 2017/18:112 ärenden i dag vanligen inom ramen för ett elektroniskt ärendehanteringssystem, det vill säga i en databas, se betänkandet Myndighetsdatalag (SOU 2015:39 s. 306). En konsekvens av detta är att allt fler känsliga personuppgifter omfattas av de striktare krav som gäller för behandling av känsliga personuppgifter i databas.

För Arbetsförmedlingen får känsliga personuppgifter behandlas i en databas endast om de har lämnats i ett ärende. Känsliga personuppgifter som avslöjar etniskt ursprung eller som rör hälsa får dessutom behandlas i en databas om de är nödvändiga för handläggningen av ett ärende. Dessa uppgifter behöver inom den arbetsmarknadspolitiska verksamheten kunna behandlas för att fastställa om en person kvalificerar sig för arbetsmarknadspolitiska insatser som riktar sig till nyanlända invandrare eller personer med funktionsnedsättning som medför nedsatt arbetsförmåga. Motsvarande begränsningar för behandling av känsliga personuppgifter gäller i Inspektionen för arbetslöshetsförsäkringens statistik- och tillsynsdatabas vilket har att göra med att Inspektionen för arbetslöshetsförsäkringen utövar tillsyn över Arbetsförmedlingen och därför behöver kunna behandla känsliga personuppgifter på samma sätt som Arbetsförmedlingen, se propositionen Behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen m.m. (prop. 2005/06:152 s. 32).

Den behandling av känsliga personuppgifter som registerlagarna för Arbetsförmedlingen och Inspektionen för arbetslöshetsförsäkringen tillåter får anses vara nödvändig med hänsyn till ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. Det övergripande viktiga allmänna intresset är en väl fungerande arbetsmarknad. Det får också anses vara ett viktigt allmänt intresse att myndigheterna kan handlägga de ärenden som behövs för att myndigheterna ska kunna fullgöra sina uppgifter som de tilldelats av riksdagen och regeringen och i enstaka fall behandla känsliga personuppgifter utanför ärendehandläggningen. I lagarna finns särskilda bestämmelser som värnar enskildas personliga integritet, till exempel begränsning till uppgifter som har lämnats i ett ärende eller är nödvändiga för handläggningen av det samt begränsningar av vilka sökbegrepp som får användas för sökning av personuppgifter i databaser. Dessa bestämmelser uppfyller de krav som ställs i dataskyddsförordningen på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Datainspektionen anser att det bör framgå av bestämmelserna om känsliga personuppgifter att behandlingen måste vara nödvändig för ett viktigt allmänt intresse alternativt att behandlingen preciseras så att den enbart omfattar det som utgör ett viktigt allmänt intresse. Enligt regeringens bedömning står det klart att det är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt och att ärendebegreppet i de allra flesta fall är förhållandevis tydligt, jfr propositionen Ny dataskyddslag (prop. 2017/18:105 s. 87). Det behöver därmed inte framgå av registerlagarna att behandlingen måste vara nödvändig för ett viktigt allmänt intresse eftersom behandlingen preciseras så att den enbart omfattar det som utgör ett viktigt allmänt intresse.

58

7.6.2Känsliga personuppgifter i Institutet för arbetsmarknads- och utbildningspolitisk utvärderings verksamhet

Regeringens förslag: I registerlagen för Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska det införas en hänvisning till dataskyddsförordningens bestämmelser om känsliga personuppgifter.

Institutet ska kunna behandla personuppgifter om en persons sexuella läggning för de ändamål som anges i registerlagen.

Prop. 2017/18:112 uppgifter om personer som har en funktionsnedsättning som medför nedsatt arbetsförmåga.

När det gäller personuppgifter som avslöjar etniskt ursprung utgör studier, uppföljningar och utvärderingar av etableringsreformen, riktade insatser och situationen på arbetsmarknaden i övrigt för personer som har invandrat till Sverige en viktig del av myndighetens arbete.

Vidare behöver Institutet för arbetsmarknads- och utbildningspolitisk utvärdering få behandla uppgifter om fackligt medlemskap för att kunna bedriva viss forskning om arbetsmarknadens funktionssätt, i synnerhet forskning angående frågor som rör lönebildningen. Information om fackanslutning kan även utgöra en förutsättning för annan typ av forskning, exempelvis studier av effekterna av medlemsförmåner och studier gällande diskriminering av organiserade respektive oorganiserade arbetstagare i samband med lönebildning. Institutet för arbetsmarknads- och utbildningspolitisk utvärdering bör även fortsättningsvis få behandla de kategorier av känsliga personuppgifter som myndigheten får behandla i dag och det ska finnas en hänvisning i bestämmelsen om känsliga personuppgifter till dataskyddsförordningens bestämmelser om känsliga personuppgifter.

Uppgifter om sexuell läggning

Enligt promemorians förslag ska myndigheten även få behandla känsliga personuppgifter om en persons sexuella läggning. Promemorian motiverar förslaget med att myndigheten annars inte kan behandla personuppgifter inom ramen för studier av om personer diskrimineras på grund av sexuell läggning på arbetsmarknaden eller inom utbildningsväsendet.

Institutet för arbetsmarknads- och utbildningspolitisk utvärdering tillstyrker förslaget om att verksamheten ska kunna bedrivas med oförändrade förutsättningar. Diskrimineringsombudsmannen har synpunkter på förslaget att Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska ha rätt att, utan samtycke, behandla uppgifter om sexuell läggning. Medan Diskrimineringsombudsmannen fullt ut delar uppfattningen att det finns ett behov av ökad kunskap om förekomsten av diskriminering, inklusive kunskap om sådan diskriminering som har samband med sexuell läggning, finns det enligt myndigheten anledning att framhålla att erfarenheter visar att registrering av denna typ av uppgifter i vissa situationer kan leda till diskriminering i kontakter mellan myndigheter och allmänhet. Insamling, registrering och behandling av personuppgifter av detta slag väcker också frågeställningar ur integritetssynpunkt enligt Diskrimineringsombudsmannen. Myndigheten påpekar också att frågan om under vilka förutsättningar det kan anses lämpligt att, i syfte att få ökad kunskap om diskriminering, samla in och behandla uppgifter om sexuell läggning kräver ingående överväganden.

När det gäller risken för att registrering av uppgifter om sexuell läggning kan leda till diskriminering i kontakten mellan myndigheter och allmänheten vill regeringen understryka att Institutet för arbetsmarknads- och utbildningspolitisk utvärdering i stor utsträckning behandlar avidentifierade personuppgifter som har samlats in av andra myndigheter.

60

Prop. 2017/18:112 begränsningar av möjligheten att sambearbeta personuppgifter som har samlats in för att behandlas inom olika avgränsade studier, uppföljningar eller utvärderingar. Dessa bestämmelser uppfyller de krav som ställs i dataskyddsförordningen på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Institutet för arbetsmarknads- och utbildningspolitisk utvärdering kan inte endast behandla känsliga personuppgifter med stöd av artikel 9.2 g. Myndigheten kan också behandla känsliga personuppgifter med stöd av artikel 9.2. j. Av artikel 9.2 j framgår att förbudet i artikel 9.1 inte ska tillämpas om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Regeringen gör motsvarande bedömning vid tillämpningen av artikel 9.2 j som vid tillämpningen av artikel 9.2 g när det gäller proportionalitet och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Etikprövning av forskning som avser människor

I lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering finns en hänvisningsbestämmelse till lagen om etikprövning av forskning som avser människor. Regeringen föreslår ingen ändring i det avseendet. Däremot föreslås justeringar av utformningen av hänvisningsbestämmelsen som en följd av de ändringar med anledning av dataskyddsförordningen som görs i lagen om etikprövning av forskning som avser människor.

Motsvarande reglering i dataskyddsdirektivet omfattar fler uppgifter, Prop. 2017/18:112 nämligen även uppgifter om friande brottmålsdomar, uppgifter om

administrativa sanktioner och avgöranden av tvistemål. Dataskyddsdirektivet har genomförts genom 21 § personuppgiftslagen och Arbetsförmedlingens och Inspektionen för arbetslöshetsförsäkringens registerlagar innehåller hänvisningar till den bestämmelsen.

Med beaktande av att ett förstärkt skydd för de registrerade är ett av dataskyddsförordningens huvudsyften, framstår det som olämpligt att friande brottmålsdomar, straffprocessuella tvångsmedel och administrativa frihetsberövanden som i dag omfattas av särskilda skyddsregler skulle få behandlas utan motsvarande skydd endast för att de faller utanför definitionen i artikel 10 i dataskyddsförordningen. Dataskyddsförordningen hindrar inte heller att medlemsstaterna behåller eller inför mer restriktiva bestämmelser i nationell rätt vad gäller de egna myndigheternas behandling av sådana personuppgifter.

Därför bör de uppgifter som räknas upp i den nuvarande 21 § personuppgiftslagen, och på grund av detta omfattas av vissa säkerhets- och skyddsregler, även i fortsättningen ha motsvarande skydd i lag. I stället för en hänvisning till personuppgiftslagens bestämmelser om lagöverträdelser bör dock lagarna innehålla en uppräkning av de typer av uppgifter om lagöverträdelser som Arbetsförmedlingen och Inspektionen för arbetslöshetsförsäkringen får behandla.

7.8Automatiserat beslutsfattande i Arbetsförmedlingens verksamhet

Regeringens bedömning: Det ska inte införas lagstöd för automatiskt beslutsfattande i Arbetsförmedlingens registerlag.

Promemorians bedömning: Överensstämmer med regeringens. Remissinstanserna: Arbetsförmedlingen anser att myndigheten har

behov av lagstöd för automatiserade beslut. I övrigt har remissinstanserna inga synpunkter på bedömningen.

Skälen för regeringens bedömning

Dataskyddsförordningen

I artikel 22.1 i dataskyddsförordningen anges att den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar denne.

Profilering definieras i artikel 4.4 i dataskyddsförordningen som varje form av automatisk behandling av personuppgifter som består i att personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.

Enligt skäl 71 bör den registrerade ha rätt att inte bli föremål för ett

beslut, vilket enbart grundas på automatiserad behandling. Beslutsfattande

63

Prop. 2017/18:112 grundat på sådan behandling, inbegripet profilering, bör dock, enligt skäl 71, tillåtas när det uttryckligen beviljas genom unionsrätten eller medlemsstaternas nationella rätt, bland annat för att sörja för tillförlitlighet hos en tjänst som tillhandahålls av den personuppgiftsansvarige. Denna form av uppgiftsbehandling bör under alla omständigheter omfattas av lämpliga skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, rätt att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och rätt att överklaga beslutet.

Möjlighet till undantag från huvudregeln i artikel 22.1 finns i artikel 22.2. En förutsättning för undantag enligt artikel 22.2 är att den personuppgiftsansvarige genomför lämpliga åtgärder för att säkerställa den registrerades rättigheter, friheter och intressen (artikel 22.3). Särskilda kategorier av personuppgifter (känsliga personuppgifter) får endast i undantagsfall finnas med som grund i sådana beslut (artikel 22.4).

Det bör inte införas lagstöd för automatiserat beslutsfattande i Arbetsförmedlingens registerlag

Promemorians bedömning är att det inte i dag inom de myndigheter som faller inom Arbetsmarknadsdepartementets ansvarsområde förekommer de slags automatiserade beslut som avses i artikel 22.1 i dataskyddsförordningen. Några bestämmelser om automatiserat beslutsfattande föreslås inte heller i promemorian.

Arbetsförmedlingen anger att myndigheten har behov av ett lagstöd när det gäller automatiserade beslut i vissa delar av den verksamhet som bedrivs i dag och att behovet kommer att öka ytterligare i och med krav på framtida effektivisering genom automatisering. Arbetsförmedlingen har i vissa fall även behov av att utföra profilering, till exempel vid stöd och matchning mot arbete. För automatiserade beslut krävs vissa skyddsåtgärder som också måste regleras i lag. Nuvarande reglering, till exempel förvaltningslagen (1986:223), uppfyller endast delvis de skyddsåtgärder som krävs för automatiserade beslut. Det är därför av stor vikt att även denna fråga regleras i lag.

Regeringen kan konstatera att det råder en viss osäkerhet om artikel 22.1 i dataskyddsförordningen ska anses omfatta även annat automatiskt beslutsfattande än sådant som innefattar profilering. Mycket talar dock för att artikel 22 i dataskyddsförordningen endast reglerar automatiskt beslutsfattande som innefattar profilering. Även om det skulle visa sig att artikel 22.1 ska tolkas så att den även omfattar automatiserat beslutsfattande som inte innefattar profilering kan det konstateras att automatiserat beslutsfattande generellt är tillåtet för svenska förvaltningsmyndigheter. I 28 § förvaltningslagen (2017:900) som träder i kraft den 1 juli 2018 förtydligas att myndighetsbeslut kan fattas på automatiserad väg. I skälen till lagen anges att bestämmelsen tydliggör att det inte behövs en reglering i en specialförfattning för att en myndighet ska kunna använda den automatiserade beslutsformen, se propositionen En modern och rättssäker förvaltning – ny förvaltningslag (prop. 2016/17:180 s. 179).

64

Det finns alltså författningsstöd i svensk rätt för automatiskt Prop. 2017/18:112 beslutsfattande vid svenska förvaltningsmyndigheter. Den förvaltnings-

rättsliga regleringen ställer allmänna krav på legalitet, objektivitet och proportionalitet. Dessutom säkerställs i det förvaltningsrättsliga regelverket rätten till insyn, krav på kommunikation liksom möjligheten till ändring och rättelse av beslut samt rätten att överklaga beslut som kan antas påverka någons situation på ett inte obetydligt sätt. Denna reglering får anses svara mot de krav som ställs i dataskyddsförordningen på bland annat lämpliga skyddsåtgärder enligt artikel 22.2 b. Det bör i detta sammanhang understrykas att även om det i förvaltningslagen finns författningsstöd för automatiskt beslutsfattande måste givetvis den personuppgiftsansvarige uppfylla sina skyldigheter som följer direkt av dataskyddsförordningen.

Regeringen föreslår mot bakgrund av det ovanstående inget särskilt lagstöd som medger undantag inom den arbetsmarknadspolitiska verksamheten från rätten för registrerade i artikel 22.1 i dataskyddsförordningen att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling.

7.9Samlingar av personuppgifter i Institutet för arbetsmarknads- och utbildningspolitisk utvärderings verksamhet

Regeringens förslag: Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska få ha samlingar av personuppgifter som inte direkt kan hänföras till en person om det är nödvändigt för vissa ändamål.

Ordet behövs ska ersättas av ”är nödvändigt” i bestämmelserna om samlingar av personuppgifter.

Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Datainspektionen ifrågasätter behovet av att skapa

egna samlingar av personuppgifter som redan finns hos andra myndigheter. Datainspektionen efterfrågar också en närmare analys av om bestämmelsen är proportionell mot det legitima ändamål som eftersträvas och om den uppfyller kraven på de grundläggande principerna för behandling enligt artikel 5.1 i dataskyddsförordningen. Statistiska centralbyrån förutsätter att frågan om Institutet för arbetsmarknads- och utbildningspolitisk utvärderings forskningsdatabas och därmed relaterade frågor kommer att lyftas inom Forskningsdatautredningens fortsatta arbete.

Prop. 2017/18:112 säkerhetsbestämmelser bland annat om begränsning i behandling av personuppgifter, begränsning av tillgång till personuppgifter och krav för behandling av känsliga personuppgifter.

När det gäller lagringsminimering som Datainspektionen nämner i sitt yttrande kan regeringen konstatera att Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska gallra personuppgifter som inte längre behövs för att myndigheten ska kunna fullgöra sitt uppdrag (14 §). Myndigheten måste också enligt artikel 5.1 c i dataskyddsförordningen säkerställa att personuppgifter är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.

Regeringen anser sammantaget att det fortfarande finns ett starkt behov av samlingarna och att det behovet väger tyngre än det intrång i enskildas personliga integritet som samlingarna kan innebära. Regleringen av samlingarna uppfyller vidare enligt regeringens uppfattning de krav som ställs i artikel 5.1 i dataskyddsförordningen, till exempel kraven på laglighet och uppgiftsminimering.

Bestämmelsernas utformning

I bestämmelserna om samlingar av personuppgifter i lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering anges att samlingar får finnas om det behövs för vissa ändamål. Terminologin bör anpassas till dataskyddsförordningen genom att ordet behövs ersätts av ”är nödvändigt”.

Förhållandet till annan reglering av behandling av personuppgifter för forskningsändamål

Statistiska centralbyrån förutsätter att frågan om Institutet för arbetsmarknads- och utbildningspolitisk utvärderings forskningsdatabas och därmed relaterade frågor kommer att lyftas inom Forskningsdatautredningens fortsatta arbete. I betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50) lämnas förslag till en ny forskningsdatalag som föreslås vara subsidiär i förhållande till andra bestämmelser i lag eller förordning om behandling av personuppgifter för forskningsändamål. Betänkandet bereds inom Regeringskansliet.

7.10Registerutdrag i Institutet för arbetsmarknads- och utbildningspolitisk utvärderings verksamhet

Regeringens förslag: Bestämmelsen om undantag från rätten till information efter begäran i registerlagen för Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska tas bort.

Promemorians förslag: I promemorian föreslås undantaget finnas kvar men med en hänvisning till dataskyddsförordningen i stället för till personuppgiftslagen

Remissinstanserna: Datainspektionen ifrågasätter om inte

bestämmelsen om undantag från rätten till information efter begäran

68

Prop. 2017/18:112 behöver skaffa ytterligare uppgifter för att följa dataskyddsförordningen om personuppgifterna som behandlas inte gör det möjligt att identifiera någon fysisk person. Bestämmelsen i artikel 11 är direkt tillämplig från och med den 25 maj 2018 och det krävs inte att den införs i svensk rätt för att den ska gälla. Man kan alltså, liksom Datainspektionen, ifrågasätta behovet av en bestämmelse som gör ett undantag från rätten till registerutdrag enligt artikel 15 i dataskyddsförordningen när det gäller personuppgifter som inte direkt kan hänföras till en person. Som Datainspektionen framför bör därför bestämmelsen om undantag från rätten till registerutdrag tas bort. Undantaget framgår redan av artikel 11 i dataskyddsförordningen.

7.11Tillgång till personuppgifter i Inspektionen för arbetslöshetsförsäkringens verksamhet

Regeringens förslag: Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har synpunkter på

förslaget.

Skälen för regeringens förslag: Enligt artikel 29 i dataskyddsförordningen gäller att personuppgiftsbiträden och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast får behandla dessa på instruktion från den personuppgiftsansvarige såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt. Enligt artikel 32.4 ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.

Spridning av personuppgifter har av naturliga skäl stor betydelse för integritetsriskerna med behandlingen. En ökad spridning av personuppgifter innebär en ökad risk för att uppgifterna kommer att användas på ett otillbörligt och icke avsett sätt. Utgångspunkten är därför att personuppgifter inte ska spridas till fler än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det saknas i princip betydelse hur många som faktiskt tar del av personuppgifterna. Integritetsriskerna är desamma i de fall spridningen innebär att mottagarna har möjlighet att ta del av dem, det vill säga har tillgång till personuppgifterna.

En bestämmelse om att tillgång till personuppgifter ska vara begränsad till vad var och en behöver för att kunna fullgöra sina uppgifter ligger i linje med dataskyddsförordningen och minskar risken för otillåten behandling av personuppgifter. Det är även fråga om en bestämmelse om lämpliga och särskilda åtgärder för att säkerställa den registrerades

70

7.12 Rättelse och skadestånd

Regeringens förslag: Bestämmelserna om rättelse och skadestånd ska tas ur registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering.

Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Dataskydd.net tillstyrker förslagen att

bestämmelserna om rättelse och skadestånd ska tas bort. Ingen av de övriga remissinstanserna har synpunkter på förslaget.

Skälen för regeringens förslag: Den registrerades rätt till rättelse behandlas i artikel 16 i dataskyddsförordningen. Bestämmelsen anger att den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.

Även bestämmelsen om skadestånd i artikel 82 i dataskyddsförordningen är direkt tillämplig. I den föreslagna dataskyddslagen finns en bestämmelse, 8 kap. 1 §, som upplyser om att rätten till ersättning enligt artikel 82 i dataskyddsförordningen även gäller vid överträdelser av bestämmelser i lagen och andra författningar som kompletterar dataskyddsförordningen.

Det är varken behövligt eller lämpligt att registerlagarna innehåller specifika bestämmelser eller hänvisningar till dataskyddsförordningen eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning i fråga om rättelse, skadestånd eller sanktioner i övrigt. Bestämmelserna om rättelse och skadestånd ska därför tas bort i registerlagarna.

7.13Gallring

Prop. 2017/18:112 gallring ska ske så fort uppgifterna inte längre behövs enligt principen om lagringsminimering.

Skälen för regeringens förslag

Dataskyddsförordningen

Lagring av personuppgifter är enligt dataskyddsförordningen en form av behandling av personuppgifter (artikel 4.2). Huvudregeln i artikel 5.1 e är att personuppgifter inte får förvaras i en form som möjliggör identifiering under längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. Samma bestämmelse finns i 6.1 e i dataskyddsdirektivet, vilket innebär att huvudregeln som sådan inte har förändrats genom dataskyddsförordningen. Det är den personuppgiftsansvarige som ansvarar för att personuppgifter inte lagras på fel sätt eller för lång tid.

I artikel 6.2 och 6.3 i dataskyddsförordningen ges en möjlighet för medlemsstater att i nationell rätt fastställa mer specifika krav, däribland särskilda bestämmelser om lagringstid.

Den nuvarande ordningen

I dag gäller att uppgifter om arbetssökande i en arbetsmarknadspolitisk databas ska gallras två år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos Arbetsförmedlingen. Bestämmelsen om två års gallringstid fanns redan i den tidigare lagen (1994:459) om arbetsförmedlingsregister. I förarbetena till den bestämmelsen vägdes behoven av bevarande mot integritetsaspekten. En gallringstid om två år bedömdes som en relativt kort men nödvändig gallringstid för uppgift om arbetssökande i en arbetsmarknadspolitisk databas, medan tio år bedömdes nödvändigt för statistikregister, se propositionen Lag om arbetsförmedlingsregister (prop. 1993/94:235 s. 37) och propositionen Lag om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten (prop. 2001/02:144 s. 55).

Promemorians förslag

I promemorian föreslås en förlängd gallringstid i lagen om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. Den förlängda gallringstiden motiveras på följande sätt. Enligt förordningen (2007:414) om jobb- och utvecklingsgarantin har den som skrivits ut för att påbörja en utbildning inom skolväsendet eller motsvarande utbildning vid en folkhögskola möjlighet att återinträda i jobb- och utvecklingsgarantin under förutsättning att avbrottet har varat i högst tre år. Eftersom Arbetsförmedlingen enligt registerlagens nuvarande lydelse ska gallra personuppgifter efter två år, blir den praktiska konsekvensen av gallringsfristen att Arbetsförmedlingen inte kan överblicka hela den tidsperiod om tre år, från inträdet till utträdet i programmet, som rätten till återinträde avser. Det går inte heller att återuppta ett sådant ärende eftersom uppgifterna har överlämnats till Riksarkivet för arkivering. Det är den enskilde som själv måste begära ut uppgifterna från Riksarkivet. Det är angeläget att det ska vara möjligt att återinträda i arbetsmarknadspolitiska program efter till exempel studier eller

72

föräldraledighet. Tvåårsfristen innebär därmed att Arbetsförmedlingen Prop. 2017/18:112 inte på ett ändamålsenligt och effektivt sätt kan fullgöra sitt uppdrag.

Behovet av lagring som är längre än två år i etableringsprogrammet

Återinträde i ett arbetsmarknadspolitiskt program efter en längre tid än två år kommer även att vara möjligt efter den 1 januari 2018 i det så kallade etableringsprogrammet enligt förordningen (2017:820) om etableringsinsatser för vissa nyanlända invandrare. Detta innebär att Arbetsförmedlingen kommer att ha motsvarande problem med den tvååriga gallringstiden när det gäller etableringsprogrammet som när det gäller jobb- och utvecklingsgarantin.

Principen om lagringsminimering ska gälla tillsammans med en treårsfrist

Prop. 2017/18:112 Principen i artikel 5.1 e bör vara utgångspunkten för lagring och gallring av personuppgifter i den arbetsmarknadspolitiska verksamheten. Det bör dock anges en bortre gräns för när gallringen ska ske i registerlagen. På så vis blir huvudregeln att gallring ska ske så snart personuppgifterna inte längre är nödvändiga för de ändamål för vilka personuppgifterna behandlas. Den bortre gränsen bör sättas vid tre år om det inte handlar om uppgifter som behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. Denna tid är visserligen en förlängning i förhållande till vad som gäller i dag men behövs med tanke på intresset av att det ska vara möjligt att återinträda i arbetsmarknadspolitiska program efter till exempel studier eller föräldraledighet.

Uppgifter om arbetssökande i en arbetsmarknadspolitisk databas ska därför gallras senast tre år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos Arbetsförmedlingen.

7.13.2Språkliga justeringar av gallringsbestämmelserna

Regeringens förslag: Uttrycket ”handläggande myndighet” i registerlagarna för Arbetsförmedlingen och Inspektionen för arbetslöshetsförsäkringen ska ersättas av Arbetsförmedlingen respektive Inspektionen för arbetslöshetsförsäkringen.

I registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska vissa språkliga anpassningar av gallringsbestämmelserna göras till EU:s dataskyddsförordning.

Promemorians förslag: Överensstämmer i huvudsak med regeringens. Promemorian föreslår inte att handläggande myndighet ska ändras till Inspektionen för arbetslöshetsförsäkringen.

Remissinstanserna: Inspektionen för arbetslöshetsförsäkringen anser att lydelsen ”den handläggande myndigheten” i 15 § lagen om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen bör ersättas med Inspektionen för arbetslöshetsförsäkringen. I övrigt har remissinstanserna inga synpunkter.

Skälen för regeringens förslag: I 16 § första stycket lagen om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten anges att personuppgifter om en arbetssökande i en databas ska gallras två år efter utgången av året då behandlingen av uppgifterna har avslutats i ett ärende hos den handläggande myndigheten. Uttrycket

”handläggande myndighet” tar sikte på den tidigare organisationen med olika myndigheter inom Arbetsmarknadsverket, se propositionen Lag om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten (prop. 2001/02:144 s. 46 f). Eftersom Arbetsförmedlingen numera är den enda myndighet som avses i detta sammanhang bör beteckningen handläggande myndighet ersättas av Arbetsförmedlingen.

Inspektionen för arbetslöshetsförsäkringen anser att ”den handläggande myndigheten” i 15 § lagen om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen bör ersättas med Inspektionen

för arbetslöshetsförsäkringen av motsvarande skäl. Regeringen delar

74

arbetslöshetsförsäkringen.

Artikel 89.1 i dataskyddsförordningen innehåller bestämmelser om skyddsåtgärder och undantag för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Motsvarande bestämmelser i dataskyddsdirektivet talar i stället för ”vetenskapliga eller historiska forskningsändamål eller statistiska ändamål” om ”historiska, statistiska eller vetenskapliga ändamål”.

Bedömningen är dock att den nya formuleringen i dataskyddsförordningen inte innebär någon skillnad i sak.

Bestämmelserna i registerlagarna för Arbetsförmedlingen, Inspektionen för arbetslöshetsförsäkringen och Institutet för arbetsmarknads- och utbildningspolitisk utvärdering bör justeras till dataskyddsförordningens terminologi i syfte att undvika att en betydelseskillnad läses in mellan formuleringarna i dataskyddsförordningen och formuleringarna i registerlagarna.

Även ordet behövs bör i gallringsbestämmelserna ersättas av ”är nödvändigt” i syfte att anpassa terminologin till dataskyddsförordningens terminologi.

7.14Överklagande

Regeringens förslag: Överklagandebestämmelserna ska tas bort ur registerlagarna för Arbetsförmedlingen och Inspektionen för arbetslöshetsförsäkringen.

Promemorians förslag: Överensstämmer inte med regeringens. Promemorian föreslår att det ska finnas hänvisningar i lagarna till den föreslagna dataskyddslagen.

Remissinstanserna: Ingen av remissinstanserna har synpunkter på förslaget att ha hänvisningar till den föreslagna lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.

Skälen för regeringens förslag: Av 18 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten framgår att rätten att överklaga är begränsad till två typer av beslut, nämligen Arbetsförmedlingens beslut om rättelse respektive avslag på ansökan om information enligt 26 § personuppgiftslagen. Prövningstillstånd krävs vid överklagande till kammarrätten.

Prop. 2017/18:112 Regeringen föreslår i propositionen Ny dataskyddslag (prop. 2017/18:105) att dataskyddslagen, i likhet med personuppgiftslagen, ska innehålla en bestämmelse om att vissa myndighetsbeslut får överklagas till allmän förvaltningsdomstol. Den föreslagna dataskyddslagen kommer att gälla inom registerlagarnas tillämpningsområden om inte annat följer av registerlagarna eller föreskrifter som har meddelats i anslutning till dem, se avsnitt 7.2.3. Detta innebär att dataskyddslagens bestämmelser om överklagande kommer att gälla om inte annat föreskrivs i registerlagarna eller i föreskrifter som har meddelats i anslutning till dem.

I promemorian görs bedömningen att det av pedagogiska skäl är lämpligt att ha upplysningsbestämmelser i registerlagarna som hänvisar till dataskyddslagen. Regeringen konstaterar att det inte har framkommit att det finns behov av särskilda bestämmelser om överklagande som avviker från dem som föreslås i dataskyddslagen. Det finns enligt regeringens uppfattning inte heller tillräckliga skäl att införa upplysningsbestämmelser i registerlagarna om att dataskyddslagen innehåller bestämmelser om överklagande.

Regeringen anser därför att överklagandebestämmelserna i registerlagarna för Arbetsförmedlingen och Inspektionen för arbetslöshetsförsäkringen bör tas bort.

8Ikraftträdande och behovet av övergångsbestämmelser

Regeringens förslag: Den nya lagen och ändringarna i registerlagarna ska träda i kraft den 25 maj 2018.

Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Dataskydd.net tillstyrker promemorians förslag.

Ingen av de övriga remissinstanserna har haft synpunkter på förslaget. Skälen för regeringens förslag: Dataskyddsförordningen ska tillämpas

från och med den 25 maj 2018. Av artikel 94 i dataskyddsförordningen framgår att dataskyddsdirektivet ska upphöra att gälla med verkan från och med samma datum och att hänvisningar till det upphävda dataskyddsdirektivet ska anses som hänvisningar till dataskyddsförordningen.

Förutom vissa bestämmelser av övergångskaraktär i fråga om Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation), respektive i fråga om förhållande till internationella avtal som rör överföring av personuppgifter till tredjeländer eller internationella organisationer och som ingicks före den 24 maj 2016 (artikel 96), saknar dataskyddsförordningen övergångsbestämmelser.

Den nya lagen och ändringarna som föreslås i denna proposition bör träda i kraft samtidigt som dataskyddsförordningen börjar tillämpas, det vill säga den 25 maj 2018.

76

En utgångspunkt i dataskyddsförordningen är att behandling som pågår Prop. 2017/18:112 den dag då förordningen börjar tillämpas från och med den dagen ska

bringas i överensstämmelse med förordningen (skäl 171). Personuppgiftsansvariga och personuppgiftsbiträden får därför förutsättas ha ordnat sin behandling av personuppgifter så att exempelvis en begäran om information från en registrerad som har kommit in före den 25 maj 2018 men som inte har hunnit besvaras, kan tillmötesgås i enlighet med förordningens bestämmelser.

För skadestånd bör äldre bestämmelser gälla om skadan har orsakats före den 25 maj 2018. Att så är fallet följer av allmänna rättsgrundsatser, varför det inte finns något behov av övergångsbestämmelser i det

2017/18:105 s. 176). Inte heller i övrigt finns skäl att införa övergångsbestämmelser.

9 Konsekvenser

9.1Övergripande konsekvenser

De förslag som regeringen lägger fram i denna proposition syftar huvudsakligen till att anpassa registerförfattningar på arbetsmarknadsområdet till dataskyddsförordningen. Det föreslås också att Arbetsmiljöverkets registerförordning som reglerar personuppgiftsbehandling i informationssystemet om arbetsskador ersätts av en lag och att gallringstiden i den arbetsmarknadspolitiska verksamheten förlängs i Arbetsförmedlingens registerlag. De senare förslagen motiveras inte av behovet av anpassning till dataskyddsförordningen.

Merparten av bestämmelserna i registerförfattningarna kvarstår oförändrade. De flesta förslag är följder av eller anpassningar till dataskyddsförordningen och till att personuppgiftslagen (1998:204) upphävs. Hänvisningar till personuppgiftslagen tas som en konsekvens till detta bort. Vissa andra bestämmelser tas bort eftersom motsvarande bestämmelser finns i dataskyddsförordningen eller i den föreslagna dataskyddslagen. I andra fall förs hänvisningar in till dataskyddsförordningen eller den föreslagna dataskyddslagen. Dessa förslag bidrar till att undvika dubbelreglering och klargör de olika regelverkens förhållande till varandra. I de flesta fall innebär ändringarna i sig inte någon ändring i sak i förhållande till vad som gäller i dag.

Förslagen i propositionen bedöms ge förutsättningar för myndigheterna på arbetsmarknadsområdet att även i fortsättningen bedriva sin verksamhet på ett effektivt och rättssäkert sätt samtidigt som de registrerade ges ett fullgott skydd mot onödiga intrång i den personliga integriteten.

Dataskyddsförordningen kommer i sig att leda till stora konsekvenser för både det allmänna och enskilda. Dessa behandlas dock inte i detta lagstiftningsärende.

77

En alternativ lösning till förslagen i propositionen är att upphäva registerförfattningar på arbetsmarknadsområdet och låta myndigheternas personuppgiftbehandling ha sitt rättsliga stöd i dataskyddsförordningen kompletterad av den föreslagna dataskyddslagen. En sådan lösning skulle dock i hög grad försämra berörda myndigheters möjligheter till en effektiv och ändamålsenlig behandling av personuppgifter samtidigt som rättsläget skulle bli mer oklart för både personuppgiftsansvariga myndigheter och för de registrerade.

9.3Ekonomiska konsekvenser

Regeringen bedömer att de ekonomiska konsekvenserna av förslagen i denna proposition blir ytterst begränsade. Initialt kan förslagen innebära högre kostnader för myndigheterna för bland annat anpassning av it-system och utbildning av personal. Dessa bedöms dock vara av den omfattningen att de ryms inom de befintliga ekonomiska ramarna.

Förslagen bedöms inte medföra några kostnader eller ökad administrativ börda för enskilda.

9.4Konsekvenser för jämställdhet, miljö och små företag

Förslagen bedöms inte få några konsekvenser för jämställdheten mellan kvinnor och män. Förslagen bedöms inte ha några sociala eller miljömässiga konsekvenser eller några särskilda effekter för vare sig små eller stora företag.

78

Prop. 2017/18:112

10 Författningskommentar

10.1Förslaget till lag om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador

Lagens tillämpningsområde

1 § Denna lag tillämpas vid behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador.

Lagen tillämpas endast på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register.

Förslaget behandlas i avsnitt 6.1 och 6.2.

I paragrafen anges lagens tillämpningsområde.

Informationssystemet om arbetsskador utgör en av de särskilda uppgifter som Arbetsmiljöverket ansvarar för enligt 2 § förordningen (2007:913) med instruktion för Arbetsmiljöverket. Informationssystemet utgör också en del av myndighetens ansvar för den officiella statistiken enligt förordningen (2001:100) om den officiella statistiken. Av första stycket framgår att sådan behandling av personuppgifter vid Arbetsmiljöverket som inte rör informationssystemet om arbetsskador, inklusive intern administration, faller utanför lagens tillämpningsområde.

I paragrafens andra stycke begränsas tillämpningsområdet till en viss typ av behandling av personuppgifter. Manuell behandling som inte ingår eller kommer att ingå i ett register faller utanför lagens tillämpningsområde. Bestämmelsen i andra stycket är utformad i nära anslutning till artikel 2.1 i dataskyddsförordningen och bör tolkas på samma sätt.

Förhållandet till annan reglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Förslaget behandlas i avsnitt 6.3.1.

Av paragrafen framgår att lagen utgör ett komplement till dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. Det innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag.

Lagens hänvisningar till dataskyddsförordningen är dynamiska, det vill säga avser förordningen i dess vid varje tidpunkt gällande lydelse.

79

Prop. 2017/18:112

3 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Förslaget behandlas i avsnitt 6.3.2.

Paragrafen upplyser om hur lagen förhåller sig till lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, kallad dataskyddslagen.

Bestämmelsens första led klargör att det i dataskyddslagen finns generella nationella bestämmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som därmed även gäller för Arbetsmiljöverkets hantering av personuppgifter i informationssystemet om arbetsskador. Andra ledet anger att dataskyddslagen är subsidiär i förhållande till denna lag. Det innebär att dataskyddslagens bestämmelser endast gäller om inte annat föreskrivs i lagen eller föreskrifter meddelade i anslutning till lagen.

Rätten att göra invändningar

4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Förslaget behandlas i avsnitt 6.4.

I paragrafen görs ett undantag från den rätt att invända mot behandling av personuppgifter som följer av artikel 21.1 i dataskyddsförordningen. Undantaget utgör en sådan begränsning i den nationella rätten som är tillåten enligt artikel 23 i dataskyddsförordningen.

Personuppgiftsansvar

5 § Arbetsmiljöverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför enligt denna lag.

Förslaget behandlas i avsnitt 6.5.

Paragrafen anger vem som är personuppgiftsansvarig för behandling av personuppgifter enligt lagen. Utpekandet av Arbetsmiljöverket som personuppgiftsavsvarigt är i enlighet med artikel 4.7 andra ledet i dataskyddsförordningen.

Ändamål med behandlingen

6 § Arbetsmiljöverket får behandla personuppgifter i informationssystemet om arbetsskador om det är nödvändigt för att ge underlag för arbetet med att förebygga arbetsskador. En sådan behandling får innefatta

1.registrering av arbetsskador och bearbetning av sådana uppgifter,

2.tillsynsverksamhet,

3.skadeutredningar,

4.forskning och undervisning,

80

Prop. 2017/18:112

5.framställning av statistik, och

6.planering, uppföljning och utvärdering av förebyggande arbete mot arbetsskador. Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 §

regeringsformen meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

Förslaget behandlas i avsnitt 6.6.1 och 6.6.2.

Paragrafen behandlar de så kallade primära ändamålen för behandlingen av personuppgifter i informationssystemet om arbetsskador.

I paragrafens första stycke anges de primära ändamålen. Beskrivningen av ändamålen får betydelse för vilken insamling och annan behandling av personuppgifter som är tillåten enligt lagen. Att ändamålen fastställs i lag främjar att personuppgiftsbehandlingen sker i enlighet med principerna om laglighet, korrekthet och öppenhet (artikel 5.1 a i dataskyddsförordningen).

Bestämmelsen utgör en yttre ram för vilka slags personuppgiftsbehandlingar som är tillåtna enligt lagen och är en sådan specifikationsbestämmelse som är tillåten enligt artikel 6.2 i dataskyddsförordningen. Att det anges ett krav på att behandlingen ska vara nödvändig för de angivna ändamålen innebär ett tydliggörande av kraven på laglig behandling enligt artikel 6.1 i dataskyddsförordningen.

Paragrafens andra stycke upplyser om att regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

7 § Personuppgifter som behandlas för de ändamål som anges i 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Förslaget behandlas i avsnitt 6.6.3.

I paragrafen klargörs att Arbetsmiljöverket får behandla personuppgifter för uppgiftslämnande. Ett sådant uppgiftslämnande kan till exempel bli aktuellt om myndigheten behöver lämna ut uppgifter för att uppfylla krav i offentlighets- och sekretesslagen (2009:400).

8 § Personuppgifter som behandlas enligt 6 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Förslaget behandlas i avsnitt 6.6.4.

Paragrafen tydliggör att den så kallade finalitetsprincipen gäller vid behandling av personuppgifter enligt lagen.

Bestämmelsen i paragrafen är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Detta innebär bland annat att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med de ursprungliga

81

Prop. 2017/18:112

ändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a– e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med finalitetsprincipen.

Behandling av känsliga personuppgifter

9 § Inga andra personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) än sådana som rör hälsa får behandlas i informationssystemet om arbetsskador.

Förslaget behandlas i avsnitt 6.7.

I paragrafen regleras i vilken utsträckning Arbetsmiljöverket får behandla sådana särskilda kategorier av personuppgifter (känsliga personuppgifter) som avses i artikel 9.1 i dataskyddsförordningen. Paragrafen innebär att lagen endast ger stöd för behandling av sådana känsliga personuppgifter som rör hälsa.

Tillgång till personuppgifter

10 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Förslaget behandlas i avsnitt 6.8.

Av paragrafen följer att Arbetsmiljöverket är skyldigt att se till att tillgången till personuppgifter begränsas.

Genom begränsningen förstärks skyddet för den personliga integriteten genom att uppgifterna sprids till en så liten krets som möjligt.

Bestämmelsen är en skydds- och säkerhetsbestämmelse som det är tillåtet att införa enligt artikel 6.2 och 6.3 i dataskyddsförordningen.

10.2Förslaget till lag om ändring i lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten

Lagens tillämpningsområde

1 § Denna lag tillämpas vid behandling av personuppgifter i Arbetsförmedlingens arbetsmarknadspolitiska verksamhet.

Lagen ska inte tillämpas i den del av den arbetsmarknadspolitiska verksamheten som även utgör hälso- och sjukvård enligt hälso- och sjukvårdslagen (2017:30). I den delen av verksamheten tillämpas i stället patientdatalagen (2008:355).

Lagen tillämpas endast på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register.

Förslaget behandlas i avsnitt 7.1.

Paragrafen anger lagens tillämpningsområde.

82

Prop. 2017/18:112

Paragrafens tredje stycke anpassas till dataskyddsförordningen på så sätt att den behandling som omfattas av lagen är densamma som den som omfattas av dataskyddsförordningen. Bestämmelsen i tredje stycket är utformad i nära anslutning till artikel 2.1 i dataskyddsförordningen och bör tolkas på samma sätt. Anpassningen av tredje stycket är inte avsedd att medföra någon skillnad i sak.

Förhållandet till annan reglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Förslaget behandlas i avsnitt 7.2.2 och 7.2.3.

Paragrafen behandlar lagens förhållande till dataskyddsförordningen och dataskyddslagen.

Av paragrafens första stycke framgår att lagen utgör ett komplement till dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. Det innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Lagens hänvisningar till dataskyddsförordningen är dynamiska, det vill säga avser förordningen i dess vid varje tidpunkt gällande lydelse.

Paragrafens andra stycke upplyser om hur lagen förhåller sig till lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, kallad dataskyddslagen. Bestämmelsens första led utgör en upplysning om att det i dataskyddslagen finns generella nationella bestämmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som därmed även gäller i Arbetsförmedlingens arbetsmarknadspolitiska verksamhet. Andra ledet anger att dataskyddslagen är subsidiär i förhållande till denna lag. Det innebär att dataskyddslagens bestämmelser endast gäller i den mån inte annat föreskrivs i lagen eller föreskrifter meddelade i anslutning till lagen.

Rätten att göra invändningar

2 a § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om undantag från första stycket.

83

Prop. 2017/18:112

Förslaget behandlas i avsnitt 7.3.

Paragrafen, som är ny, reglerar rätten att göra invändningar. Paragrafen motsvarar den upphävda bestämmelsen i 1 a §.

Första stycket anger att rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen inte gäller för behandling enligt lagen. Stycket utgör en sådan begränsning som tillåts enligt artikel 23 i dataskyddsförordningen.

Andra stycket anpassas till gällande riktlinjer för hur upplysningsbestämmelser ska utformas.

4 § Arbetsförmedlingen får behandla personuppgifter inom den arbetsmarknadspolitiska verksamheten bara om det är nödvändigt för

1.handläggning av ärenden,

2.publicering av platsinformation, information om kompletterande aktörer och ansökningar om anställning,

3.planering, metodutveckling, tillsyn, uppföljning, resultatredovisning och utvärdering av verksamheten,

4.framställning av avidentifierad statistik, och

5.samarbete på det arbetsmarknadspolitiska området inom Europeiska unionen och

Europeiska ekonomiska samarbetsområdet samt enligt överenskommelsen den 6 mars 1982 om en gemensam nordisk arbetsmarknad.

Förslaget behandlas i avsnitt 7.4.

I paragrafen regleras de så kallade primära ändamålen. Bestämmelsen ändras på så sätt att ”behövs” ersätts av ”är nödvändigt”. Ändringen är en språklig justering i syfte att anpassa bestämmelsen till terminologin i dataskyddsförordningen och är inte avsedd att innebära någon förändring i sak.

5 § Arbetsförmedlingen får behandla personuppgifter för tillhandahållande av information som behövs inom

1.Försäkringskassans, Centrala studiestödsnämndens eller arbetslöshetskassornas verksamhet som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd,

2.Skatteverkets verksamhet som underlag för beslut om och kontroll av skatt,

3.Inspektionen för arbetslöshetsförsäkringens verksamhet som avser tillsyn och uppföljning samt utfärdande av intyg enligt 48 § lagen (1997:238) om arbetslöshetsförsäkring,

4.Kronofogdemyndighetens verksamhet som underlag för bedömning enligt 4 kap. utsökningsbalken av i vilken utsträckning en gäldenär har utmätningsbar egendom,

5.socialnämndernas verksamhet som underlag för beslut om och kontroll av ekonomiskt bistånd enligt 4 kap. socialtjänstlagen (2001:453),

6.Migrationsverkets verksamhet som underlag för beslut om bistånd enligt lagen (1994:137) om mottagande av asylsökande m.fl., samt

7.kompletterande aktörers verksamhet enligt uppdrag från Arbetsförmedlingen. Arbetsförmedlingen får även behandla personuppgifter för att tillhandahålla

information till riksdagen eller regeringen eller till någon annan för att fullgöra uppgiftslämnande i enlighet med lag eller förordning.

Förslaget behandlas i avsnitt 7.4.

84

Prop. 2017/18:112

I paragrafen anges de så kallade sekundära ändamålen, det vill säga för vilka ändamål som uppgifter får tillhandahållas för verksamheter utanför Arbetsförmedlingens arbetsmarknadspolitiska verksamhet.

I andra stycket tas hänvisningen till personuppgiftslagens (1998:204) bestämmelser om bland annat finalitetsprincipen bort. En motsvarande reglering införs i stället i en ny paragraf, 5 a §.

5 a § Personuppgifter som behandlas enligt 4 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Förslaget behandlas i avsnitt 7.5.

Paragrafen, som är ny, tydliggör att den så kallade finalitetsprincipen gäller vid behandling av personuppgifter enligt lagen. En hänvisning till personuppgiftslagens bestämmelser om bland annat finalitetsprincipen fanns tidigare i 5 § andra stycket.

Bestämmelsen i paragrafen är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Detta innebär bland annat att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med de ursprungliga ändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a– e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med finalitetsprincipen.

8 § Arbetsförmedlingen får utanför en databas behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.

Förslaget behandlas i avsnitt 7.7.

Paragrafen reglerar myndighetens möjlighet att behandla uppgifter som rör lagöverträdelser.

Tidigare fanns i denna paragraf en hänvisning till 21 § personuppgiftslagen. I stället för hänvisningen till personuppgiftslagen innehåller paragrafen nu en uppräkning av de uppgiftskategorier som tidigare fanns i personuppgiftslagen. Bestämmelsen omfattar fler uppgiftskategorier än de som framgår av artikel 10 i dataskyddsförordningen. Bestämmelsen utgör i denna del en skyddsbestämmelse som är tillåten i enlighet med artikel 6.2 och 6.3 i dataskyddsförordningen.

Regleringen i paragrafen om behandling av känsliga personuppgifter som har lämnats i ett ärende eller är nödvändiga för handläggningen av det tas bort. Arbetsförmedlingen kommer även fortsättningsvis att kunna behandla sådana personuppgifter i ärendehanteringen med stöd av 3 kap. 2 § dataskyddslagen.

I paragrafen har det tydliggjorts att bestämmelsen inte gäller behandling av personuppgifter i en databas. Vad som gäller för behandling av uppgifter om lagöverträdelser i en databas framgår av 9 §.

85

Prop. 2017/18:112

9 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas i en databas endast om de har lämnats i ett ärende. Känsliga personuppgifter som avslöjar etniskt ursprung eller rör hälsa får dessutom behandlas i en databas om de är nödvändiga för handläggningen av ett ärende.

Personuppgifter om sociala förhållanden och omdömen, slutsatser eller andra värderande upplysningar om en enskild får behandlas i en databas endast om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Detsamma gäller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Förslaget behandlas i avsnitt 7.6.1 och 7.7.

I paragrafen regleras när känsliga personuppgifter, personuppgifter om sociala förhållanden m.m. och personuppgifter om lagöverträdelser får behandlas i en arbetsmarknadspolitisk databas.

Första stycket ändras på så sätt att hänvisningen till personuppgiftslagen tas bort.

Vad som avses med känsliga personuppgifter framgår av artikel 9.1 i dataskyddsförordningen. Eftersom genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om en fysisk persons sexuella läggning numera ingår i begreppet känsliga personuppgifter, innebär ändringen att behandling av sådana personuppgifter i en databas endast får ske om de har lämnats i ett ärende.

Första ledet i bestämmelsens andra stycke kvarstår oförändrat. Andra ledet ändras på så sätt att hänvisningen till personuppgiftslagen tas bort. I stället för hänvisningen till personuppgiftslagen innehåller paragrafen nu en uppräkning av de uppgiftskategorier som tidigare fanns i personuppgiftslagen. Bestämmelsen omfattar fler uppgiftskategorier än de som framgår av artikel 10 i dataskyddsförordningen. Bestämmelsen utgör i denna del en skyddsbestämmelse som är tillåten i enlighet med artikel 6.2 och 6.3 i dataskyddsförordningen.

14 § Det är förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter och sådana personuppgifter som avses i 9 § andra stycket eller 10 §.

Med undantag från förbudet i första stycket får dock kod för hälsotillstånd eller för sådan funktionsnedsättning som medför nedsatt arbetsförmåga användas som sökbegrepp för planering av insatser och förmedling av arbete.

Kod för hälsotillstånd eller för sådan funktionsnedsättning som medför nedsatt arbetsförmåga, kod för arbetsmarknadspolitiskt program eller insats samt kod för sökandekategori eller anvisningsgrund får även användas som sökbegrepp för tillsyn, uppföljning, utvärdering och framställning av avidentifierad statistik.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar i övrigt av de sökbegrepp som får användas.

Förslaget behandlas i avsnitt 7.2.1.

I paragrafen begränsas uppgifter som får användas som sökbegrepp. Paragrafens första stycke ändras på så sätt att hänvisningen till

personuppgiftslagen tas bort. Den redaktionella utformningen av första stycket ändras också så att den stämmer bättre överens med motsvarande

86

Prop. 2017/18:112

bestämmelser i andra lagar, till exempel 14 § domstolsdatalagen (2015:728). Ändringen innebär ingen skillnad i sak.

Paragrafens fjärde stycke anpassas till gällande riktlinjer för hur upplysningsbestämmelser ska utformas.

16 § Uppgifter om arbetssökande i en arbetsmarknadspolitisk databas ska gallras senast tre år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos Arbetsförmedlingen.

Uppgifter som har avskilts för statistikändamål ska gallras tio år efter avskiljandet. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter

om undantag från dessa gallringstider när det gäller bevarande av material för vetenskapliga eller historiska forskningsändamål. Sådant material ska lämnas över till en arkivmyndighet.

Förslaget behandlas i avsnitt 7.13.

I paragrafen anges de särskilda bestämmelser som tar över arkivlagens (1990:782) bestämmelser om bevarande och gallring.

I första stycket ersätts handläggande myndighet av Arbetsförmedlingen eftersom Arbetsförmedlingen, till skillnad från det tidigare Arbetsmarknadsverket, utgör en enda myndighet. Första stycket ändras vidare på så sätt att den maximala gallringstiden förlängs från två till tre år. Samtidigt införs ordet senast vilket innebär att uppgifter som regel ska gallras enligt artikel 5.1 e i dataskyddsförordningen, det vill säga enligt principen om så kallad lagringsminimering. Lagringsminimering innebär att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.

Paragrafens tredje stycke justeras terminologiskt som en anpassning till dataskyddsförordningen. De språkliga justeringarna är inte avsedda att innebära någon skillnad i sak.

10.3Förslaget till lag om ändring i lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen

1 § Denna lag tillämpas vid behandling av personuppgifter i sådan verksamhet vid Inspektionen för arbetslöshetsförsäkringen som gäller tillsyn, uppföljning, registrering av uppgifter om arbetslöshetskassor, utfärdande av intyg, framtagande av statistik samt rapportering av vissa uppgifter till Arbetsförmedlingen.

Lagen tillämpas endast på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register.

Förslaget behandlas i avsnitt 7.1.

Paragrafen anger lagens tillämpningsområde.

Paragrafens andra stycke anpassas till dataskyddsförordningen på så sätt att den behandling som omfattas av lagen är densamma som den som omfattas av

87

Prop. 2017/18:112

dataskyddsförordningen. Andra stycket är utformat i nära anslutning till artikel 2.1 i dataskyddsförordningen och bör tolkas på samma sätt. Anpassningen av andra stycket är inte avsedd att medföra någon skillnad i sak.

Paragrafens tredje stycke tas bort. I stället införs en ny paragraf, 2 a §, med motsvarande innehåll.

Förhållandet till annan reglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Förslaget behandlas i avsnitt 7.2.

Paragrafen behandlar lagens förhållande till dataskyddsförordningen och dataskyddslagen.

Av paragrafens första stycke framgår att lagen utgör ett komplement till dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. Det innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Lagens hänvisningar till dataskyddsförordningen är dynamiska, det vill säga avser förordningen i dess vid varje tidpunkt gällande lydelse.

Paragrafens andra stycke upplyser om hur lagen förhåller sig till lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, kallad dataskyddslagen. Bestämmelsens första led utgör en upplysning om att det i dataskyddslagen finns generella nationella bestämmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som därmed även gäller inom verksamhet vid Inspektionen för arbetslöshetsförsäkringen. Andra ledet anger att dataskyddslagen är subsidiär i förhållande till denna lag. Det innebär att dataskyddslagens bestämmelser endast gäller i den mån inte annat föreskrivs i denna lag eller föreskrifter meddelade i anslutning till den.

Rätten att göra invändningar

2 a § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Förslaget behandlas i avsnitt 7.3.

Paragrafen, som är ny, reglerar rätten att göra invändningar. Paragrafen motsvarar den upphävda bestämmelsen i 1 § tredje stycket. Bestämmelsen

88

Prop. 2017/18:112

anger ett undantag från artikel 21.1 i dataskyddsförordningen. Undantaget utgör en sådan begränsning i den nationella rätten som tillåts enligt artikel 23 i dataskyddsförordningen.

4 § Inspektionen för arbetslöshetsförsäkringen får behandla personuppgifter, om det är nödvändigt

1.för tillsyn över arbetslöshetskassorna och uppföljning av arbetslöshetsförsäkringen enligt 89 § första stycket lagen (1997:239) om arbetslöshetskassor,

2.för tillsyn över handläggning av och rutiner för handläggning av sådana ärenden hos Arbetsförmedlingen som har samband med arbetslöshetsförsäkringen eller som rör återkallande av anvisningar till arbetsmarknadspolitiska program,

3.för tillsyn över handläggning av och rutiner för handläggning av sådana ärenden hos Arbetsförmedlingen och Försäkringskassan som rör åtgärder inom aktivitetsstöd, utvecklingsersättning och etableringsersättning eller för uppföljning av sådana åtgärder,

4.för registrering av uppgifter enligt lagen om arbetslöshetskassor, eller

5.som underlag och för kontroll vid utfärdande av intyg enligt 48 § lagen (1997:238) om arbetslöshetsförsäkring.

Förslaget behandlas i avsnitt 7.4.

I paragrafen anges de så kallade primära ändamålen.

Första stycket ändras på så sätt att ”behövs” ersätts med ”är nödvändigt”. Ändringen är en språklig justering i syfte att anpassa bestämmelsen till terminologin i dataskyddsförordningen och är inte avsedd att innebära någon förändring i sak.

Paragrafens andra stycke tas bort. Att personuppgifter som behandlas enligt bestämmelsens första stycke även får behandlas för statistiska och vetenskapliga ändamål framgår av den nya paragrafen 5 a.

5 § Inspektionen för arbetslöshetsförsäkringen får behandla personuppgifter för att tillhandahålla information som behövs inom Arbetsförmedlingens verksamhet som underlag i uppföljnings-, analys- och utvärderingsarbete.

Inspektionen för arbetslöshetsförsäkringen får vidare behandla personuppgifter för att tillhandahålla information till riksdagen eller regeringen eller till någon annan för att fullgöra uppgiftslämnande i enlighet med lag eller förordning.

Förslaget behandlas i avsnitt 7.4.

I paragrafen anges de så kallade sekundära ändamålen, det vill säga att Inspektionen för arbetslöshetsförsäkringen får behandla personuppgifter även för vissa ändamål som ligger utanför myndighetens eget verksamhetsområde.

Den sista meningen i andra stycket som hänvisar till personuppgiftslagens (1998:204) bestämmelse om bland annat finalitetsprincipen tas bort. En motsvarande reglering införs i stället i en ny paragraf, 5 a §.

5 a § Personuppgifter som behandlas enligt 4 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Förslaget behandlas i avsnitt 7.5.

89

Prop. 2017/18:112

Paragrafen, som är ny, tydliggör att den så kallade finalitetsprincipen gäller vid behandling av personuppgifter enligt lagen. Motsvarande reglering fanns tidigare i 5 § sista meningen i form av en hänvisning till personuppgiftslagen.

Bestämmelsen i paragrafen är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Detta innebär bland annat att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med de ursprungliga ändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a– e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med finalitetsprincipen.

8 § Inspektionen för arbetslöshetsförsäkringen får behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.

Förslaget behandlas i avsnitt 7.6.1 och 7.7.

Paragrafen reglerar myndighetens möjlighet att behandla uppgifter som rör lagöverträdelser.

Bestämmelsen, som omfattar fler uppgifter än de som framgår av artikel 10 i dataskyddsförordningen, innebär att skyddet för alla de kategorier som tidigare omfattades genom en hänvisning till 21 § personuppgiftslagen behålls. Bestämmelsen är tillåten i enlighet med artikel 6.2 och 6.3 i dataskyddsförordningen.

Paragrafen reglerade tidigare även behandling av känsliga personuppgifter som lämnats i ett ärende eller var nödvändiga för handläggningen av det. Inspektionen för arbetslöshetsförsäkringen kommer även fortsättningsvis att kunna behandla känsliga personuppgifter i ärendehanteringen med stöd av 3 kap. 2 § dataskyddslagen.

9 § I statistik- och tillsynsdatabasen får inga andra personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) behandlas än sådana som avslöjar etniskt ursprung eller rör hälsa.

Känsliga personuppgifter som avslöjar etniskt ursprung eller rör hälsa, personuppgifter om sociala förhållanden samt omdömen, slutsatser eller andra värderande upplysningar om en enskild, får behandlas i statistik- och tillsynsdatabasen endast om de har lämnats i ett ärende eller är nödvändiga för handläggningen av det.

Förslaget behandlas i avsnitt 7.6.1.

I paragrafen regleras vilka känsliga personuppgifter som får behandlas i en statistik- och tillsynsdatabas.

Första stycket ändras på så sätt att hänvisningen till 13 § personuppgiftslagen tas bort och ersätts med en hänvisning till artikel 9.1 i dataskyddsförordningen.

Förbudet i artikel 9.1 i dataskyddsförordningen omfattar fler kategorier av uppgifter än motsvarande förbud i dataskyddsdirektivet och personuppgiftslagen. Dessa nya kategorier är genetiska uppgifter, biometriska

90

Prop. 2017/18:112

uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning.

10 § Personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får inte behandlas i statistik- och tillsynsdatabasen.

Detsamma gäller uppgifter om att den enskilde har vårdats med stöd av socialtjänstlagen (2001:453) eller varit föremål för en åtgärd enligt utlänningslagen (2005:716).

Förslaget behandlas i avsnitt 7.7.

Paragrafen innehåller begränsningar av de typer av personuppgifter som får behandlas i Inspektionen för arbetslöshetsförsäkringens statistik- och tillsynsdatabas.

Första stycket ändras på så sätt att hänvisningen till 21 § personuppgiftslagen tas bort. I stället anges vilka typer av uppgifter om lagöverträdelser som inte får behandlas i statistik- och tillsynsdatabasen. Bestämmelsen i första stycket innebär att skyddet för alla de kategorier som omfattades av den tidigare hänvisningen till 21 § personuppgiftslagen behålls.

I paragrafen införs ett andra stycke. Motsvarande reglering återfanns tidigare i första stycket andra ledet.

13 § Det är förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter och sådana personuppgifter som avses i 9 § andra stycket eller 10 §.

Med undantag från förbudet i första stycket får dock kod för hälsotillstånd eller för sådan funktionsnedsättning som medför nedsatt arbetsförmåga, kod för arbetsmarknadspolitiskt program eller insats samt kod för sökandekategori eller anvisningsgrund användas som sökbegrepp för tillsyn, uppföljning, utvärdering och framställning av avidentifierad statistik.

Regeringen får meddela föreskrifter om begränsningar i övrigt av de sökbegrepp som får användas.

Förslaget behandlas i avsnitt 7.2.1.

I paragrafen regleras vilka typer av uppgifter som Inspektionen för arbetslöshetsförsäkringen inte får använda som sökbegrepp.

Paragrafens första stycke ändras på så sätt att hänvisningar till personuppgiftslagen tas bort. Den redaktionella utformningen av första stycket ändras också så att den stämmer bättre överens med motsvarande bestämmelser i andra lagar, till exempel 14 § domstolsdatalagen (2015:728). Ändringen innebär ingen skillnad i sak.

Tillgång till personuppgifter

14 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Förslaget behandlas i avsnitt 7.11.

Paragrafen har fått ett nytt innehåll. Den tidigare hänvisningen till personuppgiftslagens bestämmelser om rättelse och skadestånd tas bort.

91

Prop. 2017/18:112

Bestämmelser om detta kommer att finnas i dataskyddsförordningen och kompletteras av bestämmelser i dataskyddslagen.

Av paragrafens nya innehåll följer att Inspektionen för arbetslöshetsförsäkringen är skyldig att begränsa behörigheten att behandla personuppgifter. Genom begränsningen förstärks skyddet för den personliga integriteten genom att uppgifterna sprids till en så liten krets som möjligt.

Bestämmelsen är en skydds- och säkerhetsbestämmelse som det är tillåtet att införa enligt artikel 6.2 och 6.3 i dataskyddsförordningen.

15 § Personuppgifter som behandlas för ändamål som anges i 4 § första stycket 1, 2, 3 och 5 ska gallras två år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos Inspektionen för arbetslöshetsförsäkringen.

Om personuppgifter enligt första stycket är nödvändiga för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska de gallras tio år efter det att uppgifterna avskildes för dessa ändamål.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från föreskrifterna i första och andra styckena, om detta är nödvändigt för vetenskapliga eller historiska forskningsändamål. Material med personuppgifter, som omfattas av en sådan föreskrift, ska lämnas över till en arkivmyndighet.

Förslaget behandlas i avsnitt 7.13.2.

Paragrafen behandlar gallring av personuppgifter. I paragrafens första och andra stycken anges de särskilda bestämmelser som tar över arkivlagens (1990:782) bestämmelser om bevarande och gallring.

Andra stycket anpassas till terminologin i artikel 5.1 e i dataskyddsförordningen. I stället för att hänvisa till statistiska respektive vetenskapliga ändamål hänvisas nu till vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Därutöver ändras bestämmelsen i andra stycket på så sätt att ”behövs” ersätts av ”är nödvändigt”. Ändringarna är språkliga justeringar och är inte avsedda att innebära någon förändring i sak.

Även i tredje stycket görs en terminologisk anpassning till dataskyddsförordningen genom att ”forskningens behov” ersätts av ”vetenskapliga eller historiska forskningsändamål” och ”behövs” ersätts av ”är nödvändigt”. Inte heller dessa ändringar är avsedda att innebära någon skillnad i sak.

92

för arbetsmarknads- och utbildningspolitisk utvärdering

1 § Denna lag gäller vid behandling av personuppgifter i sådan verksamhet hos Institutet för arbetsmarknads- och utbildningspolitisk utvärdering som avser att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar.

Lagen gäller inte behandling av personuppgifter vid tilldelning av forskningsbidrag.

Lagen tillämpas endast på helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter som ingår eller kommer att ingå i ett register.

Förslaget behandlas i avsnitt 7.1.

Paragrafen anger lagens tillämpningsområde.

Paragrafen ändras på så sätt att det tredje stycket anpassas till dataskyddsförordningen. Bestämmelsen i stycket är utformad i nära anslutning till artikel 2.1 i dataskyddsförordningen och bör tolkas på samma sätt. Anpassningen av tredje stycket är inte avsedd att medföra någon skillnad i sak.

Förhållandet till annan reglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Förslaget behandlas i avsnitt 7.2.

Paragrafens innehåll är nytt och reglerar lagens förhållande till dataskyddsförordningen och dataskyddslagen. Lagens förhållande till personuppgiftslagen (1998:204) fanns tidigare i 3 §. Bestämmelser som motsvarar paragrafens tidigare innehåll finns nu i 3 §.

Av paragrafens första stycke framgår att lagen utgör ett komplement till dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. Det innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Lagens hänvisningar till dataskyddsförordningen är dynamiska, det vill säga avser förordningen i dess vid varje tidpunkt gällande lydelse.

Paragrafens andra stycke upplyser om hur lagen förhåller sig till lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, kallad dataskyddslagen. Bestämmelsens första led

Prop. 2017/18:112 bestämmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som därmed även gäller inom verksamhet vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Andra ledet anger att dataskyddslagen är subsidiär i förhållande till denna lag. Det innebär att dataskyddslagens bestämmelser endast gäller i den mån inte annat föreskrivs i denna lag eller föreskrifter meddelade i anslutning till lagen.

Rätten att göra invändningar

3 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Första stycket gäller dock inte när personuppgifterna samlas in direkt från den enskilde.

Förslaget behandlas i avsnitt 7.3.

Paragrafen behandlar rätten att göra invändningar enligt dataskyddsförordningen.

Paragrafens första stycke är utformat som ett undantag från artikel 21.1 i dataskyddsförordningen. Motsvarande bestämmelse fanns tidigare i 2 § första stycket. Undantaget utgör en sådan begränsning i den nationella rätten som tillåts enligt artikel 23 i dataskyddsförordningen.

Paragrafens andra stycke, som delvis motsvarar den bestämmelse som tidigare fanns i 2 § andra stycket, ändras på så sätt att kravet på samtycke och hänvisningen till 12 § personuppgiftslagen om återkallelse av samtycke tas bort. I stället placeras bestämmelser som motsvarar de här borttagna bestämmelserna i en ny paragraf, 3 a §. Andra stycket innebär att artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller när personuppgifterna samlas in direkt från den enskilde.

Samtycke när uppgifter har samlats in direkt från den enskilde

3 a § Om personuppgifterna har samlats in direkt från den enskilde, får uppgifterna behandlas endast om han eller hon har lämnat sitt uttryckliga samtycke till behandlingen.

Den registrerade har rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.

Förslaget behandlas i avsnitt 7.3.

Paragrafen innehåller bestämmelser om samtycke och återkallelse av samtycke i vissa fall.

Paragrafens innehåll motsvarar innehållet i tidigare 2 § andra stycket andra och tredje meningen.

I första stycket anges att ett uttryckligt samtycke krävs i vissa fall. Kravet på samtycke är en integritetshöjande åtgärd i förhållande till dataskyddsförordningen. Samtycke ska alltså inte ses som den rättsliga grunden för myndighetens behandling av personuppgifter enligt artikel 6.1 a i dataskyddsförordningen. Detta innebär att det utöver samtycket från den enskilde krävs en rättslig grund, till exempel genom att behandlingen

94

är nödvändig för att myndigheten ska kunna fullgöra en rättslig förpliktelse Prop. 2017/18:112 (artikel 6.1 c).

Andra stycket motsvarar det som tidigare gällde enligt 12 § personuppgiftslagen om återkallelse av ett lämnat samtycke. En återkallelse kan göras skriftligt eller muntligt till Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Sedan återkallelsen har gjorts och kommit till myndighetens kännedom får ytterligare personuppgifter om den enskilde inte behandlas. Behandlingen av redan insamlade uppgifter får dock fortsätta.

5 § Personuppgifter får endast behandlas om det är nödvändigt för att fullgöra institutets uppdrag att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar.

Förslaget behandlas i avsnitt 7.4.

I paragrafen anges de så kallade primära ändamålen. Paragrafen ändras på så sätt att ”behövs” ersätts med ”är nödvändigt”. Ändringen är en språklig justering i syfte att anpassa terminologin i bestämmelsen till terminologin i dataskyddsförordningen. Ändringen är inte avsedd att innebära någon förändring i sak

6 § Personuppgifter som behandlas för de ändamål som anges i 5 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Förslaget behandlas i avsnitt 7.4.

I paragrafen anges de så kallade sekundära ändamålen, det vill säga att Institutet för arbetsmarknads- och utbildningspolitisk utvärdering får behandla personuppgifter även för vissa ändamål som ligger utanför myndighetens eget verksamhetsområde. Den sista meningen som hänvisar till personuppgiftslagen tas bort. En motsvarande reglering införs i stället i en ny paragraf, 6 a §.

6 a § Personuppgifter som behandlas enligt 5 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Förslaget behandlas i avsnitt 7.5.

Paragrafen, som är ny, tydliggör att den så kallade finalitetsprincipen gäller vid behandling av personuppgifter enligt lagen. Motsvarande reglering fanns tidigare i 5 § sista meningen i form av en hänvisning till personuppgiftslagen.

Bestämmelsen i paragrafen är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Detta innebär bland annat att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med de ursprungliga ändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a–e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med finalitetsprincipen.

95

Prop. 2017/18:112 7 § Inga andra personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) än sådana som avslöjar etniskt ursprung, medlemskap i fackförening eller som rör hälsa eller en persons sexuella läggning får behandlas för de ändamål som anges i 5 §.

Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden måste etikprövas.

Förslaget behandlas i avsnitt 7.6.2.

I paragrafen regleras i vilken utsträckning Institutet för arbetsmarknads- och utbildningspolitisk utvärdering får behandla känsliga personuppgifter och att det finns krav på etikprövning av forskning i vissa fall vid behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser.

Paragrafens första stycke ändras på så vis att hänvisningen till personuppgiftslagen ersätts med en hänvisning till bestämmelsen om känsliga personuppgifter i artikel 9.1 i dataskyddsförordningen. Första stycket ändras vidare genom att känsliga personuppgifter som avser en fysisk persons sexuella läggning läggs till som en ny kategori känsliga personuppgifter som Institutet för arbetsmarknads- och utbildningspolitisk utvärdering får behandla för de ändamål som avses i 5 §.

Vilka kategorier av personuppgifter som utgör känsliga personuppgifter framgår av artikel 9.1 i dataskyddsförordningen. Dataskyddsförordningens katalog av känsliga personuppgifter är vidgad jämfört med vad som gäller enligt dataskyddsdirektivet och personuppgiftslagen. De nytillkomna kategorierna är genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om en persons sexuella läggning. Sådana uppgifter kommer således att räknas till sådana känsliga personuppgifter som det råder förbud mot att behandla enligt huvudregeln i artikel 9.1 i dataskyddsförordningen. Ändringen innebär att Institutet för arbetsmarknads- och utbildningspolitisk utvärdering får behandla uppgifter som avslöjar etniskt ursprung, medlemskap i fackförening eller som rör hälsa eller en persons sexuella läggning, för de ändamål som anges i 5 §.

I andra stycket tas hänvisningarna till personuppgiftslagen bort. Samtidigt anges de kategorier av personuppgifter som tidigare omfattades av hänvisningen till 21 § personuppgiftslagen. Detta är en anpassning till de ändringar som görs med anledning av dataskyddsförordningen i lagen (2003:460) om etikprövning av forskning som avser människor.

8 § Om det är nödvändigt för de ändamål som anges i 5 §, får det hos institutet finnas samlingar av personuppgifter som behandlas automatiserat, under förutsättning att uppgifterna inte direkt kan hänföras till en person. Uppgifterna får dock vara försedda med en beteckning som den myndighet uppgifterna kommer från kan hänföra till ett personnummer eller motsvarande identitetsbeteckning.

Förslaget behandlas i avsnitt 7.9.

Paragrafen reglerar Institutet för arbetsmarknads- och utbildningspolitisk utvärderings möjligheter att inneha samlingar av personuppgifter

96

i databaser eller motsvarande som inte nödvändigtvis är knutna till en viss Prop. 2017/18:112 avgränsad studie, uppföljning eller utvärdering.

Paragrafen ändras på så sätt att ”behövs” ersätts av ”är nödvändigt”. Ändringen är en språklig justering i syfte att anpassa bestämmelsen till terminologin i dataskyddsförordningen. Ändringen är inte avsedd att innebära någon förändring i sak.

9 § Om det är nödvändigt för de ändamål som anges i 5 §, får det hos institutet finnas samlingar av personuppgifter som behandlas automatiserat och som inte är sådana personuppgifter som avses i 8 §, om uppgifterna är nödvändiga för en viss avgränsad studie, uppföljning eller utvärdering.

Förslaget behandlas i avsnitt 7.9.

Paragrafen reglerar Institutet för arbetsmarknads- och utbildningspolitisk utvärderings möjligheter att inneha samlingar av personuppgifter som inte är avidentifierade på det sätt som avses i 8 §.

Paragrafen ändras på så sätt att ”behövs” ersätts av ”är nödvändigt”. Ändringen är en språklig justering i syfte att anpassa bestämmelsen till terminologin i dataskyddsförordningen och är inte avsedd att innebära någon förändring i sak.

14 § Personuppgifter ska gallras så snart uppgifterna inte längre är nödvändiga för det ändamål som de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Förslaget behandlas i avsnitt 7.13.2.

Paragrafen innehåller bestämmelser om gallring av personuppgifter. Paragrafen ändras på så sätt att ”historiska, statistiska eller vetenskapliga

ändamål” ersätts av ” vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”. Ändringen är en terminologisk anpassning till dataskyddsförordningen. Ordet behövs ersätts vidare av ”är nödvändigt”. Även den ändringen är en språklig justering i syfte att anpassa bestämmelsen till terminologin i dataskyddsförordningen. Ändringarna är inte avsedda att innebära någon förändring i sak.

97

Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

8 § Personuppgifter som behandlas för de ändamål som anges i 7 § får också behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning.

9 § Personuppgifter som behandlas i informationssystemet om arbetsskador för ändamål som anges i 7 och 8 §§ får behandlas även för andra ändamål, under förutsättning att dessa inte är oförenliga med de ändamål för vilka uppgifterna samlades in.

Behandling av känsliga personuppgifter

10 § Inga andra särskilda kategorier av personuppgifter som anges i artikel 9.1 Europaparlamentets och rådets förordning (EU) 2016/679 (känsliga personuppgifter) än sådana som rör hälsa får behandlas för de ändamål som anges i 7−9 §§.

Tillgång till personuppgifter

11 § Tillgång till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Överklagande

12 § Bestämmelser om överklagande finns i 8 kap. lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning.

Denna lag träder i kraft den 25 maj 2018.

100

Prop. 2017/18:112

Bilaga 2

2 §

Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom den arbetsmarknadspolitiska verksamheten, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller annars av 2 § personuppgiftslagen.

1.handläggning av ärenden,

2.publicering av platsinformation, information om kompletterande aktörer och ansökningar om anställning,

3.planering, metodutveckling, tillsyn, uppföljning, resultatredovisning och utvärdering av verksamheten,

4.framställning av avidentifierad statistik, och

5.samarbete på det arbetsmarknadspolitiska området inom Europeiska unionen och Europeiska ekonomiska samarbetsområdet samt enligt överenskommelsen den 6 mars 1982 om en gemensam nordisk arbetsmarknad

3 Senaste lydelse 2010:2029.

102

Med undantag från förbudet i första stycket får dock kod för hälsotillstånd eller för sådan funktionsnedsättning som medför nedsatt arbetsförmåga användas som sökbegrepp för planering av insatser och förmedling av arbete.

Kod för hälsotillstånd eller för sådan funktionsnedsättning som medför nedsatt arbetsförmåga, kod för arbetsmarknadspolitiskt program eller insats samt kod för sökandekategori eller anvisningsgrund får även användas som sökbegrepp för tillsyn, uppföljning, utvärdering och framställning av avidentifierad statistik.

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt av de sökbegrepp som får användas.

16 § Uppgifter om arbetssökande i en

arbetsmarknadspolitisk databas skall gallras två år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende hos den handläggande myndigheten.

Uppgifter som har avskiljts för statistikändamål skall gallras tio år efter avskiljandet.

Regeringen, eller den myndighet som regeringen bestämmer, får meddela föreskrifter om undantag från dessa gallringstider när det gäller bevarande av material för forskningens behov. Sådant material skall lämnas över till en arkivmyndighet.

7 Senaste lydelse 2011:545.

105

Denna lag träder i kraft den 25 maj 2018.

106